MITRE ATT&CK für KMU: Angriffstechniken verstehen und erkennen

Written by ExposIQ | März 21, 2026

Wenn Sicherheitsexperten über Cyberangriffe sprechen, fällt häufig der Begriff «MITRE ATT&CK». Doch was steckt hinter diesem Framework, und warum ist es auch für KMU relevant? Die kurze Antwort: MITRE ATT&CK beschreibt systematisch, wie Angreifer vorgehen. Und wer versteht, wie Angriffe funktionieren, kann sich gezielter schützen.

Was ist MITRE ATT&CK?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) ist eine frei zugängliche Wissensdatenbank, die reale Angriffstechniken dokumentiert. Das Framework wurde von der gemeinnützigen US-Organisation MITRE entwickelt und wird weltweit als Standard verwendet – von Sicherheitsforschern, Behörden und zunehmend auch von Unternehmen aller Grössen.

Im Kern beantwortet MITRE ATT&CK eine einfache Frage: Was tun Angreifer nach dem initialen Zugang, um ihr Ziel zu erreichen?

Das Framework gliedert sich in drei Ebenen:

  • Taktiken: Das «Was» – die übergeordneten Ziele des Angreifers (z.B. initialer Zugang, Persistenz, Rechteeskalation, Datenexfiltration)
  • Techniken: Das «Wie» – die konkreten Methoden, um eine Taktik umzusetzen (z.B. Phishing, Ausnutzung öffentlicher Anwendungen, Pass-the-Hash)
  • Sub-Techniken: Detailliertere Varianten einer Technik (z.B. Spearphishing via E-Mail-Anhang vs. Spearphishing via Link)

Stand heute umfasst die ATT&CK-Matrix für Unternehmensnetzwerke 14 Taktiken und über 200 Techniken. Jede Technik ist mit realen Beispielen, beobachteten Angreifergruppen und empfohlenen Gegenmassnahmen dokumentiert.

Die ATT&CK-Matrix: Ein Angriff in Phasen

Ein Cyberangriff ist selten ein einzelnes Ereignis. Er verläuft in Phasen, die MITRE ATT&CK als Taktiken abbildet. Hier der typische Ablauf, vereinfacht dargestellt:

  1. Reconnaissance (Aufklärung): Der Angreifer sammelt Informationen über das Ziel – öffentliche Webseiten, DNS-Einträge, Mitarbeiternamen auf LinkedIn, exponierte Dienste.
  2. Initial Access (Initialer Zugang): Der erste Einstieg ins Netzwerk – oft über Phishing, eine exponierte Schwachstelle oder gestohlene Zugangsdaten.
  3. Execution (Ausführung): Der Angreifer führt Schadcode auf dem kompromittierten System aus.
  4. Persistence (Persistenz): Der Angreifer richtet Mechanismen ein, um den Zugang auch nach einem Neustart oder Passwort-Reset zu behalten.
  5. Privilege Escalation (Rechteeskalation): Von einem normalen Benutzerkonto zu Administratorrechten.
  6. Defense Evasion (Umgehung von Schutzmassnahmen): Antivirus deaktivieren, Protokolle löschen, Verschleierung einsetzen.
  7. Credential Access (Zugangsdaten stehlen): Passwörter, Hashes oder Kerberos-Tickets aus dem Speicher oder Active Directory extrahieren.
  8. Lateral Movement (Seitliche Bewegung): Vom kompromittierten System auf weitere Systeme im Netzwerk zugreifen.
  9. Collection (Datensammlung): Relevante Daten identifizieren und zusammentragen.
  10. Exfiltration (Datenabfluss): Die gesammelten Daten aus dem Netzwerk schleusen.
  11. Impact (Auswirkung): Daten verschlüsseln (Ransomware), Systeme zerstören oder den Betrieb stören.

Dieser Ablauf zeigt: Zwischen dem initialen Zugang und dem eigentlichen Schaden liegen oft viele Schritte. Jeder Schritt ist eine Gelegenheit, den Angriff zu erkennen und zu stoppen.

Die 5 häufigsten ATT&CK-Techniken in KMU-Umgebungen

Nicht alle 200+ Techniken sind für KMU gleichermassen relevant. Basierend auf aktuellen Bedrohungsanalysen und Incident-Response-Berichten sind diese fünf Techniken besonders häufig in KMU-Umgebungen anzutreffen:

1. T1566 – Phishing (Taktik: Initial Access)

Phishing bleibt der häufigste Einstiegsvektor. Angreifer versenden täuschend echte E-Mails mit schädlichen Anhängen oder Links. In KMU-Umgebungen ist dies besonders effektiv, weil oft keine spezialisierten E-Mail-Sicherheitslösungen im Einsatz sind und Mitarbeitende nicht regelmässig geschult werden.

Relevanz: Über 80 Prozent der erfolgreichen Angriffe auf KMU beginnen mit Phishing. Die Sub-Techniken Spearphishing Attachment (T1566.001) und Spearphishing Link (T1566.002) sind besonders verbreitet.

2. T1190 – Exploit Public-Facing Application (Taktik: Initial Access)

Angreifer nutzen bekannte Schwachstellen in öffentlich erreichbaren Anwendungen aus: Webserver, VPN-Gateways, E-Mail-Server, CMS-Systeme. Diese Technik ist bei KMU besonders effektiv, weil Patches oft verspätet oder gar nicht installiert werden.

Relevanz: Jede ungepatchte Schwachstelle in einem exponierten System ist ein potenzieller Einstiegspunkt. Die FortiGate-, Citrix- und Exchange-Schwachstellen der letzten Jahre sind klassische Beispiele für T1190.

3. T1078 – Valid Accounts (Taktik: Initial Access / Persistence / Lateral Movement)

Angreifer verwenden gestohlene, gekaufte oder erratene Zugangsdaten, um sich mit legitimen Konten anzumelden. Dies ist besonders schwer zu erkennen, weil die Anmeldung technisch korrekt aussieht. Quellen für Zugangsdaten sind Phishing, Datenlecks aus Breaches und Brute-Force-Angriffe.

Relevanz: Ohne MFA reichen ein Benutzername und ein Passwort aus. Und in vielen KMU ist MFA noch nicht flächendeckend implementiert – besonders nicht für interne Dienste, VPN oder RDP.

4. T1021 – Remote Services (Taktik: Lateral Movement)

Einmal im Netzwerk, nutzen Angreifer Remote-Dienste wie RDP (T1021.001), SMB/Windows Admin Shares (T1021.002) oder SSH (T1021.004), um sich seitlich zu bewegen. In flachen KMU-Netzwerken ohne Segmentierung ist der Weg vom Arbeitsplatz zum Dateiserver oder Domänencontroller oft ungefiltert möglich.

Relevanz: Fehlende Netzwerksegmentierung ist eines der grössten Risiken in KMU-Umgebungen. Wenn ein einziges System kompromittiert wird, kann der Angreifer potenziell auf alle Systeme im gleichen Netzwerk zugreifen.

5. T1486 – Data Encrypted for Impact (Taktik: Impact)

Die Verschlüsselung von Daten – also Ransomware – ist die häufigste Impact-Technik bei Angriffen auf KMU. Angreifer verschlüsseln Dateien auf lokalen Laufwerken, Netzwerkfreigaben und Backup-Systemen, um Lösegeld zu erpressen.

Relevanz: Ransomware ist die Bedrohung Nummer eins für KMU. Doch T1486 ist immer der letzte Schritt in der Angriffskette. Wenn Sie die vorherigen Techniken erkennen und blockieren, kommt es nie so weit.

Von der Theorie zur Praxis: ATT&CK für Ihre Verteidigung nutzen

Das Verständnis der Angreiferperspektive hilft Ihnen, Ihre Verteidigung gezielter aufzubauen. Statt wahllos in Sicherheitsmassnahmen zu investieren, können Sie fragen: Welche ATT&CK-Techniken werden am wahrscheinlichsten gegen uns eingesetzt, und wo haben wir Lücken?

Praktische Schritte:

  • Schwachstellen auf Techniken mappen: Wenn Sie wissen, dass Ihre VPN-Appliance eine bekannte Schwachstelle hat, wissen Sie auch, dass T1190 (Exploit Public-Facing Application) ein realistisches Szenario ist. Das erhöht die Dringlichkeit des Patches.
  • Angriffspfade verstehen: Eine einzelne Schwachstelle ist gefährlich. Aber eine Kette von Schwachstellen (T1190 → T1078 → T1021 → T1486) ist katastrophal. Wenn Sie die Kette an einem Glied unterbrechen, verhindern Sie den gesamten Angriff.
  • Schutzmassnahmen priorisieren: MFA blockiert T1078 (Valid Accounts). Netzwerksegmentierung erschwert T1021 (Remote Services). Patching verhindert T1190. Jede Massnahme adressiert spezifische Techniken.
  • Erkennungsfähigkeiten aufbauen: Für jede ATT&CK-Technik gibt es empfohlene Erkennungsmethoden. So können Sie gezielt in Monitoring investieren, das tatsächliche Angriffe erkennt.

ATT&CK-Mapping in ExposIQ

ExposIQ integriert das MITRE ATT&CK Framework direkt in die Schwachstellenbewertung. Jede erkannte Schwachstelle wird automatisch auf die zugehörigen ATT&CK-Techniken gemappt. Das bedeutet konkret:

Kontextualisierung: Sie sehen nicht nur «CVE-2024-XXXXX – Kritisch», sondern verstehen auch, welche Angriffstechniken diese Schwachstelle ermöglicht. Eine Schwachstelle, die T1190 (Initial Access) und T1068 (Privilege Escalation) kombiniert, hat eine andere Dringlichkeit als eine, die nur zu Information Disclosure führt.

Angriffspfad-Visualisierung: ExposIQ zeigt, wie einzelne Schwachstellen zu Angriffsketten zusammengesetzt werden können. So erkennen Sie nicht nur isolierte Probleme, sondern verstehen, wie ein Angreifer von Schwachstelle A über B zu Ihrem kritischsten System gelangen könnte.

Priorisierung nach Risiko: In Kombination mit EPSS-Scores (Exploit Prediction) und dem KEV-Katalog (Known Exploited Vulnerabilities) wird das ATT&CK-Mapping zu einem mächtigen Priorisierungswerkzeug. Schwachstellen, die aktiv ausgenutzt werden und kritische Angriffstechniken ermöglichen, stehen ganz oben auf der Liste.

Ein Framework für alle

MITRE ATT&CK wurde ursprünglich für Sicherheitsteams grosser Organisationen entwickelt. Doch die zugrunde liegende Idee – verstehe den Angreifer, um dich besser zu verteidigen – ist universell anwendbar. Sie müssen kein Sicherheitsexperte sein, um von ATT&CK zu profitieren.

Wenn Sie wissen, dass 80 Prozent der KMU-Angriffe mit Phishing (T1566) oder der Ausnutzung exponierter Anwendungen (T1190) beginnen, wissen Sie auch, wo Ihre grössten Hebel liegen: E-Mail-Sicherheit, Mitarbeitersensibilisierung und konsequentes Patching.

ExposIQ macht dieses Wissen für Schweizer KMU zugänglich. Die Plattform übersetzt komplexe Schwachstellendaten in verständliche, handlungsrelevante Informationen – inklusive ATT&CK-Mapping, Risiko-Scores und konkreten Empfehlungen. Gehostet in der Schweiz, in vier Sprachen verfügbar und ab CHF 99 pro Monat: exposiq.ch

ExposIQ ist die Schweizer Plattform für automatisiertes Vulnerability Management. Wir helfen KMU und IT-Dienstleistern, Schwachstellen zu erkennen und zu beheben – sicher, verständlich und nDSG-konform.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Firma

Über uns Kontakt Blog
 Datenschutzerklärung Nutzungsbedingungen

Newsletter

Copyright © ExposIQ Schweiz 2026. Alle Rechte vorbehalten.