Threat Simulation

Realistische Angriffsszenarien, massgeschneidert auf Ihre Branche

Bei einer Threat Simulation replizieren wir die Taktiken, Techniken und Prozeduren (TTPs) realer Angreifergruppen in einer kontrollierten Umgebung. Das Ziel: Ihre Verteidigung gegen die für Ihre Branche relevantesten Bedrohungen testen – bevor ein echter Angreifer es tut.

Was ist eine Threat Simulation?

Eine Threat Simulation ist eine kontrollierte Sicherheitsübung, bei der wir das Verhalten bekannter Angreifergruppen (APTs) nachbilden. Anders als bei einem Penetrationstest, der Schwachstellen identifiziert, geht es bei einer Threat Simulation darum, die Erkennungs- und Reaktionsfähigkeiten Ihres Unternehmens unter realistischen Bedingungen zu messen.

Für wen ist das?

CISOs & Sicherheitsverantwortliche: Erkennungsfähigkeit des SOC-Teams mit realistischen Szenarien testen
Unternehmen mit SOC oder SIEM: Realistische Angriffssimulationen für Detection & Response
Regulierte Branchen: Finanz, Gesundheit und Industrie/OT mit erhöhtem Bedrohungspotenzial

Branchenspezifische Szenarien

Finanzsektor

Gesundheitswesen

Industrie & OT

Verfügbare Module

Assumed Breach Simulation

Spear Phishing Kampagne

Physical Social Engineering

Malware Infection Simulation

External Attack Chain

Unsere Methodik

01

Threat Intelligence

02

Szenario-Entwicklung

03

Simulation

04

Analyse & Reporting

Aus der Praxis

Anonymisiertes Praxisbeispiel

Eine Schweizer Versicherung. 15 ATT&CK-Techniken. Nur 4 erkannt.

Elf fehlende Detection Rules implementiert, Schwellwerte korrigiert, drei blinde Log-Quellen angebunden. Erkennungsrate von 27% auf über 75% gesteigert.

Erkennungsrate: 27% Elf fehlende Detection Rules Drei blinde Log-Quellen

Branche: Versicherung

Szenario: APT-Simulation

Dauer: 5 Tage

Eine Schweizer Versicherung möchte prüfen, ob ihre Sicherheitsüberwachung gezielte Angriffe erkennt. Simuliert werden 15 Techniken aus dem MITRE ATT&CK Framework, die für die Branche besonders relevant sind — von Initial Access über Credential Dumping bis zu Datenexfiltration.

Zentrale Findings

Critical Nur 4 von 15 simulierten Techniken werden vom SIEM erkannt. Credential Dumping (Mimikatz) und Lateral Movement (Pass-the-Hash) bleiben vollständig unbemerkt.
High Alerting-Regeln für PowerShell-basierte Angriffe existieren, sind aber durch zu hohe Schwellwerte unwirksam
Medium Log-Quellen von 3 kritischen Servern sind nicht an das SIEM angebunden — blinde Flecken in der Überwachung

Abgrenzung zum Penetrationstest

Kriterium	Penetrationstest	Threat Simulation
Scope	Definierte Systeme	Szenarien-basiert, branchenspezifisch
Dauer	Tage bis Wochen	Wochen bis Monate
Ziel	Schwachstellen identifizieren	Erkennung & Reaktion messen
Stealth	Nicht erforderlich	Realistisches Angreiferverhalten

Ihre Ergebnisse

Bedrohungsanalyse

Angriffspfad-Analyse

Detection Gap Analysis

Priorisierte Empfehlungen

Häufig gestellte Fragen

Eine Threat Simulation bildet das Vorgehen realer Bedrohungsgruppen (APTs) nach – mit deren spezifischen Taktiken, Techniken und Prozeduren (TTPs). Im Gegensatz zu einem Pentest, der Schwachstellen sucht, testet die Threat Simulation gezielt, ob Ihre Sicherheitsmassnahmen gegen bekannte Angriffsmuster wirksam sind. Die Szenarien basieren auf Frameworks wie MITRE ATT&CK.

Ja. Wir analysieren die für Ihre Branche relevanten Bedrohungsgruppen und deren dokumentierte Angriffsmethoden. Die Szenarien basieren auf aktuellen Threat-Intelligence-Daten und dem MITRE ATT&CK Framework. So testen wir gezielt die Angriffsvektoren, die für Ihre Organisation das grösste Risiko darstellen.

Sie erhalten einen detaillierten Bericht mit einer Übersicht der getesteten Szenarien, der Erkennungsrate Ihrer Sicherheitsmassnahmen und konkreten Empfehlungen. Im abschliessenden Debriefing besprechen wir die Ergebnisse mit Ihrem Team und zeigen Lücken in der Detection-Kette auf – vom initialen Zugriff bis zur Datenexfiltration.

Absolut. Wir passen jede Threat Simulation an Ihre Branche an – sei es Finanzwesen, Gesundheitswesen, Industrie oder öffentliche Verwaltung. Die Szenarien berücksichtigen branchenspezifische Bedrohungsakteure, regulatorische Anforderungen und typische Angriffsmuster Ihres Sektors.