Was ist die Cyber Kill Chain? – Ein Überblick

von

Stefan
in ,

Einleitung

Cyberangriffe wirken auf den ersten Blick oft chaotisch: plötzlich taucht eine Phishing-Mail im Posteingang auf, ein System verhält sich merkwürdig oder Daten verschwinden. Doch hinter den meisten Angriffen steckt ein systematisches Vorgehen. Um dieses Vorgehen besser zu verstehen – und abwehren zu können – entwickelte Lockheed Martin das Modell der Cyber Kill Chain.
Es beschreibt den Ablauf eines Angriffs in klaren Phasen und gibt damit Verteidigern ein Werkzeug an die Hand, Bedrohungen frühzeitig zu erkennen und einzudämmen.

Die sieben Phasen der Cyber Kill Chain

1. Reconnaissance (Aufklärung)

Angreifer sammeln Informationen über das Ziel. Das kann passiv (OSINT, Social Media, öffentliche Datenbanken) oder aktiv (Scans, Interaktionen mit Systemen) erfolgen. Ziel: Schwachstellen und Angriffspunkte identifizieren.

2. Weaponization (Waffenherstellung)

Die gesammelten Informationen werden genutzt, um ein geeignetes Angriffswerkzeug vorzubereiten – z. B. ein präpariertes Dokument oder eine Schadsoftware, die auf die Zielumgebung zugeschnitten ist.

3. Delivery (Zustellung)

Das Angriffswerkzeug wird an das Ziel ausgeliefert, etwa durch Phishing-Mails, kompromittierte Websites, USB-Sticks oder über Lieferketten.

4. Exploitation (Ausnutzung)

Sobald das präparierte Artefakt beim Opfer ankommt, nutzt es eine Schwachstelle aus – etwa in Software, im Betriebssystem oder durch menschliches Fehlverhalten.

5. Installation (Persistenz)

Nach erfolgreichem Exploit installiert der Angreifer einen dauerhaften Zugriffspunkt (z. B. eine Backdoor), um den Zugriff auch nach Neustarts oder Updates zu behalten.

6. Command & Control (C2)

Das kompromittierte System baut eine Verbindung zu den Angreifern auf. Über diesen Kommunikationskanal steuern sie das System, laden Befehle oder weitere Tools nach.

7. Actions on Objectives (Ziele verfolgen)

Am Ende steht das eigentliche Ziel: Datendiebstahl, Erpressung, Sabotage oder Spionage. Erst in dieser Phase wird der Schaden für das Unternehmen wirklich sichtbar.

Warum ist die Cyber Kill Chain wichtig?

  • Früherkennung: Schon in den ersten Phasen (Reconnaissance, Delivery) können Verteidiger Anzeichen erkennen.
  • Systematik: Sicherheitsteams können jeden Angriff strukturiert analysieren und gezielt Abwehrmaßnahmen entwickeln.
  • Kommunikation: Das Modell schafft eine gemeinsame Sprache zwischen Technik, Management und Entscheidern.
  • Abwehrstrategie: Jede Phase ist ein Ansatzpunkt – je früher ein Angriff gestoppt wird, desto geringer ist der Schaden.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert