Cyberangriffe verstehen und abwehren: Das sind die 7 Phasen des Cyber Kill Chain-Modells
Das Cyber Kill Chain-Modell gibt Unternehmen einen klaren Fahrplan an die Hand, um Cyberangriffe zu beschreiben. Für die Umsetzung einer zeitgemäßen IT-Security ist dies unverzichtbar. Denn so können sich Unternehmen in die Angreifer:innen hineinversetzen und entsprechende Verteidigungsmaßnahmen ableiten. Die Redaktion von CANCOM.info präsentiert die 7 Phasen des Modells im Überblick. Detaillierte Informationen zum Thema erfahren Sie im exklusiven CANCOM-Whitepaper „Kill Chain-101“, das Sie auf der Themenseite „CANCOM Cyber Defense Services“ kostenlos herunterladen können.
Cyberangriffe waren für Unternehmen noch nie so bedrohlich wie heute. Das besagt das Allianz Risiko Barometer 2022, das Anfang diesen Jahres veröffentlicht wurde. Darin geben 44 Prozent der weltweit über 2.600 Befragten an, dass Cybervorfälle ihr Business am stärksten gefährden. Zum Vergleich: In 2021 bewerteten Firmen das Thema Cyberangriffe „nur“ als global drittgrößtes Geschäftsrisiko (CANCOM.info berichtete).
Wie groß der Schaden durch Cyberattacken tatsächlich ausfällt, haben die Expert:innen von Cybersecurity Ventures untersucht. Nach deren Schätzungen, über die unter anderem das Fachportal „CIO“ berichtet hat, belief sich die weltweite Schadenssumme durch Cyberkriminalität in 2021 auf sechs Billionen US-Dollar. Dabei sei die Tendenz stark steigend: Die Expert:innen gehen davon aus, dass die Summe bis 2025 auf 10,5 Billionen US-Dollar anwachsen wird. Was dies bedeutet, bringt der Artikel von CIO mit Verweis auf die Einschätzungen von Cybersecurity Ventures auf den Punkt: „Mitte des Jahrzehnts wären dies dann höhere Gewinne als im weltweiten Drogenhandel und eine höhere Summe als die Bruttoinlandsprodukte sämtlicher Staaten mit Ausnahme der USA und Chinas (…).“
In Deutschland sollten aktuell vor allem Betreiber kritischer Infrastrukturen eine erhöhte Wachsamkeit vor Cyberangriffen an den Tag legen. Das geht aus einer offiziellen Pressemitteilung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor. So habe, angesichts des Ukraine-Kriegs, die Wahrscheinlichkeit schwerwiegender Cyberattacken zugenommen – auch wenn die Informationssicherheit in Deutschland derzeit nicht akut in Gefahr sei (CANCOM.info berichtete).
Cyber Kill Chain: Hackerangriff als mehrstufiger Prozess
Um sich wirksam vor Cyberangriffen zu schützen, müssen Unternehmen einen ganzheitlichen Ansatz verfolgen. Dabei gilt das sogenannte Cyber Kill Chain-Modell des US-amerikanischen Rüstungs- und Technologiekonzerns Lockheed Martin als wichtiger Baustein. Das Modell beschreibt den kompletten Prozess, der bei einem Angriff auf die IT-Infrastruktur abläuft – detailliert und aus Sicht der Angreifer:innen. Damit erfahren Firmen genau, wie Hacker bei einer Attacke vorgehen – und können entsprechende Gegenmaßnahmen ableiten und initiieren.
Konkret ist das Cyber Kill Chain-Modell in sieben Phasen unterteilt. Jede dieser Phasen baut aufeinander auf. Das bedeutet: Die nächste Phase kann nur inkrafttreten, wenn die vorherige abgeschlossen ist. Folglich unterbricht das Unterbinden einer Phase den kompletten Prozess – und stoppt so den Angriff. Je früher dies gelingt, desto besser.
Die Redaktion von CANCOM.info präsentiert die sieben Phasen des Cyber Kill Chain-Modells im Überblick. Eine ausführliche Beschreibung finden Sie im Whitepaper „Kill Chain-101“ von CANCOM. Jetzt auf der Themenseite „CANCOM Cyber Defense Services“ herunterladen.
1. Reconnaisance
Diese Phase markiert den Beginn einer Cyberattacke. Hier sammeln die Angreifer:innen möglichst detaillierte Informationen über ihr Ziel. Dafür nutzen sie zum Beispiel IP-Adressen, Domains, veröffentlichte Dateien oder E-Mail Adressen.
Liegen alle für sie relevanten Informationen vor, erstellen sie ein Profil ihres Ziels.
2. Weaponization
Im Anschluss versuchen die Cyberkriminellen, die Informationen gegen ihr Angriffsziel zu richten. Zum Beispiel evaluieren sie die genaue Vorgehensweise des geplanten Angriffs und wählen die passende Schadsoftware wie Exploits aus.
Zusätzlich kümmern sie sich darum, die Attacke technologisch vorzubereiten – indem sie etwa die Infrastruktur für Exploits oder Phishing erstellen.
3. Delivery
Nach der Vorbereitungsphase (Reconnaisance und Weaponization) führen die Angreifer:innen jetzt die eigentliche Cyberattacke durch: Sie liefern die Schadsoftware, zum Beispiel Exploits, über bestimmte Kanäle wie E-Mails, Werbungen auf Webseiten oder auch USB-Sticks an das Ziel aus.
Gerade im Bereich der kritischen Infrastrukturen sind USB-Sticks eine häufig angewandte Methode. Dies liegt daran, dass diese Infrastrukturen vom Internet bewusst abgeschottet sind. Eine Auslieferung der Schadsoftware über E-Mails oder Webseiten ist damit nicht möglich.
4. Exploitation
Die Auslieferung alleine reicht jedoch nicht aus. Denn: Die Cyberkriminellen müssen sicherstellen, dass die Schadsoftware auf dem Zielsystem auch ausgeführt wird. Nur so können sie die Kontrolle über das Zielsystem übernehmen.
Um dies zu erreichen, versuchen die Hacker in dieser Phase, Schwachstellen auszunutzen – sei es in organisatorischer, technischer oder menschlicher Hinsicht. Eine Umsetzungsmöglichkeit sind Phishing E-Mails, die die Empfänger:innen dazu verleiten sollen, einen verseuchten Link oder Anhang zu öffnen.
5. Installation
Im Erfolgsfall – der zum Beispiel eintritt, wenn Mitarbeiter:innen einen verseuchten Link geöffnet haben – etablieren die Angreifer:innen nun einen Brückenkopf: Die Schadsoftware nistet sich an unterschiedlichen Stellen im Zielsystem ein.
Eine solche Stelle kann etwa das Windows Registry sein. In diesem Fall führt Windows die Schadsoftware bei jedem Start automatisch aus.
6. Command and Control
Ist das Zielsystem so weit kompromittiert, errichten die Hacker als Nächstes einen offenen Kommunikationskanal – wofür sie sogenannte Command & Control-Server benötigen.
Dieser Kanal spielt für den Erfolg der Cyberattacke eine wesentliche Rolle: Darüber können die Hacker weitere Schadsoftware in das infizierte System einschleusen sowie interne Firmendaten abschöpfen. Wie lange der Kommunikationskanal nötig ist, hängt stark davon ab, welche Zielsetzung der jeweilige Angriff verfolgt.
7. Actions on Objectives
In dieser letzten Phase haben die Cyberkriminellen ihr Ziel bereits erreicht. Im Extremfall kontrollieren sie das gesamte Zielsystem und richten empfindliche Schäden an: Die möglichen Folgen reichen von missbrauchten Zugängen über manipulierte Daten bis zu gestohlenen Informationen.
Viel verhindern können Firmen dann nicht mehr. „Im besten Fall kann und sollte aus begangenen Fehlern gelernt werden, um für die Zukunft gerüstet zu sein und um auszuschließen, dass sich ein ähnliches Szenario wiederholt“, so das CANCOM-Whitepaper „Kill Chain-101“.
Fazit
Das Cyber Kill Chain-Modell beschreibt mit seinen sieben Phasen anschaulich, wie Angreifer:innen bei einer Cyberattacke vorgehen. Dadurch finden Unternehmen zahlreiche Anhaltspunkte, um auf die jeweiligen Vorgänge wirksam zu reagieren. Wie Unternehmen eine solche Reaktion in der Praxis umsetzen können, beschreibt das Whitepaper anhand des Beispiels der Phishing E-Mail.
Wörtlich heißt es: „Wenn (…) eine einfache E-Mail ausreicht, damit ein Angreifer Zugriff auf die internen Systeme erhält, wäre eine entsprechend sinnvolle Gegenmaßnahme, die Clients auf ungewöhnliches Verhalten zu monitoren – denn dort wird die E-Mail geöffnet.“
Zusätzlich sei es angebracht, Systeme zu überwachen, die die jeweilige E-Mail direkt oder indirekt verarbeiten – wie Firewalls, Sandboxes oder DNS-Server. Hier leiste eine SIEM-Lösung wie IBM QRadar in Kombination mit einem Security Operations Center (SOC) wertvolle Unterstützung.
Wieso das der Fall ist, lesen Sie im Whitepaper „Kill Chain-101“ von CANCOM. Außerdem erfahren Sie, welche Merkmale die sieben Phasen der Cyber Kill Chain im Detail aufweisen – und welche Arten von Cyberattacken und Angreifer:innen existieren. Auf der Themenseite „CANCOM Cyber Defense Services“ können Sie das Whitepaper kostenlos herunterladen.
Quelle Titelbild: © WrightStudio/stock.adobe.com
