14. Jan 2025

Cyber Kill Chain - Teil

Vorsätze fürs neue Jahr gesucht? Wie wäre es mit neuem Wissen zu Cybersicherheit? Denn laut BSI ist und war die Lage der IT-Sicherheit in Deutschland besorgniserregend und stellt unsere digitale Infrastruktur vor immer neue Herausforderungen. Und mit der fortschreitenden Digitalisierung wächst auch die Angriffsfläche.
1060 x 710 Master Brechtel Julia

Author

Julia Brechtel

Cyber security month

Den Start ins neue Jahr möchten wir bei Accso zum Anlass nehmen, um für das Thema Cyber Security zu sensibilisieren. In den kommenden vier Wochen erwartet euch daher eine interessante Blogreihe zur Cyber Kill Chain. In insgesamt vier Blogposts werden wir verschiedene Phasen eines Cyberangriffs beleuchten und aufzeigen, wie Angreifer vorgehen, um Unternehmen anzugreifen.

Was ist die Cyber Kill Chain? 

Die Cyber Kill Chain ist ein mehrstufiges Modell, das von Lockheed Martin entwickelt wurde, um die Phasen eines Cyberangriffs zu beschreiben. Es hilft, Angriffe zu erkennen und abzuwehren, indem es die typischen Schritte eines Angreifers aufzeigt. Wir haben die Stufen aus Lockheeds Modell in vier Phasen gebündelt, die wir in dieser Serie behandeln, nämlich:  

  • Identifizierung des Ziels (Reconnaissance)  
  • Vorbereitung des Angriffs (Weaponization)  
  • Erste Schritte zur Durchführung (Delivery) und systematisches Aufspüren von Sicherheitslücken (Exploitation) 
  • Ausführen des Angriffs und Zielerreichung (Installation, Command & Control, Actions on Objectives) 

 

Phase 1: Identifizierung des Ziels 

In der ersten Phase sammelt der:die Angreifer:in Informationen über das Ziel. Dies wird auch als „Reconnaissance“ bezeichnet. Ziel ist es, so viele Details wie möglich über die Organisation, ihre Mitarbeiter und ihre IT-Infrastruktur zu erfahren. Angreifer:innen nutzen hierbei verschiedene Techniken, darunter: 

Open Source Intelligence (OSINT): Durchsuchen von öffentlich zugänglichen Informationen wie Suchergebnisse bei Google, Unternehmenswebseiten, privat und beruflich genutztes Social Media, Handelsregistereinträge, Informationen aus dem Bundesanzeiger oder Pressemitteilungen und Jobanzeigen. 

Social Engineering: Kontaktaufnahme zu Mitarbeiter:innen, um für den Angreifer:innen nützliche Informationen (z.B. zum Organigramm) preiszugeben. 

Technische Aufklärung: Scannen von IT-Netzwerken und Systemen, um Schwachstellen zu identifizieren. 

 

Fallbeispiel: Unternehmen im Visier 

Stellen wir uns vor, ein Angreifer hat ein bestimmtes Unternehmen ins Visier genommen. Er beginnt mit einer gründlichen Untersuchung öffentlicher Informationen und findet heraus, welche Leistungen das Unternehmen anbietet. Er recherchiert zu Mitarbeiter:innen und entdeckt, dass viele von ihnen regelmäßig an Konferenzen und Webinaren teilnehmen, was ihm potenzielle Angriffsflächen bietet. Außerdem bekommt er darüber Hinweise auf die verwendeten Programmiersprachen und Technologien, die im Unternehmen eingesetzt werden und als Einfallstor dienen könnten.  

 

Wie kann man vorbeuten? 

Öffentlichkeitsarbeit ist für Unternehmen unerlässlich. Daher geht es in erster Linie darum, sich bewusst zu machen, welche Informationen öffentlich – und somit auch für Angreifer:innen – verfügbar sind. Interne oder Kundeninformationen dürfen nicht veröffentlicht werden. 

Im nächsten Teil der Blogserie erklären wir euch, wie die Cyberkriminellen die gefundenen Daten verwenden, um ihren Angriff vorzubereiten.