Barracuda full logo

Warum Sie mit dem MITRE ATT&CK-Framework vertraut sein sollten

Themen:
23. Juli. 2025
|
Christine Barry

Viele Techniker und IT-Profis kennen MITRE ATT&CK, wissen aber nicht, was sie damit anfangen sollen. Wenn Sie Tools wie CIS CDM und NIST CSF 2.0 verwenden, warum sollten Sie sich dann mit den Details von MITRE ATT&CK befassen müssen? Zwar ist es richtig, dass man auch ohne tiefere Auseinandersetzung damit zurechtkommt, aber das Verständnis, wie man MITRE ATT&CK einsetzt, kann Ihnen helfen, stärkere und agilere Verteidigungsmaßnahmen für Ihr Unternehmen zu entwickeln.

Was sind MITRE und MITRE ATT&CK?

Fangen wir bei der Organisation an. Der vollständige Name ist The MITRE Corporation, obwohl sie den meisten von uns einfach als MITRE bekannt ist. Sie wurde 1958 gegründet, als sie sich vom MIT Lincoln Laboratory in eine eigenständige Organisation wandelte. Entgegen der landläufigen Meinung steht MITRE nicht für Massachusetts Institute of Technology Research and Engineering oder (angeblich) irgendetwas anderes.

Laut Murphy erklärten die Gründer damals, dass der Name die französische Schreibweise des englischen Wortes „miter“ sei – eine saubere Verbindung zweier Teile. Viele haben spekuliert, dass es für „MIT Research and Engineering“ stand, aber das hätte dem klaren Wunsch Strattons widersprochen, MIT von der Arbeit am SAGE-Projekt zu distanzieren. ~ Simson Garfinkel, MIT's first divorce, MIT Technology Review

Es gibt immer noch einige Spekulationen darüber, ob MITRE ein Akronym ist. Ein früher Mitarbeiter erinnert sich, Schränke mit der Beschriftung „MIT/RE“ gesehen zu haben, was auf „MIT Research Establishment“ hindeuten könnte. Die MITRE-Führung hat jedoch stets bestritten, dass der Name ein Akronym sei. Lesen Sie den Artikel in der MIT Technology Review, um mehr über die Geschichte und das Rätsel rund um den Namen und die Großschreibung zu erfahren.

MITRE Corporation

Bild: MITRE CORPORATION

Heute ist MITRE eine gemeinnützige Organisation, die staatlich finanzierte Forschungs- und Entwicklungszentren (FFRDCs) in mehreren Schwerpunktbereichen betreibt. Der Bereich, über den wir hier sprechen möchten, ist die Cybersecurity.

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) ist eine weltweit zugängliche Wissensdatenbank über gegnerisches Verhalten. Einfach ausgedrückt: Es ist eine Enzyklopädie darüber, wie Bedrohungsakteure in der realen Welt operieren.

MITRE ATT&CK wird regelmäßig aktualisiert – größere Updates erfolgen alle sechs Monate, meist im Frühjahr und Herbst.  Kleinere Updates erfolgen bei Bedarf, sind aber in der Regel nur kleinere Datenanpassungen oder Korrekturen von Fehlern oder Tippfehlern. Der eigentliche ATT&CK-Inhalt wird dabei nicht verändert. Die Versionen und Updates von MITRE ATT&CK verwenden ein Versionsnummernschema nach dem Muster „major.minor“. Mit jedem halbjährlichen Update wird die Hauptversionsnummer um 1.0 erhöht. Bei kleineren Updates wird die Versionsnummer um 0.1 erhöht. Zum Beispiel: Die aktuelle Version von ATT&CK ist 17.1, weil nach der Veröffentlichung von Version 17 kleinere Updates vorgenommen wurden.

MITRE-Framework-Updates vom April 2025

Bild: MITRE ATT&CK Versionsupdates, April 2025

Jede Hauptversion von ATT&CK erhält eine eigene permanente Webseite. Die jeweils aktuelle Version ist immer unter https://attack.mitre.org/ verfügbar.

Taktiken, Techniken und Verfahren (TTPs)

Jetzt kommen wir zu den spannenden Dingen. Die meisten Profile von Cyberangriffen enthalten Verweise auf TTPs. Falls Sie nicht sicher sind, was das bedeutet, finden Sie hier eine einfache Erklärung:

Taktiken: Das „Warum“ hinter einem Angriff, also der Grund, warum ein Bedrohungsakteur etwas tut. Ein Beispiel ist die Taktik der Aufklärung (Reconnaissance). Die Kurzbeschreibung dieser Taktik lautet: „Der Angreifer versucht, Informationen zu sammeln, die er für die Planung zukünftiger Operationen nutzen kann.“ So sieht die Liste der Taktiken aus:

Eintrag zur Aufklärungstaktik, MITRE Enterprise-Taktiken

Bild: Eintrag zur Aufklärungstaktik, MITRE Enterprise-Taktiken

Die ID auf der linken Seite – TA0043 – zeigt, dass es sich um ein Tactic Assignment (TA) handelt und dass dies der 43. Eintrag in der Liste der TAs ist. Die ID-Nummern werden der Reihenfolge nach vergeben, je nachdem, wann die Taktik hinzugefügt wurde. TA0043 wurde beispielsweise nach TA0042 vergeben. Jede Taktik hat eine eigene Seite mit den dazugehörigen Techniken. (Hier ist Aufklärung)

Techniken: Das ist das „Wie“ – also die Vorgehensweise der Angreifer. Wenn Sie sich mit der Taktik Initial Access (Erstzugriff) befassen, finden Sie dort Techniken wie Phishing, Supply Chain Compromise oder External Remote Services, was auch VPN- oder RDP-Exploits abdeckt. Die mit Initial Access verbundenen Techniken finden Sie hier.

Ähnlich wie die Taktiken hat jede Technik hat eine ID-Nummer. Die Technik External Remote Services hat z. B. die ID T1133. Das T steht für Technique, und es war die 1133. Technik, die zum ATT&CK-System hinzugefügt wurde.

Taktiken für den Erstzugriff

Bild: Taktiken für den Erstzugriff

Taktiken können in Untertaktiken unterteilt werden, um jeden Angriff klar zu definieren.
Liste der Erstzugriffstaktiken mit Untertaktiken des Phishing

Bild: Liste der Erstzugriffstaktiken mit Untertaktiken des Phishing

Verfahren: Das sind konkrete, reale Beispiele dafür, wie verschiedene Bedrohungsgruppen ATT&CK-Techniken einsetzen. Wenn Sie dem Link zu T1133 (External Remote Services) folgen, gelangen Sie zur Seite mit den Verfahren für diese Technik. Dort finden Sie Listen von Angriffskampagnen, Bedrohungsakteuren und Schadsoftware sowie Informationen darüber, wie diese in echten Angriffen verwendet wurden. Sie finden dort außerdem Informationen zu Erkennung und Abwehrmaßnahmen.

Warum sollten Sie das ernst nehmen?

Standards und Frameworks helfen Ihnen dabei, Ihre aktuelle Sicherheitslage besser zu verstehen. Sie sind entscheidend, wenn es darum geht, eine umfassende Strategie zu entwickeln und Sicherheitslücken zu erkennen. Sie beantworten die Fragen was zu tun ist und wann. MITRE ATT&CK ist ein weiteres Tool, das Sie beim Aufbau Ihrer Sicherheitsarchitektur unterstützt. Es liefert Ihnen detaillierte Informationen darüber, wie Bedrohungsakteure tatsächlich agieren und bietet einen tiefen Einblick in ihr Verhalten.

Diese Informationen helfen Ihnen dabei, anomalem Verhalten nachzugehen und festzustellen, ob Verbindungen zu bekannten Bedrohungsgruppen oder Kampagnen bestehen. Sie können auch verwendet werden, um Erkennungsregeln zu verfeinern oder Abwehrmaßnahmen gegen TTPs wie Aufklärung oder Initial Access zu testen.

Zusammengefasst lässt sich sagen: Verstehen Sie NIST CSF und CIS-Standards als das Bild davon, wie gute Sicherheit aussieht. Verstehen Sie TTPs und ATT&CK als die Beschreibung davon, wie Angreifer tatsächlich vorgehen. Sie brauchen beide Perspektiven, um in der heutigen Bedrohungslage widerstandsfähige und adaptive Abwehrmaßnahmen aufzubauen.

Mehr:

Hinweis: Dieser Artikel erschien ursprünglich in der Barracuda Reddit-Community.

Abonnieren Sie den Barracuda-Blog
Christine Barry

Christine Barry ist Senior Chief Blogger und Social Media Manager bei Barracuda.  Bevor sie zu Barracuda kam, war Christine über 15 Jahre lang als Außendiensttechnikerin und Projektmanagerin für K12- und KMU-Kunden tätig.  Sie hat mehrere Zugangsdaten für Technologie und Projektmanagement, einen Bachelor of Arts und einen Master of Business Administration. Sie ist Absolventin der University of Michigan.

Vernetzen Sie sich hier auf LinkedIn mit Christine.

Verwandte Beiträge:
Sicherheitskultur und ihre Bedeutung für den Schutz von Unternehmen
Sicherheitskultur und ihre Bedeutung für den Schutz von Unternehmen
 Cybersecurity Awareness Month 2023: Veranstaltungen, Sicherheitstipps und mehr
Cybersecurity Awareness Month 2023: Veranstaltungen, Sicherheitstipps und mehr
 Machen Sie das Beste aus dem Cybersecurity-Awareness-Monat
Machen Sie das Beste aus dem Cybersecurity-Awareness-Monat
 Für eine effektive Reaktion auf Vorfälle verwenden Sie eine Checkliste zur Behebung
Für eine effektive Reaktion auf Vorfälle verwenden Sie eine Checkliste zur Behebung
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.