Die Cyber Kill Chain ist eines der einflussreichsten Modelle der defensiven Sicherheit, weil sie einen Angriff nicht als einzelnes Ereignis begreift, sondern als Prozess mit brechbaren Gliedern. Von Lockheed Martin entwickelt, beschreibt sie ein Eindringen in sieben aufeinanderfolgenden Phasen. Ihr Kerngedanke: Der Angreifer muss jede Phase abschliessen, um zu gewinnen. Der Verteidiger muss nur eine brechen. Diese Asymmetrie, endlich zugunsten des Verteidigers, ist der Grund, warum das Modell die Erkennungsstrategie, die Bedrohungsaufklaerung und die Reaktion auf Vorfaelle seit ueber einem Jahrzehnt praegt.
Die sieben Phasen
Das Modell verfolgt einen Angriff von aussen nach innen:
Je frueher der Verteidiger Aktivitaet erkennt, desto guenstiger und sicherer ist die Reaktion. Eine Phishing-Mail bei der Zustellung zu stoppen, kostet fast nichts. Den Angreifer erst bei den Aktionen am Ziel zu stoppen, bedeutet, dass der Einbruch bereits geschehen ist.
Kill Chain im Vergleich zu MITRE ATT&CK
Die Kill Chain ist bewusst einfach, und genau das ist zugleich ihre Staerke und ihre Grenze. Sie sagt dir, in welcher Phase ein Angriff steckt, aber nicht, wie sich der Angreifer innerhalb dieser Phase verhaelt. Genau hier kommt MITRE ATT&CK ins Spiel. Wo die Kill Chain eine lineare Phasenabfolge ist, ist MITRE ATT&CK eine Matrix konkreter Taktiken und Techniken aus real beobachtetem Angreiferverhalten.
Ein praktischer Arbeitsablauf nutzt beide: die Kill Chain, um der Leitung die uebergeordnete Geschichte eines Eindringens zu erzaehlen, und die ATT&CK-Matrix, um jeden Schritt an konkrete Techniken zu binden, damit das Erkennungsteam genau weiss, wonach es jagen muss. Sie ergaenzen sich, statt zu konkurrieren.
Warum das Modell unter Druck steht
Die urspruengliche Kill Chain unterstellt ein ziemlich lineares Eindringen im menschlichen Tempo. Moderne Angriffe verhalten sich selten so geordnet. Die gefaehrlichsten KI-gestuetzten Angreifer verketten inzwischen ganze Kill Chains autonom und durchlaufen Aufklaerung, Ausnutzung und laterale Bewegung in eng getakteten Schleifen mit wenig menschlichem Eingriff, wie wir in unserer Analyse wie Hacker KI nutzen dokumentieren. Wenn eine einzige Maschine Tage manueller Arbeit auf Minuten verdichtet, beginnt die bequeme Rechnung des "ein Glied brechen" zu broeckeln.
Die Lehre bleibt, auch wenn sich die Bedrohung wandelt: Jeder Angriff ist eine Kette voneinander abhaengiger Schritte, und Sicherheit ist die Disziplin, das schwaechste Glied zu finden und es zuerst zu brechen. Beherrsche die Kill Chain, lege MITRE ATT&CK darueber, und du hast eine gemeinsame Sprache, um Eindringversuche zu beschreiben, zu erkennen und zu schlagen, bevor sie ihr Ziel erreichen.
Wie wir Cyber Kill Chain (Angriffskette) unterrichten
In unserem Cybersecurity Bootcamp lernen Sie nicht nur Cyber Kill Chain (Angriffskette) in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.
Behandelt in:
Modul 8: Erweiterte Sicherheitsoperationen
360+ Stunden Expertentraining • CompTIA Security+ inklusive