Mit TTP werden Verhaltensweisen, Prozesse, Aktionen und Strategien beschrieben, durch die ein Hacker Bedrohungen entwickeln und Angriffe durchführen kann. Daher ist es entscheidend, die TTP eines Angreifers zu verstehen.
Das Verständnis der TTPs eines Hackers ist eine Schlüsselkomponente eines IT-Security-Programms.
(Bild: kentoh - stock.adobe.com)
Bedrohungsakteure operieren tendenziell mit ähnlichen Verhaltensmustern. In der IT-Security werden diese als „Taktiken, Techniken und Verfahren“, „Tactics, Techniques, and Procedures“ oder kurz „TTPs“ bezeichnet. Bei TTP geht es darum, die Denk- und Vorgehensweise von Hackern verstehen zu lernen, um so böswillige Aktivitäten besser und vor allem schneller erkennen, identifizieren und verhindern zu können.
Ferner helfen TTPs den IT-Security-Teams dabei, ihren Untersuchungspfad zu fokussieren, Bedrohungsquellen oder Angriffsvektoren zu detektieren, den Schweregrad der Bedrohung zu definieren und die Reaktion auf Vorfälle und die Bedrohungsminderung zu unterstützen. TTPs unterstützen die Teams auch bei Aktivitäten zur Bedrohungsmodellierung.
TTP analysieren und verstehen
TTPs lassen sich auf jede Art von Angriff anwenden, von traditionellen serverseitigen Bedrohungen wie Ransomware bis hin zu clientseitigen JavaScript-Angriffen auf Lieferketten. In der Folge wird TTP in seine einzelnen Kategorien aufgeschlüsselt:
Taktik
Der erste Teil des TTP-Ansatzes stellt die Frage nach dem „Warum“ einer Angriffs-Technik. Sie ist demnach das taktische Ziel bzw. der Grund für die Ausführung einer Aktion eines Hackers. Dieser könnte beispielsweise der Zugang zu Anmelde-Informationen oder die Infiltration einer Website sein, um Informationen über Kreditkarten von Kunden zu stehlen.
Techniken
Der „Techniken“-Teil von TTPs bezieht sich auf die Methoden und Tools, die ein Hacker bei der Verfolgung einer Taktik einsetzt. Diese Techniken sollen darstellen, „wie“ ein Hacker durch die Ausführung einer Aktion ein taktisches Ziel erreicht. In diesem Schritt geht es um die Methode, mit der ein Hacker einen Angriff ausführt, beispielsweise E-Skimming, Magecart, Javascript-Injection-Angriffe oder Cross-Site-Scripting (XSS).
Wenn ein Hacker also versucht, vertrauliche Daten zu stehlen, versucht er möglicherweise, Konten zu finden und diese zu korrumpieren. Oder Hacker geben sich oft als eine andere bekannte Person aus und nutzen dann Social-Engineering-Techniken, um andere Mitarbeiter dazu zu bringen, diese Daten preiszugeben. Wenn die Security-Teams wissen, was Hacker tun, um ihre Ziele zu erreichen, können sie diese Art von Aktivitäten überwachen und sie schnell als verdächtig kennzeichnen.
Verfahren
Der dritte Schritt beschreibt die „Verfahren“ von TTPs, die sich auf die entsprechenden Maßnahmen beziehen, die ein Hacker ergreift. Dazu gehören alle vorbereitenden Arbeiten, beispielsweise das Sammeln von Informationen über potenzielle Schwachstellen eines Unternehmens, die ausgenutzt werden können. Ein weiteres Beispiel ist die Identifizierung von Schlüsselpersonen, die Opfer eines Identitätsdiebstahls oder Kontoübernahmen werden sollen.
Diese Verfahren sind letztlich die spezifische Implementierungen, die der Hacker für spezielle Techniken verwendet. Ein Verfahren könnte ein Angreifer sein, der PowerShell verwendet, um sich in lsass.exe einzuschleusen und Anmelde-Informationen auszugeben, indem er den LSASS-Speicher eines Opfers löscht. Die Verfahren sind aus mindestens zwei Gründen die wichtigste TTP-Komponente, die Security-Teams verstehen müssen:
Einerseits können sie den Betrug in Echtzeit erkennen, um schnell wirkungsvolle Gegenmaßnahmen zu ergreifen.
Andererseits können sie dadurch die am stärksten gefährdeten Teile eines Unternehmens identifizieren, sodass diese abgesichert werden können, um böswillige Aktivitäten von vornherein zu verhindern.
Schutzmaßnahmen gegen häufig verwendete TTPs
Kleinere Unternehmen verfügen meist nicht über die Ressourcen, um TTPs umfassend genug zu studieren. Es gibt jedoch mehrere bewährte Methoden, mit denen sie sich gegen die häufigsten Formen des Hackings verteidigen können. Einige Vorschläge umfassen:
Multi-Faktor-Authentifizierung: Erhöhung der Konten-Sicherheit durch mehr als eine Anmelde-Information. Selbst wenn es einem Hacker gelingt, ein Konto-Passwort zu knacken, benötigt er möglicherweise dennoch Zugriff auf ein bestimmtes Gerät oder E-Mail-Konto, um ein anderes Passwort einzugeben oder auf einen Authentifizierungslink zu klicken.
Sichere Passwörter: Mitarbeiter müssen dazu angehalten werden, komplexe Konto-Passwörter zu erstellen. Diese sollten eine Mindestlänge von 14 Zeichen aufweisen und eine Mischung aus Buchstaben, Zahlen und Symbolen enthalten.
Passwort-Manager: Dadurch wird nicht nur der Konto-Zugriff, sondern auch die Sicherheit optimiert, indem auf schwache, anfällige oder mehrfach verwendete Passwörter hingewiesen wird.
Mitarbeiter-Information über Phishing: Mitarbeiter sollten darin regelmäßig geschult werden, gefälschte Mitteilungen zu erkennen. Dafür empfehlen sich praktische Schulungen mit Dummy-Phishing-Versuchen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Softwareaktualisierung: Hacker suchen laufend nach Schwachstellen in der Software, die sie kompromittieren können. Daher arbeiten Entwickler kontinuierlich daran, diese Schwachstellen zunächst zu finden und zu beheben.
3-2-1-Backup-Methode: Selbst kleinere Unternehmen sollten mindestens drei Kopien aller sensiblen Daten erstellen, diese auf mindestens zwei verschiedenen Speichermedien ablegen und damit sicherstellen, dass sich mindestens eines dieser Geräte außerhalb des Standorts befindet, beispielsweise in einer zuverlässig abgesicherten Cloud. Eine solche Vorgehensweise erleichtert die Wiederherstellung von Daten und die Aufrechterhaltung des Betriebs im Falle eines Hacker-Angriffs.
Business Continuity and Disaster Recovery (BCDR)-Plan: Ein Kernpunkt eines IT-Security-Programms ist die Erstellung, Dokumentation und Testung eines BCDR-Plans. Das Sichern von Daten sollte immer auch Teil eines umfassenderen BCDR-Plans sein, um zu gewährleisten, dass das Unternehmen die Funktionalität einer Plattform nach einem Hacker-Angriff wiederherstellen und aufrechterhalten kann. Dieser Plan muss auch getestet werden, um festzustellen, wie weit ein Unternehmen Daten wiederherstellen und wie schnell es den Betrieb wieder aufnehmen kann.
Regelmäßige Risikobewertungen: Unternehmen sollten alle zwei bis drei Jahre (wenn nicht öfter) Einschätzungen durchführen, wie anfällig es für missbräuchliches Verhalten ist. Dadurch wird deutlich, welche Teile einer Risikomanagement-Strategie verbessert werden müssen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/77/32/77327e32dc13564e196153fb28fb2a37/0124860739v2.jpeg "Die Hacker, die zum russichen Geheimdienst GRU gehören, sind auch unter den Namen Fancy Bear und APT28 bekannt. Sie fokussieren sich auf Unternehmen – vor allem solche, die der kritischen Infrastruktur angehören – die die Ukraine unterstützen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/1d/5a1d21918c970ad44377ca4e6aa30e19/0123283113v2.jpeg "Paula Januszkiewicz, Gründerin und CEO von Cqure, einem polnischen Unternehmen, dass sich auf Cybersicherheitsdienstleistungen spezialisiert hat, bei der IT-Defense 2025 (Bild: cirosec GmbH)")