Compliance-Lexikon · Grundbegriff
Kill Chain
[kɪl tʃeɪn] · auch: Cyber Kill Chain, Angriffskette
Die Kill Chain ist ein Analyserahmen fuer Cyberangriffe, der den Angriffsverlauf in sequenzielle Phasen unterteilt – von der Aufklaerung bis zur Zielerreichung – um Erkennungs- und Unterbrechungspunkte fuer jede Phase zu identifizieren und Sicherheitsmassnahmen gezielt auszurichten.
Warum die Kill Chain ein Compliance-relevantes Analysemodell ist
Die Kill Chain wurde von Lockheed Martin fuer militaerische Angriffe entwickelt und auf Cyberangriffe uebertragen. Ihr strategischer Wert liegt darin, Angriffe nicht als singulaere Ereignisse zu betrachten, sondern als Prozesse mit definierbaren Phasen – in denen Verteidiger an jedem Punkt unterbrechen koennen. NIS-2 und DORA erwarten Erkennungs- und Reaktionsmassnahmen, die auf reale Angriffsphasen ausgerichtet sind. Die Kill Chain ist das Analysewerkzeug dafuer.
Wo die Kill Chain gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| MITRE ATT&CK | vollstaendig | MITRE ATT&CK erweitert die Kill Chain um detaillierte Taktiken, Techniken und Prozeduren (TTPs) bekannter Angreifergruppen. |
| ISO 27001:2022 | A.5.7 | Bedrohungsinformationen: Systematische Analyse von Angriffstechniken als Grundlage fuer Schutzmassnahmen. |
| NIS-2 / BSIG | § 30 Abs. 2 | Massnahmen zur Erkennung von Sicherheitsvorfaellen setzen Verstaendnis der Angriffsphasen voraus. |
| DORA | Art. 26 | Threat-Led Penetration Testing (TLPT): Kill-Chain-Analyse als methodische Grundlage fuer bedrohungsgesteuerte Tests. |
| BSI IT-Grundschutz | DER.1 / DER.2 | Detektion und Reaktion: Erkennungsmassnahmen entlang der Angriffsphasen als Grundschutz-Anforderung. |
Haeufige Audit-Fehler
- Sicherheitsmassnahmen nicht systematisch gegen Angriffsphasen gemappt
- Erkennung nur am Perimeter – spaetere Angriffsphasen unueberwacht
- Threat-Modelling ohne Kill-Chain-Referenz – keine Systematik
- SIEM-Regeln decken nur einzelne Phasen ab, nicht die gesamte Kette
Die sieben Phasen der Cyber Kill Chain
Reconnaissance (Aufklaerung): Angreifer sammelt Informationen ueber Ziel. Weaponization (Bewaffnung): Angreifer erstellt Angriffswerkzeug. Delivery (Auslieferung): Angriff erreicht das Ziel (Phishing, Drive-by-Download). Exploitation (Ausnutzung): Schwachstelle wird ausgenutzt. Installation: Malware wird installiert, Foothold hergestellt. Command & Control (C2): Angreifer kommuniziert mit kompromittiertem System. Actions on Objectives: Angreifer erreicht sein Ziel (Datexfiltration, Verschluesselung, Sabotage). MITRE ATT&CK ergaenzt dieses Modell um ueber 200 spezifische Techniken mit Erkennungs- und Abwehrempfehlungen pro Phase.
Kill Chain als Basis fuer Sicherheitsarchitektur
Wer die eigene Sicherheitsarchitektur gegen die Kill-Chain-Phasen mappt, erkennt sofort, in welchen Phasen Luecken bestehen. Die meisten Organisationen haben starken Perimeter-Schutz (Delivery-Phase), aber schwache Erkennungs- und Reaktionsmassnahmen fuer Installation und C2. Angreifer, die den Perimeter ueberwunden haben, koennen sich deshalb oft wochenlang unentdeckt bewegen.
Naechste Ebene
Kill Chain in der Praxis: Mapping, Lueckenanalyse und Evidence
Wie Sicherheitsmassnahmen gegen Kill-Chain-Phasen gemappt werden und was Auditoren pruefen.