Compliance-Lexikon · Praxis
Kill Chain – Praxis
Die Kill Chain ist in Audits und Penetrationstests das Referenzmodell fuer die Bewertung der Erkennungstiefe. Was Auditoren konkret pruefen und welche Evidence benoetigt wird, zeigt dieser Abschnitt.
Was Auditoren konkret pruefen
Bei einer Pruefung der Kill Chain-Abdeckung prueft der Auditor, ob Sicherheitsmassnahmen systematisch gegen alle Angriffsphasen gemappt sind. Das BAM-Objekt CROSS-KC-01 definiert, was konkret vorgelegt werden muss.
Haeufige Fehler
- Kein Kill-Chain-Mapping – Massnahmen nicht systematisch gegen Phasen zugeordnet
- SIEM deckt nur Perimeter-Ereignisse ab – innere Angriffsphasen blind
- Kein Threat-Hunting-Prozess fuer spaete Kill-Chain-Phasen (C2, Lateral Movement)
- Penetrationstests nur fuer Exploitation-Phase – nicht fuer Post-Exploitation
Praxis-Tipp
Fuer die Kill Chain gilt: Die gefaehrlichsten Angriffsphasen sind die spaeten – wenn der Angreifer bereits drin ist. Wer nur Perimeter-Erkennungsregeln hat, sieht den Angriff erst, wenn es zu spaet ist. SIEM-Regeln sollten explizit alle sieben Phasen abdecken.
Umsetzung: Kill-Chain-Mapping in der Praxis
Erster Schritt: Alle vorhandenen Sicherheitsmassnahmen auflisten. Zweiter Schritt: Jede Massnahme einer oder mehreren Kill-Chain-Phasen zuordnen. Dritter Schritt: Luecken identifizieren – in welchen Phasen gibt es keine Erkennungs- oder Unterbrechungsmassnahme? Vierter Schritt: SIEM-Regeln und Monitoring-Abdeckung gegen MITRE ATT&CK pruefen. Fuenfter Schritt: Penetrationstest fuer alle Kill-Chain-Phasen (inkl. Post-Exploitation) beauftragen.
Evidence-Anforderungen im Audit
Der Auditor erwartet: Kill-Chain-Mapping-Dokument mit allen Sicherheitsmassnahmen und Phasenzuordnung, MITRE ATT&CK-Coverage-Report, Penetrationstest-Bericht mit Post-Exploitation-Tests und Nachweis der SIEM-Regel-Abdeckung pro Phase.
Naechster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – NIS-2 und DORA in 20 Minuten.
Die strategische Einordnung – warum die Kill Chain langfristig mehr als ein Analysemodell ist – findet sich auf Ebene 3.