Was sind Advanced Persistent Threats und wie kann ich mein Unternehmen davor schützen?
von Svenja Koch
9 Tipps unserer Experten!
Die Zahlen sind erschreckend. Gemäß einer durch die Bitkom durchgeführten Studie sind immer mehr Unternehmen weltweit Ziel von Cyberangriffen. Von den in der Studie befragten 500 Industrieunternehmen gaben 75 % an, binnen der letzten zwei Jahre mit unterschiedlichen Cyberbedrohungen wie Datendiebstahl, Sabotage oder Spionage konfrontiert worden zu sein. Insbesondere Unternehmen aus dem Maschinenbau und der Pharma-Industrie waren von Cyberangriffen betroffen – hauptsächlich in den empfindlichen Bereichen der Produktion, Fertigung und Logistik.
Cyberbedrohungen sind dabei längst nicht mehr reiner Vandalismus. Während in der Vergangenheit wahllos verbreitete Viren, Würmer und Phishing-Mails primär auf Zerstörung ausgelegt waren, stehen aktuell zielgerichtete, überaus komplexe Angriffe auf der Hacker-Agenda ganz weit oben. Das Ziel: Sensible Unternehmensdaten abgreifen oder gleich die gesamte IT eines Unternehmens durch Ransomware in Geiselhaft zu nehmen. Diese fortgeschrittene, andauernde Bedrohungslage wird unter dem Begriff der Advanced Persistent Threat (APT) subsummiert. Wie lassen sich Unternehmen nachhaltig vor Advanced Persistent Threats schützen? Unsere Experten wissen Rat!
Advanced Persistent Threat – Eine Definition
Der Begriff des Advanced Persistent Threat ist eine Zusammensetzung mehrerer Teilbegriffe, die sich mit „fortgeschrittene, andauernde Bedrohung“ übersetzen lassen. Jeder Teilbegriff steht dabei für ein bestimmtes Merkmal der modernen Art von Cyberangriffen.
Advanced – Fortgeschritten
Der Begriff Advanced grenzt die Cyberangriffe von konventionellen, also in der Regel willkürlich durchgeführten Cyberbedrohungen ab. Advanced steht dabei nicht für eine bestimmte Form der Angriffstechnik, sondern beschreibt vielmehr, dass sich der oder die Angreifer gezielt Opfer heraussuchen – und auch, dass es sich zumeist um finanziell und technisch hervorragend ausgestatte Cyberkriminelle handelt.
Persistent – Andauernd
Bei herkömmlichen Angriffen wird zumeist versucht, durch eingeschleuste Schadsoftware (Trojaner etc.) einen Rechner auszuspähen oder als Teil eines Botnetzes zur weiteren Ausbreitung der Schadprogramme umzufunktionieren. Anders bei Advanced Persistent Threats. Hier dient der einzelne Rechner in der Regel nur als Brückenkopf für eine Infiltration der gesamten IT-Architektur. Der andauernde und natürlich unbemerkte Zugriff auf ein Unternehmens-Netzwerk ist das Ziel der Advanced Persistent Threats. Dauerhaft ist hier durchaus wörtlich zu nehmen, denn die Infiltrationen werden über Monate oder Jahre hinweg aufrechterhalten.
Threat – Bedrohung
Dieser Teilbegriff macht deutlich, worum es geht – nämlich um die Bedrohung eines Unternehmens durch Sabotage, Spionage oder Diebstahl sensibler Daten. Cyberkriminelle setzen hierzu auf eine Kombination unterschiedlicher Techniken und Werkzeuge. Diese Werkzeuge können Trojaner sein, ausgefeilte Phishing Attacken oder, was immer beliebter wird, eine perfide Form des Social Engineerings.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Was genau kennzeichnet Cyberbedrohungen durch Advanced Persistent Threats?
Advanced Persistent Threats zeichnen sich durch die Kombination verschiedener Techniken und einer systematischen, auf das Opfer zugeschnittenen Vorgehensweise aus. Die andauernden Cyberangriffe richten sich nicht nur gegen Unternehmen der Privatwirtschaft, sondern nehmen auch NGOs oder Regierungseinrichtungen ins Visier. Damit die Angriffe möglichst langfristig, das bedeutet über Wochen, Monate oder Jahre, aufrechterhalten werden können, sind spezifisch zugeschnittene Exploits, Rootkits, Würmer oder Viren notwendig.
Kennzeichnend für Advanced Persistent Threats sind die vielen manuellen Eingriffe und Optimierungen im Rahmen der Angriffskampagne. Dies unterscheidet diese Cyberbedrohungen deutlich von gewöhnlichen Angriffen, die in den allermeisten Bereichen nahezu vollständig automatisiert erfolgen. Und auch die Auswahl der Opfer machen APT zu einer speziellen Bedrohung. Denn im Gegensatz zu konventionellen Cyberattacken werden bei APTs ganz konkret sorgfältig ausgewählte Ziele „unter Beschuss“ genommen. Es geht bei den Angriffen auf Unternehmen, Organisationen oder Regierungen auch nicht ums schnelle Geld. Vielmehr sollen durch APTs Konkurrenten ausspioniert oder sabotiert oder gleich ganze Staaten auf militärischer Ebene geschwächt werden. Die ausgefeilte Form der Angriffe und deren Dauer macht eines klar: Die involvierten Angreifer sind finanziell bestens ausgestattet, technisch überaus versiert und verfügen in einigen Fällen sogar über Rückendeckung durch Geheimdienste oder das Militär.
Welche Eigenschaften sind typisch für Advanced Persistent Threats?
Ein Advanced Persistent Threat unterscheidet sich durch einige Eigenschaften deutlich von anderen Angriffsarten. Zu den am weitesten verbreiteten Techniken gehören:
Aktive Angriffe: Typisch für Advanced Persistent Threats ist eine koordinierte menschliche Mitwirkung durch den Cyberkriminellen. Der Gegner ist bei APTs finanziell hervorragend ausgestattet, verfügt über hohes Fachwissen in seinem Bereich und ist bereit, den Angriff überaus aktiv durchzuführen.
Social Engineering und Spear-Fishing: Auffällig oft beginnen Advanced Persistent Threats durch unscheinbares Social Engineering und diskretes Spear-Phishing. Sobald die Angreifer gewünschte Zugangsdaten erhalten oder ein Rechner kompromittiert wurde, werden aktiv eigene Werkzeuge zur Überwachung der IT-Systeme installiert und je nach Bedarf aktiviert. Und dies so lange, bis alle gewünschten Informationen über das Opfer erlangt worden sind.
Angepasste Schadsoftware: Bei einem Advanced Persistent Threats Angriff werden alle bekannten Angriffsmöglichkeiten verwendet. Von im Internet käuflich zu erwerbenden Kits und Crimeware bis hin zu „Eigenentwicklungen“ und speziell auf das Opfer angepassten Tools setzen die Cyberkriminellen auf mannigfaltige Tools zum Erreichen der Ziele.
Gib mir Tiernamen: Was Pandas und Kitten mit Advanced Persistent Threats zu tun haben
Hackergruppen sind für vieles bekannt – aber nicht dafür, dass sie sich selbst mit Pandas, Bären, Spinnen oder Kätzchen identifizieren. Trotzdem sind Hackergruppen wie Nightshade Panda, Cozy Bear, Remix Kitten oder Stardust Chollima weltweit bekannt. Die Namen wurden IT Security Unternehmen Crowdstrike festgelegt, wobei die Bezeichnungen der Hackergruppen die Herkunftsländer der Cyberkriminellen darstellen. Auffällig ist, dass die ersten und am meisten bekannten Advanced Persistent Threats aus China stammen. Mehr als 1.000 Angriffe der in den vergangenen Jahren sollten laut Experten auf chinesische Hacker zurückgehen. Eine interessante und gleichermaßen erschreckende Übersicht über bekannte Hackerteams, deren Ziele und Methoden findet sich in dieser Studie von ThaiCERT.
Wie können sich Unternehmen gegen APTs schützen?
9 Tipps unserer Experten
Zugegeben, die Abwehr oder die Aufdeckung eines Advanced Persistent Threats ist keine leichte Aufgabe. Dennoch müssen Unternehmen das Eindringen in die IT-Infrastruktur nicht wehrlos hinnehmen. Mit planvollem Vorgehen kann die IT Security den Hackergruppen immer einen Schritt voraus sein.
Tipp 1: Implementierung eines Incident Response & Threat Hunting Service
Der wichtigste Tipp zuerst: Mit der Implementierung eines Incident Response & Threat Hunting Service im Bereich der IT Security erreichen Unternehmen die Identifizierung von IT-Sicherheitsvorfällen unmittelbar nach Kompromittierung eines Systems. Durch das Erkennen und Melden von auffälligem Kommunikationsverhalten werden Anomalien in Systemen umgehend erkannt und können gezielt isoliert und zügig bereinigt werden – bevor sich Angreifer unbeobachtet im Netz weiter ausbreiten und beliebig Daten ausleiten oder manipulieren (Weitere Informationen zu unserem Incident Response & Threat Hunting Service finden Sie hier: Active Cyber Defense).
Tipp 2: Intensive Überwachung aller Daten
Mit einem Security Operations Center (SOC) stehen unternehmensinterne oder externe Teams rund um die Uhr zur Verfügung, um die Unversehrtheit der IT zu gewährleisten. Überwachung, Bewertung und Abwehr von Cyberangriffen sind die Kernkompetenzen der SOC Teams. Sinn des Ganzen: Eine lückenlose Überwachung mit umgehender Handlungskompetenz der IT Security rund um die Uhr und an 365 Tagen im Jahr.
Tipp 3: Protokollierung aller wichtigen Ereignisse
Wissen ist Macht – das gilt auch und vor allem bei der Abwehr von Advanced Persistent Threats. Durch eine lückenlose Protokollierung wichtiger Ereignisse durch die IT Security, die beispielsweise Webserver, DNS oder Proxys betreffen, lassen sich Muster in der Vorgehensweise erkennen – und so auf den Angreifer und dessen Strategien schließen.
Tipp 4: Zugriffsrechte zu IT-Systemen und Firewall streng verwalten
Social Engineering ist einer der Hauptwaffen von Cyberkriminellen im Bereich der APTs. Daher ist es unerlässlich, dass Zugriffsrechte zu allen IT-Systemen und der vorgeschalteten Firewall durch die IT Security streng verwaltet und dauerhaft kontrolliert werden. Hauptrisikofaktor Mensch – das gilt leider und besonders im Rahmen APTs.
Tipp 5: Zugriffe auf sensible Daten beobachten
APTs zielen häufig auf das Abgreifen sensibler Daten ab. Daher kommt diesen Datenschätzen und deren Monitoring eine ganz besondere Bedeutung zu. Durch eine lückenlose Beobachtung der Zugriffe auf die Daten durch die IT Security eines Unternehmens lassen sich Abweichungen und natürlich unautorisierte Zugriffe frühzeitig erkennen und Sicherheitslücken schließen (siehe: Active Cyber Defense).
Tipp 6: Physische Absicherung des Rechenzentrums stärken
Und wieder einmal der „Faktor Mensch“: Gelangen Angreifer in das Rechenzentrum eines Unternehmens oder einer Organisation, ist ein Advanced Persistent Threat kaum noch aufzuhalten. Und genauso schwer zu erkennen. Daher sollten Rechenzentren bestmöglich gegen unbefugte Zugriffe abgesichert werden.
Tipp 7: Mitarbeiter-Schulungen rund um das Thema Social Engineering
Das schwächste Glied bestimmt die Stärke der gesamten Kette. Das betrifft auch und insbesondere das Verständnis aller Mitarbeiter für die Gefahr von APTs und der Vorgehensweise von Hackergruppen. Durch Schulungen können auch die Mitarbeiter für Cyberangriffe sensibilisiert werden, die ansonsten mit der IT Security im Unternehmen wenig bis gar nichts zu tun haben.
Tipp 8: Verwendung von Betriebssystem-Tools (z. B. Windows PowerShell) überwachen
Manipulierte Versionen von gängigen Betriebssystem-Tools sind ein beliebtes Werkzeug von Cyberkriminellen – vor allem als Einstiegstor in die IT-Architektur eines Unternehmens. Daher sollte besonderen Wert auf die Überwachung harmloser Tools und Erweiterungen gelegt werden, die von den Mitarbeitern häufig auch in Eigenregie an ihren Arbeitsplatzrechnern installiert oder aktiviert werden.
Tipp 9: IT Incident Response Plan entwickeln
Wenn Unternehmen einen Angriff auf die IT registrieren, zählt bei der Verteidigung jede Minute. Daher sollte ein sorgfältig entwickelter Plan von strategischen Gegenmaßnahmen in der Schublade der IT Security liegen. Ein Incident Response Plan definiert, wer im Falle eines Angriffs welche Aufgaben übernimmt, welche Maßnahmen zu ergreifen sind und welche Assets besonders zu schützen sind.
Fazit
Cyberangriffe nehmen weltweit zu – und werden immer ausgefeilter. APTs sind längst nicht mehr die Art von wahllosem Cybervandalismus, die jeden Rechner unverhofft lahmlegen kann. Vielmehr sind die Cyberkriminellen hinter den APTs finanziell bestens ausgestattet, verfügen über höchstes Fachwissen und stellenweise über Unterstützung durch Geheimdienste und Militärs – und wissen genau, mit welchen Methoden und Techniken sich ein Unternehmen, eine Organisation oder gleich eine Regierung infiltrieren lassen. Bei APTs geht es weniger um Geld als denn um Spionage, Sabotage und dem Diebstahl sensibler Daten. Trotz der Professionalität, mit der die Cyberangriffe durchgeführt werden, muss das Eindringen in die IT-Struktur und das dauerhafte Abgreifen von Daten nicht hingenommen werden. Mit gezielten Maßnahmen, wie einem Threat Hunting – und Incident Response Service, der die kontinuierliche Überwachung der Datenströme sicherstellt, einer leistungsstarken IT Security und nicht zuletzt durch geschulte und sensibilisierte Mitarbeiter lässt sich die Gefahr der APTs deutlich eindämmen.