Zum Inhalt springen

Nächste Ausgabe 6. Juli 2026

Defensive Security

MITRE ATT&CK

MITRE ATT&CK ist eine kostenlose, weltweit genutzte Wissensdatenbank realer Angreifertaktiken und -techniken, gegliedert in 14 Taktiken, die die Phasen eines Cyberangriffs von der Aufklärung bis zur Auswirkung abbilden. Verteidiger nutzen sie als gemeinsame Sprache, um zu beschreiben, zu erkennen und darauf zu reagieren, wie Angreifer tatsächlich vorgehen.

Autor
Unihackers Team
Lesezeit
3 Min. Lesezeit
Zuletzt aktualisiert

MITRE ATT&CK ist das, was der Cybersicherheit am nächsten an ein gemeinsames Wörterbuch des Angreiferverhaltens kommt. Statt Bedrohungen vage zu beschreiben, katalogisiert es die konkreten Taktiken und Techniken, die reale Angreifer in realen Angriffen verwendet haben, und gibt jeder eine stabile ID. Diese Struktur erlaubt es einem Threat-Analysten in Madrid, einem SOC-Engineer in Berlin und einem Incident Responder in Mailand, denselben Angriff auf dieselbe Weise zu beschreiben. Die vollständige Matrix kannst du auf MITRE ATT&CK home durchstöbern.

Die 14 Taktiken

ATT&CK ist um 14 Taktiken herum aufgebaut, die die Phasen eines Angriffs in der Reihenfolge darstellen, in der ein Angreifer sie typischerweise durchläuft. Sie reichen von der Aufklärung und der Beschaffung von Ressourcen über den initialen Zugriff, die Ausführung, die Persistenz, die Rechteausweitung und die Umgehung von Abwehrmaßnahmen bis hin zum Zugriff auf Anmeldedaten, der Erkundung, der lateralen Bewegung, der Sammlung, dem Command and Control, der Exfiltration und schließlich der Auswirkung.

Eine Taktik beantwortet das Warum einer Angreiferhandlung. Innerhalb jeder Taktik liegen viele Techniken, die das Wie beantworten. Persistenz lässt sich mit einer Web Shell (T1505.003) erreichen; Defense Evasion kann Process Injection (T1055) oder verschleierte Dateien (T1027) nutzen; der Zugriff auf Anmeldedaten umfasst oft das Auslesen von Systemanmeldedaten (T1003). Diese IDs sind überall dieselben, und genau das macht das Framework so langlebig.

Eine gemeinsame Sprache für SOC- und Threat-Intel-Arbeit

Die wahre Stärke von ATT&CK ist die Koordination. Ein Threat-Hunting-Team bildet eine Hypothese ("ein Angreifer würde Anmeldedaten auslesen und sich dann lateral über SMB bewegen"), ordnet sie T1003 und Techniken der lateralen Bewegung zu und geht auf die Suche. SOC-Analysten markieren ihre Erkennungsregeln mit Technik-IDs, um blinde Flecken offenzulegen. Threat-Intel-Berichte profilieren gegnerische Gruppen anhand der Techniken, die sie bevorzugen. Da alle auf dieselben IDs zeigen, fügen sich verstreute Alarme zu einer einzigen lesbaren Geschichte zusammen.

ATT&CK im Zeitalter der KI

ATT&CK wird inzwischen genutzt, um KI-gestützte Angriffe zu beschreiben, nicht nur menschliche. Als Anthropic eine Spionageoperation stoppte, die Claude Code missbrauchte, ordnete das Team 13.873 einzelne KI-gesteuerte Aktionen auf der ATT&CK-Matrix zu, um genau zu zeigen, wo der Agent operierte, von der Aufklärung über den Zugriff auf Anmeldedaten bis zur Exfiltration. Wir analysieren diesen Fall und seine Bedeutung für Verteidiger in wie Hacker KI nutzen. Die Lehre daraus: Das Framework skaliert. Ob der Akteur ein Mensch oder ein autonomer Agent ist, die Taktiken bleiben dieselben, und ebenso der Wert einer gemeinsamen Sprache, um sie zu benennen.

Im Bootcamp

Wie wir MITRE ATT&CK unterrichten

In unserem Cybersecurity Bootcamp lernen Sie nicht nur MITRE ATT&CK in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.

Behandelt in:

Modul 8: Erweiterte Sicherheitsoperationen

Verwandte Themen, die Sie beherrschen werden:Incident ResponseDFIRThreat HuntingVolatility
Sehen Sie, wie wir das unterrichten

360+ Stunden Expertentraining • CompTIA Security+ inklusive