Unkategorisiert

Cyber Kill Chain: Was kann der Notfallplan aus der Rüstungsindustrie im Ernstfall wirklich leisten?

Cyberangriffe auf Unternehmen sind stets eine heikle Angelegenheit. Zunächst gilt es selbige zu erkennen und im Anschluss müssen sie im besten Fall vollständig verhindert oder zumindest nachvollzogen werden können. Genau dafür ist die sogenannte Cyber Kill Chain zuständig.

Was es mit der Cyber Kill Chain auf sich hat und wie die Cyber Kill Chain dafür verwendet werden kann, um mit entsprechenden Angriffen umzugehen, möchten wir Ihnen heute ein wenig genauer erläutern. Denn eines ist ganz klar und unumstritten, das Modell der Cyber Kill Chain hat Sicherheitsexperten das Leben deutlich vereinfacht. Vor allem aber visualisiert es hervorragend, was bei Angriffen notwendig ist, um selbige zu vereiteln.

Cyber Kill Chain kurz und knapp erklärt

Entwickelt wurde die Cyber Kill Chain von der Lockheed Martin Corporation, einem amerikanischen Rüstungsunternehmen. Sie dient primär dazu, die erkannten Cyberangriffe zu beschreiben und diese in mehrere Stufen zu unterteilen. Mittels Cyber Kill Chain wird nachvollzogen, wie Angreifer immer tiefer in die Systeme eindringen und sich auf diese Weise Zugriff verschaffen.

Die Cyber Kill Chain soll diesbezüglich vor allem Handlungsmaßnahmen vorschlagen, um die entsprechenden Cyberangriffe erfolgreich abwehren oder gar verhindern zu können. Da die Kill Chain ein militärisches Konzept ist, legt sie die Eliminierung des Ziels, in diesem Falle die Beendigung des Angriffs nahe.

Im Grunde spricht die Cyber Kill Chain von sieben unterschiedlichen Ebenen, die Angreifer erfolgreich absolvieren müssen. Die Verteidiger hingegen können Angriffe vereiteln, wenn es ihnen gelingt, eine dieser Ebenen oder auch Phasen zu unterbrechen. Die Cyber Kill Chain verdeutlicht dabei die Cyberangriffe also noch einmal spürbar.

Wobei die Cyber Kill Chain hilfreich ist

Wie zuvor schon angedeutet, dient die Cyber Kill Chain insbesondere dafür, um Cyberangriffe übersichtlich darzustellen. Durch die verschiedenen Phasen eines Angriffs, ist immer klar, wie weit der entsprechende Angriff bereits vorangeschritten ist und was möglich ist, um entsprechende Gegenmaßnahmen einzuleiten. Damit dient die Cyber Kill Chain immer auch der übersichtlichen Darstellung, was bei der Planung für Gegenmaßnahmen entsprechend hilfreich ist.

Mithilfe der Cyber Kill Chain wird ein Angriff dann in Phasen unterteilt. Hilfreich ist die Cyber Kill Chain auch hier wieer vorwiegend deshalb, weil sie eine Übersicht gewährt und den Blickwinkel verändert. Dadurch, dass gewissermaßen die Täterperspektive eigenommen wird, entsteht ein Blick für die Details des jeweiligen Angriffs. Außerdem wird sofort klar, in welchem Stadium sich dieser zurzeit befindet.

In Unternehmen hilft die Cyber Kill Chain dabei, eine stufenweise Analyse und Erkennung schwer identifizierbarer Angriffe und Szenarien zu ermöglichen. Das fördert nicht nur die Sicherheitskultur unter den Mitarbeitern, sondern schafft auch ein erweitertes Verständnis der entsprechenden Angriffe.

7 Phasen der Cyber Kill Chain im Detail

Nun haben wir Ihnen bereits erläutert, dass die von Lockhead Martin aufgestellte Cyber Kill Chain sieben sogenannte Phasen oder auch Stufen enthält. Doch welche das genau sind, darüber haben wir bislang noch kein Wort verloren. Dies soll sich im folgenden Absatz nun ändern.

Schauen wir uns die sieben Angriffsstufen der Cyber Kill Chain also noch einmal genauer an und klären die entsprechenden Details dazu. Jede Phase hat einen Aspekt, auf den es in dieser Phase ankommt. Doch Sie werden gleich schon ziemlich schnell erkennen, warum das so ist und vor allem auch, welche Facette der jeweiligen Phase am bedeutendsten ist.

1. Identifizierung

Der Angreifer wählt sein Ziel aus und erstellt ein umfangreiches Profil über sein Opfer. Das können Kontaktdaten, Adressen, Social Media Accounts oder ähnlich sensible Informationen sein. Auch über das Unternehmen, seine Position dort oder die IT-Sicherheit und die IT-Systeme im allgemein werden entsprechende Informationen hinterlegt.

Verteidigung: Diese Phase wird verteidigt, indem Mitarbeiter bestmöglich darüber aufgeklärt werden, dass keine sensiblen Informationen frei zugänglich veröffentlicht werden sollten. Auch die Daten, die das Unternehmen selbst von sich preisgibt, können und sollten stark eingeschränkt werden. Je weniger bekannt ist (beispielsweise verwendete Software etc.), desto schwieriger ist es Sicherheitslücken zu finden und diese aktiv auszunutzen.

2. Vorbereitung

Ist das Ziel identifiziert, gilt es den Angriff vorzubereiten. Was soll erbeutet werden? Geht es um Daten, soll Geld mittels Verschlüsselungstrojaner erpresst werden oder ist es das Ziel, das gesamte IT-System im Unternehmen lahmzulegen? Die jeweiligen Programme werden also erstellt, programmiert und auf das ausgewählte Ziel konfiguriert.

Verteidigung: Angriffe können durch genaue Analyse erkannt und dann auch zeitnah verhindert werden. Wichtig ist es, diese Angriffe früh genug zu erkennen und dann beobachten zu können. Anschließend wird geschaut und begutachtet, welche Auswirkungen der Angriff aktuell bereits hatte oder noch haben wird. Eine Einschätzung wird vollzogen.

3. Durchführung des Angriffs

In Phase drei wird die geplante und vorbereitete Cyberattacke vom Angreifer entsprechend ausgeführt. Dies geschieht auf Basis der zuvor gesammeltem Informationen. Zugangsdaten können per Phishing eingeholt werden oder zum Beispiel auch über die recherchierten Accounts in den sozialen Medien und Co. Jetzt wird es ernst, denn ein gut geplanter Angriff hat große Chancen auf Erfolg.

Verteidigung: Meist sind es Analyse-Engines, die Ausschläge oder Auffälligkeiten anzeigen und so Attacken frühzeitig erkennen können. Auffälligkeiten sollten in der IT-Sicherheit immer erkannt werden. Wird die Cyberattacke entdeckt, bevor die Auswirkungen überhandnehmen, bleibt das Unternehmensnetzwerk sicher. Wichtig ist herauszufinden, welche Intention der Angreifer hatte und welche Daten für ihn von Wert waren. Wer sich vor einer erneuten Attacke schützen will, sollte dies unbedingt herausfinden.

4. Aufspüren von Sicherheitslücken

Hat er seinen Angriff umgesetzt, gilt es im Zielsystem nach Schwachstellen und Sicherheitslücken Ausschau zu halten. Im Zuge einer Kompromittierung bedarf es mehr als nur einen Angriff, denn der Angriff selbst soll nach Möglichkeit im Verborgenen stattfinden. Wurden Passwörter oder Zugänge via Phishing ergattert, kann nun nach Lücken im IT-System gesucht werden, die anfällig für einen weiteren Zugriff sind.

Verteidigung: Hier hilft es nur, die entsprechenden Sicherheitslücken selbstständig zu bemerken. Gerade Unternehmen sollten mit regelmäßigen Pentests dafür sorgen, dass Sicherheitslücken und Schwachstellen frühzeitig erkannt werden können. Sind diese erst einmal gefunden, kann an der Schließung der Lücken gearbeitet werden.

5. Backdoor Implementierung

In Phase fünf gilt es eine Backdoor zu installieren. Zum Beispiel einen Trojaner. Im Zielsystem soll bei diesem Schritt eine entsprechende Backdoor platziert werden, die einen Zugriff seitens des Angreifers noch einfacher und vor allem jederzeit möglich macht. Die Backdoor Implementierung ist wichtig für die Erreichung des Ziels.

Verteidigung: Verhindert werden kann so etwas durch entsprechende Zertifizierung und Zertifikate, aber auch mit lückenloser Überwachung der IT-Systeme. Bei einem Angriff oder Zugang fällt in der Regel immer etwas aus dem Raster und dies gilt es so früh wie nur möglich zu erkennen.

6. Fernsteuerung

Sind die schadhaften Programme installiert und ist der Zugang und Zugriff auf die IT-Systeme gesichert, gibt es kaum noch etwas, was Angreifer nicht können. Damit beginnt die Fernsteuerung des Zielsystems und es folgt nur noch ein Schritt, der den Erfolg des Angriffs zumindest einschränken kann.

Verteidigung: Es gilt schnellstmöglich herauszufinden, welche Angriffsvektoren die Schadsoftware genau verwendet. Mit diesem Wissen wiederum, lassen sich explizite Handlungsempfehlungen aussprechen, die für die betroffenen Unternehmen bei der Bekämpfung oder Eindämmung etwaiger Angriffe von Vorteil sind.

7. Erfolg

Der letzte Schritt, also Phase sieben, betrifft die eigentliche Zielerreichung des Angreifers. Er hat sich Zugriff verschafft und kann nun Schaden anrichten, Daten ableiten, Spionage oder Sabotage vollziehen. Das Ziel ist erreicht und mit der erfolgreichen Cyberattacke kann er tun, weswegen er den Angriff überhaupt erst gestartet hat.

Verteidigung: Das ist die schlimmste anzunehmende Situation. Jetzt zeigt sich, wie das eigene Unternehmen aufgestellt ist. Unternehmen mit funktionierender Sicherheitsabteilung wissen auch jetzt noch, was zu tun ist. Die Handlungsschritte im Notfall sind klar gesetzt und alle Abläufe sind jedem im IT-Bereich klar. Durch Analysen, konkrete Mechanismen und Handlungen, kann der Angriff immer noch gestoppt werden. Wichtig ist hier auch, dass alle Verantwortlichkeiten klar vergeben sind. Weiß eine Person im Team jetzt nicht, was sein Aufgabenbereich ist, scheitert die Verteidigung in letzter Sekunde womöglich an nicht geklärten Hirachien.

Cyber Kill Chain verstehen lernen

Am Ende ist die Cyber Kill Chain als eine Art Leitfaden zu verstehen. Sie verdeutlicht, was bei einer Cyberattacke oft untergeht. Nämlich, dass der Kampf zu keinem Zeitpunkt einfach verloren ist. Ein Angriff bedeutet am Ende nur, dass die IT-Abteilung entsprechend reagieren muss.

Die unterschiedlichen Stufen oder auch Phasen der Cyber Kill Chain sind hier extrem hilfreich, um dies allen Mitarbeitern der IT-Sicherheit entsprechend zu vermitteln. In jeder Phase kann der Angriff weiterhin verhindert oder eben eingeschränkt werden. Wichtig ist nur ein klares Handeln und das Wissen darüber, was genau in dieser Phase am meisten hilft.

Schlussendlich verdeutlicht die Cyber Kill Chain nur noch einmal, um was es bei einer Cyberattacke geht und welche Schritte bis zum Ziel notwendig sind. Als eine Art Leitfaden und Erstanleitung, um im Panikfall Ruhe zu bewahren und gelassen reagieren zu können.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.