Die Cyber Kill Chain ist ein Modell zur Darstellung von Angriffsschritten, das hilft, Cyberangriffe strukturiert zu analysieren, zu erkennen und zu stoppen. Es wurde ursprünglich von Lockheed Martin entwickelt und zeigt die Phasen, die ein Angreifer typischerweise durchläuft – von der Aufklärung bis zur Zielerreichung.
Die 7 Phasen der Kill Chain
-
Reconnaissance – Informationssammlung über das Ziel
-
Weaponization – Erstellung eines Angriffsvektors (z. B. Malware + Exploit)
-
Delivery – Zustellung (z. B. per E-Mail, Web, USB)
-
Exploitation – Ausnutzung einer Schwachstelle
-
Installation – Einrichtung von Backdoors oder Tools
-
Command and Control (C2) – Fernsteuerung des kompromittierten Systems
-
Actions on Objectives – Zielaktion: z. B. Datendiebstahl, Erpressung, Sabotage
Nutzen der Kill Chain
-
Frühzeitige Angriffserkennung
-
Strukturierte Analyse von Vorfällen
-
Optimierung der Verteidigung entlang jeder Phase
-
Grundlage für Blue Teaming und Threat Intelligence
Vergleich: Kill Chain vs. MITRE ATT&CK
| Merkmal | Kill Chain | MITRE ATT&CK |
|---|---|---|
| Fokus | Lineares Angriffsschema | Detailreiches, taktisches Modell |
| Zielgruppe | Übersicht für Analysten | Tiefergehendes Mapping für SOCs/EDR |
| Praxisbezug | Grundlegend, strategisch | Operativ, mit konkreten TTPs |
| Einsatz | Frühwarnung, Schulung, Abwehrplanung | Threat Hunting, Detection, Mapping |
Die Kill Chain ist ein bewährtes Modell, um Angriffsverläufe zu verstehen und verteidigungstechnisch gezielt zu reagieren. In Kombination mit Frameworks wie MITRE ATT&CK bildet sie ein starkes Fundament für moderne Sicherheitsstrategien.