Warum MITRE ATT&CK für einen Penetrationstest entscheidend ist

Ein moderner Penetrationstest sollte nicht nur bekannte Schwachstellen prüfen, sondern reale Angriffsmethoden nachvollziehbar simulieren. Genau hier spielt MITRE ATT&CK eine zentrale Rolle. Das Framework beschreibt reale Angriffstechniken, Taktiken und Vorgehensweisen, die von echten Bedrohungsakteuren eingesetzt werden. Dadurch wird ein Penetrationstest deutlich realistischer, strukturierter und für Unternehmen wesentlich wertvoller.

Viele klassische Penetrationstests konzentrieren sich primär auf bekannte technische Schwachstellen oder automatisierte Scanner Ergebnisse. Das reicht heute oft nicht mehr aus. Angreifer arbeiten nicht linear. Sie kombinieren Fehlkonfigurationen, Berechtigungsprobleme, gestohlene Zugangsdaten, unzureichende Segmentierung und menschliche Fehler. MITRE ATT&CK hilft dabei, diese realistischen Angriffspfade strukturiert abzubilden.

Autor und fachliche Verantwortung:
Guido Marsch, CISA, Head of Cybersecurity und Artificial Intelligence bei Netsafe AG. Erfahrung in Penetrationstests, technischen Security Assessments, IT Audit, Informationssicherheit, Risikomanagement und praxisnaher Sicherheitsprüfung in Schweizer Unternehmen.

Letzte fachliche Prüfung: Mai 2026

Was ist MITRE ATT&CK?

MITRE ATT&CK ist eine öffentlich verfügbare Wissensbasis realer Angriffstechniken. Das Framework dokumentiert Taktiken, Techniken und typische Vorgehensweisen echter Angreifer. Es basiert auf beobachteten Angriffsmustern und dient weltweit als Grundlage für Threat Hunting, Detection Engineering, Red Teaming, Purple Teaming und moderne Penetrationstests.

ATT&CK steht für Adversarial Tactics, Techniques and Common Knowledge. Genau das macht das Framework für Sicherheitsprüfungen so wertvoll. Es zeigt nicht nur einzelne Schwachstellen, sondern wie ein Angreifer tatsächlich denkt und arbeitet.

Warum klassische Penetrationstests oft nicht ausreichen

Viele traditionelle Penetrationstests arbeiten stark toolbasiert. Scanner identifizieren bekannte CVEs, offene Ports oder Fehlkonfigurationen. Das ist wichtig, bildet aber oft keine echten Angriffsszenarien ab.

Typische Schwächen klassischer Ansätze:

  • Fokus auf isolierte technische Schwachstellen statt reale Angriffsketten.
  • Unzureichende Prüfung von Lateral Movement.
  • Kaum Betrachtung von Credential Abuse.
  • Zu wenig Fokus auf Privilege Escalation.
  • Keine strukturierte Abbildung realer Taktiken.
  • Geschäftslogik und Angreiferverhalten werden nicht ausreichend berücksichtigt.

Ein moderner Angriff nutzt selten nur eine einzelne Schwachstelle. Meist entstehen Risiken erst durch die Kombination mehrerer kleiner Schwächen.

Wie MITRE ATT&CK Penetrationstests verbessert

MITRE ATT&CK bringt Struktur, Realität und strategische Tiefe in Penetrationstests.

  • Realistische Angriffssimulation: Tests orientieren sich an realen Angriffstechniken statt rein theoretischen Schwachstellen.
  • Bessere Risikoanalyse: Schwachstellen werden im Kontext echter Angriffspfade bewertet.
  • Strukturierte Methodik: Angriffe lassen sich entlang definierter Taktiken nachvollziehbar planen.
  • Detection Gaps sichtbar machen: Unternehmen erkennen, welche Angriffe nicht erkannt würden.
  • Blue Team Mehrwert: Security Teams erhalten verwertbare Erkenntnisse zur Erkennung und Reaktion.
  • Management Relevanz: Ergebnisse lassen sich besser in geschäftliche Risiken übersetzen.

Wichtige MITRE ATT&CK Taktiken im Penetrationstest

Ein professioneller Penetrationstest kann verschiedene ATT&CK Taktiken berücksichtigen:

  • Initial Access: Wie gelangt ein Angreifer erstmals in die Umgebung.
  • Execution: Welche Ausführungsmöglichkeiten bestehen auf kompromittierten Systemen.
  • Persistence: Wie könnte sich ein Angreifer dauerhaft halten.
  • Privilege Escalation: Wie lassen sich höhere Rechte erlangen.
  • Defense Evasion: Welche Schutzmechanismen könnten umgangen werden.
  • Credential Access: Können Zugangsdaten abgegriffen oder missbraucht werden.
  • Discovery: Welche Informationen lassen sich intern sammeln.
  • Lateral Movement: Wie kann sich ein Angreifer intern weiterbewegen.
  • Collection: Welche sensiblen Daten wären erreichbar.
  • Exfiltration: Können Daten ausgeleitet werden.
  • Impact: Welche geschäftlichen Schäden wären möglich.

Praxisbeispiel ohne MITRE versus mit MITRE

Klassischer Penetrationstest:
Offener Dienst gefunden. Veraltete Software erkannt. Bericht erstellt.

MITRE orientierter Penetrationstest:
Initial Access identifiziert. Credential Abuse geprüft. Rechteausweitung getestet. Interne Discovery bewertet. Lateral Movement simuliert. Detection geprüft. Auswirkungen auf geschäftskritische Systeme bewertet.

Der Unterschied liegt in der Tiefe und Realitätsnähe.

Unsere Erfahrung aus der Praxis

Cybersecurity Schweiz verbindet technische Sicherheitsprüfung, Audit Erfahrung und praxisorientierte Angriffssimulation. Wir betrachten Penetrationstests nicht als reinen Werkzeuglauf, sondern als strukturierte Sicherheitsprüfung mit realistischem Bedrohungsmodell.

Unsere Erfahrung umfasst unter anderem:

  • Hewlett Packard Enterprise: Identifikation einer High Risk Sicherheitslücke.
  • Medipack AG: Penetrationstest und Audit.
  • Exigo AG: Security Check.
  • KV Luzern: Security Audit im Bildungsumfeld.
  • Hypothekarbank: Security Check im Finanzumfeld.
  • Dozententätigkeit: Unterricht in IT Sicherheit, Risikomanagement und Informationssicherheit.

Für welche Unternehmen ist dieser Ansatz besonders sinnvoll

  • Unternehmen mit kritischen Geschäftsprozessen.
  • Finanznahe Organisationen.
  • Gesundheitswesen und Medizintechnik.
  • Industriebetriebe mit IT und OT Umgebungen.
  • Unternehmen mit komplexen internen Netzwerken.
  • Organisationen mit erhöhtem Compliance Druck.
  • Unternehmen mit Security Operations oder Detection Teams.
  • Organisationen mit Cloud und Hybrid Infrastrukturen.

Warum Cybersecurity Schweiz

Wir nutzen MITRE ATT&CK nicht als Schlagwort, sondern als praxisnahe Methodik zur Bewertung realer Angriffsrisiken. Unsere Stärke liegt in der Verbindung technischer Expertise, Audit Erfahrung und verständlicher Kommunikation für Management und Technik.

  • CISA zertifizierte Sicherheitskompetenz.
  • Erfahrung mit Penetrationstests, technischen Security Assessments und Audits.
  • Praxis aus Finanzwesen, Bildung, Industrie, Medizintechnik und Schweizer KMU.
  • Realistische Angriffssimulation statt rein toolbasierter Prüfungen.
  • Klare Management Summary und technische Detailberichte.
  • Schweizer regulatorischer Kontext mit nDSG, ISO 27001 und branchenspezifischen Anforderungen.

Häufige Fragen

Ist MITRE ATT&CK ein Penetrationstest Tool?

Nein. MITRE ATT&CK ist ein Wissensframework für reale Angriffstechniken. Es dient als methodische Grundlage für strukturierte Sicherheitsprüfungen.

Ersetzt MITRE ATT&CK klassische Penetrationstests?

Nein. MITRE ATT&CK verbessert und strukturiert Penetrationstests, ersetzt aber nicht technische Prüfmethoden.

Ist dieser Ansatz nur für grosse Unternehmen sinnvoll?

Nein. Auch KMU profitieren davon, weil reale Angriffspfade oft gerade in kleineren Umgebungen übersehen werden.

Ist MITRE ATT&CK relevant für ISO 27001?

Ja. Das Framework hilft bei der Bewertung technischer Risiken, der Wirksamkeit von Sicherheitskontrollen und der Verbesserung von Sicherheitsmassnahmen.

Offizielle Quellen und Standards

MITRE basierten Penetrationstest besprechen

Wir unterstützen Sie mit realistischen, praxisnahen Penetrationstests auf Basis moderner Angriffsmethodik und nachvollziehbarer Risikobewertung.

Jetzt unverbindlich Kontakt aufnehmen