Tests signaturbasierter IT-Sicherheitslösungen bestätigen deren Schutz vor opportunistischen Angriffen. Doch organisierte Cyberkriminelle führen komplexe, mehrphasige Angriffe durch, die andere Bewertungsansätze erfordern – etwa wie die realistischen Angriffssimulationen von MITRE Engenuity zeigen.
Die realistischen MITRE Engenuity-Tests, basierend auf dem MITRE ATT&CK Framework, zeigen, dass zur Bewertung der Wirksamkeit von IT-Sicherheitslösungen gegen komplexe, mehrstufige Angriffe praxisnahe Simulationen unerlässlich sind.
(Bild: Duminda - stock.adobe.com)
Tests von IT-Sicherheitstechnologien, die auf dem Erkennen von Signaturen basieren, belegen und indizieren die Effizienz der Defensive gegen opportunistische Attacken. Unternehmen sind aber gleichermaßen von ganz anderen Risiken bedroht: Organisierte Cyberkriminellen führen komplexe Angriffe durch, die sich über mehrere Phasen erstrecken und für die sie verschiedene Taktiken nutzen. Dieses Vorgehen erfordert völlig andere Evaluationen über die Wirksamkeit von IT-Sicherheitslösungen und -diensten. Solche Ergebnisse liefern Tests wie etwa von MITRE Engenuity, die mehrstufige Angriffe mit realistischen Angriffsszenarien simulieren.
Die aussagefähige Evaluation einer Abwehr mehrstufiger Angriffe benötigt ein Grundgerüst, um Testergebnisse strukturiert zu bewerten, auszuwerten sowie vergleichbar darzustellen. MITRE-Tests nutzen dafür das MITRE ATT&CK Framework. Basierend auf Wissensdatenbanken über Techniken, Taktiken und Verfahren (TTP) der Cyberkriminellen definiert das Framework vierzehn Angriffstaktiken über die verschiedensten Phasen einer mehrstufigen Infiltration und Exekution: vom böswilligen Auskundschaften über den Erstzugang bis hin zu Command-and-Control, Exfiltration und weiteren Folgen. Das Framework liefert aber nicht nur Grundlagenwissen, sondern hilft auch dabei, realistische Emulationsszenarien bereitzustellen.
Wie läuft eine Evaluation auf Basis des MITRE ATT&CK Framework ab?
Fundament der Tests ist eine simulierte Attacke auf eine hypothetische IT-Umgebung. Basierend auf Recherchen in der tatsächlichen Gefahrenlandschaft entwickeln die Experten von MITRE Engenuity ein realistisches Angriffsszenario. Unter anderem achten sie auf ein der cyberkriminellen Praxis entsprechendes Verhältnis zwischen alten und bewährten Angriffstechniken einerseits und neuen Methoden andererseits. Die Tester schätzen zudem die Menge und die Qualität der beim Angreifer vorliegenden Intelligenz ein.
In der Folge entwickeln die Tester die einzelnen Komponenten des simulierten Angriffs und werten dafür Threat Intelligence aus. Sie rekompilieren und organisieren einzelne Prozeduren in ein größeres Emulationsszenario einer Attacke zu einer Kette der verschiedensten Angriffsphasen. Zuletzt wählen sie konkrete Angriffstools aus, um ein vermutetes Verhalten der Cyberkriminellen nachzuahmen.
Die an der Evaluation teilnehmenden Hersteller erhalten dann eine realistische On-Premises-Umgebung, in der sie ihre Sicherheitstools und -sensoren installieren. Kein Testteilnehmer weiß, wann und wie die Attacke beginnt und welcher Typus Angreifer simuliert wird. MITRE Engenuity übernimmt dann die Rolle des Kunden oder eines Red Teamers, der eine Reihe von Angriffstechniken und -schritten als Teil einer Bedrohungssimulation durchführt. Die Bewertungen konzentrieren sich auf die Fähigkeiten des Dienstanbieters, Bedrohungen zu erkennen und zu überwachen sowie darauf, wie er mit seinen Kunden kommuniziert und sie unterstützt.
Beispielevaluationen für Mangaged-Detection-and-Response-Dienste
Ein aktuelles Beispiel bietet eine von MITRE Engenuity durchgeführte Evaluation verwalteter Sicherheitsdienste. Den Angriffsmethoden lagen die in the wild beobachteten Attacken der cyberkriminellen Akteure menuPass und ALPHV BlackCat zugrunde. Das menuPass-Szenario verwendete 20 ATT&CK-Techniken und 32 Subtechniken in 11 ATT&CK-Taktiken.
MenuPass lieferte als Gruppe mit wohl staatlichem chinesischem Hintergrund ein realistisches Vorbild für ein Evaluationsszenario. Die Tester simulierten die Kompromittierung zweier hypothetischer Tochtergesellschaften eines weltweit agierenden Pharma-Unternehmens. Die Emulation bildete die für menuPass charakteristischen Living-of-the-Land-Techniken ab, wie das Reflective Loading von Schadcode sowie das DLL-Side-Loading zum Ausführen von SigLoader-, FYAnti-, QuasarRAT-, und SodaMaster-Payloads im Arbeitsspeicher.
ALPHV zogen die Gutachter aufgrund seiner Aktualität heran. ALPHV BlackCat ist ein leider allzu produktiver Anbieter von Ransomware-as-a-Service. Die in Rust codierten Attacken zielen auf Windows-, Linux- und VMware-Systeme. Branchenübergreifend sind Angriffe auf Betreiber kritischer Infrastrukturen belegt. Die vielfältigen Attacken sind deswegen gefährlich, weil sie vor dem Verschlüsseln die Abwehrdienste deaktivieren. In der Evaluation simulierte das Testszenario, dass Hacker eine Ransomware durch einen BlackCat-Affiliate auf Windows- und Linux-ESXi-Server in einer Tochtergesellschaft implementierten. Der Test überprüfte insbesondere, wie erfolgreich Hacker ihre Aktivitäten verbergen konnten, damit die verwaltete IT-Sicherheit sie nicht erkannte. Ebenso sahen die Auswerter, wie Angreifer Daten vernichteten oder zerstörten und verhinderten, dass die IT-Systeme und Informationen wiederhergestellt wurden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein Test bewertet zudem die Alerts, welche die Teilnehmer an MITRE Engenuity während der Evaluation senden. Dafür gibt es drei Kategorien: „Reported“, „Not Reported“ und „Not Applicable (N/A)“. Bei „Not Applicable (N/A)” scheiterte der Angriff aus verschiedenen Gründen, sodass die Anbieter von verwalteten Sicherheitsdiensten die Aktivität nicht berichten konnten. „Not Reported“ bedeutet, dass MITRE Engenuity keinen Bericht über das feindliche Verhalten erhielt oder dass die Informationen keinen ausreichenden Kontext lieferten.
Ein als „Reported“ bewerteter Bericht muss die fünf W-Fragen beantworten: Welchen Fehler- oder Alarmcode für welches Problem sendete der Dienst? Wo im Netzwerk wendeten Angreifer die Taktik an (Hostname, IP-Adresse, Domain, Region, Building oder Subnetz)? Wann ereignete sich der Vorfall (relevante Timestamps)? Wer war der Urheber (User/Domänen/Gruppen)? Weshalb erfolgte der Alarm und welche Priorität hat die Gefahr?
Neben der Qualität der Berichte evaluierte der Test die Lösungen der teilnehmenden Hersteller nach zentralen Metriken, die den Wert der Informationen eines Managed Service Providers für die Kunden bewerteten. Zu diesen Metriken gehört die Menge von Alerts, die durchschnittliche Zeit zum Erkennen eines Angriffes (Mean Time to Detect – MTTD) sowie die Verwertbarkeit der Alarminformationen. Potenzielle Kunden sollten für die Evaluation einer in Frage kommenden Abwehrlösung die drei Kriterien insgesamt bewerten. So können sie beurteilen, welche Lösung bei priorisierten, effizienten Alarmen Angriffe schnell erkennen und effizient abwehren können.
Hersteller und interessierte Unternehmen erhalten mit diesen öffentlich zugänglichen Ergebnissen eine höchst detaillierte Transparenz über die Qualität der Abwehr komplexer Angriffe durch den angebotenen Dienst. Zugleich können Unternehmen ihre eigene Abwehr überprüfen, Schwachstellen anhand realistischer Szenarien aufzeigen sowie interne Abwehrtests planen. IT-Sicherheitsverantwortliche erfahren so von unabhängiger Seite, welche Lösung sie mit gezielten, priorisierten Alerts versorgt, ohne einen Überfluss an Meldungen zu generieren. Sie können die Leistungsfähigkeit einer Abwehrtechnologie anhand der Angaben zur Mean Time of Detection, der durchschnittlichen Dauer bis zum Erkennen eines Angriffes einschätzen und sehen, wie viele Alarmmeldungen sie dafür auswerten müssen. Eine kurze MTTD in Verbindung mit einer hohen Zahl an Alarmen kann ein Hinweis dafür sein, dass eine getestete Lösung eines Herstellers Benachrichtigungen nicht sorgfältig prüft und einfach nur an die Kunden weiterleitet.
Nutzer erhalten zudem ein Bild, wie eine Lösung sie bei der Abwehr von Angriffen und beim Minimieren von Schäden unterstützt: Die Bewertung der Umsetzbarkeit von Hinweisen zeigt zum einem, wie gründlich und detailliert die teilnehmenden Lösungen über Sicherheitsereignisse berichten. Zum anderen, welche Abwehrmaßnahmen ergriffen werden sollen. Die Hersteller können ihre Angebote erproben und anhand der Simulationserlebnisse ständig weiterentwickeln.
Über den Autor: Kevin Gee ist Principal Product Manager bei Bitdefender.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b7/ef/b7ef4b3f0551ebde26973a1a5f6f89a0/0129567276v2.jpeg "Beide Schwachstellen – EUVD-2026-6392 / CVE-2026-0488 und EUVD-2026-6472 / CVE-2026-0509 – ermöglichen Cyberkriminellen die Ausführung von Remote Code beziehungsweise von Remote Function Calls, da die Autorisierung in S/4HANA und NetWeaver ABAP fehlerhaft ist. (Bild: Thapana_Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/19/1d1934d9186ce6069c917f0ec4b52751/0129652501v2.jpeg "Bankverbindungen, Identitäten von Kontoinhabern, Adressen und teilweise auch Steueridentifikationsnummern sind von dem Cyberangriff auf die FICOBA betroffen. Den Kontostand einzusehen oder Überweisungen zu tätigen war dem Angreifer nicht möglich. (Bild: Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/34/30342a01b707cd031089a6d56360e41c/0129495534v2.jpeg "Stromnetze, Flughäfen, Krankenhäuser und Kommunen – die kritische Infrastruktur sowie sensible Daten müssen im Fall eines Angriffs besser geschützt werden. (Bild: © Robert – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/12/2d126cbfb75d9abf36155c26074161d9/0129581148v2.jpeg "Der Deutschland-Stack ist eine nationale, souveräne Technologie-Plattform, die als Grundlage für die digitale Modernisierung von Bund, Ländern und Kommunen in Deutschland dient und bis 2028 ein sicheres, interoperables Ökosystem für digitale Anwendungen schaffen soll. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/32/db/32db04cde917090220c3ae1c95ba38d2/0129686939v2.jpeg "Das Hamburger E-Mail-Security-Startup Conbool wurde ins Karlsruher CyberLab-Accelerator-Programm aufgenommen und will dort seine KI-basierte Erkennungstechnologie gegen Phishing und Betrugsversuche weiterentwickeln. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/b5/afb53acb0b4d5f5e9a530bcb05955e38/0129543109v2.jpeg "KI-Cyberbedrohungen werden oft überschätzt. Die wahre Gefahr liegt im Versagen der internen KI-Governance, wo unsichere API-Zugänge und fehlende Regelwerke Angreifern Tür und Tor öffnen. (Bild: © btiger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/7d/f77d84bf02341e583eeeebf21c83cf83/0129549300v2.jpeg "Tails 7 ist ein anonymes Live-System mit Zwangsrouting über Tor. Es läuft auf dedizierter Hardware oder virtualisiert unter Windows und verwirft ohne Persistent Storage alle Änderungen beim Neustart. (Bild: © igor.nazlo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/c4/76c4fb4c615fdfbda2b123cd7700352f/0129488424v1.jpeg "Der Q-Day kommt zwischen 2029 und 2035. Harvest Now Decrypt Later-Angriffe gefährden Daten aber schon heute. Das neue eBook „Die Quanten-Bedrohung“ zeigt die Migration zu quantensicherer Verschlüsselung. (Bild: © Patrick Helmholz - AdobeStock / Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ef/b1/efb1dc214240ce7ebf411b8d8a059a75/0128892977v1.jpeg "Die 6G-Forschungsroadmap positioniert 6G nicht als evolutionären Mobilfunkstandard, sondern als Plattform für KI-basierte, sicherheitskritische und industriell relevante Echtzeitsysteme. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7a/51/7a51d905d808a02460533d637b082fa0/0128408277v1.jpeg "Verantwortung statt Blindflug. Wer Zuständigkeiten klärt, sichert Sicherheit, Compliance und Performance – und gewinnt Sichtbarkeit. Professionelle Administration kann aus Websites belastbare, wachstumsfähige Infrastrukturen machen. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/a0/63a08ef8cf2f357846891924a0c362b5/0129422042v1.jpeg "Active Directory Passwort-Resets explodieren insbesondere bei hybrider Arbeit. Sichere Self-Service-Passwort-Reset-Tools steuern dem entgegen. (Bild: Specops)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/1b/8c/1b8cf264ae468cd8e0b207bcfe3c3dbe/0121425211v1.jpeg "Zweimal im Jahr führt AV-Comparatives den Malware Protection Test durch und kührt die besten Sicherheitslösungen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/38/53380ffd68b342645f8561b694169860/96630295.jpeg "Nur wer sowohl sich als auch seine Feinde kennt, kann sich vor Angriffen schützen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/06/b8/06b8181aeab5f455bd2a2f9f2886a674/0121535631v2.jpeg "LotL-Angriffe sind schwer zu erkennen, da sie Binärdateien, Skripte und Tools verwenden, die Teil des Betriebssystems sind. (Bild: anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c0/97/c097c1f2280ba510f15f43896cb59d4a/0121975762v2.jpeg "Malware gehört zu den größten Cyberrisiken für Unternehmen. Dies sind die Schadprogramme, die im Jahr 2024 am weitesten verbreitet waren. (Bild: Kanan - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/10/82/1082ac3d761567c0e6088d2fcd935cfd/0126091441v2.jpeg "Der CrowdStrike-Report 2025 verdeutlicht, dass Cyberkriminelle generative KI nutzen, um Angriffe zu skalieren, Social-Engineering-Methoden zu verfeinern und in allen Phasen komplexer Intrusionen effizienter vorzugehen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/63/cf/63cf12cec8d640fada674a3efbad87c3/0124017609v2.jpeg "Das Open-Source-SIEM Wazuh verfügt über einen riesigen Funktionsumfang, aber ein gewöhnungsbedürftiges Interface. (Bild: ZinetroN - stock.adobe.com)")