Was ist ein Advanced Persistent Threat (APT)?

Fachbeitrag

Politisch und finanziell motivierte Angreifer attackieren immer zielgerichteter kritische Infrastrukturen einzelner Unternehmen, oder nehmen auch ganze Branchen ins Visier. Die Hintergründe, was genau unter einem Advanced Persistent Threat (APT) zu verstehen ist und die häufigsten Taktiken, hier in der Übersicht.

Definition und Hintergrund von „Advanced Persistent Threat“

Unter „Advanced Persistent Threats“ (deutsch: fortgeschrittene, andauernde Bedrohungen) versteht man gezielte Angriffe, bei denen Schadsoftware unbemerkt in ein Netzwerk eindringt und sich wie ein Schädling in der lokalen IT-Infrastruktur einnistet. Ist der Schädling erst einmal im System angekommen, verbreitet er sich stillschweigend statt aggressiv und merkbar durch das System, um Daten zu sammeln, die an die Server der Angreifer gesendet werden, oder anderweitigen Schaden anzurichten. Durch ihre Passivität sind APTs kaum auffindbar und können daher über einen langen Zeitraum unbemerkt im System verbleiben.

Früher war die professionelle Sicherung eines Unternehmensnetzwerks noch mit „handelsüblichen“ Mitteln, wie einer Firewall, Virenscanner und regelmäßigen Patches und Backups, sowie einer guten Schulung der Mitarbeiter zu bewerkstelligen. Allerdings sind professionelle und gezielte Angriffe auf Unternehmensnetzwerke, die immer wieder auch von sog. Cyber-Söldnern durchgeführt werden, in den letzten Jahren noch vermehrter aufgetreten. Aufgrund des schnellem technischen Fortschritts werden diese immer komplexer und sind z.T. finanziell oder politisch motiviert.

Advanced Persistent Threats sind keine Neuheit

Jährlich entstehen rund 203 Milliarden € an Schäden durch Cyberangriffe auf deutsche Unternehmen. Bereits in den 1980er-Jahren erfüllte beispielsweise der KGB-Hack die Definition eines APT, bei dem Angreifer in diverse Computernetze eindrangen, Daten sammelten und diese an den KGB verkauften.

Im Gegensatz zu herkömmlichen Angriffen, bei denen eine Vielzahl von Opfern attackiert wird, greifen Advanced Persistent Threats lediglich ein bestimmtes Opfer oder einen stark eingegrenzten Opferkreis an. Die Software wird dabei ebenfalls auf das jeweilige Opfer oder den Opferkreis spezifiziert. Ebenso wird statt nur einer einzigen Schadsoftware auf eine größere Anzahl von Taktiken und Techniken zurückgegriffen.

Statt Zugangsdaten zu z.B. Online-Shops, suchen und sammeln APTs Zugangsdaten zu weiteren Systemen in der IT-Infrastruktur des Opfers, um so ihren Zugriff auszubauen und schließlich auf die gewünschten Daten zugreifen zu können.

Arten des initialen Angriffs

Die MITRE Corporation listet mehrere Taktiken auf, wie Angreifer versuchen initial Zugriff zu den Systemen von Unternehmen zu bekommen. Diese lassen sich in die folgenden Kategorien einteilen:

  • Drive-by Angriff (Ausnutzen der User-Interaktion mit Websites)
  • Exploitieren von öffentlich zugänglichen Applikationen
  • Externe Remote Services
  • Zusätzliche Hardware (Evil Twin)
  • Phishing
  • Replikation durch externe Geräte (USB-Medien)
  • Supply Chain Angriffe
  • Ausnutzung bereits infizierter Knotenpunkte oder Anbindungen
  • Legitime Benutzerkennungen

Je nach Angriffsart unterscheiden sich die Vorbereitung und das spätere Vorgehen der Angreifer grundlegend voneinander. Dies gibt lediglich einen Überblick, welche Vektoren Angreifer häufig für den initialen Zugriff nutzen.

Vorbereitung auf Advanced Persistent Threats

Grundsätzlich gilt natürlich, dass die Implementierung von Abwehrmechanismen dazu beiträgt, Angriffe abzuwehren. Im Fall von APTs jedoch besonders. Dabei gelten verschiedene Ansätze, wie der Schutz der Firmeninfrastruktur erhöht werden kann. Hierunter fallen:

Dabei ist nicht zu vernachlässigen, dass nicht nur die initiale Konfiguration von Sicherheitssystemen von Relevanz ist, sondern auch die Kontrolle sowie Auffrischung solcher Systeme. Dementsprechend sollte von vornherein klar sein, dass es sich dabei nicht um einen einmaligen Aufwand handelt, mehr um die kontinuierliche Implementierung weiterer Gegenmaßnahmen, um den Angriffen entgegenzuwirken.

Besonders mit Hilfe präventiver IT-Forensik und IT-Sicherheitsvorkehrungen kann solchen Angriffen proaktiv die Angriffsfläche genommen oder zumindest reduziert werden. Dies kann auch in Form von regelmäßiger Evaluation der Sicherheitskonzepte, Penetrationstests durch Externe und der Durchführung von Schulungen zum Thema IT-Sicherheit und Datenschutz geschehen.

Advanced Persistent Threats abwehren

Das BSI stellt auf seiner Seite ein „Erste Hilfe“ Dokument bei APT-Angriffen, das sich mit seinen technischen und organisatorischen Maßnahmen insbesondere an Systemadministratoren, IT-SiBe, CISOs und Leiter der IT richtet. Da es sich bei Adanvaced Persistent Thread Angriffen meist um eine unklare Bedrohungslage handelt, bei der die zutreffenden Maßnahmen einer gründlichen Risikoabwägung bedürfen, sollte von diesen so früh wie möglich das Management mit einbezogen werden.

Die Abwehr eines Advanced Persistent Threats kann man grob in 3 Phasen unterteilen:

  1. Identifikation betroffener Systeme, Analyse der Schadprogramme, Schadensfeststellung.
  2. Intensives Monitoring des Netzes, Verhinderung weiteren Datenabflusses, Blockierung der Täterzugänge.
  3. Konzeption und Umsetzung eines neuen Sicherheitskonzepts

Dabei sind für die einzelnen Schritte eher Wochen und Monate als Tage einzuplanen. Erfahrungsgemäß haben selbst viele große Konzerne nicht genug interne Expertise, um das Incident Handling bei einem APT-Angriff allein erfolgreich durchzuführen. Daher rät das BSI frühzeitig darüber nachzudenken, externe Experten hinzuziehen. Dafür stellt es gem. § 3 Abs. 3 BSIG eine Liste von qualifizierten Advanced Persistent Threat-Response-Dienstleistern bereit, auf der wir auch vertreten sind.

Ein Bewusstsein für Advanced Persistent Threats entwickeln

Sich bewusst mit diesem Thema auseinanderzusetzen und eine gute Grundlage aus defensiven Maßnahmen und Awareness zu schaffen, trägt dazu bei, Unternehmen und die Daten dieser zu schützen und Angriffe im besten Fall zu verhindern. Dabei kommt es nicht immer nur auf die verwendeten Sicherheitsmechanismen an, sondern in einer Vielzahl der Fälle auf den bewussten Umgang mit IT und der Awareness der Mitarbeiter, wodurch sich Angriffe verhindern lassen. Grundsätzlich sollte sich jedoch nicht nur auf einen Angriffsvektor fokussiert werden, sondern eine Bandbreite an defensiven Maßnahmen geschaffen werden, um Unternehmen, die Mitarbeiter und die Daten zu schützen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Forensik

2 Kommentare zu diesem Beitrag

    • Wir hatten dazu 2017 schon mal einen Beitrag geschrieben, der als Grundlage für diesen diente und nun entsprechend weitergeleitet wird. Da der Beitrag schon etwas in die Jahre gekommen war und aufgrund der aktuellen Situation (erhöhtes Risiko für ATP-Angriffe durch den russischen Angriffskrieg) hielten wir es für sinnvoll, das Thema nochmal aufzugreifen, um Verantwortlichen mit den Vorbereitungsmaßnahmen und dem „Erste Hilfe“ Dokument etwas Konkretes an die Hand zu geben.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.