Kill Chain – Praxis

Die Kill Chain ist in Audits und Penetrationstests das Referenzmodell fuer die Bewertung der Erkennungstiefe. Was Auditoren konkret pruefen und welche Evidence benoetigt wird, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung der Kill Chain-Abdeckung prueft der Auditor, ob Sicherheitsmassnahmen systematisch gegen alle Angriffsphasen gemappt sind. Das BAM-Objekt CROSS-KC-01 definiert, was konkret vorgelegt werden muss.

Haeufige Fehler

• Kein Kill-Chain-Mapping – Massnahmen nicht systematisch gegen Phasen zugeordnet
• SIEM deckt nur Perimeter-Ereignisse ab – innere Angriffsphasen blind
• Kein Threat-Hunting-Prozess fuer spaete Kill-Chain-Phasen (C2, Lateral Movement)
• Penetrationstests nur fuer Exploitation-Phase – nicht fuer Post-Exploitation

Umsetzung: Kill-Chain-Mapping in der Praxis

Erster Schritt: Alle vorhandenen Sicherheitsmassnahmen auflisten. Zweiter Schritt: Jede Massnahme einer oder mehreren Kill-Chain-Phasen zuordnen. Dritter Schritt: Luecken identifizieren – in welchen Phasen gibt es keine Erkennungs- oder Unterbrechungsmassnahme? Vierter Schritt: SIEM-Regeln und Monitoring-Abdeckung gegen MITRE ATT&CK pruefen. Fuenfter Schritt: Penetrationstest fuer alle Kill-Chain-Phasen (inkl. Post-Exploitation) beauftragen.

Evidence-Anforderungen im Audit

Der Auditor erwartet: Kill-Chain-Mapping-Dokument mit allen Sicherheitsmassnahmen und Phasenzuordnung, MITRE ATT&CK-Coverage-Report, Penetrationstest-Bericht mit Post-Exploitation-Tests und Nachweis der SIEM-Regel-Abdeckung pro Phase.

Die strategische Einordnung – warum die Kill Chain langfristig mehr als ein Analysemodell ist – findet sich auf Ebene 3.