Skip to main content

Advanced Persistent Threats (APTs)

Was sind Advanced Persistent Threats (APTs)?

Bei Advanced Persistent Threats (APTs) handelt es sich um präzise und zielgerichtete Angriffe auf ausgewählte IT-Netzwerke oder andere Infrastrukturen. In der Regel sind Unternehmen oder Behörden betroffen. Im Rahmen eines Advanced Persistent Threats kommt es zum Einsatz von Malware, über die gezielt Schwachstellen ausgenutzt werden. Auf diese Weise verschaffen sich Cyber-Kriminelle Zugriff auf die IT-Systeme ihrer Opfer. Eine Besonderheit der APTs ist ihre Konzeption in einer Art und Weise, dass Betroffene die Angriffe zunächst nicht bemerken. Identifikation und Abwehr von APT-Angriffen sind daher größere Herausforderungen.

Überblick und Allgemeines

Advanced Persistent Threats (aus dem Englischen: fortgeschrittene, dauerhafte Bedrohungen) beschreiben besonders durchdachte und gezielte Angriffe auf Netzwerke und Systeme. Erstmals tauchte ein ausführlicher Bericht über diese aufwendigen Angriffe im Jahr 2013 auf. Seitdem lassen sich immer häufiger APT-Berichte verzeichnen.

APT-Angriffe zielen präzise auf bestehende Sicherheitslücken, womit sie sich etwa von Hit-and-Run-Angriffen unterscheiden lassen. Im Rahmen eines APT-Angriffs verschaffen sich Angreifer Zugang zu einem System, um dort den gesamten Datenfluss zu kontrollieren. Daten können auf diese Weise ausgespäht und entwendet werden. Solche Angriffe zeichnen sich dadurch aus, zunächst unentdeckt zu bleiben. Ein wesentliches Ziel eines APT-Angreifers ist es, ungestört und unbemerkt auf Datenmaterial zuzugreifen. Auf diese Weise gehen etwa geistiges Eigentum oder sensible Daten verloren. Auch Programm-Quellcodes gehören zu den bei APT-Angreifern beliebten Zielen. Auch etablierte (IT-)Unternehmen sind bereits Advanced Persistent Threats zum Opfer gefallen. Zu den prominentesten Fällen zählen Google, Sony und Adobe.

Grundsätzliche Funktionsweise

Anders als bei einfachen Attacken versuchen Angreifer bei Advanced Persistend Threats, dauerhafte Zugriffe zu erhalten. Andere Formen von Angriffen haben meist gemeinsam, dass Cyber-Kriminelle innerhalb kurzer Zeit eindringen, um anschließend so schnell wie möglich wieder zu verschwinden. Auf diese Weise wollen sie vom Intrusion Detection System (IDS) des Netzwerkes unerkannt bleiben. Da APT-Attacken darauf ausgelegt sind, dauerhaft in einem Netzwerk zu verweilen, bedarf es durchdachter Techniken. Angreifer sind darauf angewiesen, ständig Codes zu manipulieren und umzuschreiben. Weiterhin setzten sie eine Reihe komplexer Ausweichmanöver ein. Die Anforderungen sind so hoch, dass diese Art von Attacken auf einen eigenständigen Administrator angewiesen sind.

Bei Advanced Persistent Threats kommt eine Reihe von Techniken zum Einsatz. Häufig bedienen sich Angreifer Methoden des Social-Engineerings, beispielsweise des Spear-Phishings. Mit legalen Manipulationstechniken können sich Angreifer Zugriff verschaffen und sich weitere Möglichkeiten durch die Hintertür (Backdoor) verschaffen.

Sobald dies gelungen ist, versuchen Cyber-Kriminelle, sich zu authentifizieren und Benutzer-Rechte zu erlangen. Gelingt es, Administrator-Rechte zu bekommen, haben Angreifer größtmögliche Handhabe über das gesamte Netzwerk. Dort versuchen sie, mehrere Backdoors zu erstellen und über diese Malware zu verbreiten. In diesem Prozess bleibt der Angreifer selbst im Verborgenen.

Aufgrund dieser Struktur lassen sich Advanced Persistent Threats nur sehr schwer bemerken oder gar identifizieren und einem Angreifer zuordnen. Betroffene können meist erst anhand des erfolgten Datendiebstahls nachvollziehen, dass ein Angriff stattgefunden hat. Da Datendiebstahl Spuren hinterlässt, lässt er sich durch ausgehende Daten (outbound) erkennen.

Methoden und Techniken im Rahmen von Advanced Persistent Threats

Angreifer arbeiten mit mehreren Tools und können als Spezialisten meist einschätzen, welche Werkzeuge für welches Ziel besonders lohnenswert sind. An erster Stelle steht die Technik des Social-Engineerings. Diese soziale Manipulationstechnik zielt auf Gutgläubigkeit beziehungsweise psychologische Lücken. Phishing- und Spear-Phishing-Mails setzen auf vertraute Informationen. Hier geben sich Angreifer etwa als Mitarbeiter oder Vorgesetzte aus oder verwenden in Betreffzeile und Anschreiben vertraute Informationen. Ziel ist es, Opfer auf einen in der Mail enthaltenen Link klicken zu lassen. Dieser führt meist auf eine mit Malware kontaminierte Webseite, wobei der Aufruf bereits genügt, um die Malware auf dem Gerät zu installieren.

Immer beliebter werden so genannte DDoS-Attacken. DDoS steht als Abkürzung für Distributed Denial of Service und bezeichnet eine Angriffstechnik, bei der Zielsysteme durch gezielte Überlastung unbrauchbar oder unbenutzbar gemacht werden. Diese Methode existiert bereits seit mehreren Jahren, doch verändern sich Art und Umfang dieser Attacken. Da Angreifer häufig bereits Erfolg mit DDoS-Methoden hatten, gehen Sicherheitsexperten davon aus, dass die Bedrohung weiter zunehmen wird.

Eine weitere beliebte Angriffsmethode findet sich in aufwändigen Malware-Kampagnen. Diese Kampagnen basieren auf fingierten und besonders durchdachten E-Mails. Diese erscheinen regelmäßig im Posteingang der Empfänger und erinnern diese beispielsweise daran, auf bestimmte Links zu klicken. Ein häufiges Ziel sind Passwörter, die Empfänger im Rahmen der Malware-Kampagne zurücksetzen sollen. Bekanntheit erlangte die Malware-Kampagne Eurograbber, bei der 2012 etwa 36 Millionen Euro gestohlen wurden. Nach der gezielten Infektion eines PCs mit einem Trojaner konnten Transaktionsnummern (TANs), die über SMS versendet wurden, abgefangen werden.

Abwehrmaßnahmen gegen Advanced Persistent Threats

In Anbetracht der Komplexität der Angriffe stellt sich die Frage nach wirksamen Abwehrstrategien. Identifikation und Abwehr von Advanced Persistent Threats sind eine kontinuierliche Aufgabe, die an mehreren Punkten ansetzen muss. Technische Grundlagen wie Antiviren-Software und Next-Generation-Firewalls sind zwar unentbehrlich, doch nicht hinreichend für die Erkennung und Identifikation von Advanced Persistent Threats.

Ein wirksamer Schutz besteht aus einer Erhöhung der Widerstandsfähigkeit gegenüber Advanced Persistent Threats, einer frühzeitigen Erkennung der Angriffe sowie einer effizienten Reaktion auf die Vorfälle. Hierbei spielen nicht nur die technische Infrastruktur, sondern insbesondere die Schulung der Mitarbeiter und die Ausrichtung der Unternehmensprozesse eine wichtige Rolle.

Eine der wichtigsten Komponenten ist die physische Sicherheit. Diese bezieht Computer, Rechenzentren sowie das gesamte Unternehmen und seine Gebäude mit ein. Weiterhin sind die beteiligten Menschen für die Bedrohung zu sensibilisieren. Dies betrifft sowohl die IT-Administration als auch sämtliche Managementebenen und die Anwender. Damit verbunden ist ein durchdachtes Identitätsmanagement. Rollenbasierte Zugriffsrechte können dazu beitragen, dass nur Berechtigte Zugriff auf wichtige Systeme erlangen. Im Hinblick auf die Perimeter sind UTM-Firewalls beziehungsweise Next-Generation-Firewalls zu empfehlen. Auf Seite des Netzes empfehlen sich eine durchdachte Netzwerksegmentierung sowie fortdauernde Zugangskontrollen.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG