Wenn wir komplexes Verhalten verstehen wollen, versuchen wir fast automatisch eine Struktur zu schaffen. Wir zerlegen Abläufe, ordnen Schritte und versuchen Muster zu erkennen. Cyberangriffe sind dabei kein Ausnahmefall: Ob beim Nachstellen von Angriffen im Pentesting/Red Teaming oder bei der Aufklärung vorgefallener Angriffe in der IT-Forensik – erst Struktur macht das Geschehen nachvollziehbar und bringt Ordnung in ein zunächst unübersichtliches Umfeld.

Die Cyber Kill Chain bietet hierfür einen bewährten Rahmen. Das Modell beschreibt Angriffe nicht als isolierte Einzelereignisse oder unvorhersehbares Chaos, sondern als zusammenhängenden Prozess mit klaren Phasen, die analysiert, nachgestellt und unterbrochen werden können. Damit schafft es eine gemeinsame Denkgrundlage für unterschiedliche sicherheitsrelevante Disziplinen.


Was ist die Cyber Kill Chain?

Die Cyber Kill Chain wurde 2011 vom US-Rüstungskonzern Lockheed Martin entwickelt. Der Begriff leitet sich von der militärischen "Kill Chain" ab, die die Schritte eines Angriffs von der Zielidentifikation bis zur Zerstörung beschreibt. In die digitale Welt übertragen, beschreibt das Modell, dass jeder erfolgreiche Cyberangriff eine definierte Kette von sieben aufeinanderfolgenden Phasen durchlaufen muss.

 

Die 7 Phasen eines Cyberangriffs

Um das Modell und die abstrakten Stufen greifbarer zu machen, wird jede der sieben Phasen im Folgenden nicht nur beschrieben, sondern auch mit Beispielen und technischen Details aus der Praxis ergänzt.


1. Reconnaissance (Aufklärung / Informationsbeschaffung)

In der Aufklärungsphase sammeln Cyber-Kriminelle Informationen über das Ziel, um den Angriff gezielt vorzubereiten (sogenanntes „Targeting“). Ziel ist es, potenzielle Schwachstellen, Strukturen und Angriffspunkte zu identifizieren. 

Physische Welt

Kriminelle beobachten ein Wohnhaus, analysiert Gewohnheiten der Bewohner und identifiziert mögliche Einstiegspunkte.

Cyber-Angriff

Ein fiktive Angriffsgruppe ("Megatron") stellt fest, dass eine Mitarbeiterin im Vertrieb ("Nancy") regelmäßig mit einem externen Dienstleister kommuniziert. Diese Information kann in den nachfolgenden Phasen genutzt werden.


Im Cyber-Kontext bedeutet dies häufig:

  • Nutzung von OSINT (Open Source Intelligence) zur passiven Informationsbeschaffung aus öffentlich zugänglichen Quellen, etwa Unternehmenswebseiten, Social-Media-Profilen oder öffentlichen Datenbanken. 
  • Typische Tools sind theHarvester oder Hunter.io, die automatisiert E-Mail-Adressen, Subdomains oder Mitarbeiterprofile (z. B. auf LinkedIn) sammeln.
  • Häufig werden zudem auch von außen erreichbare (exponierte) Systeme des Angriffsziels aktiv gescannt. Typische Tools sind dafür bspw. Nmap, Nessus oder Metasploit. Gern genutzt werden auch Suchmaschinen, wie Shodan, mit deren Hilfe öffentlich erreichbare Systeme, offene Ports, eingesetzte Dienste sowie bekannte Schwachstellen identifiziert werden können.

Die Informationsbeschaffung findet überwiegend außerhalb der eigenen Infrastruktur statt und wird häufig über passive Wege vorgenommen. Entsprechend ist sie meist nicht direkt detektierbar.

Erst bei aktiven Maßnahmen – etwa beim Scannen öffentlich erreichbarer Systeme oder bei Brute-Force-Versuchen – entstehen verwertbare Spuren. Diese lassen sich über Perimeter-nahe Überwachung, zentrale Protokollierung (Logging) sowie signatur- oder verhaltensbasierte Erkennung sichtbar machen. 

Eine vollständige Verhinderung ist kaum möglich; Ziel ist hier vor allem Transparenz über die eigene Angriffsfläche.


2. Weaponization (Bewaffnung / Vorbereitung)

Nachdem Schwachstellen oder Zielpersonen identifiziert sind, bereiten Cyber-Kriminelle in der Bewaffnungsphase die eigentlichen Angriffswerkzeuge vor oder passt sein Werkzeug spezifisch an. Ziel ist es, die zuvor gewonnenen Informationen in eine konkrete Angriffsmethode zu überführen, die technisch funktioniert und möglichst unauffällig ist. 

Physische Welt

Kriminelle bereiten Einbruchswerkzeug sowie eine passende Tarnung vor, um unauffällig Zugang zum Grundstück zu erhalten.

Cyber-Angriff

Auf Basis der Erkenntnisse aus der Aufklärung erstellt Megatron eine täuschend echte E-Mail, die scheinbar vom bekannten externen Dienstleister stammt. Als Anhang fügt er ein manipuliertes PDF-Dokument bei, das beim Öffnen Schadcode nachlädt.


Im Cyber-Kontext bedeutet dies häufig:

  • Erstellung oder Anpassung von Schadsoftware, bspw. in präparierten Dokumenten oder Phishing-Webseiten, oft maßgeschneidert auf das Ziel basierend auf den gesammelten Informationen.
  • Für das Erstellen von Schadsoftware werden häufig Frameworks wie Metasploit, Cobalt Strike oder PowerShell-Skripte genutzt.

Die Bewaffnungsphase findet vollständig außerhalb der Zielumgebung statt und erzeugt keinerlei technische Artefakte innerhalb der eigenen Infrastruktur.

Eine Detektion ist daher nicht möglich. Schutzmaßnahmen wirken hier ausschließlich präventiv, etwa durch organisatorische Maßnahmen, Awareness-Trainings oder restriktive Richtlinien für Dateitypen und Inhalte.

Diese Phase bleibt aus Sicht der Verteidigung eine Blackbox und wird erst rückwirkend im Rahmen forensischer Analysen relevant.


3. Delivery (Auslieferung / Annäherung)

In der Delivery-Phase bringen Cyber-Kriminelle ihr vorbereitetes Angriffswerkzeug zum Ziel. Entscheidend ist dabei die Wahl eines Übertragungswegs, der möglichst glaubwürdig wirkt und bestehende Schutzmechanismen umgeht. 

Physische Welt

Kriminelle nähern sich dem Haus unter einem plausiblen Vorwand, etwa als Handwerker, und versteckt sein Einbruchswerkzeug.

Cyber-Angriff

Megatron versendet die präparierte E-Mail gezielt an Nancy. Absender, Signatur und Wortwahl entsprechen dem bekannten Kommunikationsstil des Dienstleisters, sodass die Nachricht keinen Verdacht erregt.


Im Cyber-Kontext bedeutet dies häufig:

  • Phishing oder gezieltes Spearphishing, bei dem die gesammelten Informationen genutzt werden, um Vertrauen zu erzeugen (z. B. eine vermeintliche Rechnung eines bekannten Geschäftspartners oder eine interne Mitteilung der IT-Abteilung). Zur Automatisierung und Skalierung solcher Kampagnen werden häufig spezialisierte Phishing-Frameworks wie GoPhish oder Evilginx eingesetzt. Die Glaubwürdigkeit wird zusätzlich durch kompromittierte oder neu registrierte Domains erhöht, etwa im Rahmen von Typosquatting (bewusste Imitation legitimer Absender oder bekannter Partner).
  • Physische Angriffsmethoden, wie etwa eine „USB Drop“-Attacke, bei der infizierte USB-Sticks mit Firmenlogo auf Parkplätzen platziert oder gezielt per Post als vermeintliches Werbegeschenk versendet werden.
  • Watering-Hole-Angriffe, bei denen Cyber-Kriminelle eine legitime Webseite kompromittieren, die von der Zielgruppe regelmäßig besucht wird. Besucher werden dabei unbemerkt infiziert, beispielsweise über sogenannte Drive-by-Downloads.

In der Delivery-Phase erreicht der Angriff erstmals die Perimeter-Grenze des Unternehmens. Dadurch entstehen erste Ansatzpunkte für Detektion.

E-Mail-Sicherheitsmechanismen, Web-Gateways und Inhaltsfilter können verdächtige Übertragungswege erkennen oder blockieren. Bei gezielten Angriffen (Spear Phishing) ist die Erkennungsrate jedoch eingeschränkt, insbesondere wenn legitime Absender oder bekannte Cloud-Dienste missbraucht werden.

Diese Phase stellt häufig den frühesten realistischen Detektionspunkt dar.
E-Mail-Gateways sowie Spam- und Phishing-Filter können Angriffe in dieser Phase teilweise erkennen. Bei gezielten Angriffen („Spear Phishing“) ist die Erkennungsrate jedoch deutlich geringer, insbesondere wenn legitime Absenderadressen oder Cloud-Dienste missbraucht werden.


4. Exploitation (Ausnutzung)

Die Exploitation-Phase kennzeichnet sich u.a. durch kurzlebige, sicherheitskritische Aktivitäten. Ziel dieser Phase ist es Zugang zum Zielobjekt zu erhalten, bspw. durch die aktive Ausnutzung einer Schwachstelle und Umgehung von Sicherheitsmechanismen.

Physische Welt

Kriminelle nutzen eine Sicherheitslücke, beispielsweise ein schlecht gesichertes Fenster oder eine kurz geöffnete Haustür, um ins Gebäude zu gelangen.

Cyber-Angriff

Nancy öffnet das PDF-Dokument. Eine ungepatchte Schwachstelle im PDF-Programm wird ausgenutzt, um im Hintergrund Schadcode auszuführen – ohne sichtbare Hinweise für die Nutzerin.


Im Cyber-Kontext bedeutet dies häufig:

  • Ausnutzung von Software-Schwachstellen oder Fehlkonfigurationen, bspw. in Webanwendungen, Betriebssystemen oder Drittanbieter-Software. Dabei können bekannte, ungepatchte Sicherheitslücken oder sogenannte Zero-Day-Schwachstellen ausgenutzt werden. Häufig kommen zur Ausnutzung automatisierte Exploit-Frameworks, wie Metasploit, zum Einsatz.
  • Häufig ist jedoch der Mensch selbst die Schwachstelle: Der Klick auf einen Link oder das Aktivieren von Makros in einem Dokument löst die Ausführung des Schadcodes aus.

Endpoint Detection & Response (EDR) kann die Exploitation-Phase durch Laufzeit- und Verhaltensüberwachung erkennen, etwa anhand ungewöhnlicher Prozessstarts, atypischer Speicherzugriffe oder Abweichungen vom normalen Ausführungsverhalten von Anwendungen. Ungepatchte Systeme oder fehlende Schutzmechanismen erhöhen das Risiko erheblich. Wird der Angriff nicht erkannt, erfolgt unmittelbar der Übergang zu einem aktiven IT-Sicherheitsvorfall.  


5. Installation (Zugang sichern / Persistenz)

Ein einmaliger Zugriff reicht professionellen Angriffsgruppen selten aus. Ziel ist es, dauerhaften oder zumindest mehrfachen Zugriff zu erhalten und sich im Zielobjekt zu verankern. Nach erfolgreicher Ausnutzung installieren Cyber-Kriminelle daher Komponenten zur Sicherstellung der Persistenz. 

Physische Welt

Kriminelle sorgen dafür, später leichter zurückkehren zu können, etwa durch das Entriegeln eines Fensters oder das Verstecken eines Ersatzschlüssels.

Cyber-Angriff

Der Schadcode aus dem präparierten PDF-Dokument installiert ein neues Programm auf Nancys Rechner, das beim Systemstart automatisch geladen wird und sich als legitimer Systemprozess tarnt (sog. Backdoor).


Im Cyber-Kontext bedeutet dies häufig:

  • Cyber-Kriminelle installieren Backdoors oder weitere Malware, um auch nach Neustarts oder Benutzerwechseln dauerhaft Zugriff auf das System zu behalten.
  • Auf kompromittierten Webservern werden bspw. häufig Webshells platziert, die es erlauben, Dateien hochzuladen, Befehle auszuführen oder weitere Schadsoftware nachzuladen.
  • Persistenz wird zusätzlich durch Manipulation von Systemmechanismen erreicht, etwa über Einträge in der Windows-Registry (Run Keys), geplante Tasks, Autostart-Ordner oder veränderte Systemdienste, die den automatischen Start der Schadsoftware sicherstellen.
  • Techniken zur Verschleierung, wie etwa „Timestomping“, verändern Zeitstempel von Dateien, sodass die Schadsoftware wie legitime Systemdateien wirkt und Erkennung durch Sicherheitslösungen erschwert wird.
  • Post-Exploitation-Frameworks wie Cobalt Strike oder Empire werden bspw. eingesetzt, um den Zugriff auf den kompromittierten Systemen zu sichern und Remote-Kommandos auszuführen.

Auch in dieser Phase kann eine Endpoint Detection & Response (EDR) Lösung unterstützen, wobei in dieser Phase der Schwerpunkt eher auf der Erkennung persistenter Systemveränderungen liegt. Hierzu zählen neue Autostart-Einträge, manipulierte Dienste, geplante Tasks oder dauerhaft laufende Prozesse, die nicht dem erwarteten Systemzustand entsprechen.


6. Command & Control (Steuerung)

In dieser Phase bauen die Aggressoren einen externen Kommunikationskanal zum kompromittierten Zielobjekt auf. Über diesen Kanal werden Befehle empfangen und Daten exfiltriert.

Physische Welt

Kriminelle halten Kontakt zu einem Komplizen, der die Umgebung beobachtet und vor Störungen oder der Rückkehr der Bewohner warnt.

Cyber-Angriff

Die Backdoor auf Nancys Rechner verbindet sich regelmäßig mit einem von Megatron kontrollierten Server und wartet auf weitere Anweisungen. Über diesen Kanal sammelt Megatron zusätzliche Informationen und installiert weitere Werkzeuge, etwa einen Keylogger zur Erfassung von Zugangsdaten.


Im Cyber-Kontext bedeutet dies häufig:

  • Nach erfolgreicher Infektion wird eine ausgehende Verbindung vom kompromittierten System zu einem Command-and-Control-Server aufgebaut, über die Cyber-Kriminelle das System fernsteuern können. Da eingehende Verbindungen durch Firewalls häufig blockiert werden, erfolgt die Kommunikation typischerweise von innen nach außen.
  • Die Kommunikation erfolgt häufig über verschlüsselte Verbindungen mittels HTTP(S), DNS oder über gängige Cloud-Dienste, um sich in regulären Netzwerkverkehr einzubetten.
  • Zur Verschleierung des Datenverkehrs werden Techniken wie DNS-Tunneling eingesetzt, bei denen Befehle oder Daten in DNS-Anfragen verborgen werden, die in der Regel von Sicherheitsmechanismen zugelassen werden.
  • Auch legitime Fernwartungstools wie TeamViewer oder AnyDesk können missbraucht werden, um eine unauffällige Fernsteuerung des Systems zu ermöglichen.
  • Häufig kommen spezialisierte C2-Frameworks wie Cobalt Strike zum Einsatz, die sogenannte Beacons (Schadsoftware) verwenden. Diese bauen periodisch eine Verbindung zu einem vom Aggressor kontrollierten Server auf, um Befehle abzurufen und auszuführen.

Die Command-and-Control-Phase erzeugt regelmäßigen ausgehenden Netzwerkverkehr und bietet damit eine Möglichkeit zur Detektion des Angriffs.

Netzwerkbasierte Überwachung, verhaltensbasierte Anomalie-Erkennung sowie Threat-Intelligence-gestützte Analysen können ungewöhnliche Kommunikationsmuster identifizieren – etwa periodische Verbindungen zu unbekannten Zieladressen oder bereits bekannten maliziösen Adressen oder atypische DNS-Anfragen.

Da die Kommunikation häufig als legitimer Webverkehr getarnt ist, ist eine kontextbasierte Analyse des Netzwerkverkehrs entscheidend.

7. Actions on Objectives (Umsetzung der Ziele)

In der letzten Phase verfolgen die Cyber-Kriminellen ihre eigentlichen Ziele. Diese können je nach Motivation variieren oder miteinander kombiniert werden. Die Auswirkungen sind in dieser Phase für die Betroffenen unmittelbar einzusehen.

Physische Welt

Kriminelle durchsuchen das Haus gezielt nach Wertgegenständen oder sensiblen Unterlagen.

Cyber-Angriff

Über Nancys Zugangsdaten bewegt sich Megatron weiter im Unternehmensnetzwerk, greift auf Vertriebsdaten zu und exfiltriert sensible Informationen über Kunden und Angebote. Anschließend setzt Megatron eine Verschlüsselungssoftware ein und erpresst das Unternehmen von Nancy.


Ziele im Cyber-Kontext können sein:

  • Datendiebstahl (Exfiltration) sensibler Unternehmensdaten
  • Verschlüsselung von Daten im Rahmen von Ransomware-Angriffen
  • Lateral Movement und Privilegien Eskalation, etwa vom Arbeitsplatzrechner zu kritischen Servern
  • Zerstörung von Backups und Schattenkopien, um die Wiederherstellung zu verhindern

Der Fokus in dieser Phase liegt auf Erkennung, Schadensbegrenzung und Aufklärung.

Ungewöhnliche Zugriffe auf sensible Systeme, Datenabflüsse oder die Eskalation von Berechtigungen können durch zentrale Sicherheitsüberwachung erkannt werden. Dazu zählen unter anderem: Security Information and Event Management (SIEM)-Systeme, die Ereignisse aus unterschiedlichen Quellen korrelieren und auffällige Muster sichtbar machen, und Data-Loss-Prevention (DLP)-Lösungen, die sensible Datenbewegungen überwachen und Abflüsse erkennen.

Für die Nachvollziehbarkeit, auch im Rahmen von IT-forensischen Untersuchungen, ist eine möglichst vollständige Protokollierung aller sicherheitsrelevanten Ereignisse entscheidend.

In vielen Fällen erfolgt die Detektion erst, nachdem bereits ein Schaden entstanden ist – diese Phase markiert daher häufig den Übergang zu Incident Response und IT-Forensik. Letztere dient insbesondere dazu, Ursache, Angriffsverlauf und Auswirkungen zu rekonstruieren, um Folgen, Restrisiken und geeignete Maßnahmen bewerten zu können.

Grenzen und Erweiterungen der Cyber Kill Chain

Während die Cyber Kill Chain ein exzellentes Einstiegsmodell ist, stößt sie in der modernen Sicherheitsarchitektur an Grenzen.

Das Problem der Linearität

Das Modell suggeriert einen strikt linearen Ablauf. In der Realität, besonders bei komplexen Angriffen (Advanced Persistent Threats), springen Cyber-Kriminelle oft zwischen Phasen hin und her oder überspringen Schritte. Zudem fokussiert sich die Cyber Kill Chain stark auf die Abwehr am Netzwerkrand (Perimeter) und weniger auf das Szenario, in dem sich ein Aggressor bereits im internen Netzwerk bewegt („Assume Breach“-Mentalität).

Moderne Alternativen: MITRE ATT&CK & Unified Kill Chain

Für operative Sicherheitsteams hat sich daher das MITRE ATT&CK Framework als De-facto-Standard etabliert. Anders als die lineare Kill Chain handelt es sich hierbei um eine umfassende Wissensdatenbank in Form einer Matrix, die Taktiken und Techniken auf Basis realer Angriffsbeobachtungen detailliert beschreibt. Es ist weniger eine "Checkliste" als vielmehr ein "Periodensystem" der Angriffsarten. Entsprechend können durch die detaillierte Beschreibung der Techniken und Taktiken, gezielt Maßnahmen zur Prävention, Detektion und Härtung auf operativer Ebene abgeleitet werden. Sicherheitskontrollen lassen sich somit konkreten Angriffstechniken zuordnen und systematisch überprüfen.

Ein hybrider Ansatz ist die Unified Kill Chain (UKC). Sie erweitert das klassische Modell auf 18 Schritte und erkennt an, dass Angriffe oft in Schleifen verlaufen: Cyber-Kriminelle brechen ein ("In"), breitet sich aus ("Through") und exfiltriert dann Daten ("Out").

 

Fazit für die Praxis

Die Cyber Kill Chain (nach Lockheed Martin) stellt – trotz der aufgezeigten Grenzen des Modells – ein wirkungsvolles Instrument für das Management dar, um Sicherheitsstrategien strukturiert zu entwickeln, Budgetentscheidungen fundiert zu treffen und Cyberangriffe nachvollziehbar zu erklären. Das Modell verdeutlicht, warum Investitionen in E-Mail-Sicherheit (Phase 3), Endpoint Detection & Response (Phasen 4 und 5) sowie Netzwerküberwachung (Phase 6) gleichermaßen notwendig sind und als abgestimmtes Gesamtkonzept betrachtet, werden sollten.

Für technische Teams bietet sie einen strategischen Rahmen, der durch detailliertere Modelle wie MITRE ATT&CK operativ konkretisiert und vertieft wird. Während die Cyber Kill Chain das „Warum“ und „Wo“ beantwortet, liefern operative Modelle das „Wie“.

 

Ob strategische Sicherheitsplanung, realitätsnahe Angriffssimulationen (Pentesting) oder die strukturierte Aufklärung von Sicherheitsvorfällen im Rahmen von Incident Response und forensischen Untersuchungen – wir unterstützen Sie dabei, Angriffe entlang der gesamten Kill Chain zu verstehen, zu testen und wirksam zu erkennen.

Dieser Artikel wurde verfasst von