Cyberangriffe verstehen und abwehren: Das sind die 7 Phasen des Cyber Kill Chain-Modells

Das Cyber Kill Chain-Modell gibt Unternehmen einen klaren Fahrplan an die Hand, um Cyberangriffe zu beschreiben. Für die Umsetzung einer zeitgemäßen IT-Security ist dies unverzichtbar. Denn so können sich Unternehmen in die Angreifer:innen hineinversetzen und entsprechende Verteidigungsmaßnahmen ableiten. Die Redaktion von CANCOM.info präsentiert die 7 Phasen des Modells im Überblick. Detaillierte Informationen zum Thema erfahren Sie im exklusiven CANCOM-Whitepaper “Kill Chain-101”, das Sie auf der Themenseite “CANCOM Cyber Defense Services” kostenlos herunterladen können.

5. Mai 2022

|

Lesedauer: ca. 5 Min.

Cyberangriffe verstehen und abwehren: Das sind die 7 Phasen des Cyber Kill Chain-Modells

Bild: © WrightStudio/stock.adobe.com

Cyberangriffe waren für Unternehmen noch nie so bedrohlich wie heute. Das besagt das Allianz Risiko Barometer 2022, das Anfang diesen Jahres veröffentlicht wurde. Darin geben 44 Prozent der weltweit über 2.600 Befragten an, dass Cybervorfälle ihr Business am stärksten gefährden. Zum Vergleich: In 2021 bewerteten Firmen das Thema Cyberangriffe “nur” als global drittgrößtes Geschäftsrisiko (CANCOM.info berichtete).

Wie groß der Schaden durch Cyberattacken tatsächlich ausfällt, haben die Expert:innen von Cybersecurity Ventures untersucht. Nach deren Schätzungen, über die unter anderem das Fachportal “CIO” berichtet hat, belief sich die weltweite Schadenssumme durch Cyberkriminalität in 2021 auf sechs Billionen US-Dollar. Dabei sei die Tendenz stark steigend: Die Expert:innen gehen davon aus, dass die Summe bis 2025 auf 10,5 Billionen US-Dollar anwachsen wird. Was dies bedeutet, bringt der Artikel von CIO mit Verweis auf die Einschätzungen von Cybersecurity Ventures auf den Punkt: “Mitte des Jahrzehnts wären dies dann höhere Gewinne als im weltweiten Drogenhandel und eine höhere Summe als die Bruttoinlandsprodukte sämtlicher Staaten mit Ausnahme der USA und Chinas (…).”

In Deutschland sollten aktuell vor allem Betreiber kritischer Infrastrukturen eine erhöhte Wachsamkeit vor Cyberangriffen an den Tag legen. Das geht aus einer offiziellen Pressemitteilung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor. So habe, angesichts des Ukraine-Kriegs, die Wahrscheinlichkeit schwerwiegender Cyberattacken zugenommen – auch wenn die Informationssicherheit in Deutschland derzeit nicht akut in Gefahr sei (CANCOM.info berichtete).

Cyber Kill Chain: Hackerangriff als mehrstufiger Prozess

Um sich wirksam vor Cyberangriffen zu schützen, müssen Unternehmen einen ganzheitlichen Ansatz verfolgen. Dabei gilt das sogenannte Cyber Kill Chain-Modell des US-amerikanischen Rüstungs- und Technologiekonzerns Lockheed Martin als wichtiger Baustein. Das Modell beschreibt den kompletten Prozess, der bei einem Angriff auf die IT-Infrastruktur abläuft – detailliert und aus Sicht der Angreifer:innen. Damit erfahren Firmen genau, wie Hacker bei einer Attacke vorgehen – und können entsprechende Gegenmaßnahmen ableiten und initiieren.

Konkret ist das Cyber Kill Chain-Modell in sieben Phasen unterteilt. Jede dieser Phasen baut aufeinander auf. Das bedeutet: Die nächste Phase kann nur inkrafttreten, wenn die vorherige abgeschlossen ist. Folglich unterbricht das Unterbinden einer Phase den kompletten Prozess – und stoppt so den Angriff. Je früher dies gelingt, desto besser.

Die Redaktion von CANCOM.info präsentiert die sieben Phasen des Cyber Kill Chain-Modells im Überblick. Eine ausführliche Beschreibung finden Sie im Whitepaper „Kill Chain-101“ von CANCOM. Jetzt auf der Themenseite „CANCOM Cyber Defense Services“ herunterladen.

1. Reconnaisance

Diese Phase markiert den Beginn einer Cyberattacke. Hier sammeln die Angreifer:innen möglichst detaillierte Informationen über ihr Ziel. Dafür nutzen sie zum Beispiel IP-Adressen, Domains, veröffentlichte Dateien oder E-Mail Adressen.

Liegen alle für sie relevanten Informationen vor, erstellen sie ein Profil ihres Ziels.

2. Weaponization

Im Anschluss versuchen die Cyberkriminellen, die Informationen gegen ihr Angriffsziel zu richten. Zum Beispiel evaluieren sie die genaue Vorgehensweise des geplanten Angriffs und wählen die passende Schadsoftware wie Exploits aus.

Zusätzlich kümmern sie sich darum, die Attacke technologisch vorzubereiten – indem sie etwa die Infrastruktur für Exploits oder Phishing erstellen.

3. Delivery

Nach der Vorbereitungsphase (Reconnaisance und Weaponization) führen die Angreifer:innen jetzt die eigentliche Cyberattacke durch: Sie liefern die Schadsoftware, zum Beispiel Exploits, über bestimmte Kanäle wie E-Mails, Werbungen auf Webseiten oder auch USB-Sticks an das Ziel aus.

Gerade im Bereich der kritischen Infrastrukturen sind USB-Sticks eine häufig angewandte Methode. Dies liegt daran, dass diese Infrastrukturen vom Internet bewusst abgeschottet sind. Eine Auslieferung der Schadsoftware über E-Mails oder Webseiten ist damit nicht möglich.

4. Exploitation

Die Auslieferung alleine reicht jedoch nicht aus. Denn: Die Cyberkriminellen müssen sicherstellen, dass die Schadsoftware auf dem Zielsystem auch ausgeführt wird. Nur so können sie die Kontrolle über das Zielsystem übernehmen.

Um dies zu erreichen, versuchen die Hacker in dieser Phase, Schwachstellen auszunutzen – sei es in organisatorischer, technischer oder menschlicher Hinsicht. Eine Umsetzungsmöglichkeit sind Phishing E-Mails, die die Empfänger:innen dazu verleiten sollen, einen verseuchten Link oder Anhang zu öffnen.

5. Installation

Im Erfolgsfall – der zum Beispiel eintritt, wenn Mitarbeiter:innen einen verseuchten Link geöffnet haben – etablieren die Angreifer:innen nun einen Brückenkopf: Die Schadsoftware nistet sich an unterschiedlichen Stellen im Zielsystem ein.

Eine solche Stelle kann etwa das Windows Registry sein. In diesem Fall führt Windows die Schadsoftware bei jedem Start automatisch aus.

6. Command and Control

Ist das Zielsystem so weit kompromittiert, errichten die Hacker als Nächstes einen offenen Kommunikationskanal – wofür sie sogenannte Command & Control-Server benötigen.

Dieser Kanal spielt für den Erfolg der Cyberattacke eine wesentliche Rolle: Darüber können die Hacker weitere Schadsoftware in das infizierte System einschleusen sowie interne Firmendaten abschöpfen. Wie lange der Kommunikationskanal nötig ist, hängt stark davon ab, welche Zielsetzung der jeweilige Angriff verfolgt.

7. Actions on Objectives

In dieser letzten Phase haben die Cyberkriminellen ihr Ziel bereits erreicht. Im Extremfall kontrollieren sie das gesamte Zielsystem und richten empfindliche Schäden an: Die möglichen Folgen reichen von missbrauchten Zugängen über manipulierte Daten bis zu gestohlenen Informationen.

Viel verhindern können Firmen dann nicht mehr. „Im besten Fall kann und sollte aus begangenen Fehlern gelernt werden, um für die Zukunft gerüstet zu sein und um auszuschließen, dass sich ein ähnliches Szenario wiederholt“, so das CANCOM-Whitepaper „Kill Chain-101“.

Fazit

Das Cyber Kill Chain-Modell beschreibt mit seinen sieben Phasen anschaulich, wie Angreifer:innen bei einer Cyberattacke vorgehen. Dadurch finden Unternehmen zahlreiche Anhaltspunkte, um auf die jeweiligen Vorgänge wirksam zu reagieren. Wie Unternehmen eine solche Reaktion in der Praxis umsetzen können, beschreibt das Whitepaper anhand des Beispiels der Phishing E-Mail.

Wörtlich heißt es: “Wenn (…) eine einfache E-Mail ausreicht, damit ein Angreifer Zugriff auf die internen Systeme erhält, wäre eine entsprechend sinnvolle Gegenmaßnahme, die Clients auf ungewöhnliches Verhalten zu monitoren – denn dort wird die E-Mail geöffnet.”

Zusätzlich sei es angebracht, Systeme zu überwachen, die die jeweilige E-Mail direkt oder indirekt verarbeiten – wie Firewalls, Sandboxes oder DNS-Server. Hier leiste eine SIEM-Lösung wie IBM QRadar in Kombination mit einem Security Operations Center (SOC) wertvolle Unterstützung.

Wieso das der Fall ist, lesen Sie im Whitepaper “Kill Chain-101” von CANCOM. Außerdem erfahren Sie, welche Merkmale die sieben Phasen der Cyber Kill Chain im Detail aufweisen – und welche Arten von Cyberattacken und Angreifer:innen existieren. Auf der Themenseite “CANCOM Cyber Defense Services” können Sie das Whitepaper kostenlos herunterladen

Mehr zum Thema „Information Protection & Cyber Security“

it-sicherheit-geheime-daten
Lösung für IT-Sicherheit und Datenschutz: So können Behörden sensible und geheime Daten schützen

Sensible oder sogar geheime Daten müssen in Behörden regelmäßig verarbeitet werden. Lösungen wie “indigo” sollen hier die Sicherheit gewährleisten.

Lesedauer: 3 Min.

Digitalisierung von Papierdokumenten: Das gilt es zu beachten
Digitalisierung von Papierdokumenten: Das gilt es zu beachten

Die Digitalisierung von Papierdokumenten ist ein wichtiger Schritt hin zum papierlosen Büro. Dafür müssen einige Punkte berücksichtigt werden.

Lesedauer: 4 Min.

„Einheitliche Sicherheitsarchitektur ist die Basis für eine moderne Unternehmensführung“
„Einheitliche Sicherheitsarchitektur ist die Basis für eine moderne Unternehmensführung“

Eine einheitliche Sicherheitsarchitektur schützt Firmen vor Cyberattacken. Mehr dazu im Interview mit Security-Experte Markus J. Krauss von Cisco.

Lesedauer: 4 Min.

datenresilienz-recovery
Datenresilienz: Auf den Ernstfall vorbereitet sein

Daten und Geschäftsfähigkeit nach einer Cyberattacke schnell wiederherstellen: Lesen Sie hier, wie Datenresilienz dazu beiträgt und wie Sie diese erreichen.

Lesedauer: 4 Min.

Dauergefahr Ransomware: Entwicklung, Methoden und Schutzmöglichkeiten
Dauergefahr Ransomware: Entwicklung, Methoden und Schutzmöglichkeiten

Ransomware bedroht die Cybersicherheit nachhaltig. Doch wie werden diese Angriffe durchgeführt – und welche Schutzmöglichkeiten gibt es?

Lesedauer: 4 Min.

Cybersicherheitsverletzung: So schützen Sie sich
Cybersicherheitsverletzung: So schützen Sie sich

Das Thema Cybersicherheitsverletzung betrifft Unternehmen jeder Branche und Größe. Zum Schutz benötigen Firmen umfassende Sicherheitslösungen.

Lesedauer: 2 Min.

BSI sieht erhöhte Cyber-Bedrohungslage in Deutschland: Was Unternehmen jetzt tun können
BSI sieht erhöhte Cyber-Bedrohungslage in Deutschland: Was Unternehmen jetzt tun können

Laut BSI ist die Cyber-Sicherheitslage in Deutschland aktuell im erhöhten Maße gefährdet. Doch was können Firmen unternehmen, um sich zu schützen?

Lesedauer: 2 Min.

Cyberangriffe wie Ransomware auf Höchststand
Cyberangriffe wie Ransomware auf Höchststand

Die Lage ist ernst: Wie aktuelle Studien zeigen, bedrohen Cyberangriffe wie Ransomware nachhaltig deutsche Firmen. Doch wie ist ein Schutz möglich?

Lesedauer: 2 Min.

Wie sich Unternehmen vor Worst Case Szenarien schützen können
Wie sich Unternehmen vor Worst Case Szenarien schützen können

Es gibt unterschiedlichste Worst Case Szenarien für die IT. Was Unternehmen im Ernstfall tun können, wurde auf dem CANCOM-Event “Be Prepared” thematisiert.

Lesedauer: 2 Min.

Steigende Cyberbedrohungen: Wie Unternehmen eine Cyber-Resilienz aufbauen können
Steigende Cyberbedrohungen: Wie Unternehmen eine Cyber-Resilienz aufbauen können

Cyberkriminalität ist ein globales Phänomen: Firmen müssen deshalb eine Cyber-Resilienz etablieren. Der Blueprint Cyber Vault von IBM zielt genau darauf ab.

Lesedauer: 4 Min.

Cyber Security Days: So können Firmen eine ganzheitliche Security-Strategie umsetzen
Cyber Security Days: So können Firmen eine ganzheitliche Security-Strategie umsetzen

Zur Cyberabwehr ist eine moderne Security-Strategie unumgänglich. Die virtuellen Eventtage “Cyber Security Days” rückten dieses Thema in den Fokus.

Lesedauer: 4 Min.

studie-dienstleister-cybersicherheit
Studie: Das sind die besten IT-Dienstleister im Bereich Cybersecurity

Eine effektive Cyberabwehr ist für Firmen inzwischen essenziell. Eine aktuelle ISG-Studie beleuchtet die führenden Dienstleister im Cybersecurity-Bereich.

Lesedauer: 3 Min.

35C3: Unternehmen, hört auf die Hacker*innen!
35C3: Unternehmen, hört auf die Hacker*innen!

Auf dem Chaos Communication Congress 2018 diskutierte die Hackinggemeinde über Datenschutz und Gesellschaftspolitik. Was können Unternehmen von ihr lernen?

Lesedauer: 3 Min.

DSGVO: Unternehmen in Deutschland haben Nachholbedarf
DSGVO: Unternehmen in Deutschland haben Nachholbedarf

Seit acht Monaten ist die DSGVO nun verpflichtend. Dennoch weisen einige Branchen noch erhebliche Defizite bei der Umsetzung auf – so eine aktuelle Studie.

Lesedauer: 2 Min.

Umfassende Datensicherung: Das gilt es zu beachten
Umfassende Datensicherung: Das gilt es zu beachten

Angesichts des schnellen Datenwachstums wird die Datensicherung für Unternehmen immer wichtiger. Was dabei zu berücksichtigen ist, erfahren Sie hier.

Lesedauer: 3 Min.

Backup auf Microsoft 365 mit Schutz vor Ransomware
Backup auf Microsoft 365 mit Schutz vor Ransomware

Angesichts steigender Ransomware-Angriffe müssen auch Backup-Daten abgesichert werden. Wie das für Microsoft 365-Backups gelingt, lesen Sie im Beitrag.

Lesedauer: 4 Min.

Business Continuity mit moderner Datensicherung: Den Betrieb auch im Notfall aufrechterhalten
Business Continuity mit moderner Datensicherung: Den Betrieb auch im Notfall aufrechterhalten

Gerade in Zeiten der COVID19-Pandemie müssen Unternehmen die Business Continuity gewährleisten. Eine neue Lösung von Veeam soll dazu beitragen.

Lesedauer: 4 Min.

Für den Ernstfall gewappnet: Wie Sie den Verlust Ihrer Daten verhindern können
Für den Ernstfall gewappnet: Wie Sie den Verlust Ihrer Daten verhindern können

Kein Datenverlust im Notfall – genau das können Unternehmen mit der richtigen Backup und Disaster Recovery-Strategie umsetzen.

Lesedauer: 3 Min.

Zuverlässiger Schutz von Unternehmensdaten mit Android?
Zuverlässiger Schutz von Unternehmensdaten mit Android?

Für die Absicherung mobiler Endgeräte ist ein sicheres Betriebssystem essenziell. Wie Google dieses Ziel mit Android erreichen möchte, lesen Sie im Beitrag.

Lesedauer: 3 Min.

Das waren die 5 größten Cyberbedrohungen in 2018 und darüber hinaus
Das waren die 5 größten Cyberbedrohungen in 2018 und darüber hinaus

Welche Cyberbedrohungen waren 2018 besonders destruktiv – und werden auch in Zukunft ihr Unwesen treiben? Antworten liefert der Threat Report von Cisco.

Lesedauer: 3 Min.

effektive-cybersicherheit-it-sa
Effektive Cybersicherheit aufbauen – diese Faktoren sind entscheidend

Der Aufbau einer effektiven Cybersicherheit ist heute für Firmen Pflicht. Wie CANCOM hier unterstützen kann, zeigt der IT-Konzern auf der Security-Messe it-sa.

Lesedauer: 4 Min.

Die datenschutzrechtliche Dimension der Gesichtserkennung
Die datenschutzrechtliche Dimension der Gesichtserkennung

Die Gesichtserkennung wird immer mehr zur Authentifizierung eingesetzt. Der Einsatz der Technologie ist datenschutzrechtlich durchaus brisant.

Lesedauer: 3 Min.

Cybersicherheit für Unternehmen immer wichtiger
Cybersicherheit für Unternehmen immer wichtiger

Um Cyberangriffe im Ernstfall abwehren zu können, überdenken Unternehmen zunehmend ihre Sicherheitsmaßnahmen. Das hat eine aktuelle Studie ergeben.

Lesedauer: 2 Min.

Geteilte Meinung über deutsche Cyberabwehr
Geteilte Meinung über deutsche Cyberabwehr

Laut einer Studie meint mehr als die Hälfte der Deutschen, dass Deutschland nicht auf einen Cyberangriff vorbereitet ist. Die Ergebnisse im Detail.

Lesedauer: 1 Min.

Cyberkriminalität so gefährlich wie nie
Cyberkriminalität so gefährlich wie nie

Noch nie haben Cyberangriffe Unternehmen so stark bedroht wie heute. Das geht aus dem aktuellen Allianz Risiko Barometer 2022 hervor.

Lesedauer: 2 Min.

Studie: Unternehmen legen verstärkten Fokus auf Digitalisierung und Cybersicherheit
Studie: Unternehmen legen verstärkten Fokus auf Digitalisierung und Cybersicherheit

Laut Studie möchten Firmen verstärkt in Digitalisierung und Cybersicherheit investieren – trotz der wirtschaftlichen Auswirkungen der COVID19-Pandemie.

Lesedauer: 2 Min.

Firewall-Administration durch IT-Dienstleister: Wie Unternehmen davon profitieren
Firewall-Administration durch IT-Dienstleister: Wie Unternehmen davon profitieren

Zum Schutz vor Cyberangriffen ist eine leistungsfähige Firewall unabdingbar. IT-Dienstleister können bei der Firewall-Administration umfassend unterstützen.

Lesedauer: 4 Min.

unternehmen-cybersicherheit-interview-alexander-ernst
So schaffen Unternehmen mit CANCOM eine wirksame Cybersicherheit

Im Interview zeigt CANCOM-Experte Alexander Ernst auf, wie Firmen mit CANCOM eine moderne Cybersicherheit etablieren – um sich vor Cyberbedrohungen zu wappnen.

Lesedauer: 1 Min.

nis2-unternehmen
NIS2: Was auf die Unternehmen zukommt und wie CANCOM unterstützen kann

Die Deadline für die Umsetzung der EU-Richtlinie NIS2 rückt für Unternehmen immer näher. Doch was bedeutet NIS2 für die betroffenen Unternehmen konkret?

Lesedauer: 4 Min.

Cybersicherheit benötigt Sicherheitskultur
Cybersicherheit benötigt Sicherheitskultur

Eine umfassende Cybersicherheit erfordert auch, eine moderne Sicherheitskultur zu etablieren. Laut Studie haben das bisher die wenigsten Unternehmen getan.

Lesedauer: 2 Min.

event-schloss-kaltenberg-schutz-ransomware
Das sollten Unternehmen beim Schutz vor Ransomware beachten

Ransomware-Angriffe nehmen stetig zu. Wie sich Firmen schützen können, wurde auf einem CANCOM-Event auf Schloss Kaltenberg behandelt.

Lesedauer: 2 Min.

Skalierbare Datensicherung: Das bieten Backup-Appliances heute
Skalierbare Datensicherung: Das bieten Backup-Appliances heute

Für den Unternehmenserfolg sind Backups wichtiger denn je. Doch das wird immer komplexer. Moderne Backup-Appliances adressieren dieses Problem.

Lesedauer: 3 Min.

DSGVO: Zwei Drittel der Unternehmen bereits weitgehend umgesetzt
DSGVO: Zwei Drittel der Unternehmen bereits weitgehend umgesetzt

Knapp eineinhalb Jahre nach Einführung der DSGVO haben zwei Drittel der Unternehmen diese laut einer Bitkom-Umfrage weitgehend umgesetzt.

Lesedauer: 2 Min.

„IT-Verantwortliche in Unternehmen müssen sich bewusst sein, dass sie für die Datensicherung eine spezielle Backup-Lösung benötigen“
“IT-Verantwortliche in Unternehmen müssen sich bewusst sein, dass sie für die Datensicherung eine spezielle Backup-Lösung benötigen”

Für die Nutzung von SaaS-Anwendungen ist eine umfassende Datensicherung nötig. Mehr dazu im Interview mit CANCOM-Experte Daniel Harenkamp.

Lesedauer:

SaaS Backup: Wie die Müller Group ihre Office 365-Daten ganzheitlich absichert
SaaS Backup: Wie die Müller Group ihre Office 365-Daten ganzheitlich absichert

Auf Empfehlung von CANCOM hat die Müller Group die SaaS Backup-Lösung von NetApp eingeführt. Das Ziel: ein umfassender Schutz ihrer Office 365-Daten.

Lesedauer: 2 Min.

CANCOM auf der it-sa 2019
CANCOM auf der it-sa 2019

CANCOM war letzte Woche mit seinen Partnern Cisco, IBM und Trend Micro auf der it-sa 2019 vertreten. Erfahren Sie im Rückblick, welche Themen wichtig waren.

Lesedauer: 1 Min.

Cyberangriffe effektiv abwehren: IT-Sicherheit entsteht nicht durch ein einzelnes Produkt
Cyberangriffe effektiv abwehren: IT-Sicherheit entsteht nicht durch ein einzelnes Produkt

Cyberangriffe entwickeln sich zur allgegenwärtigen Gefahr für die Wirtschaft. Ein ganzheitliches IT-Sicherheitskonzept kann Abhilfe schaffen.

Lesedauer: 3 Min.

DSGVO-Verstöße: Über 400.000 Euro an Bußgeld verhängt
DSGVO-Verstöße: Über 400.000 Euro an Bußgeld verhängt

Laut aktueller Umfrage halten sich die Verstöße gegen die DSGVO bisher in Grenzen. Allerdings gebe es länderspezifische Unterschiede.

Lesedauer: 1 Min.

kommunen-sensible-daten
So können Kommunen ihre sensiblen Daten schützen

Die Themen Datenschutz und IT-Sicherheit sind auch für kleine ländliche Kommunen unverzichtbar. Die Lösung indigo kann zu einem umfassenden Schutz beitragen.

Lesedauer: 2 Min.

HMI 2019 – Rüdiger Wölfl (Cisco) über Industrie 4.0: „Security steht über allem“
HMI 2019 – Rüdiger Wölfl (Cisco) über Industrie 4.0: “Security steht über allem”

Um die Industrie 4.0 voranzutreiben, benötigen Unternehmen eine umfassende Security. Das betont Rüdiger Wölfl von Cisco im Interview.

Lesedauer: 2 Min.