MITRE ATT&CK
Öffentlich zugängliche Wissensdatenbank realer Angriffstechniken, die als standardisierte Sprache für Bedrohungsanalyse, Detection Engineering und Sicherheitsbewertungen dient.
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) ist ein öffentlich zugängliches Framework, das reale Angriffstechniken systematisch katalogisiert. Es beschreibt, wie Angreifer vorgehen — von der initialen Kompromittierung über laterale Bewegung bis zur Datenexfiltration — und ordnet jede Technik in eine Matrix aus Taktiken (dem Ziel des Angreifers) und Techniken (dem konkreten Vorgehen) ein. Das Framework wird von der gemeinnützigen MITRE Corporation gepflegt und hat sich als De-facto-Standard in der Cybersicherheitsbranche etabliert.
Aufbau der ATT&CK-Matrix
Die Matrix gliedert sich in Taktiken als Spalten und Techniken als Einträge darunter. Die Enterprise-Matrix umfasst 14 Taktiken: Reconnaissance, Resource Development, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration und Impact. Jede Technik erhält eine eindeutige ID (etwa T1566 für Phishing) und kann Sub-Techniken enthalten (T1566.001 für Spearphishing Attachment). Zu jeder Technik dokumentiert ATT&CK reale Angreifergruppen, eingesetzte Malware und konkrete Gegenmaßnahmen.
Neben der Enterprise-Matrix existieren spezialisierte Matrizen für Mobile und ICS (Industrial Control Systems), die branchenspezifische Angriffsvektoren abbilden.
ATT&CK in der Praxis
Wir nutzen ATT&CK als gemeinsame Sprache in Penetrationstests und Sicherheitsbewertungen. Jede identifizierte Schwachstelle wird einer konkreten ATT&CK-Technik zugeordnet — das macht Befunde für technische Teams und Management gleichermaßen verständlich und ermöglicht eine priorisierte Behebung. In der Praxis zeigt sich, dass Unternehmen, die ihre Erkennungsfähigkeiten an ATT&CK ausrichten, Lücken in der Abdeckung deutlich schneller identifizieren als mit ad-hoc-Ansätzen.
Ein typisches Beispiel: Wir finden in Assessments regelmäßig, dass Unternehmen zwar Phishing-Erkennung gut abgedeckt haben (Initial Access), aber bei Techniken wie Credential Dumping (Credential Access) oder Pass-the-Hash (laterale Bewegung) kaum Erkennungsfähigkeiten besitzen. Ohne ATT&CK als Referenzrahmen wäre diese Lücke nicht systematisch sichtbar geworden.
ATT&CK für Detection Engineering
ATT&CK bildet die Grundlage für systematisches Detection Engineering. Anstatt Erkennungsregeln im SIEM oder EDR isoliert zu entwickeln, werden sie gezielt gegen ATT&CK-Techniken gemappt. So entsteht eine Coverage-Map, die zeigt, welche Angriffstechniken erkannt werden und wo blinde Flecken bestehen. Tools wie attack-navigator von MITRE visualisieren diese Abdeckung und unterstützen die Priorisierung — typischerweise beginnt man mit den Techniken, die in der eigenen Branche am häufigsten eingesetzt werden.
ATT&CK und Threat Intelligence
ATT&CK verbindet sich direkt mit Threat Intelligence: Bekannte Angreifergruppen (Threat Actors) werden mit ihren bevorzugten Techniken dokumentiert. Ein Finanzdienstleister kann so gezielt prüfen, ob seine Erkennungsmechanismen gegen die Techniken der für seine Branche relevanten Gruppen wirksam sind. Diese bedrohungsbasierte Verteidigung ist deutlich effizienter als der Versuch, alle Techniken gleichzeitig abzudecken.
Darüber hinaus nutzen viele Threat-Intelligence-Plattformen ATT&CK als Taxonomie, um Bedrohungsberichte strukturiert aufzubereiten. IoCs (Indicators of Compromise) werden mit den zugehörigen ATT&CK-Techniken verknüpft, sodass Sicherheitsteams direkt ableiten können, welche Erkennungsregeln aktiviert oder erstellt werden müssen.
Relevanz für KMUs
ATT&CK ist frei verfügbar und erfordert keine Lizenzkosten. Für den Mittelstand liegt der größte Mehrwert in der Strukturierung der eigenen Sicherheitsmaßnahmen: Welche Taktiken sind für mein Unternehmen am relevantesten? Wo habe ich Erkennungslücken? Managed-Security-Anbieter und SOC-Dienstleister nutzen ATT&CK als Referenzrahmen — KMUs können anhand der ATT&CK-Abdeckung bewerten, ob ihr Dienstleister die relevanten Bedrohungen tatsächlich adressiert.
Der Einstieg gelingt am besten über die häufigsten Techniken im eigenen Umfeld, statt die gesamte Matrix abdecken zu wollen. Schon die Ausrichtung der EDR-Konfiguration an den relevantesten ATT&CK-Techniken verbessert die Erkennungsrate spürbar.