Wie moderne Angreifer wirklich ins Netzwerk eindringen – ein Real-World-Kill-Chain-Report

Einleitung

Die Frage ist nicht, ob ein Unternehmen angegriffen wird – sondern wann und wie. Moderne Cyberangriffe folgen heute hochstrukturierten Prozessen, die weit über klassische Hackeraktivitäten hinausgehen. Professionelle Angreifer orientieren sich an etablierten Modellen wie der Cyber Kill Chain und MITRE ATT&CK, um systematisch Zugang zu Netzwerken zu erhalten, sich lateral auszubreiten und nachhaltige Kontrolle aufzubauen. Dieser Artikel beschreibt die reale Angriffskette eines modernen Unternehmensangriffs – praxisnah, nachvollziehbar und strategisch relevant für Entscheider und IT-Verantwortliche.

Die moderne Cyber Kill Chain im Überblick

Professionelle Angreifer arbeiten nach einem klaren Schema, das in sieben typische Phasen aufgeteilt wird. Jede Phase baut auf der vorherigen auf – und jede bietet Unternehmen eine Chance, den Angriff zu stoppen.

1. Reconnaissance – Informationsbeschaffung

Der wichtigste Schritt moderner Angreifer ist nicht technisch, sondern analytisch. Wochen oder Monate vor dem eigentlichen Angriff sammeln Täter Informationen über das Zielunternehmen.

Typische Recon-Methoden:

• Scans nach exponierten Diensten (Shodan, Censys)
• Analyse öffentlicher SSL-Zertifikate
• DNS- und Subdomain-Reconnaissance
• Social-Media-Analyse von Mitarbeitern
• Leaked Credentials aus früheren Datenlecks
• Offene Cloud-Buckets oder Git-Repositories

Ziel: Ein präzises Bild der Angriffsfläche und potenzieller Einstiegspunkte.

2. Weaponization – Vorbereitung des Angriffs

In dieser Phase entwickeln Angreifer maßgeschneiderte Angriffswerkzeuge:

• Phishing-Kampagnen mit Corporate-Branding
• Malware, die Sicherheitslösungen umgeht
• Exploits für bekannte Schwachstellen
• Payloads für Remote Access

Moderne Toolkits sind modular aufgebaut – Angreifer wählen je nach Ziel die passenden Komponenten aus.

3. Delivery – Zustellung der Angriffsvektoren

Der Angriff erreicht das Unternehmen über verschiedene Wege. Die häufigsten sind:

• Phishing-E-Mails mit kompromittierten Anhängen
• Spear-Phishing auf Führungskräfte
• SMS- oder Messenger-basierte Social Engineering Kampagnen
• Exploits gegen ungepatchte VPN-, RDP- oder Webserver
• Trojanisierte Softwareupdates

Der Erstkontakt ist selten auffällig – professionelle Kampagnen wirken seriös und gezielt.

4. Exploitation – Ausnutzen der Schwachstelle

Jetzt erfolgt der eigentliche Einstieg. Sobald ein Mitarbeiter auf einen präparierten Link klickt oder ein ungepatchter Dienst angegriffen wird, nutzen Angreifer die Schwachstelle aus.

Kritische Schwachstellen sind oft:

• Outdated VPN-Gateways
• Fehlende MFA
• Veraltete Webserver
• Ungepatchte Firewalls
• Legacy-Systeme ohne Support

Wenn ein Unternehmen kein zentralisiertes Patchmanagement hat, ist diese Phase oft erfolgreich.

5. Installation – Etablierung des Zugangs

Nach erfolgreichem Einstieg richten Angreifer Persistenz ein, damit sie langfristig im Netzwerk bleiben können.

Typische Maßnahmen:

• Installation von Remote Access Trojans (RATs)
• Registrierung neuer Benutzer oder Dienstkonten
• Manipulation von Autostart-Mechanismen
• Einbinden in geplante Tasks (Scheduled Tasks)
• Installation von Backdoors über legitime Tools wie PowerShell

Profis nutzen bevorzugt Tools, die nicht als Malware erkannt werden (Living off the Land).

6. Command & Control – Kontrolle übernehmen

Jetzt kommunizieren Angreifer stabil mit ihren implantierten Tools. Diese Verbindung ist oft verschlüsselt und schwer erkennbar.

Häufige Techniken:

• TLS-verschlüsselte C2-Server
• Verstecken des Verkehrs in normalen HTTPS-Verbindungen
• Missbrauch legitimer Cloud-Dienste (z. B. OneDrive, Dropbox)
• DNS-Tunneling

Ziel: Sich unauffällig im Netzwerk bewegen, ohne Alarm auszulösen.

7. Actions on Objectives – Die eigentliche Mission

Jetzt beginnen die Angreifer mit dem, was für das Unternehmen den größten Schaden verursacht. Je nach Gruppe variieren die Ziele:

Mögliche Angriffsziele:

• Datendiebstahl (kundenspezifische Informationen, IP, F&E-Daten)
• Ransomware-Ausrollung im gesamten Netzwerk
• Manipulation oder Sabotage (Industrie, Medizin, KRITIS)
• Finanzielle Angriffe (Betrug, Transaktionen, CEO Fraud)
• Spionage (staatliche Gruppen)

Professionelle Angreifer bleiben im Durchschnitt 10–30 Tage im Netzwerk, bevor sie entdeckt werden – oft zu spät.

Warum Angriffe so oft gelingen

Die größten Schwachstellen haben wenig mit Technik zu tun, sondern mit Organisation:

• fehlendes Patchmanagement
• ungenügende Netzwerksegmentierung
• fehlende MFA
• zu viele Administratorrechte
• keine Security-Monitoring-Prozesse
• mangelnde Awareness

Angreifer brauchen nur eine Schwachstelle – Unternehmen müssen alle schließen.

Wie Unternehmen moderne Angriffe erkennen und stoppen können

1. Zero Trust Implementierung

Jeder Zugriff muss überprüft werden – intern wie extern.

2. MFA überall, nicht nur im VPN

Auch Cloud-Apps, Admin-Tools und interne Systeme benötigen MFA.

3. EDR/XDR und 24/7 Monitoring

Ohne Sichtbarkeit bleibt jeder Angriff unentdeckt.

4. Netzwerksegmentierung

Ein kompromittierter Client darf nicht zum Domain Controller führen.

5. Regelmäßige Penetrationstests

Echte Tests zeigen echte Schwachstellen – nicht theoretische.

6. Incident Response Planung

Wer keinen Plan hat, verliert im Ernstfall wertvolle Stunden oder Tage.

Fazit

Moderne Angriffsgruppen agieren strukturiert, methodisch und mit professioneller Ausrüstung. Sie folgen klaren Prozessen und nutzen jede organisatorische oder technische Schwäche aus. Unternehmen müssen verstehen, dass Angriffe nicht spontan passieren, sondern strategisch geplant werden. Nur wer die gesamte Kill Chain kennt und jeden Schritt absichert, kann Angriffe wirksam verhindern oder frühzeitig stoppen.

Cyberangriffe sind kein Zufall – sie sind das Ergebnis hochprofessioneller Vorgehensweisen. Sicherheit entsteht nur dort, wo Unternehmen die Angriffsstrategie vollständig verstehen.