Cyber Kill Chain – Die 7 Phasen eines Cyberangriffs verstehen

Die Cyber Kill Chain ist ein von Lockheed Martin entwickeltes Framework, das den typischen Ablauf eines gezielten Cyberangriffs in sieben aufeinanderfolgende Phasen unterteilt. Das Modell ermöglicht es Verteidigern, Angriffe zu analysieren, Erkennungsmechanismen für jede Phase zu implementieren und den Angriff möglichst früh in der Kette zu unterbrechen — je früher, desto geringer der Schaden.

Das Verständnis der Cyber Kill Chain ist fundamental für die strategische Ausrichtung von Sicherheitsmaßnahmen. Statt isolierter Einzelmaßnahmen ermöglicht das Modell eine Defence-in-Depth-Strategie: Mehrere Verteidigungslinien, die in jeder Phase greifen. Die DATUREX GmbH nutzt die Cyber Kill Chain und das MITRE ATT&CK Framework zur Analyse und Optimierung der Sicherheitsarchitektur unserer Kunden.

Ursprung und Hintergrund

Die Cyber Kill Chain wurde 2011 von Lockheed Martin in einem wissenschaftlichen Paper mit dem Titel „Intelligence-Driven Computer Network Defense“ veröffentlicht. Das Konzept adaptiert die militärische „Kill Chain“ — ein Modell zur Beschreibung der Phasen eines militärischen Angriffs — für den Cyberraum.

Die zentrale Erkenntnis: Ein erfolgreicher Cyberangriff durchläuft immer mehrere vorhersagbare Phasen. Wenn Verteidiger diese Phasen verstehen, können sie in jeder Phase Erkennungs- und Abwehrmechanismen implementieren. Der Angreifer muss alle Phasen erfolgreich durchlaufen — der Verteidiger muss den Angriff nur in einer einzigen Phase unterbrechen.

Die 7 Phasen der Cyber Kill Chain

Phase 1: Reconnaissance (Aufklärung)

Der Angreifer sammelt Informationen über das Ziel — passiv und aktiv:

• OSINT — Öffentlich verfügbare Informationen: Website, Social Media (LinkedIn!), Stellenanzeigen (Technologie-Stack), DNS-Records, WHOIS
• Technische Aufklärung — Port-Scans, Subdomain-Enumeration, Technologie-Fingerprinting, Schwachstellen-Scans
• Social Engineering Vorbereitung — Identifikation von Schlüsselpersonen, Organigramme, E-Mail-Formate, Lieferantenbeziehungen

Verteidigung: Minimierung des digitalen Fußabdrucks, Monitoring von Aufklärungsversuchen (Honeypots, Web-Logs), Mitarbeiter-Sensibilisierung für Social-Media-Risiken, regelmäßige OSINT-Assessments der eigenen Organisation

Phase 2: Weaponization (Bewaffnung)

Der Angreifer erstellt die Angriffswaffe — typischerweise Malware, die in ein Trägerdokument eingebettet wird:

• Erstellung individueller Malware oder Anpassung bekannter Tools (Cobalt Strike, Metasploit)
• Einbettung in Office-Dokumente (Makros), PDFs oder Bilder
• Erstellung von Phishing-Seiten und gefälschten Login-Portalen
• Vorbereitung von Exploits für identifizierte Schwachstellen
• Registrierung von Domains für Command & Control und Phishing (Typosquatting)

Verteidigung: Threat Intelligence über aktuelle Malware-Kampagnen, Sandbox-Analyse eingehender Dateien, Domain-Monitoring für Typosquatting

Phase 3: Delivery (Zustellung)

Die Angriffswaffe wird an das Ziel übermittelt:

• Phishing-E-Mails — Häufigster Vektor: manipulierte Anhänge oder Links. Über 90% aller Angriffe beginnen hier
• Watering Hole — Kompromittierung einer vom Ziel häufig besuchten Website
• Supply Chain — Angriff über kompromittierte Software-Updates oder Dienstleister
• USB/physisch — Präparierte USB-Sticks oder physischer Zugang
• Drive-by Download — Ausnutzung von Browser-Schwachstellen beim bloßen Besuch einer Website

Verteidigung: E-Mail-Security-Gateway, Web-Proxy mit URL-Filtering, Phishing-Awareness, EDR, Makro-Richtlinien

Phase 4: Exploitation (Ausnutzung)

Die Schwachstelle wird ausgenutzt, um Code auf dem Zielsystem auszuführen:

• Ausnutzung von Software-Schwachstellen (Browser, Office, OS) — oft Zero-Day-Exploits
• Execution durch Benutzerinteraktion (Makro-Aktivierung, Link-Klick)
• Ausnutzung von Fehlkonfigurationen
• Credential-basierter Zugang mit gestohlenen Zugangsdaten

Verteidigung: Patch-Management, Application Whitelisting, EDR, Makro-Richtlinien, Exploit Protection (ASLR, DEP)

Phase 5: Installation (Persistenz)

Der Angreifer etabliert dauerhaften Zugang zum kompromittierten System:

• Installation von Backdoors, Remote Access Tools (RATs)
• Registry-Einträge für Autostart-Persistenz
• Erstellung neuer Benutzerkonten
• Scheduled Tasks oder Cronjobs
• WMI-Subscriptions oder DLL-Hijacking
• Bootkit-Installation für Firmware-Level-Persistenz

Verteidigung: EDR mit Verhaltensanalyse, Application Control, PAM, Monitoring von Konfigurationsänderungen, File Integrity Monitoring

Phase 6: Command and Control (C2)

Das kompromittierte System verbindet sich mit der Infrastruktur des Angreifers:

• Verschlüsselte HTTPS-Verbindungen zu C2-Servern
• DNS-Tunneling zur Umgehung von Firewalls
• Nutzung legitimer Cloud-Dienste (GitHub, Dropbox, OneDrive) als C2-Kanal — schwer zu blockieren
• Domain Generation Algorithms (DGA) zur Verschleierung
• Tor-basierte Hidden Services für anonyme C2-Infrastruktur

Verteidigung: Egress-Filtering, DNS-Monitoring, SIEM-Korrelation, TI-basiertes Blocklisting von C2-Domains und IPs, SSL-Inspection

Phase 7: Actions on Objectives (Zielerreichung)

Der Angreifer erreicht sein eigentliches Ziel:

• Datenexfiltration — Diebstahl vertraulicher Daten (Geschäftsgeheimnisse, Kundendaten, Forschungsergebnisse)
• Ransomware — Verschlüsselung und Erpressung, oft kombiniert mit Datenexfiltration (Double Extortion)
• Sabotage — Zerstörung oder Manipulation von Systemen und Daten
• Spionage — Langfristige Überwachung und Informationsabfluss
• Laterale Bewegung — Ausweitung des Angriffs auf weitere Systeme im Netzwerk

Verteidigung: Netzwerksegmentierung, DLP, Incident Response, Backup und DR

Cyber Kill Chain vs. MITRE ATT&CK

Beide Frameworks ergänzen sich:

• Cyber Kill Chain — Lineares 7-Phasen-Modell, strategisch, beschreibt den Gesamtablauf eines Angriffs. Ideal für Management-Kommunikation und strategische Planung
• MITRE ATT&CK — Detaillierte Matrix mit hunderten Taktiken, Techniken und Sub-Techniken. Operativ, beschreibt das „Wie“ jeder Phase. Ideal für SOC-Teams und Erkennungsregel-Entwicklung

Die Cyber Kill Chain liefert den strategischen Rahmen, MITRE ATT&CK füllt ihn mit operativen Details.

Ergänzende Frameworks

Neben der Cyber Kill Chain und MITRE ATT&CK gibt es weitere relevante Frameworks:

• Unified Kill Chain — Erweitert die originale Kill Chain um 18 Phasen und berücksichtigt moderne Angriffstechniken besser
• Diamond Model — Beschreibt Angriffe als Beziehung zwischen Angreifer, Infrastruktur, Fähigkeit und Opfer
• NIST Cybersecurity Framework — Strukturiert Sicherheitsmaßnahmen in Identify, Protect, Detect, Respond, Recover

Kritik an der Cyber Kill Chain

Das Modell hat auch Limitierungen:

• Linearität — Moderne Angriffe verlaufen nicht immer linear. Angreifer springen zwischen Phasen oder führen Phasen parallel aus
• Perimeter-fokussiert — Das Modell fokussiert auf externe Angriffe und berücksichtigt Insider-Bedrohungen nur bedingt
• Fehlende Cloud-Perspektive — Cloud-basierte Angriffe folgen teilweise anderen Mustern (z.B. API-Missbrauch, IAM-Kompromittierung)
• Keine Laterale Bewegung — Die originale Kill Chain behandelt die Ausbreitung im Netzwerk nach der initialen Kompromittierung nur am Rande

Trotz dieser Kritik bleibt die Cyber Kill Chain ein unverzichtbares strategisches Werkzeug für die Kommunikation und Planung von Sicherheitsmaßnahmen.

Praktische Anwendung: Kill-Chain-Assessment

Ein Kill-Chain-Assessment bewertet systematisch die Verteidigungsfähigkeiten Ihres Unternehmens in jeder Phase:

1. Mapping — Für jede Phase: Welche Erkennungs- und Abwehrmechanismen sind implementiert?
2. Gap-Analyse — Wo fehlen Mechanismen? Welche Phasen sind unzureichend abgedeckt?
3. Priorisierung — Welche Lücken bergen das größte Risiko? (Orientierung an aktueller Bedrohungslandschaft)
4. Maßnahmenplan — Konkrete Maßnahmen zur Schließung der identifizierten Lücken
5. Validierung — Penetrationstests zur Überprüfung der implementierten Maßnahmen

Defence in Depth — Verteidigung in jeder Phase

Die Stärke der Cyber Kill Chain liegt darin, dass ein Angreifer alle 7 Phasen erfolgreich durchlaufen muss, während ein Verteidiger den Angriff in nur einer Phase unterbrechen muss:

• Phase 1-2 — Threat Intelligence, Angriffsflächen-Management
• Phase 3 — E-Mail-Security, Web-Filter, Awareness
• Phase 4-5 — Patching, EDR, Application Control
• Phase 6 — Netzwerk-Monitoring, DNS-Security, SIEM
• Phase 7 — Segmentierung, DLP, Incident Response

Die Cyber Kill Chain in der Praxis — Fallbeispiel

Zur Veranschaulichung ein typischer Ransomware-Angriff, analysiert entlang der Cyber Kill Chain:

Szenario: Ransomware-Angriff auf ein mittelständisches Unternehmen

1. Reconnaissance — Angreifer identifiziert über LinkedIn die IT-Abteilung und den genutzten E-Mail-Provider. Über die Unternehmenswebsite wird die eingesetzte Software (z.B. Microsoft Exchange) ermittelt
2. Weaponization — Ein Word-Dokument mit eingebettetem Macro wird erstellt, das bei Aktivierung Cobalt Strike herunterlädt. Das Dokument imitiert eine Rechnung des tatsächlichen Lieferanten
3. Delivery — Eine Phishing-E-Mail an die Buchhaltung mit dem präparierten Dokument als Anhang. Absender: gefälschte E-Mail-Adresse des echten Lieferanten
4. Exploitation — Ein Mitarbeiter öffnet das Dokument und aktiviert Makros. PowerShell wird ausgeführt und lädt die eigentliche Malware nach
5. Installation — Cobalt Strike Beacon wird installiert und etabliert Persistenz über einen Scheduled Task. Antivirus wird nicht ausgelöst (individuelle Payload)
6. Command & Control — Verschlüsselte HTTPS-Verbindung zu einem C2-Server. Traffic sieht aus wie normale HTTPS-Kommunikation
7. Actions on Objectives — Laterale Bewegung via Pass-the-Hash zu weiteren Systemen. Domain Admin kompromittiert. Datenexfiltration über mehrere Tage. Dann: Ransomware-Verschlüsselung aller Systeme. Lösegeldforderung: 500.000 €

Wo hätte der Angriff gestoppt werden können?

• Phase 3 (Delivery) — E-Mail-Security-Gateway hätte den verdächtigen Anhang in der Sandbox analysieren und blockieren können
• Phase 4 (Exploitation) — Makro-Richtlinie hätte die Ausführung von Makros in Dokumenten aus externen Quellen verhindern können
• Phase 5 (Installation) — EDR hätte die verdächtige PowerShell-Aktivität und die Cobalt-Strike-Installation erkannt
• Phase 6 (C2) — DNS-Monitoring und Egress-Filtering hätten die C2-Kommunikation blockiert
• Phase 7 (Action) — Netzwerksegmentierung hätte die laterale Bewegung eingeschränkt, MFA hätte Pass-the-Hash verhindert

Dieses Beispiel zeigt: Es gab in jeder Phase eine Möglichkeit, den Angriff zu stoppen. Ein einzelner Kontrollpunkt hätte gereicht — aber keiner war vorhanden oder wirksam konfiguriert.

Cyber Kill Chain und Schutzziele

Die einzelnen Phasen der Cyber Kill Chain bedrohen die Schutzziele der Informationssicherheit in unterschiedlicher Weise:

• Vertraulichkeit — Primär bedroht in Phase 1 (Aufklärung) und Phase 7 (Datenexfiltration)
• Integrität — Bedroht ab Phase 4 (Exploitation) durch Manipulation von Systemen und Daten
• Verfügbarkeit — Bedroht in Phase 7 durch Ransomware, Sabotage oder DDoS als Ablenkungsmanöver

Die Cyber Kill Chain für das Management

Einer der größten Vorteile der Cyber Kill Chain ist ihre Eignung für die Kommunikation mit der Geschäftsführung. Das Modell ermöglicht es, komplexe Sicherheitskonzepte verständlich zu erklären:

• Investitionsbegründung — „Wir haben in Phase 3 und 6 keine Erkennungsmechanismen — ein Angreifer kann diese Phasen unbemerkt durchlaufen“
• Risikobewertung — „Unsere aktuelle Verteidigung stoppt Angriffe erst in Phase 7 — dann ist der Schaden bereits eingetreten“
• Priorisierung — „Investment in Phase-3-Kontrollen (E-Mail-Security) würde 90% der Angriffe stoppen, bevor sie überhaupt beginnen“
• Erfolgsmessung — „Letztes Quartal haben wir 15 Angriffe in Phase 3 gestoppt und 3 in Phase 4 — unser Defence-in-Depth funktioniert“

Das Modell hilft auch bei NIS2-Compliance: Die Richtlinie fordert „angemessene und verhältnismäßige technische und organisatorische Maßnahmen“ — die Kill-Chain-Analyse zeigt systematisch, wo Maßnahmen fehlen und welche Priorität sie haben.

DATUREX GmbH — Kill-Chain-basierte Sicherheitsberatung

• Kill Chain Assessment — Bewertung Ihrer Verteidigungsfähigkeiten in jeder Phase
• Gap-Analyse — Identifikation fehlender Erkennungs- und Abwehrmechanismen
• Maßnahmenplanung — Priorisierte Roadmap zur Schließung der identifizierten Lücken
• ATT&CK Mapping — Detaillierte Analyse Ihrer Verteidigung gegen relevante Techniken
• ISMS-Integration — Kill-Chain-basiertes Risikomanagement
• Sicherheitsberatung — Ganzheitliche Analyse und strategische Planung

Cyber Kill Chain Phasen im Detail — Angriffsmuster und Gegenmaßnahmen

Ein tiefes Verständnis der einzelnen Phasen eines Cyberangriffs ermöglicht es Sicherheitsteams, zielgerichtete Gegenmaßnahmen für jeden Angriffsschritt zu entwickeln. Während das 7-Phasen-Modell nach Lockheed Martin den strategischen Überblick liefert, zeigt die Detailanalyse, wie konkrete Angriffstechniken in der Praxis ablaufen — und wo Verteidiger am effektivsten eingreifen können.

Phase 1 & 2: Aufklärung und Bewaffnung als kritische Frühphase

Die ersten beiden Phasen entscheiden über Erfolg oder Misserfolg eines Angriffs. In der Reconnaissance-Phase sammelt der Angreifer systematisch Informationen: Technologie-Stack, Mitarbeiterstruktur, Lieferantenbeziehungen und exponierte Services. Moderne Angreifer nutzen dabei KI-gestützte OSINT-Tools, die innerhalb von Minuten vollständige Unternehmensprofile erstellen können.

Die Weaponization-Phase ist für Verteidiger besonders schwer zu erkennen, da sie vollständig außerhalb der eigenen Infrastruktur stattfindet. Advanced Persistent Threats (APTs) investieren oft Wochen in die Entwicklung individueller Malware, die speziell darauf ausgelegt ist, die Erkennungsmechanismen des Zielunternehmens zu umgehen. Regelmäßige IT-Sicherheitschecks helfen, die eigene Angriffsfläche zu kennen und zu minimieren.

Phase 3 & 4: Zustellung und Exploitation stoppen

Die Delivery-Phase bietet die erste realistische Erkennungs- und Blockierungsmöglichkeit innerhalb der eigenen Kontrolle. Über 90 % aller erfolgreichen Cyberangriffe starten mit einer Phishing-E-Mail. E-Mail-Security-Gateways mit Sandbox-Analyse, DMARC/DKIM/SPF-Implementierung und Phishing-Simulationen sind hier die effektivsten Gegenmaßnahmen.

In der Exploitation-Phase entscheidet die Qualität des Schwachstellenmanagements. Zero-Day-Exploits sind selten — die Mehrzahl der ausgenutzten Schwachstellen sind bekannte Sicherheitslücken mit verfügbaren Patches. Ein strukturiertes Patch-Management mit klaren SLAs (z. B. kritische Patches innerhalb von 24 Stunden) reduziert das Angriffsfenster drastisch.

Phase 5–7: Persistenz, C2 und Zielerreichung verhindern

Sobald ein Angreifer die Installations-Phase erfolgreich abschließt, hat er dauerhaften Zugang zum Zielsystem. EDR-Lösungen mit verhaltensbasierter Erkennung sind hier wichtig — sie erkennen verdächtige Aktivitäten wie ungewöhnliche Registry-Änderungen, Scheduled-Task-Erstellungen oder DLL-Injektionen in Echtzeit.

Die Command-and-Control-Phase ist für viele Unternehmen eine blinde Zone: Infizierte Systeme kommunizieren oft über HTTPS oder legitime Cloud-Dienste mit Angreifer-Infrastruktur. SIEM-Systeme mit Verhaltensanalyse und Machine-Learning-Komponenten erkennen diese anomalen Kommunikationsmuster durch Baseline-Vergleiche — selbst wenn der Traffic auf den ersten Blick legitim wirkt.

In der finalen Actions-on-Objectives-Phase versucht der Angreifer sein Ziel zu erreichen: Datenexfiltration, Ransomware-Verschlüsselung oder Sabotage. Netzwerksegmentierung, DLP-Systeme und ein funktionierendes Incident-Response-Konzept sind die letzte Verteidigungslinie — aber mit einem gut aufgestellten ISMS hätte der Angriff lange vorher gestoppt werden können.

Häufig gestellte Fragen zur Cyber Kill Chain (FAQ)