Zum Hauptinhalt springen

Wenn „Wir glauben, wir würden es erkennen“ nicht ausreicht: TTX + TTP-Wiederholung für moderne SOCs

30/04/2026
Andrew Heller

Die meisten Organisationen klingen noch immer selbstbewusst, wenn sie über ihre Cyber-Bereitschaft sprechen. Richtlinien sind verabschiedet, Tools implementiert, und jährliche Tabletop-Übungen vermitteln den Eindruck von Abstimmung. Doch wenn genau diese Teams in realitätsnahen Übungen getestet werden, sinkt die Entscheidungsgenauigkeit deutlich, und die Eindämmung zieht sich oft über Tage statt über Stunden hinweg.

Für IT-Führungskräfte und SOC-Manager ist genau diese Lücke zwischen Selbstvertrauen und Realität das eigentliche Risiko. Das Problem ist simpel: Tabletop-Übungen (TTX) und technische Tests (TTP-Replays, Purple Teaming, Red Teaming) laufen meist parallel – mit unterschiedlichen Verantwortlichen, verschiedenen Zielsetzungen und ohne gemeinsame Datengrundlage. Das führt dazu, dass sich alle auf Annahmen stützen müssen, wenn Vorfälle unter harten Fristen aus NIS2, DSGVO, Verträgen und Kundenanforderungen bewältigt werden müssen.

Das Offensive Cybersecurity Advisory Team von Damovo (Lares) hat eine 6-stufige Adversarial Integration Methodology entwickelt, die TTX und Live-Fire-TTP-Replays gezielt in einem einzigen, geschlossenen Kreislauf zusammenführt. Das Ziel ist klar:  „Wir glauben, wir würden es erkennen“ durch belastbare Nachweise zu ersetzen, die zeigen, wie Ihre Organisation kritische Angriffe tatsächlich erkennt, eskaliert und meldet.

Die Bereitschaftslücke: Wenn Annahmen auf Realität treffen

Auf dem Papier gehen die meisten Organisationen davon aus, dass sie größere Vorfälle erkennen, eindämmen und sich davon erholen können. In unabhängigen Benchmark-Analysen zeigt sich jedoch, dass die Entscheidungsgenauigkeit in realitätsnahen Übungen auf einen Bruchteil dessen sinkt, was Führungskräfte erwarten, und die medianen Eindämmungszeiten regelmäßig 24 Stunden überschreiten. Das ist ein erhebliches Problem in einem europäischen Umfeld, in dem die Fristen für die Meldung von Vorfällen inzwischen in Stunden und nicht mehr in Tagen beginnen.

Klassische Tabletop-Übungen sind Teil des Problems. Sie machen Lücken bei Menschen und Prozessen sichtbar – verworrene Eskalationswege, unklare Zuständigkeiten, fehlende regulatorische Schritte – doch sie basieren auf technischen Annahmen, die nie verifiziert werden. Teilnehmende sagen dann selbstbewusst:  Die Firewall blockt das“, „EDR schlägt definitiv Alarm oder Das SOC würde das innerhalb von zehn Minuten bemerken,  und die Übung geht einfach weiter.

Andererseits konzentrieren sich viele purple team Detection-Engineering-Programme nach wie vor auf die Abdeckung von Frameworks. Die Teams spielen „MITRE ATT&CK-Bingo“ und arbeiten so viele Techniken wie möglich ab, ohne diese mit konkreten Geschäftsrisiken, Entscheidungspunkten oder Berichtspflichten zu verknüpfen.

Das Ergebnis ist Readiness-Theater – bei dem keiner der beiden Stränge die einzige Frage beantwortet, die für IT- und SOC-Verantwortliche wirklich zählt: Können wir diesen Angriff – in dieser Umgebung – sehen, darauf reagieren und nachweisen, dass wir rechtzeitig das Richtige getan haben?

Warum TTX allein für IT- und SOC-Verantwortliche nicht ausreicht

Aus betrieblicher Sicht weisen herkömmliche Desktop-Programme drei wesentliche Schwachstellen auf.

  • Keine Telemetrie: Tabletops liefern Notizen und Action Items – aber keine Logfiles, Alerts oder Timing-Daten, die Detection Engineering speisen können.
  • Unbestätigte Annahmen: Ingenieurinnen und Ingenieure sind gezwungen zu mutmaßen, wie sich EDR-, SIEM-, Identity-, OT- und Cloud-Kontrollen verhalten würden – weil der Angriff schlicht nicht tatsächlich ausgeführt wird.
  • Kein Bezug zur Tooling-Roadmap: Ohne konkrete Nachweise ist es schwierig, Logging‑Anpassungen, Rule-Tuning oder Architekturmaßnahmen zu priorisieren, die die Reaktionsfähigkeit tatsächlich spürbar verbessern würden.

Diese Problematik wird durch regulatorische Fristen zusätzlich verschärft. Die NIS2-Richtlinie kann erste Meldungen bereits innerhalb von 24 Stunden und detailliertere Updates innerhalb von 72 Stunden verlangen, während die DSGVO eine eigene 72-Stunden-Frist für die Meldung von Datenschutzverletzungen vorsieht. Wenn die Ergebnisse von Tabletop-Übungen nicht mit dem verknüpft sind, was Ihre Tools tatsächlich sehen können und wie schnell sie es sehen, dann spielen Führungskräfte diese Fristen im Grunde genommen auf Risiko.

Einführung der 6-stufigen Adversarial Integration Methodology von Damovo

Um diese Lücke zu schließen, nutzt das Offensive Cybersecurity Advisory Team (Lares) von Damovo eine 6-stufige Adversarial Integration Methodology, die mit einem einzigen, realistischen Bedrohungsszenario beginnt und dieses konsequent von der Tabletop-Diskussion bis hin zum Live-Fire-TTP-Replay und anschließenden Retesting durchzieht.

Im Großen und Ganzen lassen sich die sechs Schritte wie folgt zusammenfassen:

  1. Beginnen Sie mit einer Bedrohung, die für Ihr Unternehmen tatsächlich relevant ist.
  2.  Führen Sie eine Tabelle, in der alle Annahmen und alle Zeitangaben erfasst sind.
  3. Übersetzen Sie das Szenario in ein adversariales TTP-Playbook.
  4. Wenden Sie die TTPs in Ihrer Umgebung an.
  5. Stimmen Sie die Telemetriedaten mit den theoretischen Annahmen ab.
  6. Beheben, optimieren und die Verbesserung nachweisen.

Jeder Schritt ist so gestaltet, dass IT-Leiter, SOC-Manager, Risiko-, Rechts- und Kommunikationsteams mit derselben Ausgangslage und denselben Nachweisen arbeiten – anstatt mit getrennten Übungen und isolierten Präsentationen.

Schritt 1: Beginnen Sie mit einer Bedrohung, die für Ihr Unternehmen tatsächlich relevant ist.

Alles beginnt mit einem glaubwürdigen Szenario, das Ihr Unternehmen tatsächlich beeinträchtigen könnte – nicht nur abstrakt „irgendwo im Netzwerk auftretende Ransomware“. Das Szenario wird aufgebaut aus:

  • Interne Informationen zu Cyberbedrohungen und zur Historie von Vorfällen.
  • Branchenspezifischer Informationsaustausch (z. B. über ISACs) und aktuelle Bedrohungsberichte.
  • Informationen aus den Bereichen Recht, Risikomanagement und Beschaffung zu kritischen Lieferanten und Risiken durch Dritte.

 

Beispiele sind die Kompromittierung eines zentralen SaaS-Anbieters, die zu einer Eskalation von Cloud-Privilegien in einer umsatzkritischen Geschäftseinheit führt, gezieltes Phishing, das zu einer Identitätskompromittierung über hybride Active-Directory- und Cloud-Tenants hinweg führt, oder Datenabfluss über freigegebene Kollaborationstools, die von kundennahen Teams genutzt werden.

Wenn Ihre eigenen Engineering-Leads oder Application-Owner nicht davon überzeugt sind, dass das Szenario realistisch ist, werden sie sich abkoppeln; dieser erste Schritt stellt sicher, dass sie ihre eigenen Systeme und Verantwortlichkeiten in der Geschichte wiedererkennen.

Schritt 2: Führen Sie eine Tabletop-Analyse durch, die alle Annahmen erfasst

Mit dem Szenario als Grundlage folgt als nächster Schritt eine gezielte Tabletop-Übung für IT, Security, Operations, Recht und Kommunikation. Ziel ist es, die Organisation unter Stress zu setzen, während mehrere regulatorische und vertragliche Fristen parallel ablaufen – und nicht nur ein generisches Playbook durchzugehen.

Dazu gehören die NIS2-Fristen für Frühwarnung und Meldung, die 72-Stunden-Meldepflicht der DSGVO sowie sektorspezifische oder vertragliche Benachrichtigungsklauseln. Diese werden von den Moderatoren auf das Szenario übertragen und es wird in jeder Phase geprüft: Wer ist für die Klassifizierung verantwortlich, wer spricht mit wem und wann beginnen die Meldungen – selbst dann, wenn die Ursache noch nicht eindeutig geklärt ist.

Am wichtigsten für IT- und SOC-Leiter ist dabei: Jede technische Aussage wird zu einer expliziten Annahme –  Diese Annahmen werden mit Zeitstempeln dokumentiert; sie werden zu Hypothesen, die in Schritt 3 und Schritt 4 überprüft werden.:wir würden das innerhalb einer Stunde erkennen“, „das SIEM würde diese Events korrelieren“, „IAM-Analytics würden das Verhalten auffälligen oder wir könnten die betroffenen Systeme isolieren, bevor wir Behörden informieren.“. Diese Annahmen werden mit Zeitstempeln dokumentiert; sie werden zu Hypothesen, die in Schritt 3 und Schritt 4 überprüft werden.

Schritt 3: Übersetzen Sie die Geschichte in ein adversariales TTP-Playbook

Sobald die Tabletop-Übung abgeschlossen ist, übersetzen die Offensive Engineers von Damovo die Narrative in ein konkretes, praxisnahes TTP-Playbook. Der Umfang ist eng auf das Szenario abgestimmt, anstatt zu versuchen, jede einzelne Technik eines Frameworks abzudecken.

Für ein Szenario, bei dem die Cloud-Identität kompromittiert wird, könnte das Playbook beispielsweise Folgendes enthalten:

  • Spezifische Credential-Theft- und Token-Reuse-Pfade gegen Ihren Cloud-Identity-Provider oder Ihre SaaS-Plattform.
  • Techniken zum „Living off the land“, bei denen vorhandene Verwaltungstools, Skriptfunktionen und zugelassene Dienste genutzt werden.
  • Datenexfiltrationspfade über Ihre freigegebenen Cloud-Speicher, E-Mail-Systeme oder Collaboration-Apps.

 

Während dieses Schritts bleiben IT-Architektur- und SOC-Teams kontinuierlich eingebunden, sodass das Playbook die tatsächlichen Kontrollmechanismen, Logging-Fähigkeiten und Change-Management-Restriktionen widerspiegelt. Dadurch wird verhindert, dass Tests sich auf Angriffe konzentrieren, denen Ihre Umgebung gar nicht ausgesetzt ist, oder auf Kontrollen, die in der Produktion tatsächlich nicht eingesetzt werden.

Schritt 4: Stellen Sie die TTPs in Ihrer Umgebung nach

Im nächsten Schritt folgt ein kontrolliertes Purple-Team-Engagement, das auf dem erstellten Playbook in Ihrer Produktions- oder produktionsnahen Umgebung durchgeführt wird. Hier werden die Annahmen aus der Tabletop-Übung durch beobachtbares Verhalten Ihrer Tools und Teams ersetzt.

Während dieses Schritts arbeitet das Offensive Cybersecurity Advisory Team von Damovo (Lares) gemeinsam mit Ihren SOC- und IT-Teams daran, drei zentrale Ergebnisse zu erfassen:

  • Ausführungsstatus: Welche Angriffsschritte erfolgreich waren, welche blockiert wurden und welche nur teilweise erkannt wurden.

  • Telemetrie-Erfassungsbereich: Ereignisse und Alerts aus EDR-/XDR-Systemen, SIEM, Identity-Plattformen, Cloud-Logs und Netzwerk-Kontrollen sowie Sichtbarkeitslücken, bei denen erwartete Daten fehlen oder verzögert eintreffen.
  • Zeitangaben: tatsächliche Mean Time to Detect (MTTD) und Mean Time to Respond (MTTR) über alle Teams und Ebenen hinweg.

 

Lares beschreibt dies als einen Test des Nervensystems Ihrer Organisation: alles, was zwischen den Tastatureingaben eines Angreifers und Ihren Dashboards liegt. Für SOC-Manager ist dies der Moment, in dem Detection-Regeln und Playbooks endlich gegen genau die Verhaltensweisen aus Schritt 2 im Unternehmen getestet werden.

Schritt 5: Abgleich von Telemetrie und Tabletop-Annahmen

Die fünfte Stufe ist der Moment, in dem die Methodik die tatsächliche Bereitschaftslücke offenlegt. Der Zeitablauf und die Entscheidungen aus der Tabletop-Übung werden direkt den Belegen aus dem TTP-Replay gegenübergestellt.

Typische Ergebnisse umfassen:

  • Die Führungskräfte gingen davon aus, dass „wir dies innerhalb von 30 Minuten erkennen würden“; die Telemetriedaten zeigen jedoch, dass die erste aussagekräftige Warnmeldung erst nach 90 Minuten eintraf, da die Cloud-Protokolle verzögert oder unvollständig waren.
  • In der Tabelle hieß es: „Das SIEM wird diese Ereignisse korrelieren“; in Wirklichkeit lagen zwar einzelne Protokolle vor, doch die Korrelationsregeln wurden nie ausgelöst, sodass die Aktivität im Hintergrundrauschen unterging.
  • Der Plan sah vor, dass IAM oder UEBA ungewöhnliche Token-Nutzung melden sollte; in der Wiederholung wurde jedoch kein Alarm ausgelöst, da die Analysefunktionen für diesen Anbieter oder Mandanten nicht aktiviert waren.

 

Auf dieser Grundlage unterstützt Damovo bei der Quantifizierung von Kennzahlen wie der „Assumption Accuracy Rate“ (Anteil der sich als richtig erwiesenen technischen Annahmen im TTX), der „Detection Fidelity“ (Signal-Rausch-Verhältnis bei den getesteten Verhaltensweisen) und der „Remediation Validation“ (Anteil der bei Nachprüfungen erfolgreich behobenen identifizierten Lücken). Diese Kennzahlen bieten IT-Führungskräften und SOC-Managern weitaus konkretere Berichtsgrundlagen als allgemeine „Reifegrad“-Bewertungen.

Schritt 6: Korrekturen vornehmen, optimieren und die Verbesserung überprüfen

Im letzten Schritt werden all diese Erkenntnisse in messbare Fortschritte umgesetzt. Damovo arbeitet mit Ihren Teams zusammen, um die Behebungsmaßnahmen auf der Grundlage von Risiken, regulatorischen Anforderungen und dem Implementierungsaufwand zu priorisieren, und überprüft die Änderungen anschließend durch gezielte erneute Tests.

Zu den üblichen Verbesserungen gehören:

  • Schluss mit Lücken in der Protokollierung und Vereinheitlichung der Telemetrie über Cloud-, SaaS-, Netzwerk- und Identitätsplattformen hinweg.
  • Anpassung oder Erstellung von SIEM-Korrelationsregeln, EDR-/XDR-Richtlinien und IAM-Analysen, die speziell auf die wiederholten Verhaltensmuster abzielen.
  • Anpassung der Runbooks für die Klassifizierung, Eskalation und Kommunikation von Vorfällen, um die im Tabletop-Test aufgedeckten Engpässe zu beseitigen.

 

Anschließend werden relevante Teile des TTP-Playbooks erneut durchgespielt, um zu überprüfen, ob sich MTTD und MTTR verbessert haben und ob zuvor übersehene Aktivitäten nun zuverlässig erkannt werden. Für die IT-Führung liefert dies für jedes Szenario einen Vorher-Nachher-Überblick: Hier sehen Sie, wovon wir ausgegangen sind, was wir beobachtet haben, was wir geändert haben und wie viel schneller und zuverlässiger wir nun reagieren können.

Wie das in der Praxis aussieht: Kompromittierung der Cloud-Identität

Stellen Sie sich ein Szenario vor, das vielen Unternehmen derzeit Sorgen bereitet: Die Kompromittierung eines kritischen SaaS-Anbieters, die zu einer Eskalation von Berechtigungen in der Cloud führt.

  • Schritt 1: Die Bedrohungsinformationen zeigen ein aktives Risiko in der Lieferkette für Ihren Identitätsanbieter an.
  • In Schritt 2 geht das Szenario davon aus, dass die IAM-Analytik eine anomale Token-Nutzung meldet und das SOC die Identität innerhalb von fünfzehn Minuten ermittelt, während die Fristen für die NIS2-Frühwarnung und die DSGVO-Meldung bereits laufen.
  • In Schritt 3 erstellen die Ingenieure ein TTP-Handbuch, das sich auf den Diebstahl von Cloud-Zugangsdaten und Wege zur Wiederverwendung von Tokens konzentriert, die auf Ihre Umgebung zugeschnitten sind.
  • Schritt 4: Das purple team den Token-Diebstahl purple team . Das EDR-System erkennt die ausschließlich in der Cloud stattfindenden Aktivitäten nicht, und die SIEM-Regeln werden nicht ausgelöst, da die Cloud-Protokolle falsch konfiguriert sind.
  • In Schritt 5 wird deutlich, dass die Annahme einer Eindämmung innerhalb von fünfzehn Minuten angesichts der vorliegenden Telemetriedaten völlig unrealistisch war; es wurde überhaupt kein Alarm ausgelöst.
  • In Schritt 6 wird die Protokollierung korrigiert, IAM-Korrelationsabfragen werden bereitgestellt und das Szenario erneut ausgeführt. Diesmal erkennt das SOC die Identität innerhalb von zwölf Minuten und grenzt sie ein, wodurch aus einer Annahme eine nachgewiesene Fähigkeit wird.

Es handelt sich hierbei um eine konkrete, durch Fakten untermauerte Darstellung, die es erleichtert, Maßnahmen zur Fehlererkennung, Investitionen in die Protokollierung sowie Prozessänderungen sowohl gegenüber internen Interessengruppen als auch gegenüber den Aufsichtsbehörden zu begründen.

Wie Damovo Ihnen helfen kann

Mithilfe der von Lares bereitgestellten Damovo Security Services können Unternehmen diese 6-stufige Methodik zur adversarialen Integration im Rahmen eines fortlaufenden Validierungsprogramms in ihre eigenen Umgebungen integrieren – und nicht nur als einmaliges Projekt.

In Zusammenarbeit mit Ihren IT- und SOC-Teams kann Damovo Ihnen dabei helfen:

  • Entwickeln Sie realistische, auf Bedrohungen abgestimmte Szenarien, die Ihre Umgebung und Ihre regulatorischen Risiken widerspiegeln.
  • Führen Sie Tabletop-Simulationen durch, die überprüfbare Annahmen und Entscheidungsprotokolle liefern, anstatt allgemeine Maßnahmenlisten.
  • Führen Sie gezielte TTP-Wiederholungen durch, um die Erkennung und Reaktion in diesen Szenarien zu überprüfen.
  • Erfassen Sie die Lücke in der Bereitschaft anhand von Kennzahlen, die für Vorstände, Wirtschaftsprüfer und Aufsichtsbehörden nachvollziehbar sind.

Schaffen Sie einen wiederholbaren Zyklus aus Fehlerbehebung und erneuter Prüfung, der die Leistung im Laufe der Zeit verbessert.

Machen Sie aus Ihrer nächsten Tabletop-Übung belastbare Evidenz

Wenn Sie Ihre nächste Tabletop-Übung planen, ist jetzt der richtige Zeitpunkt, sie in mehr als nur einen Workshop zu verwandeln. Durch die Kombination von TTX und TTP-Replay in einem strukturierten 6-Stufen-Zyklus können Sie von Annahmen und Präsentationsfolien hin zu Telemetrie, Zeitabläufen und nachweisbaren Verbesserungen gelangen.

Nächster Schritt:Sprechen Sie mit Ihrem Account-Team bei Damovo oder kontaktieren Sie das Lares-Team direkt, um zu besprechen, wie wir Sie bei der Implementierung der 6-stufigen Adversarial Integration Methodology in Ihrer Organisation unterstützen können.

sprechen Sie mit unseren Experten
Treten Sie der Damovo-E-Mail-Liste mit über 10.000 Mitgliedern bei, um die neuesten Erkenntnisse und exklusive Inhalte zu erhalten.
Jetzt abonnieren