← Zurück zu Ressourcen Red Teaming

Breach and Attack Simulation (BAS): Kontinuierlich testen, statt einmal im Jahr zu hoffen

Von Dennis Kionga 18. Mai 2021 8 MIN Aktualisiert: 14. Juni 2026

Unternehmen geben jedes Jahr erhebliche Summen für Sicherheitsprodukte aus — Firewalls, EDR, E-Mail-Security, SIEM. Die unbequeme Frage bleibt trotzdem offen: Funktioniert das alles im Ernstfall wirklich so, wie es soll? Eine Pentest-Momentaufnahme einmal im Jahr beantwortet das nur für einen einzigen Tag. Breach and Attack Simulation (BAS) schließt genau diese Lücke.

BAS ist ein automatisierter Ansatz, der reale Angriffshandlungen nachbildet, um zu prüfen, ob die vorhandenen Sicherheitsmaßnahmen ihren Zweck tatsächlich erfüllen — kontinuierlich, wiederholbar und ohne Risiko für den Produktivbetrieb.

Die drei BAS-Ansätze

1. Agentenbasiert. Über das Netzwerk verteilte Agenten suchen nach Schwachstellen und möglichen Angriffspfaden. Konzeptionell verwandt mit Schwachstellenscanning, aber mit deutlich mehr Kontext darüber, wie sich ein Angreifer tatsächlich bewegen würde.

2. Traffic-basiert. Zwischen virtuellen Maschinen wird bösartiger Datenverkehr erzeugt, um zu testen, ob die Sicherheitskontrollen Angriffsszenarien erkennen und blockieren.

3. Cloud-basiert. Als SaaS bereitgestellt, simuliert dieser Ansatz externe Multi-Vektor-Angriffe gegen den Netzwerkperimeter — schnell ausgerollt und ohne eigene Infrastruktur.

Für wen sich BAS lohnt

Den größten Nutzen ziehen große Organisationen mit vielen Sicherheitsprodukten, dynamischen IT-Umgebungen und hohen Compliance-Anforderungen — Banken und Versicherungen etwa. Anbieter wie SafeBreach, Cymulate und XM Cyber haben den Markt geprägt; über Multi-Tenant-Angebote wird die Technologie zunehmend auch für kleinere Unternehmen zugänglich.

BAS vs. manueller Penetrationstest

BAS ersetzt den Penetrationstest nicht — zumindest nicht heute. Drei Gründe:

  • Compliance verlangt in vielen Rahmenwerken explizit einen von Menschen durchgeführten Test.
  • Kreativität: Simulationen arbeiten ein bekanntes Playbook ab. Ein menschliches Red Team findet die Verkettung, an die niemand gedacht hat — und erzeugt sowohl False Positives als auch False Negatives weniger blind.
  • Tiefe: Logikfehler in Geschäftsprozessen erkennt keine Automatik.

Wofür BAS dagegen unschlagbar ist: die Lücke zwischen zwei Pentests zu schließen. Jede neue Detektionsregel, jede Konfigurationsänderung, jedes neue System lässt sich sofort gegen reale Angriffstechniken validieren — statt bis zum nächsten Audit zu warten.

Wo BAS in eine moderne Strategie passt

Kontinuierliche Validierung ist ein Kernbaustein von Continuous Threat Exposure Management (CTEM): Statt periodischer Momentaufnahmen entsteht ein laufender Kreislauf aus Erkennen, Priorisieren und Validieren von Exposure. BAS liefert dabei den Validierungsschritt — den Beweis, dass eine Schwachstelle (oder eine Detektion) im konkreten Kontext tatsächlich relevant ist.

Genau hier setzt unser Continuous Threat Exposure Management an: Wir kombinieren kontinuierliche Validierung mit Priorisierung nach echtem Geschäftsrisiko — und mit der menschlichen Tiefe unseres Red Teams, wo Automatik an ihre Grenzen kommt.

Sprechen Sie mit uns über Exposure Management — wir zeigen Ihnen, wie kontinuierliche Validierung und gezieltes Pentesting zusammen mehr leisten als jedes für sich.