Politisch und finanziell motivierte Angreifer attackieren immer zielgerichteter kritische Infrastrukturen einzelner Unternehmen, oder nehmen auch ganze Branchen ins Visier. Die Hintergründe, was genau unter einem Advanced Persistent Threat (APT) zu verstehen ist und die häufigsten Taktiken, hier in der Übersicht.
Der Inhalt im Überblick
Definition und Hintergrund von „Advanced Persistent Threat“
Unter „Advanced Persistent Threats“ (deutsch: fortgeschrittene, andauernde Bedrohungen) versteht man gezielte Angriffe, bei denen Schadsoftware unbemerkt in ein Netzwerk eindringt und sich wie ein Schädling in der lokalen IT-Infrastruktur einnistet. Ist der Schädling erst einmal im System angekommen, verbreitet er sich stillschweigend statt aggressiv und merkbar durch das System, um Daten zu sammeln, die an die Server der Angreifer gesendet werden, oder anderweitigen Schaden anzurichten. Durch ihre Passivität sind APTs kaum auffindbar und können daher über einen langen Zeitraum unbemerkt im System verbleiben.
Früher war die professionelle Sicherung eines Unternehmensnetzwerks noch mit „handelsüblichen“ Mitteln, wie einer Firewall, Virenscanner und regelmäßigen Patches und Backups, sowie einer guten Schulung der Mitarbeiter zu bewerkstelligen. Allerdings sind professionelle und gezielte Angriffe auf Unternehmensnetzwerke, die immer wieder auch von sog. Cyber-Söldnern durchgeführt werden, in den letzten Jahren noch vermehrter aufgetreten. Aufgrund des schnellem technischen Fortschritts werden diese immer komplexer und sind z.T. finanziell oder politisch motiviert.
Advanced Persistent Threats sind keine Neuheit
Jährlich entstehen rund 203 Milliarden € an Schäden durch Cyberangriffe auf deutsche Unternehmen. Bereits in den 1980er-Jahren erfüllte beispielsweise der KGB-Hack die Definition eines APT, bei dem Angreifer in diverse Computernetze eindrangen, Daten sammelten und diese an den KGB verkauften.
Im Gegensatz zu herkömmlichen Angriffen, bei denen eine Vielzahl von Opfern attackiert wird, greifen Advanced Persistent Threats lediglich ein bestimmtes Opfer oder einen stark eingegrenzten Opferkreis an. Die Software wird dabei ebenfalls auf das jeweilige Opfer oder den Opferkreis spezifiziert. Ebenso wird statt nur einer einzigen Schadsoftware auf eine größere Anzahl von Taktiken und Techniken zurückgegriffen.
Statt Zugangsdaten zu z.B. Online-Shops, suchen und sammeln APTs Zugangsdaten zu weiteren Systemen in der IT-Infrastruktur des Opfers, um so ihren Zugriff auszubauen und schließlich auf die gewünschten Daten zugreifen zu können.
Arten des initialen Angriffs
Die MITRE Corporation listet mehrere Taktiken auf, wie Angreifer versuchen initial Zugriff zu den Systemen von Unternehmen zu bekommen. Diese lassen sich in die folgenden Kategorien einteilen:
- Drive-by Angriff (Ausnutzen der User-Interaktion mit Websites)
- Exploitieren von öffentlich zugänglichen Applikationen
- Externe Remote Services
- Zusätzliche Hardware (Evil Twin)
- Phishing
- Replikation durch externe Geräte (USB-Medien)
- Supply Chain Angriffe
- Ausnutzung bereits infizierter Knotenpunkte oder Anbindungen
- Legitime Benutzerkennungen
Je nach Angriffsart unterscheiden sich die Vorbereitung und das spätere Vorgehen der Angreifer grundlegend voneinander. Dies gibt lediglich einen Überblick, welche Vektoren Angreifer häufig für den initialen Zugriff nutzen.
Vorbereitung auf Advanced Persistent Threats
Grundsätzlich gilt natürlich, dass die Implementierung von Abwehrmechanismen dazu beiträgt, Angriffe abzuwehren. Im Fall von APTs jedoch besonders. Dabei gelten verschiedene Ansätze, wie der Schutz der Firmeninfrastruktur erhöht werden kann. Hierunter fallen:
- Geräte auf dem Stand der Technik halten (Updates)
- Einführung eines SIEM/SOC
- Endpoint-Protection durch Antivirenschutz
- Einrichtung und Konfiguration eines Monitoring
- Fortbildung/Weiterbildung der Mitarbeiter
- Awareness-Schulungen
- Endpoint Detection and Response
Dabei ist nicht zu vernachlässigen, dass nicht nur die initiale Konfiguration von Sicherheitssystemen von Relevanz ist, sondern auch die Kontrolle sowie Auffrischung solcher Systeme. Dementsprechend sollte von vornherein klar sein, dass es sich dabei nicht um einen einmaligen Aufwand handelt, mehr um die kontinuierliche Implementierung weiterer Gegenmaßnahmen, um den Angriffen entgegenzuwirken.
Besonders mit Hilfe präventiver IT-Forensik und IT-Sicherheitsvorkehrungen kann solchen Angriffen proaktiv die Angriffsfläche genommen oder zumindest reduziert werden. Dies kann auch in Form von regelmäßiger Evaluation der Sicherheitskonzepte, Penetrationstests durch Externe und der Durchführung von Schulungen zum Thema IT-Sicherheit und Datenschutz geschehen.
Advanced Persistent Threats abwehren
Das BSI stellt auf seiner Seite ein „Erste Hilfe“ Dokument bei APT-Angriffen, das sich mit seinen technischen und organisatorischen Maßnahmen insbesondere an Systemadministratoren, IT-SiBe, CISOs und Leiter der IT richtet. Da es sich bei Adanvaced Persistent Thread Angriffen meist um eine unklare Bedrohungslage handelt, bei der die zutreffenden Maßnahmen einer gründlichen Risikoabwägung bedürfen, sollte von diesen so früh wie möglich das Management mit einbezogen werden.
Die Abwehr eines Advanced Persistent Threats kann man grob in 3 Phasen unterteilen:
- Identifikation betroffener Systeme, Analyse der Schadprogramme, Schadensfeststellung.
- Intensives Monitoring des Netzes, Verhinderung weiteren Datenabflusses, Blockierung der Täterzugänge.
- Konzeption und Umsetzung eines neuen Sicherheitskonzepts
Dabei sind für die einzelnen Schritte eher Wochen und Monate als Tage einzuplanen. Erfahrungsgemäß haben selbst viele große Konzerne nicht genug interne Expertise, um das Incident Handling bei einem APT-Angriff allein erfolgreich durchzuführen. Daher rät das BSI frühzeitig darüber nachzudenken, externe Experten hinzuziehen. Dafür stellt es gem. § 3 Abs. 3 BSIG eine Liste von qualifizierten Advanced Persistent Threat-Response-Dienstleistern bereit, auf der wir auch vertreten sind.
Ein Bewusstsein für Advanced Persistent Threats entwickeln
Sich bewusst mit diesem Thema auseinanderzusetzen und eine gute Grundlage aus defensiven Maßnahmen und Awareness zu schaffen, trägt dazu bei, Unternehmen und die Daten dieser zu schützen und Angriffe im besten Fall zu verhindern. Dabei kommt es nicht immer nur auf die verwendeten Sicherheitsmechanismen an, sondern in einer Vielzahl der Fälle auf den bewussten Umgang mit IT und der Awareness der Mitarbeiter, wodurch sich Angriffe verhindern lassen. Grundsätzlich sollte sich jedoch nicht nur auf einen Angriffsvektor fokussiert werden, sondern eine Bandbreite an defensiven Maßnahmen geschaffen werden, um Unternehmen, die Mitarbeiter und die Daten zu schützen.
Gab’s da nicht schon mal einen prima Artikel zu?
Wir hatten dazu 2017 schon mal einen Beitrag geschrieben, der als Grundlage für diesen diente und nun entsprechend weitergeleitet wird. Da der Beitrag schon etwas in die Jahre gekommen war und aufgrund der aktuellen Situation (erhöhtes Risiko für ATP-Angriffe durch den russischen Angriffskrieg) hielten wir es für sinnvoll, das Thema nochmal aufzugreifen, um Verantwortlichen mit den Vorbereitungsmaßnahmen und dem „Erste Hilfe“ Dokument etwas Konkretes an die Hand zu geben.
Urheberrechtlich aber recht bedenklich, da der ursprüngliche Artikel unter einem bestimmten Namen veröffentlich war
Sehen wir nicht so. Wenn es Redebedarf vom ursprünglichen Autor gibt, kann er uns gern direkt kontaktieren. Der Kommentarbereich ist nicht der richtige Ort dafür.