Impact: Wenn’s wirklich weh tut | MITRE ATT&CK Reihe - Teil 14

Am Ende vieler Angriffsketten steht der Schritt, der in der MITRE-Systematik als „Impact“ bezeichnet wird. Das ist der Moment, in dem es beim Kunden wirklich einschlägt – meist in Form von verschlüsselten Daten, abgeschalteten Systemen oder zerstörter Infrastruktur. Alles, was vorher passiert ist, war Vorbereitung. Hier beginnt der eigentliche Schaden.

Was meint MITRE mit "Impact"?

Unter Impact versteht MITRE alle Techniken, mit denen Angreifer gezielt Daten oder Systeme zerstören, verschlüsseln oder sabotieren. Besonders häufig sehen wir in der Praxis:

• Datei- und Festplattenverschlüsselung (Ransomware)
  → T1486: Data Encrypted for Impact
• Löschen von Backups und Schattenkopien
  → T1490: Inhibit System Recovery
• Manipulation oder Löschung von Daten
  → T1485: Data Destruction
  → T1487: Disk Structure Wipe
• Sabotage durch Systemänderungen (z. B. Bootloader-Austausch, Reboot-Schleifen)
  → T1495: Firmware Corruption
  → T1496: Resource Hijacking
  → T1491.001: Defacement – Internal Defacement

Diese Techniken sind oft der letzte Schritt einer Angriffskette – wenn der Angreifer alle Kontrolle übernommen hat und maximalen Schaden anrichten will.

Warum ist dieser Schritt so gefährlich?

Weil hier alle vorherigen Schutzmaßnahmen versagt haben – oder gar nicht vorhanden waren. Wenn es bis zum Impact kommt, heißt das in der Regel:

• Der Angreifer war tage- oder wochenlang unentdeckt im Netzwerk
• Die Angriffskette konnte vollständig durchlaufen werden
• Es gab keine wirksame Endpoint Detection & Response (EDR/XDR), kein geeignetes SIEM – oder beides wurde ignoriert

Spätestens ab diesem Punkt hilft keine Abwehr mehr – sondern nur noch ein funktionierendes Backup, Notfallplan und Krisenkommunikation.

Welche Schutzmaßnahmen greifen jetzt?

Im besten Fall hat man vorher vorgesorgt. Ab hier helfen nur noch Maßnahmen wie:

• Getrennt aufbewahrte und geprüfte Backups
• Segmentierte Netzwerke, um die Ausbreitung zu stoppen
• Wiederherstellungspläne, die regelmäßig getestet wurden
• Managed Detection & Response, um nicht erneut überrascht zu werden

Wer bis zum Impact nichts gesehen hat, braucht nach dem Impact klare Prozesse, um schnell wieder handlungsfähig zu werden – und Fehler in der IT-Security nachhaltig zu beheben.

Fazit

Impact ist kein technisches Problem, sondern ein organisatorischer GAU. Es ist der Moment, in dem alle Versäumnisse der letzten Monate oder Jahre sichtbar werden. MITRE beschreibt ihn nüchtern – die Realität ist meist brutal: Kein Zugriff mehr auf Systeme, Druck durch Erpressung, Panik im Management.

Die gute Nachricht: Man kann den Impact vermeiden. Mit durchdachten Sicherheitskonzepten, passenden Produkten – und einem Partner, der den Überblick behält.

Sie möchten vermeiden, dass es überhaupt zum Impact kommt?

Wir unterstützen Sie beim Aufbau wirksamer Schutzmechanismen – und helfen auch im Ernstfall.
Telefon: +49 6103 9707-500
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. 
Verlassen Sie sich nicht aufs Glück – verlassen Sie sich auf ein gutes Konzept.