Was der Vorfall in Stryker über Handalas Vorgehensweise bei Angriffen verrät.
Den Blog lesen

Was der Stryker-Vorfall über Handalas Vorgehensweise verrät. Zum Blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
  1. Grundlagen der Cybersicherheit
  2. Das Diamond-Modell zur Intrusionsanalyse

Das Diamond-Modell der Intrusionsanalyse: Ein Leitfaden für Praktiker zur strukturierten Bedrohungsanalyse

Wichtige Erkenntnisse

  • Das Diamond-Modell stellt jeden Angriff als vier miteinander verbundene Komponenten dar – Angreifer, Fähigkeiten, Infrastruktur und Opfer – und ermöglicht so eine beziehungsorientierte Analyse, die linearen Ansätzen nicht zur Verfügung steht.
  • Sieben formale Axiome und erweiterte Metafunktionen verleihen dem Modell theoretische Tiefe, doch die meisten Leitfäden lassen diese Aspekte völlig außer Acht, sodass Praktiker nur ein unvollständiges Verständnis davon erhalten.
  • Die Kombination des Diamond-Modells mit der Cyber-Kill-Chain und MITRE ATT&CK ermöglicht eine relationale, zeitliche und verhaltensbasierte Analyse in einem einzigen Workflow.
  • Das erweiterte Cisco Talos Diamond-Modell 2025 umfasst eine fünfte Beziehungsschicht für Kampagnen mit mehreren Akteuren, wie beispielsweise die Übergabe ransomware.
  • Ein sechsstufiger „Pivot-and-Populate“-Workflow wandelt einen einzelnen Indikator für eine Kompromittierung in ein umfassendes Bedrohungsbild um.

Jeder Angriff erzählt eine Geschichte – eine Geschichte mit Akteuren, Werkzeugen, Ausgangspunkten und Zielen. Die Herausforderung für Sicherheitsteams besteht darin, diese Geschichte schnell genug zu entschlüsseln, um entsprechend reagieren zu können. Das Diamantmodell der Einbruchsanalyse bietet Analysten ein strukturiertes Vokabular, um genau das zu tun. Das Rahmenwerk, das 2013 erstmals als Forschungsarbeit über das Defense Technical Information Center veröffentlicht wurde, hat sich zu einem Eckpfeiler der Ausbildung im Bereich Cybersicherheits-Frameworks und zu einem festen Bestandteil von Zertifizierungen wie CompTIA Security+ (SY0-701), CySA+ (CS0-003) und EC-Council CEH entwickelt. Dieser Leitfaden führt durch die vier Kernkomponenten des Modells, seine tieferen theoretischen Grundlagen und zeigt, wie Praktiker es auf reale Vorfälle anwenden – einschließlich Erweiterungen, die kein Mitbewerber abdeckt.

Was ist das Diamantmodell der Intrusionsanalyse?

Das „Diamond Model“ zur Analyse von Cyberangriffen ist ein formales Rahmenwerk, das jedes Cyberangriffsereignis anhand von vier miteinander verbundenen Merkmalen beschreibt – Angreifer, Fähigkeiten, Infrastruktur und Opfer –, die in einer Rautenform angeordnet sind, um eine strukturierte, beziehungsorientierte Analyse von Bedrohungsinformationen zu ermöglichen. Es wurde von Sergio Caltagirone, Andrew Pendergast und Christopher Betz in ihrer ursprünglichen Forschungsarbeit aus dem Jahr 2013 (PDF) vorgestellt.

Die Grundidee ist einfach. Anstatt Angriffe als isolierte Warnmeldungen zu behandeln, zwingt das Diamond-Modell die Analysten dazu, zu jedem Vorfall vier Fragen zu stellen: Wer ist der Angreifer? Welche Mittel hat er eingesetzt? Welche Infrastruktur hat die Operation unterstützt? Und wer oder was war das Opfer? Die analytische Stärke liegt in den Beziehungen zwischen diesen vier Merkmalen – nicht nur in den Merkmalen selbst.

Dieser relationale Ansatz unterscheidet das Diamantmodell von sequenziellen Rahmenwerken wie der Cyber-Kill-Chain. Während die Kill-Chain die Angriffsphasen der Reihe nach beschreibt, erfasst das Diamantmodell das Beziehungsgeflecht innerhalb jeder einzelnen Phase. Beide Perspektiven sind wichtig, weshalb die meisten erfahrenen Sicherheitsteams sie gemeinsam nutzen.

Das Diamond-Modell ist Bestandteil der Lehrpläne für die CompTIA CySA+-Zertifizierungsvorbereitung und für Security+, weshalb es für Analysten in jeder Karrierestufe unverzichtbares Wissen darstellt.

Die vier Kernkomponenten des Diamantmodells

Jede Veranstaltung im Rahmen des Diamond-Modells dreht sich um vier Kernelemente, von denen jedes einen Eckpunkt des Diamanten bildet.

  • Angreifer. Der für den Einbruch verantwortliche Akteur oder die verantwortliche Gruppe. Dies kann von einer namentlich bekannten APT-Gruppe bis hin zu einem unbekannten Akteur reichen, der lediglich anhand von Verhaltensmustern identifiziert wurde. In vielen Fällen ist der Knotenpunkt „Angreifer“ zunächst leer und wird erst im Laufe der Analyse mit Daten gefüllt.
  • Fähigkeiten. Die Werkzeuge, Techniken und malware , die der Angreifer einsetzt. Dazu gehören Exploit-Code, maßgeschneiderte Backdoors, „Living-off-the-Land “-Binärdateien und Social-Engineering-Taktiken. Die Fähigkeiten lassen sich direkt den MITRE ATT&CK zuordnen.
  • Infrastruktur. Die physischen oder logischen Ressourcen, die Funktionen bereitstellen oder die Befehls- und Kontrollstruktur aufrechterhalten. Dazu gehören C2-Server, Domainnamen, E-Mail-Adressen, kompromittierte Websites und cloud . Die Infrastruktur ist oft das am besten erkennbare Merkmal und der beste Ausgangspunkt für das Pivoting.
  • Opfer. Das Ziel des Angriffs – sei es eine Organisation, ein bestimmtes System, eine Person oder ein Datensatz. Die Erstellung von Opferprofilen hilft Analysten dabei, Angriffsmuster zu verstehen und künftige Angriffe vorherzusagen.

Feature-Beziehungen und Kanten verstehen

Die vier Elemente sind durch sechs Kanten miteinander verbunden, und genau diese Beziehungen machen das Diamantmodell analytisch so leistungsstark. Die Kante „Angreifer–Infrastruktur“ zeigt, welche Ressourcen ein Akteur kontrolliert. Die Kante „Fähigkeit–Opfer“ verdeutlicht, wie bestimmte Werkzeuge auf bestimmte Ziele wirken. Die Kante „Infrastruktur–Opfer“ legt die Übertragungsmechanismen offen.

Jede Verbindung ist bidirektional, sodass Analysten von jedem bekannten Merkmal aus weiterforschen können, um Unbekanntes aufzudecken. Wenn Sie die Infrastruktur (eine C2-Domäne) kennen, können Sie die Verbindung „Infrastruktur–Angreifer“ nutzen, um herauszufinden, wer sie betreibt, oder die Verbindung „Infrastruktur–Fähigkeiten“, um zu ermitteln, welche Tools mit ihr kommunizieren. Diese Technik der Weiterverfolgung verwandelt isolierte Indikatoren für Kompromittierung in vernetzte Erkenntnisse.

Abbildung: Die vier Komponenten des Diamond-Modells (Angreifer, Fähigkeiten, Infrastruktur, Opfer), die durch sechs bidirektionale Kanten miteinander verbunden sind, bilden die Grundlage für eine strukturierte Angriffsanalyse.

Fortgeschrittene Konzepte: Axiome, Metafunktionen und Aktivitätsverknüpfung

Die meisten Einführungsleitfäden beschränken sich auf diese vier Merkmale. Die tieferen theoretischen Grundlagen des Diamantmodells – Axiome, Metamerkmale und Aktivitätsverknüpfung – machen es zu einem stringenten analytischen Rahmen und nicht nur zu einem einfachen Diagramm.

Die sieben Grundsätze des Diamantmodells

In der Originalarbeit werden sieben formale Axiome aufgestellt, die die Funktionsweise des Modells bestimmen.

  1. Axiom 1 (Ereignisaxiom). Bei jedem Angriffsereignis unternimmt ein Angreifer einen Schritt in Richtung eines angestrebten Ziels, indem er eine Fähigkeit der Infrastruktur gegen ein Opfer einsetzt, um ein bestimmtes Ergebnis zu erzielen.
  2. Axiom 2 (Reihenfolge). Jedes Angriffsereignis ist Teil einer geordneten Abfolge, und der Angreifer muss die früheren Schritte vor den späteren ausführen.
  3. Axiom 3 (Richtungsabhängigkeit). Jede Fähigkeit und jedes Infrastrukturelement hat eine Richtung, entweder auf das Opfer hin (Angriff) oder vom Gegner ausgehend (Unterstützung).
  4. Axiom 4 (Vollständigkeit). Ein vollständig beschriebenes Sicherheitsvorfall erfüllt alle vier Merkmale, auch wenn den Analysten zu einem bestimmten Zeitpunkt möglicherweise nur ein Teil davon bekannt ist.
  5. Axiom 5 (Gruppe von Angreifern). Ein Angreifer ist eine Gruppe von Angreifer-Persönlichkeiten, von denen jede unter einer anderen Identität agieren kann.
  6. Axiom 6 (Vollständigkeit der Fähigkeiten). Jeder Angreifer verfügt über eine endliche Menge an Fähigkeiten, von denen jede eine spezifische Infrastruktur erfordert.
  7. Axiom 7 (Wiederverwendung von Infrastruktur). Die Infrastruktur wird über verschiedene Angriffe hinweg gemeinsam genutzt, wiederverwendet oder umfunktioniert, wodurch Möglichkeiten zur Korrelation entstehen.

Axiom 7 ist für Praktiker besonders wichtig. Die Wiederverwendung von Infrastruktur ist eine der zuverlässigsten Methoden, um scheinbar unabhängige Ereignisse mit demselben Angreifer oder derselben Kampagne in Verbindung zu bringen.

Meta-Merkmale: die soziopolitische und die technologische Achse

Über die vier Kernmerkmale hinaus definiert das Diamantmodell Metamerkmale, die für zusätzliche kontextuelle Tiefe sorgen.

Die soziopolitische Achse erfasst die Beziehung zwischen Angreifer und Opfer und beschreibt Motive wie Spionage durch Nationalstaaten, finanziell motivierte Kriminalität oder Hacktivismus. Diese Achse hilft Analysten zu verstehen, warum eine fortgeschrittene, hartnäckige Bedrohung bestimmte Organisationen ins Visier nimmt.

Die Technologieachse verbindet Funktionen und Infrastruktur und beschreibt, wie technische Werkzeuge mit unterstützenden Ressourcen – Protokolltypen, Verschlüsselungsmethoden und Kommunikationskanälen – interagieren.

Zu den weiteren Metadaten gehören Zeitstempel, Phase (zugeordnet zu den Phasen der Kill Chain), Ergebnis (Erfolg oder Misserfolg), Richtung, Methodik und Ressourcen. Zusammen machen diese jedes Diamond-Ereignis zu einem aussagekräftigen Analysebericht.

Tabelle: Die Meta-Merkmale des Diamond-Modells erweitern die Kernanalyse um kontextuelle Dimensionen.

Meta-Funktion Definition Beispiel Analytischer Wert
Zeitstempel Als das Ereignis eintrat 15.01.2026, 03:42:00 Uhr Ermittelt zeitliche Muster und das Einsatztempo
Phase Phase der Kill-Chain des Vorfalls Seitliche Bewegung Verbindet das Diamond-Modell mit der sequenziellen Analyse
Ergebnis Ergebnis der Veranstaltung Abgegriffene Anmeldedaten Verfolgt die Fortschritte des Gegners bei der Erreichung seiner Ziele
Richtung Vom Gegner zum Opfer oder vom Opfer zum Gegner Eingehendes C2-Signal Veranschaulicht den Kommunikationsablauf bei der Erkennung
Methodik Tätigkeitsbereich phishing Gruppiert Ereignisse nach Vorgehensweisen zum Zwecke der Clusterbildung
Ressourcen Zur Ausführung erforderliche Ressourcen Zero-day , VPN-Zugang Bewerten der Investitionen und der Raffinesse des Gegners

Aktivitäts-Threading und Aktivitätsgruppen

Einzelne „Diamond Events“ treten selten isoliert auf. Durch die Verknüpfung von Aktivitäten werden zusammenhängende Ereignisse chronologisch miteinander verbunden und anhand der Phasen der Kill Chain zu einer schlüssigen Abfolge geordnet. Ein einzelner Verknüpfungsstrang kann den Weg vom ersten Zugriff über die laterale Bewegung bis hin zur Datenexfiltration nachzeichnen – wobei jeder Schritt als eigenständiges „Diamond Event“ dargestellt und durch gemeinsame Merkmale miteinander verknüpft wird.

Aktivitätsgruppen gehen noch einen Schritt weiter, indem sie mehrere Aktivitätsstränge bündeln, die gemeinsame Merkmale hinsichtlich Angreifer, Fähigkeiten oder Infrastruktur aufweisen. Wenn mehrere Stränge auf dieselbe C2-Infrastruktur verweisen oder dieselbe benutzerdefinierte Hintertür nutzen, können Analysten sie zu einer Kampagne zusammenfassen, die einem einzigen Angreifer zugeordnet wird. Dadurch lässt sich das Diamond-Modell von der Analyse einzelner Vorfälle auf Erkenntnisse auf Kampagnenebene ausweiten.

Vergleich der Rahmenwerke: Diamond-Modell vs. Cyber-Kill-Chain vs. MITRE ATT&CK

Das Diamantmodell ersetzt andere Rahmenkonzepte nicht. Es ergänzt sie vielmehr. Wenn Analysten wissen, wo die jeweiligen Stärken der einzelnen Rahmenkonzepte liegen, können sie die richtige Herangehensweise für das jeweilige Problem wählen.

Tabelle: Vergleich der drei wichtigsten Frameworks für Bedrohungsinformationen.

Rahmenwerk Schwerpunkt Stärke Am besten geeignet für
Diamant-Modell Beziehungsbezogen (wer, was, wo, gegen wen) Zusammenhänge herstellen und zwischen Unbekannten wechseln Zuordnung, Kampagnenzuordnung, Erstellung von Profilen von Angreifern
Cyber-Kill-Chain Zeitlich (aufeinanderfolgende Phasen) Ermittlung des Angriffsverlaufs und von Lücken in der Verteidigung Rekonstruktion des zeitlichen Ablaufs des Vorfalls, Analyse von Sicherheitslücken
MITRE ATT&CK Verhaltensbezogen (spezifische TTPs) Detaillierte technische Katalogisierung mit Erkennungsunterstützung Erkennungstechnik, bedrohungsorientierte Verteidigung, Red-Teaming

MITRE ATT&CK umfasst nun 216 Techniken, 475 Untertechniken und 172 erfasste Gruppen und ist damit das detaillierteste Framework. Doch Detailgenauigkeit allein macht noch keine Zusammenhänge sichtbar. Die „Adversary“-Komponente des Diamond-Modells lässt sich den ATT&CK-Gruppen zuordnen, während die „Capability“-Komponente den ATT&CK-Techniken entspricht – wodurch ein natürlicher Integrationspunkt entsteht.

Alle drei Frameworks gemeinsam nutzen

Betrachten wir ein phishing Kampagne, die sich gegen ein Finanzinstitut richtet. Die Angriffskette ordnet die Phasen wie folgt an: Aufklärung, Waffeneinsatz, Einsatz, Nutzung, Installation, Befehls- und Kontrollfunktionen, Maßnahmen an Zielen. Die Diamant-Modell stellt die Beziehungsstruktur innerhalb jeder Phase dar: der Angreifer (eine Gruppe von Nationalstaaten), die Vorgehensweise (ein maßgeschneiderter Loader), die Infrastruktur (kompromittierte WordPress-Seiten) und das Opfer (die Finanzabteilung der Bank). ATT&CK bietet die detaillierte Technik-IDs - T1566.001 alsphishing beiphishing , T1059.001 für die Ausführung in PowerShell, T1071.001 für das Webprotokoll C2.

Zusammen vermitteln diese drei Rahmenwerke den Analysten ein umfassendes Bild: Was ist passiert (ATT&CK), in welcher Reihenfolge (Kill Chain) und wer stand mit wem in Verbindung (Diamond Model).

Anwendung des Diamantmodells auf einen Vorfall

Der wahre Wert des Diamond-Modells zeigt sich bei der strukturierten Analyse von Vorfällen. Hier ist ein sechsstufiger Arbeitsablauf, der aus einem einzelnen Indikator ein umfassendes Bedrohungsbild erstellt.

  1. Identifizieren Sie das Sicherheitsvorfall. Beginnen Sie mit einem bestätigten Alarm – einer verdächtigen Domain, einem malware oder einer ungewöhnlichen Anmeldung. Dies ist Ihr erster Indikator.
  2. Trage bekannte Merkmale ein. Trage das, was du weißt, in den Diamanten ein. Ein malware wird in den Knotenpunkt „Fähigkeiten“ eingetragen. Eine C2-Domain wird unter „Infrastruktur“ eingetragen. Weise das Opfer anhand des betroffenen Systems zu.
  3. Nutzen Sie Verknüpfungen zwischen verschiedenen Ebenen. Nutzen Sie bekannte Merkmale, um Unbekanntes aufzudecken. Befragen Sie Threat-Intelligence-Plattformen nach anderen Domains, die auf derselben IP-Adresse gehostet werden (Infrastruktur-zu-Infrastruktur). Suchen Sie nach weiteren Samples, die denselben C2-Server kontaktieren (Fähigkeit-zu-Infrastruktur). Hier zeigt sich der wahre Wert des Diamond-Modells.
  4. Fügen Sie Metadaten hinzu. Erfassen Sie den Zeitstempel, bestimmen Sie die Phase der Kill Chain, vermerken Sie das Ergebnis (Erfolg oder Misserfolg) und bewerten Sie die soziopolitische Motivation, sofern bekannt.
  5. Verwandte Ereignisse verknüpfen. Verbinden Sie dieses wichtige Ereignis mit vorangegangenen und nachfolgenden Ereignissen, die gemeinsame Merkmale aufweisen. Erstellen Sie eine chronologische Darstellung.
  6. Aktivitäts-Threads nach Gruppen. Wenn mehrere Threads die gleichen Angreifersignaturen, die gleiche Infrastruktur oder bestimmte Fähigkeiten aufweisen, fassen Sie sie zu einer Aktivitätsgruppe zusammen – Ihrer neuen Kampagnenzuordnung.
Schritt-für-Schritt-Anleitung zur Analyse nach dem Diamond-Modell.
Abbildung: Schritt-für-Schritt-Ablauf der Analyse nach dem Diamond-Modell.

Pivotierungstechniken zur Merkmalserkennung

Das „Pivoting“ ist der analytische Kern des Diamond-Modells. Beginnen Sie mit Ihrem aussagekräftigsten Indikator und gehen Sie die Verbindungen systematisch durch. Wenn Sie eine Domain (Infrastruktur) haben, überprüfen Sie das passive DNS auf die IP-Historie und suchen Sie dann nach diesen IPs in anderen Domains. Vergleichen Sie die Domains mit threat hunting -Feeds ab. Jeder Pivot liefert neue Merkmale und deckt oft zusätzliche Ereignisse für die Threading-Analyse auf.

Das A und O ist die Dokumentation. Jeder Schritt sollte protokolliert werden, damit die Analyse reproduzierbar ist und im Rahmen der Incident Response an andere Analysten weitergegeben werden kann.

Das Diamant-Modell in der Praxis

Fallstudie: ToyMaker und ransomware 2025)

Die Analyse des Initial Access Brokers „ToyMaker“ von Cisco Talos veranschaulicht sowohl das grundlegende Diamond-Modell als auch dessen erweiterte Beziehungsebene.

  • Angreifer: ToyMaker (Initial Access Broker, finanziell motiviert) und Cactus (ransomware Betreiber)
  • Fähigkeiten: LAGTOY-Backdoor, Tools zum Sammeln von Anmeldedaten, ransomware mit doppelter Erpressung
  • Infrastruktur: Kompromittierte, mit dem Internet verbundene Systeme, dedizierte C2-Infrastruktur
  • Betroffene: Organisationen mit anfälligen, öffentlich zugänglichen Anwendungen
  • Beziehungsschicht: „Übergabe von“ ToyMaker an Cactus etwa einen Monat nach dem ersten Zugriff

Dieser Fall verdeutlicht, warum das traditionelle Vier-Komponenten-Modell erweitert werden musste. ToyMaker und Cactus sind eigenständige Angreifer mit unterschiedlichen Fähigkeiten, doch gerade die Zusammenarbeit zwischen ihnen – die Beziehung – macht die Kampagne so gefährlich. Die von Cisco Talos erweiterte „Diamond Model“-Methodik fügt diese fünfte Beziehungsebene hinzu, um die Dynamik ransomware zu erfassen.

Fallstudie: Angriff auf die Lieferkette von SolarWinds

Der SolarWinds-Hack ist nach wie vor eine der am häufigsten zitierten Fallstudien zum Diamond-Modell und wurde in einem begutachteten Artikel auf ResearchGate analysiert.

  • Gegner: Russischer SVR (APT29/Cozy Bear)
  • Funktionalität: In SolarWinds Orion-Updates eingebettete „SUNBURST“-Backdoor
  • Infrastruktur: Kompromittierte Software-Lieferkette, dedizierte C2-Domains
  • Betroffene: Über 200 Organisationen, darunter US-Regierungsbehörden

Der relationale Ansatz des Diamond-Modells erwies sich in diesem Fall als besser geeignet als die lineare Kill Chain, da aufgrund der Vielzahl an Opfergruppen und einer komplexen Lieferkette eher die Verknüpfungen als die Abläufe dargestellt werden mussten.

Tabelle: Anwendung des Diamond-Modells auf reale Angriffe.

Fall Gegner Fähigkeit Infrastruktur Opfer
ToyMaker/Cactus (2025) ToyMaker IAB + Cactus RaaS LAGTOY-Backdoor, doppelte Erpressung Kompromittierte öffentlich zugängliche Anwendungen, C2-Server Organisationen mit anfälligen, mit dem Internet verbundenen Systemen
SolarWinds (2020) APT29 (russischer SVR) SUNBURST-Backdoor Kompromittierte Lieferkette für Orion-Updates Über 200 Organisationen, darunter die US-Regierung

Laut dem IBM X-Force 2026 Threat Intelligence Index stieg die Zahl ransomware aktiven ransomware im Jahr 2025 um 49 % (109 verschiedene Gruppen gegenüber 73 im Jahr 2024), wobei Anfang 2026 monatlich 54 bis 58 Gruppen aktiv waren. Angesichts dieser Fragmentierung des Ökosystems ist die Aktivitätsverfolgung nach dem Diamond-Modell unerlässlich, um sich ausbreitende Gruppen zu identifizieren und zu verfolgen.

Tools und Software zur Implementierung des Diamond-Modells

Mehrere Plattformen unterstützen Workflows nach dem Diamond-Modell. ThreatConnect – mitbegründet von Andy Pendergast, einem der Mitverfasser des Diamond-Modells – integriert das Framework nativ. MISP und OpenCTI bieten Open-Source-Alternativen mit Entitäts-Beziehungs-Modellierung. In kleineren Teams sind benutzerdefinierte Tabellenkalkulations- und Diagrammvorlagen nach wie vor weit verbreitet. Die Integration mit den STIX/TAXII-Standards ermöglicht den automatisierten Austausch von Bedrohungsinformationen unter Verwendung der Strukturen des Diamond-Modells.

Vorteile und Grenzen des Diamantmodells

Tabelle: Stärken und Grenzen des Diamond-Modells für Threat-Intelligence-Teams.

Vorteile Einschränkungen
Die strukturierte relationale Analyse ermöglicht eine systematische Pivot-Analyse Bei einer Vereinfachung auf vier Merkmale können bei komplexen Eindringungsversuchen Nuancen übersehen werden
Herstellerunabhängig und komplementär zu anderen Frameworks Die Schwierigkeiten bei der Zuordnung bestehen weiterhin, insbesondere bei Operationen unter falscher Flagge
Das Threading von Aktivitäten reicht von einzelnen Ereignissen bis hin zu Kampagnen Erfordert ausgereifte Fähigkeiten zur Datenerfassung und -analyse
Unterstützt Teilanalysen (unvollständige Diamanten sind weiterhin wertvoll) Statischer Momentaufnahme pro Ereignis ohne Threading-Erweiterung
Ein gemeinsamer Wortschatz verbessert die Kommunikation im Team Für kleinere Teams ohne Automatisierung ressourcenintensiv

Die Meinungen darüber, ob die Einfachheit des Diamond-Modells eine Stärke oder eine Einschränkung darstellt, gehen auseinander. ThreatConnect sieht darin einen Vorteil, da es eine schnelle Analyse ermöglicht. Andere argumentieren, dass es Angriffe zu stark vereinfacht. Der Konsens unter Fachleuten löst dieses Problem, indem das Diamond-Modell mit MITRE ATT&CK kombiniert wird, MITRE ATT&CK die TTPs zu vertiefen – so bleibt die relationale Übersichtlichkeit erhalten, während gleichzeitig detaillierte Verhaltensmerkmale hinzugefügt werden. Dieser kombinierte Ansatz stärkt die Workflows zur Erkennung von Bedrohungen im gesamten SOC.

Künftige Trends und neue Überlegungen

Das Diamant-Modell ist kein statisches Konzept. Verschiedene Entwicklungen in den nächsten 12 bis 24 Monaten werden beeinflussen, wie Organisationen es anwenden.

Die bedeutendste Neuerung ist der im Mai 2025 veröffentlichte „Cisco Talos Relationship Layer“. Durch die Einführung von Beziehungstypen wie „erworben von“, „übergeben von“ und „durchgesickert von“ trägt diese Erweiterung der zunehmenden Komplexität von ransomware Service-Ökosystemen Rechnung, in denen mehrere Angreifer im Rahmen einer einzigen Kampagne zusammenarbeiten. Es ist zu erwarten, dass weitere Anbieter von Bedrohungsinformationen ähnliche Erweiterungen übernehmen werden, da Operationen mit mehreren Akteuren zur Norm werden.

Durch KI-gestützte Bedrohungsinformationen werden die Arbeitsabläufe nach dem Diamond-Modell beschleunigt. Die automatisierte Korrelation von Entitäten, das Pivoting und die Verknüpfung von Aktivitäten über große Datensätze hinweg entlasten die Analysten von manuellen Aufgaben. Laut dem „CyberProof 2026 Global Threat Intelligence Report“ ist KI mittlerweile in 80 % aller ransomware integriert – das bedeutet, dass Sicherheitsverantwortliche KI-gestützte Analysewerkzeuge benötigen, um Schritt zu halten.

Der im „Picus Red Report 2026“ beschriebene Trend zur „stillen Präsenz“ – ein Rückgang der ransomware um 38 % bei gleichzeitigem Anstieg der Tarntechniken um 80 % – unterstreicht die zunehmende Bedeutung des relationalen Pivotings. Wenn Angreifer eher auf langfristige Tarnung als auf sofortige Störung setzen, werden die Korrelationen zwischen Fähigkeiten und Infrastruktur im Diamond-Modell für die Erkennung unverzichtbar.

Auch die Konsolidierung von Plattformen treibt die Einführung voran. Laut Recorded Future planen 81 % der Sicherheitsexperten, ihre Anbieter von Bedrohungsinformationen bis 2026 zu konsolidieren. Strukturierte Rahmenwerke wie das Diamond-Modell bieten ein einheitliches analytisches Vokabular für alle Plattformen, wodurch die Konsolidierung effektiver wird.

Unternehmen sollten vorrangig in Schulungen zum Diamond-Modell sowie zu MITRE ATT&CK investieren, Plattformen einführen, die eine relationale Bedrohungsanalyse unterstützen, und die Verknüpfung von Aktivitäten in ihre Standard-SOC-Betriebshandbücher integrieren.

Moderne Ansätze zur Analyse von Bedrohungsinformationen

Threat Intelligence hat sich weit über statische IOC-Feeds hinaus weiterentwickelt. Heutzutage kombinieren Fachleute strukturierte Rahmenwerke mit Verhaltensanalysen, KI-gestützter Erkennung und automatisierter Korrelation, um mit Angreifern Schritt zu halten, die sich eine Infrastruktur teilen und organisationsübergreifend zusammenarbeiten.

Das Diamantmodell ist nach wie vor von grundlegender Bedeutung, da sein relationaler Ansatz widerspiegelt, wie moderne Angriffe tatsächlich funktionieren – nämlich über Verbindungen zwischen Akteuren, Tools, Infrastruktur und Zielen. Während Plattformen zur Erkennung und Reaktion in Netzwerken das Verhalten von Angreifern in hybriden Umgebungen beobachten, sind es genau diese relationalen Prinzipien, die das Diamantmodell festlegt, die echte Bedrohungen von Störsignalen unterscheiden.

Wie Vectra AI die strukturierte Bedrohungsanalyse Vectra AI

Attack Signal Intelligence Vectra AI Attack Signal Intelligence steht im Einklang mit der Philosophie des Diamond-Modells, das auf relationaler, verhaltensorientierter Analyse basiert. Durch die Korrelation von Angreiferverhalten im gesamten modernen Netzwerk – das cloud, Identitäts-, SaaS- und lokale Umgebungen umfasst – Vectra AI dieselben relationalen Prinzipien Vectra AI , die das Diamond-Modell festlegt. Die Verknüpfung von Angreiferaktionen, Fähigkeiten und Infrastruktur liefert den Analysten, die sie am dringendsten benötigen, relevante Signale statt Rauschen.

Schlussfolgerung

Das Diamond-Modell zur Analyse von Cyberangriffen bietet einen strukturierten, beziehungsorientierten Ansatz zum Verständnis von Cyberangriffen, der sequenzielle und verhaltensbasierte Rahmenwerke ergänzt. Seine vier Kernmerkmale, sieben Axiome und Funktionen zur Verknüpfung von Aktivitäten bieten Analysten auf allen Ebenen – von Zertifizierungskandidaten bis hin zu erfahrenen Threat-Intelligence-Experten – eine fundierte Methodik, um isolierte Indikatoren in vernetzte Erkenntnisse umzuwandeln.

Da die Bedrohungslandschaft immer komplexer wird – ransomware zerfallen in Dutzende kooperierender Gruppen, und Angreifer legen mehr Wert auf Tarnung als auf Störung –, gewinnt die relationale Analyse des Diamond-Modells nicht an Bedeutung, sondern wird sogar noch wertvoller. Die Erweiterung „Cisco Talos Relationship Layer“ für das Jahr 2025 beweist, dass sich das Framework gemeinsam mit der Bedrohungslandschaft weiterentwickelt.

Wenden Sie den sechsstufigen Arbeitsablauf zunächst auf Ihren nächsten Vorfall an. Tragen Sie Ihre bekannten Informationen ein, navigieren Sie durch die Verknüpfungen und lassen Sie sich von den Zusammenhängen zu den noch unbekannten Aspekten führen. Unternehmen, die diese Prinzipien in großem Maßstab umsetzen möchten, sollten sich ansehen, wie die Plattform Vectra AI mithilfe von Attack Signal Intelligence dieselbe relationale, verhaltensbasierte Analyse bietet.

Grundlagen der Cybersicherheit

SOC-Analyst: Aufgaben, Qualifikationen, Gehalt und Karriereführer

Erfahren Sie, was SOC-Analysten tun, wie man dieser Beruf erlernt, welche Gehaltsspannen es gibt (75.000–137.000 $), welche Fähigkeiten und Zertifizierungen erforderlich sind und wie KI diese Rolle bis 2026 verändern wird.

Mehr lesen
Wie Sicherheitsteams das MITRE ATT&CK nutzen

Das MITRE ATT&CK ist eine weltweit anerkannte Wissensbasis über Taktiken und Techniken des Gegners, die auf realen Beobachtungen beruht.

Mehr lesen
Cybersicherheit im Finanzdienstleistungsbereich erklärt: Bedrohungen und Abwehrmaßnahmen

Erfahren Sie, wie Sie Finanzinstitute vor Cyber-Bedrohungen schützen können. Aktuelle Statistiken, Einhaltung gesetzlicher Vorschriften, KI-gestützte Abwehrmaßnahmen und Fallstudien aus der Praxis für das Jahr 2026.

Mehr lesen
Was ist die Security Team Visibility Triad?

Dieser dreigleisige Ansatz verschafft SOCs einen besseren Einblick in die Bedrohungen sowie mehr Möglichkeiten zur Erkennung, Reaktion, Untersuchung und Behebung.

Mehr lesen
Verwaltete IT-Sicherheitsdienste: Vollständiger Leitfaden zu MSSP, MDR und SOC

Umfassender Leitfaden zu Managed IT Security Services. Erfahren Sie mehr über MSSP vs. MDR, Preisgestaltung, Anbieterauswahl und wie KI SOCs verändert. Basierend auf Marktdaten für 2025.

Mehr lesen
DSGVO-Konformität: Sicherheitsanforderungen und Leitfaden zur Erkennung

Erfahren Sie, wie die Einhaltung der DSGVO eine aktive Erkennung von Bedrohungen erfordert. Behandelt werden die Artikel 32 und 33, die Meldung von Verstößen, Daten zur Durchsetzung im Jahr 2025 und bewährte Verfahren für die Sicherheit.

Mehr lesen
SOC-Betrieb: Vollständiger Leitfaden für Sicherheitsoperationszentren

Erfahren Sie, was ein SOC macht, wie man Teams aufbaut, die Leistung misst und Abläufe mit KI modernisiert. Behandelt werden Modelle, Tools, Kennzahlen und Best Practices.

Mehr lesen
CTEM explained: Gartner's 5 stages and 2026 prediction

Learn Gartner's CTEM framework — its five stages, how it differs from vulnerability management, and what the 2026 breach prediction means for your security program.

Mehr lesen
Was sind Metriken zur Cybersicherheit?

Metriken zur Cybersicherheit sind wichtige Instrumente zur Bewertung und Verbesserung der Wirksamkeit von Sicherheitsmaßnahmen innerhalb eines Unternehmens.

Mehr lesen
Alle Grundlagen der Cybersicherheit anzeigen

Häufig gestellte Fragen

Was ist das Diamantmodell der Intrusionsanalyse?

Was sind die vier Komponenten des Diamantmodells?

Inwiefern unterscheidet sich das Diamond-Modell von der Cyber-Kill-Chain?

Was ist der Unterschied zwischen dem Diamond-Modell und MITRE ATT&CK?

Was sind die sieben Grundsätze des Diamantmodells?

Welche Zertifizierungen umfasst das Diamond-Modell?

Welche Tools unterstützen die Analyse nach dem Diamond-Modell?