Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Angriffsmethoden Glossar

Cyber Kill Chain

7-Phasen-Modell das einen Cyberangriff von der Aufklärung bis zur Zielerreichung beschreibt. Ermöglicht Verteidigern, Angriffe frühzeitig zu erkennen und zu unterbrechen - je früher, desto geringer der Schaden.

Die Cyber Kill Chain wurde 2011 von Lockheed Martin entwickelt und beschreibt den typischen Ablauf eines gezielten Cyberangriffs in 7 Phasen. Das Konzept stammt aus der Militärterminologie: Eine “Kill Chain” ist eine Sequenz von Aktionen, die jede für sich unterbrochen werden kann, um die Operation zu stoppen.

Die 7 Phasen

Phase 1: Aufklärung (Reconnaissance)

Der Angreifer sammelt Informationen über das Ziel, bevor ein einziger Angriff stattfindet.

Passive Aufklärung (kein direkter Kontakt):

  • OSINT: LinkedIn-Profile der IT-Mitarbeiter, Org-Chart, E-Mail-Muster
  • WHOIS, Shodan, Censys: Öffentlich sichtbare Infrastruktur
  • Google Dorks: Versehentlich öffentliche Dokumente, Konfigurationsdateien
  • DNS-Enumeration: Subdomains, MX-Records, SPF-Einträge

Aktive Aufklärung:

  • Port-Scanning (nmap)
  • Fingerprinting von Diensten und Versionen

Verteidigungsmaßnahmen:

  • Minimale Informationsexponierung (kein Technologie-Stack in Job-Ads)
  • Shodan-Monitoring der eigenen IP-Ranges
  • E-Mail-Muster nicht öffentlich machen

Phase 2: Bewaffnung (Weaponization)

Der Angreifer kombiniert eine Schwachstelle mit einem Exploit-Payload.

Typische Weapons:

  • Präparierte Office-Dokumente mit Makro-Payload
  • Trojanisierte Software-Installer
  • Exploit-Kit für Browser-Schwachstellen
  • Drive-by-Download über kompromittierte Webseiten

Kein Netzwerkkontakt in dieser Phase - rein offensive Vorbereitung.

Phase 3: Auslieferung (Delivery)

Der Angreifer transportiert die Waffe zum Ziel.

Häufigste Kanäle:

  • Phishing-E-Mail (68% aller Angriffe beginnen so)
  • Spear-Phishing mit personalisierten Inhalten
  • Watering Hole: Kompromittierte Branchenwebseiten
  • USB-Drops (physisch in Parkplatz oder Rezeption)
  • VPN/Webseiten-Exploits (direkte Netzwerkangriffe)

Messbar: Delivery ist die Phase, die in Logs am häufigsten nachweisbar ist.

Phase 4: Ausnutzung (Exploitation)

Der Exploit wird ausgeführt und nutzt eine Schwachstelle aus.

Exploit-Typen:

  • Software-Schwachstellen (ungepatchte CVEs)
  • Zero-Day-Exploits (kein Patch verfügbar)
  • Human Exploits: Nutzer führt Makro aus, öffnet bösartige Datei
  • Browser/Plugin-Exploits

Kritischer Moment: Hier versagen Antivirus-Lösungen oft (signaturbasiert).

Phase 5: Installation (Installation)

Der Angreifer installiert eine Hintertür für dauerhaften Zugang.

Persistenz-Mechanismen:

  • Registry Run Keys (Windows-Autostart)
  • Scheduled Tasks / cron Jobs
  • Service-Installation (läuft auch nach Reboot)
  • DLL Hijacking / DLL Side-Loading
  • Web Shells auf kompromittierten Webservern

Ziel: Auch nach Neustart oder Passwortwechsel Zugang behalten.

Phase 6: Kommando und Kontrolle (C2 / C&C)

Der Angreifer baut einen Remote-Steuerungs-Kanal auf.

C2-Protokolle:

  • HTTP/HTTPS (schwer zu blockieren, wirkt legitim)
  • DNS Tunneling (Datenexfil über DNS-Anfragen)
  • ICMP Tunneling
  • Social-Media-APIs (Twitter, GitHub als C2)

Frameworks: Cobalt Strike, Metasploit, Sliver, Brute Ratel - auch von APTs genutzt.

Erkennung: Anomalie im ausgehenden Traffic, DNS-Anfragen an unbekannte Domains, beacons (regelmäßige Verbindungen alle X Sekunden).

Phase 7: Zielerreichung (Actions on Objectives)

Der Angreifer erreicht sein eigentliches Ziel.

Mögliche Ziele:

  • Datenexfiltration (Kundendaten, IP, Zugangsdaten)
  • Ransomware-Deployment (alle Dateien verschlüsseln)
  • Sabotage (OT/ICS-Anlagen stören)
  • Lateral Movement zu anderen Systemen → Domain Controller
  • Persistenz für langfristige Spionage (APT)

MITRE ATT&CK vs. Kill Chain

Die Cyber Kill Chain ist ein Makromodell. MITRE ATT&CK ist deutlich granularer:

AspektCyber Kill ChainMITRE ATT&CK
EbeneStrategischTaktisch/Technisch
Phasen7 Phasen14 Taktiken, 200+ Techniken
NutzungAngriffsphasen verstehenErkennung & Simulation
UpdateSeltenQuartalsweise

In der Praxis: Kill Chain für Kommunikation mit Management, ATT&CK für technische Detektionsregeln im SIEM.

Verteidigung: Angriff an jeder Phase unterbrechen

Phase 1 (Recon)    → Minimale Info-Exposure, OSINT-Monitoring
Phase 2 (Weapon)   → Threat Intelligence Feeds (bekannte Malware-Hashes)
Phase 3 (Delivery) → E-Mail-Filterung, Anti-Phishing, Security Awareness
Phase 4 (Exploit)  → Patch Management, EDR, WAF
Phase 5 (Install)  → Application Whitelisting, Privilege Management
Phase 6 (C2)       → DNS-Filtering, Firewall Egress Rules, NTA
Phase 7 (Action)   → Datenverschlüsselung, DLP, Netzwerksegmentierung

Je früher eine Phase unterbrochen wird, desto geringer der Schaden. Die meisten Unternehmen erkennen Angriffe erst in Phase 6-7 - oft Wochen nach der initialen Kompromittierung. Ziel ist es, auf Phase 3-4 herunterzukommen.

AWARE7 Leistungen zum Thema

Penetrationstest Security Awareness Training

Ausführlicher Wiki-Artikel

Incident Response

9 Min. Lesezeit

OSINT: Open Source Intelligence in der Cybersecurity

12 min Lesezeit

Penetrationstest (Pentest)

8 Min. Lesezeit

Schwachstellenmanagement: Der vollständige Leitfaden

13 min Lesezeit

Social Engineering: Psychologische Manipulationstaktiken in der IT-Sicherheit

11 min Lesezeit

Verwandte Begriffe

Angriffsvektor (Attack Vector) APT (Advanced Persistent Threat) IOC (Indicator of Compromise) Lateral Movement - Wie Angreifer sich im Netz ausbreiten Threat Intelligence - Angreifer verstehen, bevor sie zuschlagen
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung