MITRE ATT&CK.

MITRE ATT&CK ist die offene Wissensdatenbank mit Adversary Tactics, Techniques and Procedures (TTPs), die in der Praxis beobachtet wurden. Sie bildet das Standardvokabular für eine bedrohungsbasierte Verteidigung: Erkennungsregeln, Red-Team-Szenarien, SOC-Analystenschulungen. Kontinuierlich aktualisiert, kostenlos nutzbar. Wenn Ihre SIEM-Regeln keine ATT&CK-Technik-IDs referenzieren, arbeiten Sie unnötig aufwendig.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

Die Einschätzung der Cyber Academy

MITRE ATT&CK ist die offene Wissensdatenbank mit Adversary Tactics, Techniques and Procedures (TTPs), die in der Praxis beobachtet wurden. Sie bildet das Standardvokabular für eine bedrohungsbasierte Verteidigung: Erkennungsregeln, Red-Team-Szenarien, SOC-Analystenschulungen. Kontinuierlich aktualisiert, kostenlos nutzbar. Wenn Ihre SIEM-Regeln keine ATT&CK-Technik-IDs referenzieren, arbeiten Sie unnötig aufwendig.

Eine gemeinsame Sprache dafür, wie sich Angreifer verhalten

MITRE ATT&CK rückt Threat Intelligence rund um Verhalten statt um Indikatoren in den Mittelpunkt. Anstatt die IP-Adressen oder Datei-Hashes zu katalogisieren, die in einer einzigen Kampagne beobachtet wurden und sich ständig ändern, katalogisiert es das, was Angreifer tatsächlich tun, sobald sie in einer Umgebung sind: wie sie sich initialen Zugang verschaffen, Privilegien ausweiten, sich seitlich bewegen, Abwehrmaßnahmen umgehen und Daten exfiltrieren. Jedes dieser Verhaltensweisen wird als Technik mit einer stabilen Kennung erfasst, und Techniken werden unter Taktiken gruppiert, die das Angreiferziel in jedem Schritt beschreiben. Das Ergebnis ist eine strukturierte, evidenzbasierte Karte des gegnerischen Spielbuchs, die aus beobachteten realen Einbrüchen stammt und nicht aus der Theorie.

Das Rahmenwerk ist als Matrix aufgebaut. Die Spalten sind die Taktiken, das Warum hinter einem Schritt, und die Zellen unter jeder Spalte sind die Techniken und Sub-Techniken, das Wie. Getrennte Matrizen decken Enterprise-Umgebungen, Mobilgeräte und industrielle Steuerungssysteme ab, weil sich gegnerisches Verhalten über diese Gelände hinweg unterscheidet. Da die Technik-IDs stabil und öffentlich sind, werden sie zu einer gemeinsamen Referenz, auf die ein Threat-Intelligence-Analyst, ein SOC-Ingenieur, der Erkennungen schreibt, und ein Red Teamer, der eine Übung plant, alle ohne Mehrdeutigkeit verweisen können. Dieses gemeinsame Vokabular ist die stille Superkraft von ATT&CK: Es lässt Teams, die nie miteinander sprechen, denselben Angriff auf dieselbe Weise beschreiben.

Taktiken, Techniken und Verfahren

Das TTP-Modell steht im Kern von ATT&CK, und es lohnt sich, die drei Ebenen auseinanderzuhalten. Taktiken sind die Ziele des Gegners, die übergeordneten Absichten wie das Erlangen eines Standbeins oder das Aufrechterhalten von Persistenz. Techniken sind die allgemeinen Methoden, die zum Erreichen einer Taktik eingesetzt werden, und viele Techniken gliedern sich weiter in Sub-Techniken auf, die eine spezifischere Variante beschreiben. Verfahren sind die konkreten, in freier Wildbahn beobachteten Umsetzungen, die eine bestimmte Gruppe zur Durchführung einer Technik genutzt hat. Diese Leiter vom Verfahren über die Technik zur Taktik hinaufzusteigen, ist das, was aus einem Haufen von Vorfallartefakten ein Muster macht, gegen das man sich verteidigen kann.

Die TTP-Ebenen in ATT&CK
EbeneFrage, die sie beantwortetVeranschaulichende Bedeutung
TaktikWarum tut der Gegner dies?Das Ziel eines Schritts, etwa Persistenz oder seitliche Bewegung
TechnikWie erreichen sie es im Allgemeinen?Eine benannte Methode mit einer stabilen ATT&CK-ID, mitunter in Sub-Techniken aufgeteilt
VerfahrenWie genau hat diese Gruppe es getan?Die spezifische beobachtete Umsetzung in einem realen Einbruch

Der Grund, warum Fachleute diese Struktur schätzen, ist, dass auf Technik-Ebene aufgebaute Abwehrmaßnahmen länger überdauern als auf Indikatoren gestützte. Ein Angreifer kann eine bösartige Domain in Minuten austauschen oder eine Payload neu kompilieren und so signaturbasiertes Blockieren aushebeln, doch das Ändern der zugrunde liegenden Technik erfordert mehr Aufwand und oft mehr Können. An Techniken verankerte Erkennungen altern daher langsamer und fangen Varianten ab, die die erste Signatur nie gesehen hat.

Wie Teams ATT&CK in die Praxis umsetzen

Bedrohungsinformierte Verteidigung ist die Praxis, die ATT&CK ermöglicht, und sie zeigt sich in der gesamten Sicherheitsfunktion. SOC-Teams kennzeichnen Erkennungsregeln mit Technik-IDs, sodass sie auf einen Blick sehen, welche gegnerischen Verhaltensweisen sie erkennen können und für welche sie blind sind. Diese Lückenanalyse, oft als Heatmap über der Matrix visualisiert, steuert, wohin der nächste Erkennungsaufwand geht.

Red Teams und Purple Teams nutzen die Matrix, um Übungen zu gestalten und zu bewerten, indem sie Techniken gezielt durchgehen, um zu testen, ob das Blue Team es bemerkt. Threat-Intelligence-Teams beschreiben gegnerische Gruppen in ATT&CK-Begriffen, sodass Berichte vergleichbar sind statt maßgeschneiderter Prosa. Und Schulungsprogramme stützen sich darauf, weil es Analysten ein einziges, gut dokumentiertes Modell des Angreiferverhaltens zum Lernen bietet statt tausend unverbundener Kriegsgeschichten.

ATT&CK ist offen veröffentlicht, kostenlos nutzbar und wird laufend aktualisiert, sobald neues gegnerisches Verhalten beobachtet wird, weshalb es zur De-facto-Referenz geworden ist und nicht zu einem Anbieter-Rahmenwerk unter vielen. Es passt natürlich zu Kontrollkatalogen und Managementsystemen: Wo ISO/IEC 27001, das NIST Cybersecurity Framework oder die CIS Controls Ihnen sagen, welche Schutz- und Erkennungsfähigkeiten Sie aufbauen sollen, sagt ATT&CK Ihnen, welche gegnerischen Verhaltensweisen diese Fähigkeiten adressieren müssen, und es wird zunehmend genutzt, um diese Arbeit zu priorisieren und zu validieren.

Frequently asked questions

01Was ist der Unterschied zwischen Taktiken und Techniken in ATT&CK?

Eine Taktik ist das Ziel des Gegners in einem Schritt, das Warum, etwa Persistenz oder Exfiltration. Eine Technik ist eine allgemeine Methode, um dieses Ziel zu erreichen, das Wie, und viele Techniken teilen sich in spezifischere Sub-Techniken auf. Verfahren sind die konkrete Art, wie eine bestimmte Gruppe eine Technik in einem realen Einbruch umgesetzt hat.

02Ist MITRE ATT&CK kostenlos nutzbar?

Ja. ATT&CK ist eine offen veröffentlichte Wissensbasis, gepflegt von MITRE, kostenlos nutzbar und laufend aktualisiert, sobald neues gegnerisches Verhalten in freier Wildbahn beobachtet wird.

03Wie unterscheidet sich ATT&CK von der Cyber Kill Chain?

Die Kill Chain beschreibt die übergeordneten Phasen eines Einbruchs in einer linearen Abfolge. ATT&CK ist weitaus granularer: Es katalogisiert spezifische Techniken und Sub-Techniken unter jeder Taktik, aus beobachtetem realem Verhalten gewonnen, sodass es für detailliertes Detection Engineering und Abdeckungskartierung genutzt wird statt als einfaches Phasenmodell.

04Wie nutzt ein SOC ATT&CK tatsächlich?

SOC-Teams kennzeichnen Erkennungsregeln mit Technik-IDs, um ihre Abdeckung über die Matrix hinweg zu kartieren, und legen so offen, welche gegnerischen Verhaltensweisen sie erkennen können und welche blinde Flecken sind. Diese Lückenanalyse steuert dann, wo in neue Erkennungen, Log-Quellen und Tuning-Aufwand investiert wird.

05Ersetzt ATT&CK Rahmenwerke wie ISO 27001 oder NIST?

Nein, es ergänzt sie. Kontrollrahmenwerke sagen Ihnen, welche Schutz- und Erkennungsfähigkeiten Sie aufbauen sollen, während ATT&CK die gegnerischen Verhaltensweisen beschreibt, die diese Fähigkeiten adressieren müssen. Teams nutzen es, um die von einem Rahmenwerk geforderten Kontrollen zu priorisieren und zu validieren.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.