Cyber Kill Chain

Die Cyber Kill Chain ist ein Modell zur systematischen Beschreibung und Analyse von Cyberangriffen. Entwickelt wurde sie ursprünglich vom Rüstungskonzern Lockheed Martin, um Angriffsmuster in sieben klar definierte Phasen zu unterteilen. Ziel ist es, Sicherheitsverantwortlichen ein strukturiertes Vorgehen zu bieten, um Angriffe zu erkennen, zu unterbrechen und gezielt abzuwehren.

Phasen der Cyber Kill Chain

1. Reconnaissance (Aufklärung): Angreifer sammeln Informationen über Zielsysteme, Netzwerke oder Mitarbeiter. 
2. Weaponization (Bewaffnung): Erstellung schädlicher Dateien oder Exploits. 
3. Delivery (Zustellung): Übertragung der Schadsoftware, z. B. per E-Mail oder kompromittierter Website. 
4. Exploitation (Ausnutzung): Aktivierung der Schadsoftware durch Schwachstellen. 
5. Installation: Einrichtung dauerhafter Zugriffswege (Backdoors, Remote Access Tools). 
6. Command & Control: Aufbau der Kommunikation zwischen Angreifer und kompromittiertem System. 
7. Actions on Objectives: Umsetzung der Angriffsziele, etwa Datendiebstahl, Sabotage oder Erpressung. 

Einsatzgebiete

Das Modell wird in der IT-Sicherheitsanalyse, bei Penetrationstests, im Threat Hunting sowie in der Incident Response eingesetzt. Es hilft, Angriffe frühzeitig zu erkennen und die eigene Sicherheitsarchitektur gezielt zu stärken.

Praxisbeispiel

Ein Pentest-Team simuliert die Kill Chain, um zu prüfen, ob Sicherheitsmaßnahmen in jeder Phase greifen, etwa durch Netzwerk-Monitoring in der Reconnaissance oder Endpoint-Protection in der Exploitation-Phase.

 

 

Zurück zum IT-Lexikon