Die Cyber Kill Chain: Die 7 Stadien moderner Cyberangriffe verstehen

Die Cyber-Kill-Chain ist ein Rahmenkonzept für die Cybersicherheit, das Cyberangriffe in aufeinanderfolgende Phasen unterteilt, von der anfänglichen Zielrecherche bis hin zum Datendiebstahl oder zur Systemstörung. Das Rahmenkonzept, das ursprünglich 2011 von Lockheed Martin aus der militärischen Zielerfassungsdoktrin adaptiert wurde, hilft Sicherheitsteams zu verstehen, wie sich Angriffe entwickeln und an welchen Stellen sie abgewehrt werden können.

Das Modell ist nach wie vor weit verbreitet, da es eine zentrale Schwachstelle für Angreifer aufzeigt: Jede Phase ist vom Erfolg der vorhergehenden abhängig. Dadurch entstehen zahlreiche Ansatzpunkte, an denen eine einzige Abwehrmaßnahme eine gesamte Angriffsoperation zum Scheitern bringen kann.

In diesem Leitfaden wird erläutert, wie die Cyber-Kill-Chain funktioniert, was die einzelnen sieben Phasen beinhalten, wo das Rahmenwerk Grenzen stößt und wie Sicherheitsteams, SOC-Analysten und CISOs es in Verbindung mit modernen Ansätzen wie MITRE ATT&CK verhaltensbasierter KI-Erkennung anwenden können.

So funktioniert die Cyber-Kill-Chain

Die Cyber-Kill-Chain funktioniert nach einem einfachen Prinzip: Angreifer müssen jede Phase nacheinander durchlaufen, um ihr Ziel zu erreichen. Dieser lineare Ablauf schafft natürliche Engpässe, an denen Verteidiger die Operationen des Angreifers erkennen, verhindern, stören oder eindämmen können, bevor Schaden entsteht.

Praktiker unterteilen die „Kill Chain“-Verteidigung häufig in zwei strategische Zonen, je nachdem, wo im Verhältnis zur Ausnutzungsphase – dem Zeitpunkt, an dem die tatsächliche Kompromittierung stattfindet – eingegriffen wird.

Das Prinzip der mehrschichtigen Verteidigung fügt sich nahtlos in diese Methodik ein. Anstatt sich auf eine einzige Kontrollmaßnahme zu verlassen, setzen Unternehmen sich überschneidende Abwehrmaßnahmen ein, die auf verschiedene Phasen abzielen:

• E-Mail-Sicherheitsmaßnahmen beeinträchtigen die Zustellung
• Endpoint verhindert Angriffe
• Die Netzwerküberwachung erkennt Befehls- und Kontrollaktivitäten
• Die Datenverlustprävention verhindert die Exfiltration

Wenn eine Kontrollinstanz versagt, können andere die Kette dennoch unterbrechen. Dieser mehrschichtige Ansatz macht die Kill-Chain-Verteidigung praktikabel, denn kein einzelnes Instrument muss perfekt sein.

Die 7 Phasen der Cyber-Kill-Chain

Die „Cyber Kill Chain“ von Lockheed Martin definiert sieben Phasen, denen die meisten Cyberangriffe folgen. Jede Phase steht für einen bestimmten Abschnitt der Angreiferaktivitäten und bietet den Verteidigern eine entsprechende Gelegenheit zum Eingreifen. Auch wenn die Angreifer seit 2011 immer raffinierter vorgehen, können sie diese Phasen nach wie vor nicht überspringen, sondern lediglich verkürzen oder verschleiern.

Phase 1: Erkundung

Die Erkundungsphase ist die Anfangsphase, in der Angreifer Informationen über potenzielle Ziele sammeln. Dazu gehören sowohl die passive Informationsbeschaffung – das Durchsuchen von sozialen Medien, Unternehmenswebsites und öffentlichen Datenbanken – als auch die aktive Erkundung mittels Netzwerkscans und Social Engineering. Bei der modernen Erkundung kommen automatisierte Tools zum Einsatz, die innerhalb weniger Minuten ein Profil einer gesamten Organisation erstellen können.

Wichtige Abwehrmaßnahmen: Reduzierung der Angriffsfläche, Überprüfung des digitalen Fußabdrucks, operative Sicherheit (OPSEC) sowie Täuschungstechnologien

Phase 2: Einsatz als Waffe

Bei der Weaponisierung erstellen oder beschaffen sich Angreifer ihre Angriffs-Payload, indem sie Exploits mit Fernzugriffstools kombinieren. Diese Phase findet vollständig in der Umgebung des Angreifers statt, wodurch eine direkte Erkennung unmöglich ist. Bei der modernen Weaponisierung kommen zunehmend legitime Tools und „Living-off-the-Land“-Techniken zum Einsatz, während Ransomware schlüsselfertige Angriffspakete bereitstellen.

Kernelemente der Verteidigung: Bedrohungsinformationen, Beobachtung von Exploit-Trends, Communities zum Informationsaustausch

Phase 3: Lieferung

Die Auslieferung ist die Übertragungsphase, in der Angreifer ihre schädliche Nutzlast an das Ziel senden. E-Mails sind nach wie vor der vorherrschende Übertragungsweg, doch Angreifer nutzen zunehmend auch Web-Downloads, Kompromittierungen der Lieferkette, den Missbrauch cloud und USB-Geräte. SEO-Poisoning, bei dem Suchmaschinenergebnisse manipuliert werden, um bösartige Download-Seiten vor legitimen anzuzeigen, hat sich zu einem immer häufiger genutzten webbasierten Übertragungskanal entwickelt, der das vertrauensvolle Suchverhalten der Nutzer ausnutzt, um E-Mail-Filter vollständig zu umgehen. Phishing - und phishing nehmen weiter zu, da Social Engineering die technischen Übermittlungsmethoden verbessert. Unternehmen müssen davon ausgehen, dass einige Übermittlungsversuche erfolgreich sein werden.

Wichtige Sicherheitsmaßnahmen: E-Mail-Filterung, Web-Proxys, endpoint , Schulungen zur Sensibilisierung der Benutzer

Phase 4: Verwertung

Durch die Ausnutzung der Schwachstelle wird der Code des Angreifers ausgeführt – in diesem Moment wird aus dem theoretischen Risiko eine tatsächliche Kompromittierung. Zu den Angriffszielen gehören ungepatchte Software, Fehlkonfigurationen, Standard-Anmeldedaten und menschliche Psychologie. Account-Takeover- en durch phishing Brute-Force-Angriffe auf Anmeldedaten ermöglichen einen authentifizierten Zugriff, der herkömmliche Exploit-Erkennung vollständig umgeht, da sich der Angreifer einfach mit gültigen Anmeldedaten anmeldet, anstatt eine Schwachstelle auszulösen. Cloud führen durch API-Missbrauch, Container-Escapes und Manipulation serverloser Funktionen zusätzliche Angriffsvektoren ein.

Wichtige Abwehrmaßnahmen: Patch-Management, virtuelles Patching, Konfigurationsabsicherung, Exploit-Prävention

Schritt 5: Installation

Durch die Installation wird eine dauerhafte Präsenz in der Umgebung des Opfers etabliert, wodurch ein kontinuierlicher Zugriff gewährleistet ist, selbst wenn der ursprüngliche Einstiegspunkt geschlossen wird. Angreifer erstellen Hintertüren, geplante Aufgaben, Web-Shells oder nutzen Funktionen cloud aus, um diese dauerhafte Präsenz aufrechtzuerhalten. Techniken zur lateralen Bewegung ermöglichen es den Angreifern dann, sich von ihrem Brückenkopf aus weiter auszubreiten.

Wichtige Abwehrmaßnahmen: EDR, Verhaltensanalyse, Anwendungskontrolle, Systemprüfungen

Phase 6: Führung und Kontrolle

Command and Control (C2) stellt den Kommunikationskanal zwischen kompromittierten Systemen und der Infrastruktur des Angreifers her. Moderne C2-Systeme nutzen verschlüsselte Kanäle, Algorithmen zur Domänengenerierung, DNS-Tunneling und legitime cloud , um Überwachungsmaßnahmen zu umgehen. Verhaltensanalysen und maschinelles Lernen ergänzen zunehmend die herkömmliche Überwachung, um subtile C2-Indikatoren zu identifizieren, die in verschlüsseltem oder legitim erscheinendem Datenverkehr verborgen sind.

Wichtige Abwehrmaßnahmen: Analyse des Netzwerkverkehrs, DNS-Überwachung, Verhaltensanalyse, Feeds mit Bedrohungsinformationen

Schritt 7: Maßnahmen zur Zielerreichung

Die Umsetzung der Ziele ist die letzte Phase, in der Angreifer ihr Ziel erreichen: Datendiebstahl, ransomware , Systemzerstörung oder die Einrichtung eines langfristigen Zugriffs für Spionage. Sobald Angreifer diese Phase erreichen, ist der Schaden oft erheblich, weshalb es weitaus effektiver und kostengünstiger ist, die Kette in früheren Phasen zu durchbrechen.

Wichtige Sicherheitsmaßnahmen: Schutz vor Datenverlust, unveränderliche Backups, Netzwerksegmentierung, Pläne zur Reaktion auf Sicherheitsvorfälle

Gibt es eine achte Stufe in der Cyber-Kill-Chain?

Viele Sicherheitsexperten betrachten die Monetarisierung mittlerweile als achte Phase, was die Entwicklung der Cyberkriminalität zu einer gewinnorientierten Branche widerspiegelt. Angreifer wandeln ihren Zugriff in Einnahmen um – sei es durch ransomware , den Verkauf gestohlener Daten auf Dark-Web-Marktplätzen, den Diebstahl von Kryptowährungen oder den Verkauf von Netzwerkzugang an andere kriminelle Gruppen über Initial-Access-Broker. Der Aufstieg von Ransomware, auf denen Entwickler, Partner, Verhandler und Geldwäscher jeweils auf unterschiedliche Funktionen spezialisiert sind, veranschaulicht, wie die Monetarisierung zu einer strukturierten kriminellen Lieferkette geworden ist.

Beispiele für Cyber-Kill-Chains aus der Praxis

Die Zuordnung realer Vorfälle zu den einzelnen Phasen der Kill Chain verdeutlicht, wie sich das Rahmenkonzept von der Theorie in die Praxis umsetzen lässt. Bei modernen Angriffen verkürzt sich der Zeitrahmen zunehmend; bei cloud Vorfällen kann der gesamte Verlauf der Kill Chain innerhalb von Minuten statt Stunden abgeschlossen sein, sodass den Verteidigern praktisch keine Zeit für manuelle Gegenmaßnahmen bleibt.

Die ransomware „Qilin“ veranschaulicht, wie moderne Sicherheitshacker die Kill Chain verkürzen. Anstatt selbst Aufklärungsarbeit zu leisten und die Ransomware zu verbreiten, erwerben die Betreiber von Qilin Netzwerkzugang von Initial-Access-Brokern und überspringen so die ersten Phasen vollständig. Sobald sie sich im System befinden, nutzen sie legitime Tools wie PowerShell und WMI zur internen Aufklärung, zerstören systematisch Backups und setzen dann ransomware ein, wobei sie den gesamten Ablauf oft innerhalb weniger Stunden abschließen.

Diese Beispiele verdeutlichen ein wiederkehrendes Muster: Angreifer nutzen gezielt Lücken zwischen Sicherheitswerkzeugen aus und zielen dabei auf die Bereiche ab, in denen sich endpoint , Identitätsüberwachung und Netzwerktransparenz nicht überschneiden.

Was sind die Grenzen der Cyber-Kill-Chain?

Die Cyber-Kill-Chain weist erhebliche Einschränkungen auf, die Sicherheitsteams kennen sollten, bevor sie sich ausschließlich auf dieses Verteidigungsmodell verlassen. Das Erkennen dieser Lücken hilft Unternehmen dabei, festzustellen, wo ergänzende Ansätze erforderlich sind.

• Lineare Annahme: Das sequenzielle Modell berücksichtigt keine Angriffe, bei denen Phasen übersprungen, wiederholt oder gleichzeitig ausgeführt werden. Cloud Angriffe und Angriffe über die Lieferkette umgehen frühe Phasen oft vollständig.
• malware Perimeter- und malware : Das ursprüngliche Framework wurde für malware Angriffe entwickelt. Es bietet keinen ausreichenden Schutz vor identitätsbasierten Angriffen, bei denen Angreifer sich mit gestohlenen Zugangsdaten authentifizieren und sich lateral bewegen, ohne Schadcode einzusetzen.
• Blinder Fleck bei Insider-Bedrohungen: Vertrauenswürdige Benutzer mit berechtigten Zugriffsrechten umgehen die Phasen der Erkundung, der Vorbereitung und der Ausführung vollständig, wodurch der größte Teil der Angriffskette für die Erkennung von Insider-Bedrohungen irrelevant wird.
• Lücken beiCloud: Kurzlebige Infrastruktur, API-basierte Angriffsvektoren und Modelle der geteilten Verantwortung eröffnen Angriffswege, für deren Abwehr das ursprüngliche Framework nicht ausgelegt war.

Trotz dieser Einschränkungen bleibt die Kill Chain ein wertvolles strategisches Kommunikationsinstrument und ein Ausgangspunkt für die Verteidigungsplanung. Die meisten etablierten Organisationen schließen ihre Lücken, indem sie sie mit MITRE ATT&CK kombinieren, MITRE ATT&CK taktische Tiefe MITRE ATT&CK , sowie mit Verhaltenserkennung, um Transparenz auf Identitäts- und Netzwerkebene zu gewährleisten.

Cyber-Kill-Chain vs. MITRE ATT&CK

Die Cyber-Kill-Chain und MITRE ATT&CK sind sich ergänzende Rahmenwerke, die unterschiedlichen Zwecken dienen. Die Kill Chain bietet einen strategischen Überblick über den Verlauf eines Angriffs in sieben aufeinanderfolgenden Phasen und eignet sich daher für die Kommunikation auf Führungsebene sowie für die Ressourcenzuweisung. MITRE ATT&CK detaillierte taktische Informationen mit 14 Taktiken und über 200 Techniken, die auf beobachtetem realem Angreiferverhalten basieren, ohne dabei von einem linearen Verlauf auszugehen.

Der Unterschied in der Detailgenauigkeit wird deutlich, wenn man eine einzelne Phase der Kill Chain ihrem ATT&CK-Äquivalent zuordnet:

Wenn die Kill Chain feststellt, dass eine Aufklärung stattfindet, MITRE ATT&CK die genaue Technik MITRE ATT&CK , was eine präzise Erkennung und eine messbare Nachverfolgung der Abdeckung ermöglicht.

Die „Unified Kill Chain“, die 2017 von Paul Pols eingeführt wurde, zielt darauf ab, die Stärken beider Rahmenwerke über 18 Phasen hinweg mit nichtlinearen Ablaufwegen zu vereinen. Die meisten Experten empfehlen, zunächst mit dem ursprünglichen Sieben-Phasen-Modell zur strategischen Ausrichtung zu beginnen und anschließend MITRE ATT&CK taktischen Umsetzung darauf aufzubauen.

Die KI-Kill-Chain: Wie KI den Ablauf von Angriffen verändert

Künstliche Intelligenz hat die Cyber-Kill-Chain von Wochen auf Minuten verkürzt. Angreifer nutzen KI für automatisierte Aufklärung, KI-generierte phishing , malware polymorpher malware sowie adaptive C&C-Kommunikation, die sich in den legitimen Datenverkehr einfügt. Das Ergebnis ist ein drastisch verkürzter Angriffsablauf, bei dem jede Phase schneller abläuft, als eine von Menschen gesteuerte Verteidigung reagieren kann.

Die defensive KI sorgt für ebenso bedeutende Verbesserungen:

• Maschinelles Lernen erkennt Aufklärungsversuche, indem es Abweichungen von Verhaltensreferenzwerten identifiziert
• Die Verarbeitung natürlicher Sprache identifiziert missbräuchlich genutzte Dokumente bereits vor der Zustellung
• Verhaltensanalysen erkennen Angriffe und laterale Bewegungen, die signaturbasierte Tools übersehen
• Signalkorrelationsflächen über mehrere Stadien hinweg zeigen den Krankheitsverlauf auf, der bei einer isolierten Betrachtung der einzelnen Stadien nicht erkennbar ist

Da KI-gesteuerte Angriffe zur Normalität werden, haben Unternehmen, die sich ausschließlich auf manuelle Triage und regelbasierte Erkennung verlassen, einen strukturellen Geschwindigkeitsnachteil. Die automatisierte Erkennung und Reaktion in allen Phasen der Kill Chain wird zunehmend zu einer Grundvoraussetzung und ist kein Alleinstellungsmerkmal mehr.

Erkennen und Verhindern des Fortschreitens der Tötungskette

Eine wirksame Verteidigung entlang der Kill Chain erfordert Erkennungsfunktionen für jede Phase, automatisierte Reaktionsmaßnahmen und threat hunting kontinuierliche threat hunting. Der Wandel von reaktiven zu proaktiven Abläufen ist der Grund dafür, dass Netzwerk-Erkennung und -Reaktion, Managed Detection and Response-Dienste sowie erweiterte Erkennungs- und Reaktionsplattformen zu zentralen Bestandteilen moderner Sicherheitsarchitekturen geworden sind.

Die folgende Tabelle ordnet jede Phase der Kill Chain den spezifischen Aktionen der Angreifer zu, mit denen Verteidiger rechnen müssen, sowie den Gegenmaßnahmen, die darauf abzielen, diese zu unterbinden.

Die verhaltensbasierte Erkennung hat sich als unverzichtbar erwiesen, um Angriffe zu identifizieren, die signaturbasierte Tools umgehen. Durch die Erfassung normaler Aktivitäten als Referenzwert und die Korrelation von Abweichungen über mehrere Phasen hinweg decken verhaltensbasierte Plattformen den Verlauf der Kill Chain auf, der für einzelne Sicherheitswerkzeuge unsichtbar bleibt – beispielsweise wenn ein Benutzer auf ungewöhnliche Dateifreigaben zugreift, eine Verbindung zu seltenen externen IP-Adressen herstellt oder große Datenmengen überträgt.

Um die Kette zu durchbrechen, sind sowohl taktische Maßnahmen (technische Kontrollen in jeder Phase) als auch strategische Maßnahmen (Erhöhung der Kosten für Angreifer durch Täuschungsmanöver, Austausch von Bedrohungsinformationen und koordinierte Reaktionen) erforderlich. Eine frühzeitige Unterbrechung ist deutlich kostengünstiger als die Behebung von Schäden nach einer Kompromittierung.

Verhaltensbasierte Erkennung entlang der gesamten Cyber-Kill-Chain

Die Vectra AI erkennt das Verhalten von Angreifern in allen Phasen der Kill Chain, indem sie Netzwerk-, Identitäts- und cloud analysiert, anstatt nach bekannten Indikatoren für eine Kompromittierung zu suchen. Dieser Fokus auf das Verhalten berücksichtigt, dass sich zwar bestimmte Tools und Techniken ständig ändern, die zugrunde liegenden Handlungen, die Angreifer in jeder Phase ausführen müssen, jedoch gleich bleiben.

Hybride KI, die überwachtes und unüberwachtes maschinelles Lernen kombiniert, deckt die gesamte Angriffskette ab. Überwachte Modelle erkennen bekannte Muster mit hoher Genauigkeit. Unüberwachte Modelle decken neuartige Angriffe auf, indem sie anomales Verhalten identifizieren, das keine Signatur vorhersagen könnte. Durch die Korrelation von SIEM- Warnmeldungen, endpoint und Netzwerksignalen werden vollständige Angriffsabläufe aufgedeckt, die einzelne Tools übersehen.

Quellen und Methodik

Dieser Leitfaden stützt sich auf etablierte Rahmenwerke für Cybersicherheit, veröffentlichte Bedrohungsinformationen und dokumentierte Vorfälle aus der Praxis. Die folgenden Quellen dienen als Grundlage für die Definitionen, Statistiken und Abwehrempfehlungen auf dieser Seite.

• Rahmenwerke: Lockheed Martin Intelligence Driven Defense® und Cyber Kill Chain® (2011), MITRE ATT&CK , MITRE D3FEND , Unified Kill Chain-Modell von Paul Pols (2017)
• Bedrohungsinformationen: Unit 42 (Palo Alto Networks) – Incident Response und Bedrohungsforschung, veröffentlichte Berichte von Anbietern zu Bedrohungsinformationen (2024–2025)
• Beispiele für Angriffe: Öffentlich dokumentierte Aktivitäten ransomware (einschließlich Qilin) und gemeldete Vorfälle cloud im Zeitraum 2024–2025

Defensive Ausrichtung: Funktionen des NIST-Cybersicherheits-Frameworks (Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen)