NIS2 verlangt nicht nur Policies, sondern den Nachweis, dass Unternehmen ihre Verteidigung regelmäßig testen. Red-Team-Übungen sind dafür das schärfste Instrument: Sie simulieren echte Angriffe, zeigen Schwachstellen auf und trainieren Response-Teams. Die naheliegende Frage lautet: Welche Tools decken die wichtigsten Phasen ab? Unten eine kuratierte Übersicht – angelehnt an gängige Red-Team-Stacks, ausgerichtet auf die Anforderungen großer Unternehmen in Österreich.

Recon & Initial Access

  • Kali Linux – Der Klassiker. Eine vorkonfigurierte Distribution mit Hunderten von Recon-, Exploit- und Post-Exploitation-Tools.
  • Metasploit Framework – Ideal, um Exploits zu entwickeln, Payloads zu generieren und Angriffswege sauber zu dokumentieren.
  • Responder – Setzt auf LLMNR/NBT-NS/mDNS-Poisoning, um Hashes und Credentials aus schlecht konfigurierten Netzen abzugreifen.

Privilege Escalation & Lateral Movement

  • BloodHound – Visualisiert Active-Directory-Beziehungen und zeigt, wo Privilegienkaskaden gefährlich werden.
  • CrackMapExec – Schweizer Messer für AD: Enumerierung, Credential-Checks, Command Execution in einem Tool.
  • Impacket – Python-Toolkit für SMB, RDP, WMI, Kerberos – perfekt für maßgeschneiderte Lateral-Movement-Skripte.

Credential Harvesting

  • Mimikatz / LaZagne – Klassiker für das Auslesen von Klartext-Passwörtern, Hashes und Kerberos-Tickets aus dem Arbeitsspeicher.
  • Rubeus – Spezialisiert auf Kerberos-Angriffe (AS-REP Roasting, Ticket Forging, etc.).

Command & Control (C2)

  • Cobalt Strike – Der Industriestandard für Adversary Simulation. Bietet flexible Beacon-Konfigurationen, Profile und Teamserver.
  • Sliver / Covenant / PoshC2 – Moderne C2-Frameworks (Go/.NET/PowerShell), oft leichter zu härten als Cobalt Strike, weil sie Open Source sind.
  • Empire – PowerShell- und Python-basierte Post-Exploitation-Plattform, gut integrierbar in Blue-Team-Detection-Übungen.

PowerShell Frameworks

  • PowerSploit / Nishang / PowerUp – Sammlungen von PowerShell-Skripten für Exploitation, Privilege Escalation und Defense Evasion.

Warum das für NIS2 wichtig ist

NIS2 schreibt keine konkreten Tools vor – wohl aber, dass Unternehmen regelmäßig technische und organisatorische Maßnahmen testen. Red-Teaming (oder zumindest Purple-Teaming) liefert dafür drei Dinge:

  1. Realistische Angriffswege – statt Checklisten sieht man, wie ein Angreifer wirklich vorgehen würde.
  2. Messbare Verbesserungen – Jede Übung endet mit konkreten Findings, die sich in Maßnahmenplänen und Reifegrad-Reports wiederfinden.
  3. Nachweisbare Due Diligence – Dokumentierte Exercises sind ein starkes Argument gegenüber Aufsicht und Geschäftsführung.

Implementierungs-Tipps

  • Tool-Governance: Viele dieser Tools werden auch von Angreifern genutzt. Saubere Freigabeprozesse, Logging und Netzwerksegmentierung für Testumgebungen sind Pflicht.
  • Purple Team statt Ego-Show: Ziel ist es, Blue Teams zu stärken, nicht sie „vorzuführen“. Gemeinsame Playbooks wirken nachhaltiger.
  • Combine & Automate: Tools wie Cobalt Strike + BloodHound + Impacket decken den kompletten Kill Chain ab – wichtig ist das Zusammenspiel, nicht der einzelne Name.
  • Keep Legal in the Loop: Red-Teaming ohne schriftliche Freigabe (Scope, Zeitfenster, verantwortliche Personen) kann haftungsrechtlich heikel werden.

Fazit: NIS2 fordert nachweisbare Übungen. Eine klare Tool-Governance plus dokumentierte Findings machen Red-Teaming zu einem messbaren Bestandteil des ISMS – und liefern genau die Evidenz, die Aufsicht und Geschäftsführung erwarten. Zu jedem der genannten Tools erstelle ich sukzessive einzelne How-to-Artikel (Installation, typische Use Cases), damit die Knowledge Base Schritt für Schritt wächst.