Viele Sicherheitsansätze orientieren sich primär an Schwachstellen. Sie beantworten die Frage, wo Systeme technisch angreifbar sind. Für eine realistische Bedrohungsanalyse reicht das jedoch nicht aus. Angreifer denken nicht in einzelnen Schwachstellen, sondern in Abläufen. Sie verfolgen Ziele, kombinieren Techniken und bewegen sich schrittweise durch ein System. Das MITRE ATT&CK Framework setzt genau an dieser Perspektive an und beschreibt Angriffe als strukturierte Abfolge von Handlungen, basierend auf real beobachtetem Verhalten.

Was MITRE ATT&CK eigentlich modelliert

MITRE ATT&CK ist keine Sammlung einzelner Exploits oder Schwachstellen. Es ist eine Wissensbasis, die Angreiferverhalten systematisch beschreibt. Im Zentrum stehen dabei nicht Tools oder spezifische Malware-Familien, sondern wiederkehrende Muster, die sich in unterschiedlichen Angriffskampagnen beobachten lassen. Das Framework deckt verschiedene technologische Domänen ab, darunter klassische Betriebssysteme, Cloud-Umgebungen oder mobile Plattformen. Damit ist es bewusst generisch gehalten und unabhängig von konkreten Systemen einsetzbar. Gleichzeitig ist ATT&CK nicht nur als Datensammlung gedacht. Es beschreibt auch eine Denkweise, wie Angriffe analysiert und strukturiert werden sollten.

Die Struktur hinter ATT&CK

Das Framework organisiert Angreiferverhalten in einer klaren Hierarchie. Die oberste Ebene bilden Taktiken. Sie beschreiben das Ziel eines Angreifers innerhalb einer Phase eines Angriffs. Darunter liegen Techniken, die definieren, wie dieses Ziel erreicht wird. Diese können weiter in Sub-Techniken unterteilt werden, um konkrete Varianten abzubilden. Zusätzlich existieren dokumentierte Prozeduren, also reale Implementierungen dieser Techniken in konkreten Angriffen. Diese Struktur erlaubt es, Angriffe auf unterschiedlichen Abstraktionsebenen zu analysieren. Taktiken geben Orientierung. Techniken liefern wiederverwendbare Bausteine. Prozeduren zeigen reale Beispiele.

Die ATT&CK-Matrix

Die bekannteste Darstellung des Frameworks ist die Matrix. Hier werden Taktiken als Spalten dargestellt, während die zugehörigen Techniken innerhalb dieser Spalten organisiert sind. Taktiken entsprechen dabei typischen Zielen eines Angreifers, etwa:

• Initial Access
• Execution
• Persistence
• Privilege Escalation
• Lateral Movement
• Command and Control
• Exfiltration

Techniken können mehreren Taktiken zugeordnet sein, da sie je nach Kontext unterschiedliche Ziele unterstützen können. Diese Struktur bildet keine starre Angriffskette, sondern ein flexibles Modell möglicher Angriffspfade.

Quelle: attack.mitre.org | Zugriff am: 17. März 2026

Warum Techniken essenziell für die Sicherheitsbewertung sind

Ein zentraler Unterschied zu klassischen Sicherheitsansätzen liegt im Fokus auf Techniken statt Schwachstellen. Eine Schwachstelle ist oft kurzlebig. Sie wird gepatcht, verschwindet oder wird durch eine neue ersetzt. Angreifertechniken dagegen bleiben über lange Zeit stabil. Das Auslesen von Credentials aus dem Speicher, das Missbrauchen legitimer Tools oder das Etablieren von Persistenz sind grundlegende Muster, die unabhängig von konkreten Implementierungen funktionieren. Genau diese Stabilität macht ATT&CK für Threat Modeling wertvoll. Bedrohungen lassen sich nicht nur punktuell, sondern strukturell beschreiben.

Einsatz im Threat Modeling

Im Threat Modeling dient ATT&CK als Wissensquelle für realistische Angriffsszenarien. Während klassische Methoden häufig auf abstrakten Bedrohungskategorien basieren, ermöglicht ATT&CK eine direkte Verbindung zu beobachtetem Angreiferverhalten. Ein typischer Einsatz erfolgt in mehreren Schritten. Zunächst wird ein System modelliert, beispielsweise über Komponenten, Schnittstellen und Datenflüsse. Anschließend werden potenzielle Angriffspunkte identifiziert. Für diese Angriffspunkte werden passende ATT&CK-Techniken ausgewählt. Diese können anschließend zu vollständigen Angriffspfaden kombiniert werden. Dadurch entstehen Bedrohungsszenarien, die nicht nur theoretisch plausibel sind, sondern sich an realen Angriffen orientieren. Gleichzeitig ermöglicht das Framework eine systematische Analyse von Abdeckungslücken. Bestehende Sicherheitsmaßnahmen können mit den modellierten Techniken abgeglichen werden, um ungeschützte Angriffsvektoren zu identifizieren.

Verbindung zu Detection und Operations

Ein weiterer Vorteil von ATT&CK liegt in seiner direkten Anschlussfähigkeit an operative Sicherheitsprozesse. Die beschriebenen Techniken können nicht nur zur Bedrohungsidentifikation genutzt werden, sondern auch zur Entwicklung von Detection-Logiken. Beispielsweise lassen sich SIEM-Regeln oder Use Cases direkt an ATT&CK-Techniken ausrichten. Damit entsteht eine Verbindung zwischen Threat Modeling, Detection Engineering und Incident Response.

Grenzen des Frameworks

Trotz seiner Stärken ist ATT&CK kein vollständiges Threat-Modeling-Framework. Es liefert keine Antwort darauf, welche Assets besonders kritisch sind oder wie Risiken priorisiert werden sollten. Auch konkrete Gegenmaßnahmen werden nicht vollständig abgeleitet. ATT&CK beschreibt das Verhalten von Angreifern. Die Bewertung dieses Verhaltens im Kontext eines konkreten Systems bleibt Aufgabe des Threat Modelings selbst. In der Praxis wird das Framework daher meist mit anderen Ansätzen kombiniert, etwa mit strukturierten Methoden zur Bedrohungsgenerierung oder mit Risikomodellen.