TTPs (Taktiken, Techniken und Prozeduren)

TTPs, kurz für Taktiken, Techniken und Prozeduren, beschreiben, wie die Sicherheitsbranche das tatsächliche Vorgehen eines Angreifers erfasst. Statt eine Bedrohung auf einen einzelnen Datei-Hash oder eine IP-Adresse zu reduzieren, erfassen TTPs das Verhalten in Schichten: das Ziel, das ein Angreifer verfolgt, die allgemeine Methode, die er einsetzt, und die genauen Schritte, mit denen er es umsetzt. Diese geschichtete Sicht ist das Rückgrat moderner Threat Intelligence und die Sprache, mit der Verteidiger Vorfälle vergleichen und dauerhafte Erkennungen bauen.

Die Hierarchie aus Taktik, Technik und Prozedur

Die drei Buchstaben beschreiben drei Höhen derselben Aktivität, vom abstrakten Ziel bis zu den konkreten Tastenanschlägen:

Ein konkretes Beispiel macht die Hierarchie greifbar. Angenommen, ein Eindringling will tiefer in ein Netzwerk vordringen. Die Taktik ist Zugriff auf Anmeldedaten. Die Technik, die er wählt, ist das Auslesen der Anmeldedaten des Betriebssystems (T1003). Die Prozedur ist das wörtliche Rezept: Er lädt eine umbenannte Kopie eines Werkzeugs zum Auslesen von Anmeldedaten hoch, führt es gegen den LSASS-Prozess aus, um Hashes zu gewinnen, und speichert das Ergebnis in einer temporären Datei, bevor er es exfiltriert. Ändere das Werkzeug oder den Dateinamen, und die Prozedur verschiebt sich, doch Technik und Taktik bleiben gleich. Genau diese Stabilität macht TTPs für Verteidiger wertvoller als wegwerfbare Indikatoren.

Wie Verteidiger TTPs nutzen

Beobachtete Aktivität den TTPs zuzuordnen, ist die tägliche Arbeit des Threat Hunting und der Detection Engineering. Das vorherrschende Framework dafür ist MITRE ATT&CK, das jeder Technik eine stabile Kennung (wie T1003) gibt, damit Teams eine gemeinsame Sprache sprechen. Wenn ein Analyst einen Vorfall mit ATT&CK-IDs versieht, versteht jeder in der Branche sofort, was passiert ist, vergleicht es mit früheren Einbrüchen und prüft, ob die eigenen Sensoren ihn erkannt hätten.

Taktik (Ziel)

↓konkretisiert sich zu

Technik T1003

↓umgesetzt durch

Prozedur (genaue Schritte)

TTPs liegen auch nahe der Spitze der sogenannten Pyramid of Pain: Je höher eine Verteidigung in der Pyramide ansetzt, desto teurer wird es für einen Angreifer, sie zu umgehen. Eine IP zu wechseln oder eine Binärdatei neu zu kompilieren ist trivial, doch zu ändern, wie eine Gruppe wirklich operiert, ihre Techniken und Prozeduren, ist langsam und teuer. Auf TTPs gegründete Erkennungen altern deshalb deutlich besser als signaturbasierte.

Wenn TTPs dem Framework vorauseilen

Ein eindrückliches aktuelles Beispiel stammt aus KI-gestützten Einbrüchen. Als Anthropic einen Angriff untersuchte, der die eigenen Modelle missbrauchte, ordnete das Team das Verhalten des Angreifers MITRE ATT&CK zu und stellte fest, dass die meisten Schritte sauber zu bestehenden Technik-IDs passten, von der Reconnaissance über den Zugriff auf Anmeldedaten bis zur Exfiltration. Doch eine Fähigkeit hatte gar keine Technik-ID: die autonome Orchestrierung des Angriffs durch das Modell selbst, das die Schritte mit minimalem menschlichen Eingriff aneinanderreihte. Diese Lücke, dokumentiert in unserer Analyse dazu, wie Hacker KI nutzen, zeigt, dass TTP-Kataloge lebende Dokumente sind. Sobald Angreifer neue Methoden übernehmen, muss das Framework wachsen, um sie zu beschreiben.

Die Lektion gilt, ob du verteidigst oder angreifst: Indikatoren sagen dir, was ein Angreifer berührt hat, doch TTPs sagen dir, wie er denkt. Lerne, Verhalten auf allen drei Höhen zu lesen, und du jagst nicht länger den Hashes von gestern hinterher, sondern beginnst, die Bewegungen von morgen vorauszusehen.