Angriffsphasen verstehen: Cyber-Kill-Chain in Unternehmens-IT und Industrieanlagen

Cyberangriffe folgen einem erkennbaren Muster, das sich systematisch in Phasen unterteilen lässt. Das etablierte Kill-Chain-Modell bietet Sicherheitsverantwortlichen einen Rahmen zur Analyse und Verteidigung. Wie IT-Forensiker der intersoft consulting services aktuell berichten, unterscheiden sich Attacken auf Unternehmens-IT erheblich von jenen auf industrielle Steuerungssysteme. Die Kenntnis dieser Unterschiede ist entscheidend für wirksamen Schutz.

Das Phasenmodell für Cyberangriffe

Experten von Lockheed Martin, darunter Eric M. Hutchins, Michael J. Cloppert und Rohan M. Amin, haben ein Modell entwickelt, das militärische Strategiekonzepte auf digitale Bedrohungen überträgt. Der Ablauf gliedert sich in sieben Schritte:

• Reconnaissance
• Weaponization
• Delivery
• Exploitation
• Installation
• Command and Control
• Actions on Objectives

Obwohl jeder Angriff individuell verläuft, liefert diese Einteilung wertvolle Anhaltspunkte für Abwehrstrategien. Ergänzend nutzen Sicherheitsexperten das MITRE ATT&CK Framework zur detaillierten Bedrohungsanalyse.

Grafik Quelle: intersoft consulting services

Ablauf eines strukturierten Cyberangriffs

Phase 1: Reconnaissance

Der Angriff beginnt mit systematischer Informationsbeschaffung. Angreifer scannen Netzwerke, recherchieren öffentlich zugängliche Daten und setzen teils psychologische Manipulationstechniken ein. Je umfassender diese Vorarbeit, desto höher die Erfolgsaussichten der folgenden Schritte.

Phase 2: Weaponization

Basierend auf den gewonnenen Erkenntnissen entwickeln Angreifer maßgeschneiderte Schadprogramme. Diese kombinieren zwei Elemente: einen Mechanismus zur Ausnutzung entdeckter Schwachstellen und Komponenten für den Fernzugriff.

Phase 3: Delivery

Der Transport der Schadsoftware zum Ziel erfolgt über verschiedene Wege. Präparierte E-Mail-Anhänge mit versteckten Makros gehören zu den gängigsten Methoden, um Zugang zur Infrastruktur zu erlangen.

Phase 4: Exploitation

Hier erfolgt die aktive Ausnutzung von Sicherheitslücken. Gelingt dieser Schritt, können Angreifer erstmals eigene Programme auf fremden Systemen ausführen und damit die Kontrolle übernehmen.

Phase 5: Installation

Die dauerhafte Verankerung im System schafft persistenten Zugriff. Angreifer bereiten damit die Basis für weitere Aktivitäten und die laterale Bewegung innerhalb der Netzwerkinfrastruktur.

Phase 6: Command and Control

Ein etablierter Kommunikationskanal ermöglicht die Steuerung aus der Ferne. Über diese Verbindung erfolgen weitere Anweisungen und der kontinuierliche Austausch mit dem kompromittierten System.

Phase 7: Actions on Objectives

In der finalen Phase verwirklichen Angreifer ihre eigentlichen Absichten: Informationsdiebstahl, Systemsabotage oder Erpressung durch Verschlüsselung. Bei Zielen in der Betriebstechnik markiert dieser Punkt häufig den Übergang zu einer erweiterten Angriffsstrategie.

Grafik Quelle: intersoft consulting services

Angriffe auf industrielle Steuerungen

Operational Technology umfasst Systeme zur Prozessüberwachung und -steuerung in industriellen Umgebungen. Angriffe auf Industrial Control Systems weisen typischerweise einen zweiphasigen Charakter auf.

Nach erfolgreicher Kompromittierung der Unternehmens-IT als Einstiegspunkt folgt der Wechsel zur operativen Technologieebene. Dies verlangt spezialisiertes Fachwissen über häufig einzigartige Systemarchitekturen. Im Gegensatz zu Standard-IT reagieren diese Umgebungen deutlich sensibler auf Eingriffe.

Fehlkalkulationen können gravierende und unvorhersehbare Auswirkungen nach sich ziehen. Die erhöhte Komplexität führt dazu, dass zwischen den Angriffsstufen mitunter erhebliche Zeiträume liegen.

Entwicklung und Anpassung

Angreifer nutzen die gesammelten Informationen über Hardware und Konfigurationen, um Testumgebungen aufzubauen. Diese Simulationen erlauben die Erprobung von Schadprogrammen unter realitätsnahen Bedingungen vor dem tatsächlichen Einsatz.

Validierung

Tests auf vergleichbarer oder baugleicher Hardware stellen sicher, dass die Schadsoftware funktioniert, keine Alarmsysteme aktiviert und keine unbeabsichtigten Schäden verursacht, bevor die eigentlichen Ziele erreicht werden.

Durchführung des ICS-Angriffs

Die finale Umsetzung bringt die vorbereitete Schadsoftware in den Zielsystemen zum Einsatz. Angriffsziele gliedern sich in drei Hauptkategorien: physische Zerstörung, Verlust der Systemkontrolle und gezielte Manipulation von Prozessen.

Die Konsequenzen übersteigen häufig jene von Angriffen auf klassische IT-Infrastruktur. Während eine Überlastungsattacke auf Unternehmensnetzwerke erhebliche Beeinträchtigungen verursacht, können Eingriffe in industrielle Steuerungen im schlimmsten Fall Menschenleben gefährden.

Wesentliche Unterschiede

Die Anforderungen an IT-Sicherheit und OT-Sicherheit divergieren erheblich. Klassische IT-Umgebungen profitieren von Agilität und raschen Anpassungsmöglichkeiten, während Industriesysteme vertiefte Spezialkenntnisse erfordern.

Jede Phase des Angriffsmodells eröffnet Möglichkeiten für Gegenmaßnahmen. Frühzeitiges Erkennen und Unterbrechen in initialen Phasen verringert potenzielle Schäden maßgeblich.

Die Eigenheiten industrieller Steuerungen stellen aufgrund ihrer Komplexität und der weitreichenden Folgen möglicher Störungen besondere Herausforderungen an Sicherheitskonzepte.

Strategische Konsequenzen

Effektive Schutzkonzepte vereinen IT- und OT-Sicherheitsansätze. Getrennte Strategien greifen angesichts vernetzter Infrastrukturen zu kurz.

Permanente Weiterentwicklung der Abwehrmaßnahmen und systematische Qualifizierung der Mitarbeiter sind unverzichtbar. Sich wandelnde Bedrohungslagen erfordern kontinuierliche Fortbildung und Bewusstseinsbildung.

Die konsequente Umsetzung dieser Prinzipien stärkt die Sicherheitsposition nachhaltig und reduziert die Wahrscheinlichkeit erfolgreicher Kompromittierungen.

Häufig gestellte Fragen

Was beschreibt die Cyber-Kill-Chain?

Das Modell strukturiert den Verlauf digitaler Angriffe in sieben aufeinanderfolgende Phasen. Entwickelt von Lockheed Martin, unterstützt es die systematische Analyse von Bedrohungen und die Entwicklung passgenauer Schutzmaßnahmen für IT- und OT-Bereiche.

Wie unterscheiden sich Angriffe auf IT und OT?

Angriffe auf Unternehmens-IT setzen auf Schnelligkeit und Flexibilität. Attacken auf industrielle Steuerungen verlangen umfassendes Verständnis spezialisierter Systeme und bergen aufgrund möglicher physischer Konsequenzen höhere Risiken bei Ausführung und Abwehr.

Warum ist die Exploitation-Phase kritisch?

In diesem Schritt gelingt Angreifern erstmals die Ausführung eigenen Codes durch Ausnutzung identifizierter Schwachstellen. Sie bildet den Übergang von Vorbereitung zu aktivem Eindringen und prägt den weiteren Verlauf der Attacke entscheidend.

Auch interessant:

---