Breach and Attack Simulation (BAS) ist ein automatisiertes Testverfahren, das reale Angriffsabläufe in einer kontrollierten, sicheren Umgebung nachstellt. Ziel ist es, die Wirksamkeit von Sicherheitskontrollen – etwa EDR, SIEM, Firewalls oder E-Mail-Gateways – kontinuierlich zu überprüfen und evidenzbasiert zu verbessern. Typisch ist eine Ausrichtung an MITRE ATT&CK-Taktiken und -Techniken, damit die simulierten Angriffe realen Vorgehensweisen von Angreifern möglichst nahekommen.
Hintergrund und Entstehung
Traditionell wurden Sicherheitsniveaus vor allem über punktuelle Vulnerability-Scans und Penetrationstests bewertet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt seit Jahren, die Wirksamkeit eingeführter Sicherheitsmaßnahmen regelmäßig zu prüfen, unter anderem durch Penetrationstests und strukturierte Sicherheitsprüfungen. Breach and Attack Simulation entstand aus dem Bedarf, solche Prüfungen häufiger, standardisiert und mit geringerem manuellem Aufwand durchzuführen.
Mit der Zunahme komplexer Angriffe – etwa Ransomware-Kampagnen und Supply-Chain-Angriffe – und immer kürzeren Bedrohungszyklen gewinnt kontinuierliche Validierung an Bedeutung. ENISA beschreibt in ihren Threat-Landscape-Berichten eine sich verdichtende Bedrohungslage in Europa, die Verfahren begünstigt, welche Detection- und Response-Fähigkeiten laufend gegen aktuelle Taktiken, Techniken und Prozeduren (TTPs) testen.
Fachartikel und Marktübersichten beschreiben BAS als moderne Ergänzung zu klassischen Sicherheits-Assessments und zeigen eine wachsende Zahl spezialisierter Plattformen. BAS-Lösungen etablieren sich vor diesem Hintergrund als Ergänzung zu Red-Teaming-Übungen und klassischen Penetrationstests. Sie emulieren standardisierte Angriffsbausteine entlang der Cyber Kill Chain, messen die Reaktion der Sicherheitskontrollen und liefern unmittelbar verwertbare Optimierungshinweise. Auf dieser Basis lassen sich Use Cases, Alarmregeln und Incident-Response-Playbooks iterativ schärfen.
Wichtigste Merkmale und Kernelemente
Automatisiert und kontinuierlich
BAS führt wiederholbare Angriffsszenarien in festgelegten Intervallen oder on demand aus, beispielsweise täglich oder wöchentlich. So lassen sich Veränderungen im Kontrollumfeld frühzeitig erkennen und Regressionen nach Konfigurationsänderungen oder Produktupdates sichtbar machen.
TTP-basiert (MITRE ATT&CK)
Die Szenarien orientieren sich an bekannten Angreifer-Taktiken, -Techniken und -Prozeduren (TTPs), wie sie etwa im MITRE ATT&CK-Framework dokumentiert sind.[Q3] Dadurch steigt die Relevanz der Tests für reale Vorfälle, weil nicht nur abstrakte Angriffsarten, sondern konkrete Vorgehensweisen geprüft werden.
Validierung von Sicherheitskontrollen
Getestet werden Erkennungs- und Abwehrmechanismen in den Bereichen E-Mail, Endpoint, Identity, Netzwerk/Segmentierung sowie korrespondierende SIEM- und SOAR-Use Cases. Die Angriffssimulationen werden so geplant, dass der reguläre Geschäftsbetrieb nicht gestört wird, die Wirksamkeit der Kontrollen aber realitätsnah bewertet werden kann.
Berichtswesen und Metriken
Die Ergebnisse liefern belastbare Kennzahlen, etwa Detektionsraten, Time-to-Detect (TTD), Time-to-Respond (TTR) oder identifizierte Lücken je MITRE-Taktik. Diese Metriken unterstützen sowohl technische Teams beim Engineering als auch Governance-Funktionen bei der Steuerung des Informationssicherheitsmanagements.
Ergänzung zu Penetrationstest und Red Teaming
BAS ersetzt manuelle Prüfungen nicht, sondern schafft ein kontinuierliches Baseline-Monitoring der eingesetzten Kontrollen zwischen größeren, zielgerichteten Übungen wie Penetrationstests oder Red-Teaming-Kampagnen.
Breach and Attack Simulation in der Unternehmenspraxis
Für Organisationen im DACH-Raum bietet Breach and Attack Simulation einen prozessualen Unterbau, um regulatorisch geforderte Wirksamkeitsprüfungen häufiger und effizienter umzusetzen. BSI-Leitfäden betonen die regelmäßige Überprüfung von Sicherheitsmaßnahmen; BAS operationalisiert diese Anforderungen durch reproduzierbare, risikoorientierte Testszenarien.
Operativ unterstützt BAS insbesondere Blue Teams, Security Operations Center (SOC), SecOps-Teams und Governance-Funktionen. Use Cases können datenbasiert priorisiert werden, SIEM- und SOAR-Regeln werden gegen reale TTPs getestet, und Schwachstellen in Log-Telemetrie, Alarmierungsschwellen oder Playbooks werden schneller sichtbar. Die Kopplung an MITRE ATT&CK fördert darüber hinaus ein gemeinsames, taktikorientiertes Vokabular über verschiedene Teams hinweg.
In der Praxis wird BAS häufig mit Purple Teaming kombiniert: Red- und Blue-Teams werten die Ergebnisse gemeinsam aus, schließen identifizierte Detection-Lücken und verifizieren Verbesserungen in kurzen Lernzyklen aus Angriffssimulation, Alarm-Tuning und Re-Tests.
Abgrenzung zu verwandten Begriffen
Breach and Attack Simulation vs. Penetrationstest
Penetrationstests sind zeitlich begrenzte, überwiegend manuelle Prüfungen mit individuell festgelegter Tiefe und Zielsetzung; sie liefern einen Stichtagsbefund zur Angriffsfähigkeit auf definierte Ziele. Breach and Attack Simulation ist demgegenüber hochautomatisiert, wiederholbar und fokussiert auf die Wirksamkeit der eingesetzten Sicherheitskontrollen im laufenden Betrieb.
Breach and Attack Simulation vs. Red Teaming
Red Teaming emuliert über mehrere Wochen oder Monate einen konkreten, verdeckt agierenden Gegner mit breitem Scope, um die gesamte Verteidigungsorganisation inklusive Prozesse und Menschen zu testen. BAS testet dagegen granulare TTP-Bausteine regelmäßig, ist transparent gegenüber den beteiligten Teams und konzentriert sich auf Messbarkeit und kontinuierliche Verbesserung der Kontrollen.
Breach and Attack Simulation und Purple Teaming
Purple Teaming beschreibt die enge Zusammenarbeit von Angreifern (Red Team) und Verteidigern (Blue Team) mit dem Ziel, Detection- und Response-Fähigkeiten unmittelbar zu verbessern. BAS liefert dafür die wiederholbaren Stimuli und Messdaten, auf denen Purple-Sessions aufsetzen können
Beispiele aus der Praxis
Beispiel 1: Industrieunternehmen (Mittelstand, Deutschland)
Ein mittelständisches Industrieunternehmen validiert wöchentlich Phishing-Szenarien, Lateral-Movement-Versuche und Datenexfiltration über eine BAS-Plattform. Auf Basis der Ergebnisse werden neue SIEM-Use Cases für Credential-Dumping definiert, EDR-Policies gegen den Missbrauch von Living-off-the-Land-Binaries (LOLBins) verschärft und Incident-Response-Playbooks nach dokumentierten Lücken angepasst.
Beispiel 2: Gesundheitsdienstleister (Schweiz)
Ein Gesundheitsdienstleister führt BAS-Kampagnen mit Fokus auf Identity- und E-Mail-Kontrollen durch. Die Auswertungen zeigen fehlende Telemetrie an kritischen Übergabepunkten und zu hohe Schwellenwerte für bestimmte Alarmtypen. Nach dem Tuning der Regeln werden die Szenarien erneut ausgeführt, bis pro MITRE-Taktik definierte Ziel-Detektionsraten erreicht sind.
Häufig gestellte Fragen
Was ist Breach and Attack Simulation?
Breach and Attack Simulation (BAS) ist ein automatisierter Ansatz, bei dem sichere Angriffsszenarien gegen die eigene Infrastruktur ausgeführt werden, um Sicherheitskontrollen kontinuierlich zu prüfen. Die Tests orientieren sich an realen Angreifer-Taktiken, etwa dem MITRE ATT&CK-Framework, und decken verschiedene Vektoren wie E-Mail, Endpoint oder Netzwerk ab. Die resultierenden Metriken zeigen, welche Angriffe erkannt, blockiert oder übersehen werden.
Wie funktioniert Breach and Attack Simulation?
Zunächst werden Scope und TTPs definiert, anschließend führt die BAS-Lösung die Szenarien in einer Testumgebung oder kontrolliert produktionsnah aus. Die dabei erzeugte Telemetrie wird durch SIEM-, EDR- oder andere Security-Systeme verarbeitet. Die Resultate – etwa ausgelöste Alarme, Blockierungen oder Lücken – werden ausgewertet, Maßnahmen abgeleitet und in erneuten Tests verifiziert.
Was ist der Unterschied zwischen BAS und einem Penetrationstest?
Penetrationstests werden in der Regel manuell durchgeführt, sind zeitlich begrenzt und liefern einen detaillierten, aber punktuellen Sicherheitsstatus. BAS dagegen ist überwiegend automatisiert, kann häufiger ausgeführt werden und konzentriert sich darauf, ob vorhandene Kontrollen Angriffe zuverlässig erkennen und melden. Beide Ansätze ergänzen sich: BAS dient dem kontinuierlichen Monitoring, Penetrationstests der gezielten Tiefenprüfung.
Ist Breach and Attack Simulation das Gleiche wie Red Teaming?
Nein. Red Teaming emuliert einen realistischen Gegner über einen längeren Zeitraum hinweg, häufig ohne Wissen der Verteidiger, um Prozesse, Menschen und Technik ganzheitlich zu testen. Breach and Attack Simulation nutzt wiederholbare TTP-Bausteine mit klar definierten Erfolgskriterien und macht die Ergebnisse sofort für Detection Engineering und Playbook-Optimierung nutzbar. In vielen Programmen werden BAS-Erkenntnisse in Purple-Team-Workshops weiterverarbeitet.
Quellen
[Q1] Bundesamt für Sicherheit in der Informationstechnik (BSI): „IS-Penetrationstest – Leitfaden / Informationen & Webcheck“, https://www.bsi.bund.de/, Abrufdatum: 10.11.2025.
[Q2] NIST SP 800-115: „Technical Guide to Information Security Testing and Assessment“, https://csrc.nist.gov/pubs/sp/800/115/final, Abrufdatum: 10.11.2025.
[Q3] MITRE: „ATT&CK® – Knowledge Base of Adversary Tactics and Techniques“, https://attack.mitre.org/, Abrufdatum: 10.11.2025.
[Q4] Security-Insider: „Breach and Attack Simulation: Proaktiver Ansatz zur Cybersicherheit“, https://www.security-insider.de/breach-and-attack-simulation-proaktiver-ansatz-cybersicherheit-a-5fe2e82e7d7e1c3b154230d24030b4a6/, Abrufdatum: 10.11.2025.
[Q5] ENISA: „Threat Landscape 2024“, https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024, Abrufdatum: 10.11.2025.
[Q6] Cloudcape: „Was ist eigentlich Breach and Attack Simulation (BAS)? – Ein umfangreicher Guide“, https://cloudcape.de/was-ist-eigentlich-breach-and-attack-simulation-bas-ein-umfangreicher-guide/, Abrufdatum: 10.11.2025.