Rückblick auf den MITRE ATT&CK® EU Community Workshop 2026

Bedrohungsmodellierung ist nicht ausschließlich IT-Sicherheitsteams vorbehalten. Jennifer Henoch und Dennis Verslegers zeigten, dass ATT&CK mit der richtigen Taxonomie und einem geeigneten Kommunikationsansatz als gemeinsame Sprache dienen kann, eine Sprache, die Cybersicherheitsanliegen für die gesamte Organisation verständlich macht, von GRC- und Risikomanagementteams bis hin zum Vorstand. Bedrohungskartierung muss dabei stets relevant bleiben: Sie muss die Bedrohungslage und die spezifischen Prozesse jeder Organisation widerspiegeln. Jan Kopriva veranschaulichte dies im öffentlichen Sektor anhand sektor- und geografiespezifischer Bedrohungsmodelle, die auf Ministeriumsebene verbreitet wurden, um Behörden zu sensibilisieren.

KI verändert sowohl unseren Alltag als auch unsere Art, Sicherheit zu gewährleisten. Da KI-Systeme autonom Entscheidungen treffen, bringen sie Risiken mit sich, die verstanden, bewertet und beherrscht werden müssen. Ana Lakshmanan betonte die Bedeutung robuster KI-Sicherheitskontrollen und stellte ein praktisches Sechs-Ebenen-Modell vor, um Sicherheit im KI-Zeitalter zu denken. Frameworks wie ATT&CK und ATLAS entwickeln sich kontinuierlich weiter, um in diesem neuen Umfeld relevant zu bleiben.

Der Workshop machte deutlich, dass Verteidiger über konkrete Werkzeuge verfügen. In einer Live-Demonstration zeigte Jeroen Vandeleur, wie Menschen und KI einander ergänzen: Ein Red Team legt Ziel und Angriffsstrategie fest, während KI-Agenten die Aufklärung übernehmen und die Ausführung automatisieren. Dieses Mensch-KI-Tandem erweist sich sowohl für Red-Teaming- als auch für Purple-Teaming-Übungen als wertvoll. Auf der defensiven Seite stellte Sébastien Deleersnyder das Chirurgenmodell vor, bei dem KI repetitive Aufgaben übernimmt, damit sich menschliche Verteidiger auf Kontext und Risikomanagement konzentrieren können. Ian Davila hob zudem das Potenzial generativer KI hervor, Verteidigern bei der effektiven Priorisierung von Bedrohungen zu helfen.

Cyberrisiken sind nur dann sinnvoll, wenn sie Prioritäten lenken und zu konkreten Entscheidungen führen. Kontext ist dabei entscheidend: Er ermöglicht es unter anderem zu prüfen, ob bestehende Kontrollen ein bestimmtes Risiko tatsächlich mindern oder verhindern. Ein Risiko, das keine Maßnahmen auslöst, bleibt ein unkontrolliertes Risiko.

Die Umsetzung von Sicherheits-Frameworks in die Praxis stieß den ganzen Tag über auf großes Interesse. ATT&CK bleibt ein unverzichtbares Werkzeug für SOC-Teams und ermöglicht es Analysten, das Verhalten böswilliger Akteure zu charakterisieren, anstatt isolierte Techniken zu katalogisieren. Durch die Kontextualisierung gegnerischer Aktionen sind Verteidiger besser in der Lage, diese zu erkennen. Auf europäischer Ebene setzt das SAFE-Projekt seine Bemühungen fort, die Kapazitäten nationaler SOCs zu stärken; eine besonders zeitgemäße Initiative angesichts einer zunehmend komplexen Bedrohungslage.