Was ist MITRE ATT&CK? Der praktische Leitfaden für Sicherheitsverantwortliche

Was MITRE ATT&CK ist — in einem Satz

MITRE ATT&CK ist eine öffentlich zugängliche Wissensdatenbank, die dokumentiert, wie Cyberangreifer in der Realität vorgehen — welche Schritte sie ausführen, welche Werkzeuge sie verwenden, welche Spuren sie hinterlassen. Sie wird von der MITRE Corporation entwickelt und seit 2013 kontinuierlich aktualisiert.

Die Abkürzung steht für Adversarial Tactics, Techniques, and Common Knowledge — also „Angreifer-Taktiken, -Techniken und allgemeines Wissen". Der Name ist hilfreich, weil er die drei Kern-Komponenten der Datenbank gleich mitliefert.

Wichtig zur Einordnung: ATT&CK ist kein Tool, kein Standard, keine Compliance-Vorgabe. Es ist eine Beschreibung dessen, was Angreifer in beobachteten Vorfällen getan haben — strukturiert, kategorisiert, mit Beispielen belegt. Wer ATT&CK liest, liest das gesammelte Wissen über Angriffsverhalten der letzten zehn Jahre.

Wer ist MITRE — und warum macht MITRE das?

MITRE Corporation ist eine US-amerikanische Non-Profit-Organisation, gegründet 1958 als Ausgründung aus dem Massachusetts Institute of Technology (MIT). MITRE betreibt Forschungsinstitute (sogenannte FFRDCs — Federally Funded Research and Development Centers) im Auftrag verschiedener US-Regierungsstellen, darunter das Verteidigungsministerium und die NSA. Ein Großteil der Arbeit ist regierungsnah, ein anderer Teil — wie ATT&CK — wird der Öffentlichkeit kostenfrei zur Verfügung gestellt.

ATT&CK entstand 2013 als internes Forschungsprojekt mit dem Namen Fort Meade Experiment (FMX). Ziel war es, eine Frage zu beantworten, die im damaligen Detection-Markt offen war: Wie gut erkennen wir eigentlich Verhalten von Angreifern, das wir bereits aus Vorfallsanalysen kennen? Um diese Frage messbar zu machen, brauchten die Forschenden zunächst eine strukturierte Liste der bekannten Angreifer-Verhaltensweisen. So entstand ATT&CK.

2015 wurde die Datenbank öffentlich zugänglich gemacht. Seitdem ist sie kostenlos zugänglich, wird etwa zweimal im Jahr aktualisiert und hat sich in der Branche als gemeinsame Referenz für die Beschreibung von Angreifer-Verhalten entwickelt.

Wie ATT&CK aufgebaut ist: Tactics, Techniques, Sub-Techniques

Die Logik der Datenbank ist hierarchisch und folgt drei Ebenen, die sich gegenseitig konkretisieren.

1 — Tactics (Taktiken): das „Warum"

Tactics beschreiben das Ziel eines Angreifers in einer bestimmten Phase des Angriffs. Beispiele: „Initial Access" (sich einen ersten Zugang verschaffen), „Persistence" (sich dauerhaft einnisten), „Exfiltration" (Daten abziehen). In der Enterprise-Matrix existieren aktuell 14 solcher Tactics.

Tactics sind die obersten Spalten in der typischen ATT&CK-Matrix-Darstellung. Sie strukturieren den Angriffs-Lebenszyklus, ohne ihn als starre Reihenfolge vorzugeben — ein Angreifer kann zwischen Phasen springen, mehrere parallel verfolgen oder Phasen überspringen.

2 — Techniques (Techniken): das „Wie"

Techniques beschreiben konkrete Wege, wie ein Angreifer eine Tactic erreicht. Beispiel zu Initial Access: Phishing, ausgenutzte Schwachstelle in einem Public-Facing-System, kompromittierter Lieferkettenpartner. Jede Technique hat eine eindeutige ID (etwa T1566 für Phishing) und ist ausführlich beschrieben — mit Hintergrund, beobachteten Beispielen, möglichen Erkennungsansätzen und Gegenmaßnahmen.

In der aktuellen Enterprise-Matrix (Stand v18, Oktober 2025) gibt es 216 Techniques.

3 — Sub-Techniques (Sub-Techniken): das „Genau wie"

Sub-Techniques sind feinere Unterteilungen einer Technique. Beispiel: Phishing (T1566) hat die Sub-Techniques Spearphishing Attachment, Spearphishing Link, Spearphishing via Service. Jede Sub-Technique adressiert eine konkrete Variante derselben Grundidee.

In v18 sind 475 Sub-Techniques dokumentiert.

Zur Vollständigkeit gibt es noch zwei weitere Konzepte, die aber selten in Einsteiger-Diskussionen auftauchen:

Procedures (Prozeduren) sind die konkrete Implementierung einer Technique durch einen bestimmten Akteur — also der Schritt von „Phishing" hin zu „Welche Mail wurde von welcher APT-Gruppe in welcher Kampagne genau wie versendet?". Procedures sind in den ATT&CK-Technique-Seiten als „Procedure Examples" aufgeführt.

Detection Strategies und Analytics wurden in v18 (Oktober 2025) als neue Konzepte eingeführt. Sie ersetzen die früheren Felder „Detections" und „Data Sources" und beschreiben präziser, wie eine Technique strukturiert erkannt werden kann. Wer ältere Quellen liest, findet noch die alten Begriffe — die Inhalte wurden migriert, aber das Vokabular hat sich verändert.

Die drei ATT&CK-Matrizen: Enterprise, Mobile, ICS

ATT&CK existiert nicht als eine einzige Datenbank, sondern in drei spezialisierten Matrizen für verschiedene Angriffsoberflächen.

Enterprise-Matrix. Die größte und am häufigsten genutzte. Deckt Angriffe auf klassische IT-Infrastruktur ab: Windows, macOS, Linux, Cloud-Plattformen (Azure AD, Office 365, Google Workspace, SaaS, IaaS), Container, Netzwerkgeräte, ESXi-Virtualisierung. Wer in einem typischen Unternehmen über Detection nachdenkt, arbeitet in der Regel mit der Enterprise-Matrix.

Mobile-Matrix. Spezialisiert auf Angriffe gegen iOS und Android. Eigene Tactics und Techniques, weil mobile Angriffsoberflächen sich strukturell von klassischer Enterprise-IT unterscheiden.

ICS-Matrix (Industrial Control Systems). Für Angriffe auf industrielle Steuerungssysteme — Energie, Wasser, Produktion, Verkehr. Hier gelten teils andere Tactics, weil Angreifer in OT-Umgebungen andere Ziele verfolgen als in IT (etwa direkten Eingriff in Anlagensteuerung statt Datendiebstahl).

Für die meisten deutschen mittelständischen Unternehmen ist die Enterprise-Matrix die relevante. KRITIS-Betreiber im Energie- oder Wasser-Sektor nutzen typischerweise zusätzlich die ICS-Matrix.

Wofür ATT&CK in der Praxis genutzt wird

ATT&CK ist deshalb so verbreitet, weil sich die Datenbank für mehrere sehr unterschiedliche Aufgaben eignet. Vier davon sind besonders häufig.

1 — Detection-Coverage messen

Der häufigste Einsatz: Sicherheits-Teams kartieren ihre vorhandenen Detection Rules gegen die ATT&CK-Matrix und stellen fest, welche Techniques abgedeckt sind und welche nicht. Tools wie der ATT&CK Navigator visualisieren das in farbigen Heatmaps. Das Ergebnis ist eine ehrliche Bestandsaufnahme der eigenen Erkennungsreife — und meist ein Anlass, gezielt nachzubessern.

Diese Praxis hat eine Schattenseite, die in der Realität deutlich wird: Manuelle Pflege der Detection Rules über alle Techniques hinweg ist sehr aufwendig. Der CardinalOps-Bericht 2025 zeigt für hundert produktive Enterprise-SIEMs eine durchschnittliche Coverage von rund 21% — also: über zehn Jahre nach Veröffentlichung von ATT&CK haben die meisten Unternehmen für nur etwa ein Fünftel der Techniques aktive Erkennungslogik. (Mehr dazu in unserem Artikel zu SIEM-Detection-Lücken.)

2 — Threat-Modeling und Risikoanalyse

Wer wissen will, welche Angriffe gegen sein Unternehmen wahrscheinlich sind, beginnt oft mit ATT&CK. Die Datenbank enthält Threat-Actor-Profile — etwa „APT29" (russlandnah) oder „APT41" (chinesisch). Jedes Profil listet, welche Techniques die Gruppe nachweislich verwendet hat, in welchen Kampagnen, gegen welche Branchen.

Ein deutsches Industrieunternehmen, das wissen will, ob es im Visier staatlicher Akteure stehen könnte, kann in ATT&CK präzise nachschauen — und sieht: „Wenn APT-X gegen uns vorgeht, sind diese 30 Techniques besonders wahrscheinlich." Daraus lässt sich eine priorisierte Detection-Strategie ableiten.

3 — Red-Team und Pentest-Berichte

Professionelle Pentests und Red-Team-Übungen referenzieren heute fast immer ATT&CK. Statt frei zu beschreiben, was im Test passiert ist, nutzen Tester die ATT&CK-IDs: „Wir haben Initial Access via T1566.002 erreicht, dann mit T1003.001 Anmeldedaten extrahiert, lateral mit T1021.001 bewegt...". Das schafft eine gemeinsame Sprache zwischen Tester und auftraggebender Sicherheitsabteilung — und erlaubt einen sauberen Abgleich: „Welche der getesteten Techniques hätte unser SIEM erkennen müssen — und hat es?"

4 — Incident-Response und Forensik

In der Aufklärung eines Sicherheitsvorfalls hilft ATT&CK, die beobachteten Aktionen zu strukturieren und den Angriffspfad zu rekonstruieren. Forensiker nutzen die Datenbank rückwärts: „Wir haben diese Spuren gesehen — welche Techniques erklären sie? Welche Techniques folgen typischerweise als Nächstes? Wo müssen wir noch genauer hinsehen?"

Vier Missverständnisse über ATT&CK — was die Datenbank nicht leistet

ATT&CK im Verhältnis zu anderen Frameworks

Drei Vergleiche, die in der Praxis oft fallen.

1 — ATT&CK vs. Cyber Kill Chain

Die Cyber Kill Chain wurde 2011 von Lockheed Martin entwickelt und beschreibt einen Angriff in sieben linearen Phasen: Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Actions on Objectives. Sie ist konzeptionell älter als ATT&CK und wesentlich gröber.

Verhältnis der beiden Frameworks: Kill Chain beschreibt das „große Bild" — den groben Ablauf eines Angriffs. ATT&CK beschreibt die „Einzelteile" — was genau in jeder Phase technisch passieren kann. Beide sind komplementär: Kill Chain für strategische Diskussionen, ATT&CK für operative Detection-Arbeit. Wer mit Geschäftsführung über Cyberangriffe spricht, nutzt eher die Kill Chain. Wer mit dem SOC-Team an Detection Rules arbeitet, nutzt ATT&CK.

2 — ATT&CK vs. NIST Cybersecurity Framework

Das NIST CSF (Cybersecurity Framework) strukturiert Cybersicherheits-Programme in fünf Funktionen: Identify, Protect, Detect, Respond, Recover. Es ist ein Management-Framework — es beschreibt, was eine Organisation tun sollte, um Sicherheit ganzheitlich zu organisieren.

ATT&CK ist demgegenüber operativ: Es beschreibt, wie Angreifer agieren. NIST CSF und ATT&CK widersprechen sich nicht — sie arbeiten auf unterschiedlichen Ebenen. Eine gute Organisation nutzt NIST CSF für die strategische Steuerung und ATT&CK in den Bereichen Detect und Respond, um operative Tiefe zu erreichen.

3 — ATT&CK vs. CVE

CVE (Common Vulnerabilities and Exposures) ist eine Datenbank über konkrete Schwachstellen in einzelnen Software-Produkten — also: „In Microsoft Exchange Version X gibt es Sicherheitslücke Y." CVEs werden mit Patches geschlossen.

ATT&CK arbeitet auf einer ganz anderen Ebene: Es beschreibt Verhaltensmuster von Angreifern — unabhängig davon, welche konkreten Schwachstellen sie ausnutzen. Eine Phishing-Technique ändert sich nicht, wenn eine bestimmte CVE gepatcht wird. CVE und ATT&CK ergänzen sich: CVE für Patch-Management, ATT&CK für Detection.

ATT&CK und der deutsche Compliance-Kontext

Eine berechtigte Frage von IT-Verantwortlichen im deutschen Mittelstand: „Was sagt das BSI zu ATT&CK?" Die ehrliche Antwort: Wenig — und das ist relevant zu wissen.

Der BSI-IT-Grundschutz als deutscher Standard für Informationssicherheit hat ATT&CK bisher nicht in seine Bausteine integriert. Die IT-Grundschutz-Methodik arbeitet mit eigenen Bedrohungs- und Maßnahmen-Katalogen. Eine Master-Thesis der Hochschule Wismar (2024) hat den Querbezug systematisch untersucht und kommt zum Schluss, dass eine ATT&CK-Integration in den IT-Grundschutz wertvolle Konkretisierungen liefern würde — bisher aber nicht erfolgt ist.

Auch die BSI-Orientierungshilfe für Systeme zur Angriffserkennung (OH SzA), verbindlich für KRITIS-Betreiber seit Mai 2023, verwendet ATT&CK nicht als Maßstab. Das BSI nutzt stattdessen ein eigenes Reifegrad-Modell mit fünf Stufen für die Bewertung von Angriffserkennungs-Systemen.

Was das praktisch bedeutet: Wer in Deutschland Compliance-Anforderungen erfüllen muss (BSIG, NIS-2, IT-Grundschutz), erfüllt sie nicht automatisch durch ATT&CK-Coverage — und umgekehrt. Beide Welten existieren parallel. Eine gute Praxis ist: Compliance-Pflichten erfüllen über das vom Regulator vorgegebene Modell — und zusätzlich ATT&CK als operatives Werkzeug für die echte Detection-Reife verwenden. Diese Doppelarbeit ist unbefriedigend, aber Stand der Dinge.

Wenn Sie mit ATT&CK starten wollen — drei pragmatische Schritte

Wer nach diesem Artikel den Wunsch hat, ATT&CK in der eigenen Organisation einzusetzen, sollte realistisch beginnen. Drei Schritte, die in der Praxis funktionieren:

1 — Lesen, nicht implementieren

Verbringen Sie als IT- oder Sicherheitsverantwortliche zwei Stunden auf attack.mitre.org. Klicken Sie sich durch die Enterprise-Matrix. Lesen Sie drei oder vier Techniques, die für Ihre Branche relevant sind. Schauen Sie ein Threat-Actor-Profil an. Ziel ist nicht Vollständigkeit, sondern Vertrautheit mit der Logik.

2 — Heatmap mit dem ATT&CK Navigator

Der ATT&CK Navigator ist ein kostenloses Web-Werkzeug, mit dem Sie eigene Heatmaps erstellen können. Markieren Sie für Ihre 10–20 wichtigsten Detection Rules, welche Techniques sie abdecken. Das Ergebnis ist meist erschütternd — und ehrlich. Genau das ist der Punkt.

3 — Priorisieren statt erschlagen lassen

Mit 216 Techniques und 475 Sub-Techniques in der Enterprise-Matrix ist eine Vollabdeckung weder machbar noch sinnvoll. Identifizieren Sie stattdessen die 15–25 Techniques, die in Ihrer Branche und gegen Ihren typischen Angreifer-Profil besonders relevant sind. Diese zuerst absichern. Den Rest dokumentieren als bewusste Lücke. ATT&CK funktioniert am besten als Priorisierungs-Werkzeug, nicht als Vollständigkeits-Anspruch.

Was MITRE ATT&CK über die Wirksamkeit Ihrer Detection-Logik sagt

ATT&CK ist deshalb für AEGYS ein wichtiges Bezugssystem, weil es eine schmerzhafte Wahrheit transparent macht: Die meisten produktiven SIEMs decken nur einen Bruchteil der dokumentierten Angreifer-Verhaltensweisen mit aktiven Detection Rules ab. Nicht weil die SIEMs schlecht sind — sondern weil manuelle Detection-Pflege strukturell nicht skaliert.

Genau hier setzt der Reality-Check an: nicht als Ersatz für SIEM-Detection, sondern als unabhängige zweite Sicht. AEGYS fragt nicht „passt das, was hier läuft, zu einem unserer Detection-Patterns?". Es fragt „passt das, was hier läuft, zur Realität dessen, was hier laufen sollte?". Diese Umkehrung der Frage findet auch Aktivität, die kein bekanntes Pattern triggert — und ist deshalb komplementär zur ATT&CK-basierten Detection-Strategie, nicht konkurrierend.

Häufige Fragen zu MITRE ATT&CK

Stand dieses Artikels: Mai 2026. Die im Text genannten Versions- und Statistikangaben beziehen sich auf MITRE ATT&CK v18 (Oktober 2025) und den BSI-Lagebericht 2025. Da MITRE halbjährlich aktualisiert (siehe Versions-Übersicht), sollten konkrete Versionsangaben vor Verwendung gegengeprüft werden.

Über den Autor

Achim Kraus

Co-Founder & CTO bei AEGYS

Achim hat für die größten Cybersecurity-Unternehmen komplexe Sicherheitsprojekte umgesetzt. Mit AEGYS bringt er diese Erfahrung dorthin, wo sie konkret gebraucht wird: zu Sicherheitsteams, die nach einem Vorfall oder bei einem Verdacht eine belastbare Antwort brauchen — ohne dass dafür ein neues Projekt aufgesetzt werden muss.

Zur ausführlichen Bio