Vergleich der Cyber-Kill-Chain in IT und OT
Die Cyber-Kill-Chain dient in der gesamten IT-Sicherheitsbranche als Leitfaden sowohl für Angreifer als auch Verteidiger. Die Kenntnis und Beschreibung der einzelnen Phasen ist nicht nur für die herkömmliche IT-Sicherheit von Bedeutung, sondern auch für die OT-Sicherheit. Dieser Artikel beleuchtet beide Seiten und stellt die Unterschiede heraus.
Wie ist die Cyber-Kill-Chain aufgebaut?
Die Cyber-Kill-Chain wurde von den Analysten Eric M. Hutchins, Michael J. Cloppert und Rohan M. Amin bei Lockheed Martin entwickelt und ist angelehnt an das militärische Konzept der Kill-Chain. Sie beschreibt den Verlauf eines Cyberangriffs in sieben Phasen:
- Reconnaissance
- Weaponization
- Delivery
- Exploitation
- Installation
- Command and Control
- Actions on Objectives
Auch wenn Cyberangriffe selten identisch verlaufen, bietet die Einteilung in diese Phasen wertvolle Informationen, um den Fortschritt eines Angriffs zu bewerten und entsprechende Maßnahmen zu ergreifen.
Neben der Cyber-Kill-Chain ist das MITRE ATT&CK Framework ein weiteres wichtiges Modell zur Analyse von Cyberangriffen.
1. Reconnaissance
Diese Phase umfasst das Ausspähen der Zielumgebung durch den Angreifer. Typischerweise erfolgt dies durch Portscans der Infrastruktur oder die Nutzung von öffentlich zugänglichen Informationen (OSINT). Dabei können auch Social Engineering Techniken angewendet werden. Die Tiefe und Sorgfalt dieses Auskundschaftens kann den Erfolg der nachfolgenden Phasen erheblich beeinflussen.
2. Weaponization
In der zweiten Phase wird die Schadsoftware (Malicious Software) erstellt. Diese besteht üblicherweise aus zwei Komponenten: einem Teil, der dem Angreifer Fernzugriff gewährt, und einem, der die in der Reconnaissance-Phase identifizierte Schwachstelle ausnutzt.
3. Delivery
Hier wird die Schadsoftware auf das Zielsystem übertragen, um in die Infrastruktur einzudringen (Access to the Target). Ein gängiges Beispiel ist eine Phishing-Mail mit einem schädlichen Anhang, der beim Öffnen ein Makro ausführt.
4. Exploitation
Diese Phase wird durch das Ausnutzen der identifizierten Schwachstelle charakterisiert. Gelingt dies, kann der Angreifer erstmals eigenen Code auf dem System ausführen.
5. Installation
Nun wird die Schadsoftware so installiert, dass sie dem Angreifer einen dauerhaften Zugang ermöglicht. Dies dient dazu, sich auf dem infizierten System festzusetzen und die weiteren Schritte zur Ausbreitung in der Infrastruktur vorzubereiten.
6. Command and Control
In dieser Phase wird ein Kommunikationskanal eingerichtet, über den der Angreifer per Remote Access weitere Befehle senden und den Zugang zum Unternehmen aufrechterhalten kann.
7. Actions on Objectives
In der finalen Phase setzen die Angreifer ihre eigentlichen Ziele um, wie Sabotage, Datendiebstahl oder Erpressung durch Verschlüsselung. In vielen Fällen beginnt mit dieser Phase der Übergang zur zweiten Stufe, insbesondere wenn die Betriebssicherheit (OT) das Ziel ist.
Wie verläuft ein Angriff in der OT-Sicherheit?
„Operational Technology (OT)“ bezieht sich auf Hardware und Software, die industrielle Anlagen, Prozesse oder Ereignisse überwacht und steuert. Ein Angriff auf ein ICS (Industrial Control Systems) umfasst oft zwei Stufen.
Während das Überwinden der IT-Infrastruktur die erste Stufe darstellt, beginnt mit dem Übergang zur OT die zweite Stufe. Diese erfordert spezielles Wissen über die oft einzigartigen Systeme und Konfigurationen der OT, die empfindlicher auf Störungen reagieren als herkömmliche IT-Systeme.
Fehler in der ersten Stufe können auf OT-Ebene unvorhersehbare und schwerwiegende Folgen haben. Angriffe auf OT-Systeme sind komplexer und zeitaufwändiger, weshalb zwischen der ersten und zweiten Stufe oft ein längerer Zeitraum liegen kann.
Development & Tuning
Zu Beginn der zweiten Stufe eines ICS-Angriffs nutzen die Angreifer die in der ersten Stufe gewonnenen Erkenntnisse. Diese Informationen über Hardware, Konfigurationen und andere relevante Details werden verwendet, um die Zielsysteme möglichst genau zu simulieren. So können die Angreifer ihre Schadsoftware vor dem eigentlichen Angriff testen.
Validation
In dieser Phase wird die Schadsoftware auf ähnlicher oder identischer Hardware wie die des Opfers getestet, um sicherzustellen, dass sie kompatibel ist, keine Alarme auslöst und die Hardware nicht beschädigt, bevor die eigentlichen Ziele erreicht werden.
ICS-Angriff
In der abschließenden Phase wird die entwickelte Schadsoftware in das Zielsystem eingeschleust, installiert und ausgeführt. Der Angriff kann mehrere Ziele verfolgen, abhängig von der Motivation der Angreifer.
Übliche Ziele von ICS-Angriffen lassen sich in drei Kategorien einteilen: Zerstörung, Kontrollverlust und Manipulation. Im Vergleich zu Angriffen auf IT-Systeme haben Angriffe auf ICS-Systeme oft schwerwiegendere Konsequenzen. Während ein DDoS-Angriff auf IT-Systeme ernsthaft störend sein kann, könnte ein Kontrollverlust in einem ICS-Bereich im schlimmsten Fall lebensgefährliche Folgen haben.
Die Cyber-Kill-Chain in IT und OT ist komplex
Die Cyber-Kill-Chain ist ein entscheidendes Modell zur Analyse und Abwehr von Cyberangriffen in IT- und OT-Systemen. Sie bietet einen strukturierten Ansatz zur Identifizierung und Unterbrechung von Angriffen, indem sie die Phasen eines Angriffs detailliert beschreibt.
Wichtige Erkenntnisse
- IT vs. OT: Während die IT-Sicherheit häufig auf schnelle und flexible Anpassungen setzt, erfordert die OT-Sicherheit ein tiefgehendes Verständnis der spezifischen industriellen Systeme.
- Phasen der Cyber-Kill-Chain: Jede Phase, von der Aufklärung bis zur Umsetzung der Angreiferziele, bietet Ansatzpunkte für Verteidigungsmaßnahmen.
- Unterschiedliche Herausforderungen: Die OT-Sicherheit stellt aufgrund ihrer Komplexität und der potenziell schwerwiegenden Auswirkungen von Angriffen besondere Anforderungen.
Schlussfolgerungen
- Ein umfassendes Sicherheitskonzept muss sowohl IT- als auch OT-Sicherheitsstrategien integrieren.
- Unternehmen sollten ihre Verteidigungsmaßnahmen kontinuierlich anpassen und ihre Mitarbeiter schulen, um auf neue Bedrohungen vorbereitet zu sein.
Durch die Beachtung dieser Aspekte können Organisationen ihre Sicherheitslage deutlich verbessern und das Risiko erfolgreicher Cyberangriffe minimieren.
FAQs – Fragen zur Cyber-Kill-Chain
Was ist die Cyber-Kill-Chain?
Die Cyber-Kill-Chain ist ein Modell, das den Verlauf eines Cyberangriffs in sieben Phasen beschreibt. Es dient dazu, den Fortschritt eines Angriffs zu bewerten und gezielte Abwehrmaßnahmen zu ergreifen. Entwickelt von Lockheed Martin, wird es in IT und OT angewendet.
Wie unterscheidet sich die Cyber-Kill-Chain in IT und OT?
In IT-Systemen fokussiert die Cyber-Kill-Chain auf schnelle, flexible Anpassungen. In OT-Systemen erfordert sie ein tiefgehendes Verständnis spezifischer industrieller Systeme. Angriffe auf OT-Systeme sind oft komplexer und haben potenziell schwerwiegendere Auswirkungen.
Welche Bedeutung hat die Phase „Exploitation“ in der Cyber-Kill-Chain?
Die „Exploitation“-Phase ist entscheidend, da der Angreifer erstmals eigenen Code auf dem System ausführt. Sie nutzt identifizierte Schwachstellen und kann den weiteren Verlauf des Angriffs maßgeblich beeinflussen. Erfolgreiche Ausnutzung öffnet die Tür für tiefergehende Systemzugriffe..
Weitere spannende Beiträge
-
- News
Red Teaming in der Praxis: So decken Sie kritische Sicherheitslücken auf
Zum BeitragDie Bedrohungslage im Cyberraum verschärft sich rasant, während klassische Sicherheitsmaßnahmen oft nur Symptome behandeln. Red Teaming setzt früher an: Ethische Hacker simulieren unter realen Bedingungen Angriffe auf Systeme und Prozesse, um kritische Schwachstellen sichtbar zu machen, bevor echte Angreifer sie ausnutzen. Denn: Ein einzelner Sicherheitsvorfall kann bereits das Kundenvertrauen nachhaltig beschädigen. Wir zeigen Ihnen, wie Sie Red Teaming […]
-
- News
Die forensische Herausforderung von Homomorphic Encryption
Zum BeitragHomomorphe Verschlüsselung ermöglicht Berechnungen auf verschlüsselten Daten, ohne diese zu entschlüsseln – ein Meilenstein für Datenschutz und Datensicherheit. Bis 2026 werden laut Prognosen rund 90 % der großen Unternehmen diese Technologie in ihre Prozesse integrieren. Im Gegensatz zu herkömmlichen Methoden schützt homomorphe Verschlüsselung Daten durchgehend – bei Speicherung, Übertragung und Verarbeitung – und gilt zudem als […]
-
- News
N-Day Exploits: Die versteckte Gefahr für Ihre Unternehmenssicherheit
Zum BeitragMit der fortschreitenden Digitalisierung geraten Unternehmen zunehmend ins Visier von N-Day Exploits – Angriffen auf bekannte, aber noch nicht überall gepatchte Sicherheitslücken. Während Patches oft verfügbar sind, dauert deren flächendeckende Installation meist Wochen bis Monate. Angreifer nutzen diese Verzögerung gezielt aus und verursachen so erhebliche Schäden, wie das Beispiel Log4j zeigt. Unsere Analysen belegen: Gerade […]
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Director IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de
