Die Cyber Kill Chain - was sie ist und was nicht

Es ist das Jahr 2011. Der letzte Film der "Harry Potter"-Serie kommt ins Kino. Adele veröffentlicht "21", ihr bislang erfolgreichstes Album. Und Lockheed Martin präsentiert die Cyber Kill Chain - ein Konzept, das die Struktur einer Cyberattacke aufzeigen soll. Der Angriff wird dabei als End-to-End-Prozess in sieben Phasen als Kette aufgezeigt: vom Auskundschaften des Opfers bis zum Ausführen des eigentlichen Angriffs.

Die Idee war schon vor zehn Jahren nicht ganz neu. Das US-amerikanische Militär etwa nutzte schon zuvor Kill Chains, um konventionelle Angriffe zu repräsentieren. Ein Beispiel hierfür ist F2T2EA. Die Abkürzung steht für "find, fix, track, target, engage, assess". Das Rüstungsunternehmen Lockheed Martin adaptierte dieses Angriffsmodell für den Cyberraum.

Das Bild einer Kette ist nicht zufällig gewählt. Jedes weitere Glied der Kette wird an das vorherige angehängt. Um einen erfolgreichen Angriff zu lancieren, muss der Angreifer die gesamte Kette durchlaufen. Zerbricht die Kette an irgendeiner Stelle, scheitert die Attacke. Genau darin liegen Sinn und Zweck des Konzepts: Wenn man weiss, was der Angreifer wann macht, kann man ihm gezielt entgegenwirken. Ein altbewährter Ansatz. So schrieb etwa der chinesische Militärstratege und Philosoph Sunzi bereits vor rund 2500 Jahren in seinem Buch "Die Kunst des Krieges": "Wenn du deinen Feind und auch dich kennst, brauchst du nicht die Ergebnisse von 100 Kämpfen zu fürchten. Wenn du dich kennst, nicht aber deinen Feind, gehst du für jeden Sieg, den du erringst, das Risiko einer Niederlage ein." Die Cyber Kill Chain dient so als Grundlage, um eine mehrstufige Abwehr aufzubauen. Es handelt sich zudem um eine Eskalationskette. Das heisst, je früher man sie zerbricht, desto geringer ist der Schaden für das Opfer.

Die sieben Schritte der Cyber Kill Chain von Lockheed Martin. (Source: Netzmedien)

Die einzelnen Phasen der Kette

1. Reconnaissance: Der Angreifer findet sein Opfer, ­erforscht es und sucht Schwachstellen in dessen Netzwerk.

2. Weaponization: Der Angreifer erstellt eine Malware, die auf die Schwachstellen im Netzwerk des Opfers zugeschnitten ist.

3. Delivery: Der Angreifer übermittelt die Malware an sein Opfer - beispielsweise per E-Mail-Anhang, über eine Website oder auch über einen physischen Zugang.

4. Exploitation: Die Malware wird aktiviert und nutzt die gefundenen Schwachstellen im Zielnetzwerk aus.

5. Installation: Die Malware installiert eine Backdoor, ­einen Zugangspunkt ins Netzwerk, der vom Angreifer genutzt werden kann.

6. Command and Control: Die Malware ermöglicht dem Angreifer einen dauerhaften Zugriff auf das Zielnetzwerk.

7. Actions on Objective: Der Angreifer ergreift Massnahmen, um seine Ziele zu erreichen. Dazu zählen etwa die Vernichtung, Exfiltration oder Verschlüsselung von Daten, um anschliessend ein Lösegeld zu verlangen.

Kritik am Angriffsmodell

Die Cyber Kill Chain gehört heute zu den Standardmodellen in der Cybersecurity-Branche. Trotz seiner starken Verbreitung ist das Angriffsmodell umstritten. Lockheed Martins Ansatz ist klar auf die Abwehr von klassischen Malware-Angriffen ausgerichtet. Manche sehen darin eine Schwäche. Die Cyber Kill Chain stärke veraltete, auf den Perimeterschutz fokussierte Denkweisen. Früher lag der Fokus der Cyberabwehr darauf, ein undurchdringbares Bollwerk zu erschaffen, das keine Malware durchbrechen kann. Dies gilt heute nicht mehr als zeitgemäss, da kein System 100-prozentig sicher ist und man folglich davon ausgehen muss, dass der Angreifer bereits im System aktiv ist. Dieser Fall lässt sich auf dem bestehenden Modell von Lockheed Martin nicht abbilden, da die Kette nach einem Angriff einfach endet.

Die Cyber Kill Chain berücksichtige die Vielfalt an möglichen Angriffsvektoren zudem zu wenig. Ein gutes Beispiel dafür sind Insider Threats. Also Bedrohungen, die von innerhalb des Systems kommen. Ein Beispiel dafür sind etwa Mitarbeitende, die entweder absichtlich die eigene Firma kompromittieren oder diese durch Unachtsamkeit in Gefahr bringen. Wer nur auf die Cyber Kill Chain schaue, sei blind für alle anderen Formen der Cyberkriminalität.

Eine weitere Kritik betrifft die Nützlichkeit des Ansatzes. Die ersten Schritte im Modell sind nur bedingt relevant für die Cyberabwehr. Was ein Hacker vor einem Angriff mache, könne die IT-Security gar nicht adressieren. Der Nutzen ist hier wohl eher indirekt: So lohnt es sich vielleicht, zu prüfen, was man alles über die eigene Firma im Internet oder auch im Darknet finden kann. Denn die gefundenen Informationen sind die naheliegenden Grundbausteine für Social-Engineering-Attacken.

Die Unified Kill Chain

Aufgrund der Kritik haben einige Unternehmen und Organisationen bereits Alternativen zum Konzept von Lockheed Martin entworfen. Darunter ist auch die auf Netzwerk-Security spezialisierte US-amerikanische Firma Fireeye. Ihr Modell fokussiert sich gemäss der Firma auf die Persistenz von Bedrohungen. Dabei werde betont, dass eine Bedrohung nach einem Zyklus nicht ende. Eine grosse Abweichung von Lockheed Martins Ansatz stellt Fireeyes Kill Chain allerdings nicht dar. So handelt es sich wieder um eine lineare Kette von 7 Phasen. Sie werden lediglich teilweise anders benannt: aufklären - ins Netzwerk eindringen - Backdoor einrichten - Zugangsdaten erlangen - Dienstprogramme installieren - Privilegienerweiterung/ Seitwärtsbewegung/ Datenexfiltration - Persistenz aufrechterhalten.

Zu den Alternativen wird oft auch das "Att&ck Framework" von MITRE gezählt. Die MITRE-Organisation­ entstand durch eine Abspaltung des MIT und betreibt Forschungsinstitutionen im Auftrag der USA. Allerdings handelt es sich beim "Att&ck Framework" nicht wirklich um ein konkretes Modell, mit dem sich Angriffe strukturiert darstellen lassen. Stattdessen handelt es sich hierbei vielmehr um eine Sammlung von Taktiken, Techniken und Prozessen, die Angreifer nutzen könnten, und wie man diese abwehrt.

Die Unified Kill Chain soll verschiedene Ansätze zu einem Modell vereinen. (Source: Netzmedien / unifiedkillchain.com)

2017 kam eine weitere Alternative hinzu. Diese fusst unter anderem auf MITREs "Att&ck Framework" und Lockheed Martins Cyber Kill Chain und verfolgt das Ziel, beide zu einem Modell zu vereinen. Entsprechend wird sie auch die Unified Kill Chain genannt. Hinter dem Vorhaben stecken der Cybersecurity-Experte Paul Pols sowie die niederländische Firma Fox-IT und die Universität Leiden. Die neue Kill Chain soll die Kritik am bestehenden Modell aufgegriffen und umgesetzt haben. So entstand eine geordnete Kette von 18 Angriffsphasen, die bei einem Cyberangriff auftreten können. Das Modell deckt sowohl bedrohliche Aktivitäten innerhalb als auch ausserhalb des Netzwerks ab. Wie bei Lockheed Martin unterstützt auch die Unified Kill Chain den Aufbau einer mehrschichtigen Abwehr. Aber im Gegensatz zum älteren ­Pendant unterstützt Pols Modell den "Assume Breach"-Ansatz.

Die grösste Abweichung zur traditionellen Cyber Kill Chain - und wohl der grösste Vorteil der Unified Kill Chain - ist die Abkehr von einer rein linearen Kette. Stattdessen werden die drei Phasen "Initial Foothold", "Network Propagation" und "Action on Objectives" als Schleifen dargestellt, die sich wiederholen können, bevor es zur nächsten Phase weitergeht. Genauso wie es auch bei einem echten Angriff geschehen kann. Die Unified Kill Chain ist somit ein klarer Schritt vorwärts im Vergleich zu Lockheed Martins Ansatz. Aber: Egal wie gut ein Modell ist, es hilft immer nur zu verstehen, was das Modell darstellt. Vor dem Scheuklappeneffekt, dass alles abseits des Modells nicht gesehen wird, ist keiner gefeit. Eine dogmatische Fokussierung auf eine Denkweise sollte man daher in der Cyber­abwehr stets vermeiden.