Wenn Sie zum ersten Mal etwas von APTs hören oder lesen, lassen Sie sich gesagt sein: Sie sind damit nicht allein. Obwohl diese Form der Cyberspionage schon seit fast 15 Jahren aktiv im Internet anzutreffen ist, sorgt erst die zunehmende Professionalisierung der letzten Jahre dafür, dass die Zahl der Angriffe auf die entsprechenden Infrastrukturen steigt – und die Berichterstattung mehr Licht auf das Thema wirft. Das amerikanische Sicherheitsunternehmen Mandiant, später von FireEye übernommen, hat in einem 2013 veröffentlichten Bericht den chinesischen Staat mit bereits seit 2006 bestehenden Cyberspionage-Aktivitäten in Verbindung gebracht. Das Ziel waren damals die USA, aber auch andere englischsprachige Länder. Seitdem gab und gibt es eine Vielzahl inzwischen bekannter Gruppierungen, die andere Länder, deren Industrien oder auch Organisationen und Institutionen digital ausspionieren. Dies geschieht zumeist im Auftrag von Regierungen.
Eine Gruppierung, die mutmaßlich auch in Deutschland sehr namhaften Firmen das Leben schwer gemacht haben soll, ist die Gruppe Winnti. Ein Sicherheitsexperte, der die Angriffe der aus China agierenden Hackergruppe über Jahre hinweg untersucht hat, wird mit den Worten zitiert: „Ein Dax-Konzern, der nicht von Winnti angegriffen wurde, hat irgendetwas falsch gemacht.“ Sie gelangte aber nicht nur wegen ihrer „Kundenliste“ in die öffentliche Aufmerksamkeit. Ihr ist es ebenso gelungen, den ersten Trojaner für 64-Bit-Systeme zu veröffentlichen, der mit einer gültigen Signatur auch die Windows-eigene Sicherheit zunächst aushebeln konnte.
Hoher Aufwand, lukrative Beute und jeder kann zum Opfer werden.
APTs sind, kurz gesagt, sehr aufwendige Angriffe auf die IT-Infrastruktur von Unternehmen, Institutionen und Organisationen oder auch ganzen Ländern. Charakteristisch für APT-Angriffe ist die zugrunde liegende Motivation für die Attacke. Diese ist meist im Bereich der Industriespionage zu finden oder hat politische Hintergründe. Ebenso zeichnen sich diese Angriffe durch die Verwendung einer Vielzahl an Angriffsvektoren aus und erfolgen in der Regel in einzelnen, klar voneinander abgrenzbaren Phasen.
Im Normalfall haben APT-Angriffe einen konkreten Auftraggeber und ein konkretes Ziel. Anders als bei klassischen Sicherheitsangriffen, bei denen mit einer möglichst großen Streuung der verwendeten Schadsoftware ein möglichst großer Schaden angerichtet werden soll, haben APTs ein anderes Ziel und verfolgen daher auch eine komplett andere Strategie. Bei einem solchen Vorfall geht es immer um die gezielte Exfiltration oder Manipulation bestimmter Daten oder auch Assets, wie die im Fall von Winnti missbräuchlich genutzten Zertifikate. Daten und Informationen, die klassische Cyberkriminelle entwenden würden, um damit lediglich kurzfristig Geld zu verdienen, lassen diese Gruppierungen links liegen. Ihnen geht es nur um die Zielerfüllung.
Um den Kontakt mit den Auftraggebern herstellen zu können, bauen diese Gruppierungen nicht selten selbst Firmenstrukturen auf und treten als seriöse IT-Beratungsunternehmen auf – aber eben mit einem anderen Kundenkreis. Als Auftraggeber für diese zwielichtigen Unternehmen können ganze Staaten genauso wie Regierungsorganisationen, NGOs und Institutionen oder wiederum andere Unternehmen infrage kommen. Kurzum: Wer Opfer werden kann, kann auch Auftraggeber sein. Somit kann, zumindest theoretisch, jeder zum Opfer werden. Nehmen Sie sich doch eine Sekunde Zeit und überlegen Sie, ob Sie Assets haben, die für andere von Interesse sein könnten. Und nun können Sie davon ausgehen, dass jemand anderes das auch so sieht.
Um aufzuzeigen, was diese Angriffe so besonders und aufwendig macht, müssen wir uns zunächst der Bedeutung des Begriffs Advanced Persistent Threats nähern. Betrachten wir die einzelnen Bestandteile einmal näher:
Advanced: Für einen Angriff nutzen Kriminelle die komplette Bandbreite an fortgeschrittenen Möglichkeiten, die ihnen für einen Angriff zur Verfügung stehen. Dazu gehören eigens zu diesem Zweck programmierte Tools, mit denen Zugriffe aus der Ferne ermöglicht und gesteuert werden können. Auch der direkte Kontakt mit dem Ziel wird gesucht und Spione werden als Mitarbeitende getarnt eingeschleust. Aber auch sanftere Techniken, wie zum Beispiel Social Engineering, kommen zum Einsatz.
Persistent: Auf Deutsch mit „hartnäckig“ übersetzt, bringt dieses Wort auch einen zeitlichen Faktor ins Spiel. APT-Angriffe sind darauf ausgelegt, dem Ziel nachhaltig zu schaden und langfristig an sensible Informationen zu gelangen. Angreifer gehen dabei sehr strukturiert vor und setzen auf kontinuierliche Interaktion mit dem Ziel und die Überwachung der Abwehraktionen. Vor allem in das Auskundschaften des Opfers wird viel Zeit und Anstrengung investiert. Doch der Aufwand lohnt sich: Je mehr man über das Ziel weiß, desto besser kann der Angriff vorbereitet werden und je passgenauer die Attacke auf die beim Ziel vorgefundenen Gegebenheiten passt, desto erfolgreicher wird die eigentliche Operation ablaufen.
Threat: Schlussendlich macht der Begriff Bedrohung noch einmal deutlich, dass es sich hierbei nicht um ein zufällig ausgewähltes Ziel handelt, sondern diese Angriffe gut geplant und durchdacht erfolgen. Hinter APTs stecken keine automatisierten Angriffstechniken, sondern echte Menschen, die den Angriff live durchführen.
Das alles macht APTs zu einem ungewöhnlich langsam ablaufenden und für das Ziel nur schwer vorhersehbaren Angriffsszenario. Weil der Angreifer sich möglichst gut dem Ziel anpasst, unter Umständen sogar dessen Verhalten für eine gewisse Zeit spiegelt, kann er sich teilweise über Jahre hinweg unentdeckt im Netzwerk bewegen. Die meisten Unternehmen bemerken diese Angriffe meist gar nicht – oder erst, wenn zuvor entwendetes geistiges Eigentum veröffentlicht wird oder im großen Stil entwendete Daten veräußert werden. Ohne einen sehr detaillierten Blick auf den Status Quo Ihrer ICT-Landschaft kann Ihnen niemand sagen, ob Sie nicht bereits Opfer eines APT-Angriffs waren oder aktuell noch sind.
Unter dem Radar – wie läuft ein Angriff ab?
Wie Sie bereits wissen, finden die Aktionen der Kriminellen verdeckt statt. Um das auch langfristig gewährleisten zu können, müssen sich die bösartigen Akteure zunächst nahezu nahtlos in die alltäglichen Aktivitäten eines Unternehmens oder einer Organisation einfügen. Damit das gelingt, nutzen sie fortschrittliche Techniken, mit denen Sicherheitsmaßnahmen und Anwendungen umgangen werden können, ohne dabei entdeckt zu werden. Haben die Angreifer wertvolle Informationen ausfindig gemacht, beginnen sie, diese anzuzapfen.
Sicherheitsexperten der unterschiedlichsten Unternehmen und Organisationen haben über die Jahre herausgefunden, dass diese Angriffe stets nach einem bestimmten Muster in unterschiedlichen Phasen stattfinden. Dieser Ablauf, der auch als APT Lifecycle bezeichnet wird, besteht aus den folgenden sechs Phasen:
1. Erkundung (reconnaissance): In dieser ersten Phase werden Informationen über das Ziel gesammelt. Dazu gehören nicht nur technische Informationen über die Infrastruktur wie die vorhandenen Hardware- und Softwarestände oder die Netzwerkarchitektur. Es werden auch soziale und wirtschaftlich relevante Informationen, meist aus öffentlich zugänglichen Quellen wie sozialen Netzwerken, gesammelt und eine Art Dossier des Ziels erstellt.
2. Anfängliche Angriffsversuche (initial compromise): In der zweiten Phase versuchen die Angreifer zumeist mittels Malware, seltener über einen Mittelsmann, an einem schwachen Zugriffspunkt anzudocken und so eine Basis im Unternehmensnetzwerk zu errichten. Im nächsten Schritt wird diese Basis für eine ausgehende Datenverbindung genutzt. Steht die ausgehende Datenverbindung zum Angreifer, werden die ersten internen Informationen über das zugrunde liegende Netzwerk versendet und das Dossier nach und nach verfeinert.
3. Zugriff aufrechterhalten (maintaining access): In dieser Phase versuchen die Angreifer, den ersten Zugriff zu den Systemen zuverlässig aufrechtzuerhalten. Die Suche nach weiteren Zugriffspunkten liefert die Basis für die in Phase 4 beginnende seitliche Bewegung.
4. Seitliche Bewegung (lateral movement): Als Erweiterung von Phase drei bewegen sich die Angreifer jetzt zunächst seitlich im Unternehmensnetzwerk und versuchen dabei, weitere Geräte zu kompromittieren. Ziel ist es, in dieser Phase den Zugriff zu festigen und dabei weiterhin Informationen über das Netzwerk selbst ausfindig zu machen. Aber auch die Struktur der Rechtevergabe wollen die Angreifer in dieser Phase erkennen. Jetzt wird auch das eigentliche Ziel, also die sensiblen Daten, ausfindig gemacht und der Zugriff darauf errichtet.
5. Datenabfluss (data exfiltration): Haben die Angreifer Zugriff auf die sensiblen Daten erhalten, beginnen sie, diese abzugreifen. In der Regel wird das Diebesgut dann auf mehrere Server weltweit kopiert oder sogar verschoben, um den erbeuteten Datensatz auch im Fall der Entdeckung einzelner Verbindungen und Speicherorte noch nutzen zu können. Die Angreifer haben also zumeist eine eigene Backup-Strategie und sind damit weiter als viele deutsche Unternehmen.
6. Verschleierung (cover tracks): In dieser letzten Phase versuchen die Angreifer, ihre Spuren zu verwischen und dem Ziel der Attacke vorzutäuschen, dass es keine bösartigen Aktivitäten gab. Da bereits vom ersten Moment an nur sehr wenige verdächtige Spuren zurückgelassen werden, gelingt das im Normalfall auch sehr gut. Für das Opfer wird es sehr schwierig, diese Angriffe zu erkennen – auch wenn sie schon seit längerer Zeit stattgefunden haben. Dabei bleiben geöffnete Einfallstellen weiterhin aktiv. Ein vollständiger Rückzug der Angreifer aus dem Zielnetzwerk findet in der Regel nicht statt. So können sie im Falle eines weiteren Auftrags die bestehende Infrastruktur erneut nutzen.
Sie haben kein Backup Ihrer Daten? Fragen Sie doch mal bei Ihren Angreifern nach!
Die Cyberkriminellen legen bei der Abführung der Daten aus dem Netzwerk des Opfers großen Wert auf die eigene Datensicherheit. Schließlich sind die abgeschöpften Daten der Gegenstand ihres Auftrags. In Phase fünf des Lifecycles werden die erbeuteten Daten in der Regel auf eine Vielzahl unterschiedlicher Systeme kopiert. Dies ermöglicht den Hackern, die Daten auch dann nutzen zu können, wenn Teile des Angriffsnetzes entdeckt und deaktiviert werden. Erschreckenderweise gehen Unternehmen in diesem Bereich noch immer sehr naiv mit der Problematik fehlender Backups um. Und das kann weitreichende Folgen mit sich bringen. Sind die Daten erst gelöscht oder verschlüsselt, ist eine Rettung zumindest aufwendig und je nach Auftrag des Hackers vielleicht sogar unmöglich. Eine ausgeklügelte Backup-Strategie kann Ihnen dann viele teure Scherereien ersparen. Und das sogar dann, wenn Sie selbst nie Opfer eines APTs werden sollten.
Ein weiteres Problem ist die in europäischen Unternehmen noch immer sehr oft anzutreffende Mischung aus veralteter Technik und nicht mehr zeitgemäßer Sicherheitsstrategie. Die Angreifer profitieren bei ihrem Vorgehen dann von den immer noch häufig angewendeten traditionellen Sicherheitskonzepten: Die Burg mit ihren vermeintlich starken Mauern zum Schutz findet man noch immer sehr oft vor. Zwar sind die Sicherheitsmaßnahmen am äußeren Perimeter am stärksten, doch hat ein Angreifer diesen überwunden, kann er sich in der Burg nahezu ungestört bewegen. Diese Schwachstellen nutzen Angreifer jetzt natürlich aus. Mit den unterschiedlichsten Mitteln, die perfekt auf das Opfer abgestimmt sind, bringen sie einen „Fuß in die Tür“ der Verteidigung. Haben sie das Basislager erst errichtet, gibt es innerhalb der Firewall kaum noch Widerstand. Ist diese dann aber auch noch schlecht konfiguriert, stellt auch der äußere Wall keine nennenswerte Hürde mehr dar.
Wie verhindere ich einen APT-Angriff?
Eine 100-prozentige Sicherheit wird man nie erreichen. Mit diesem Gedanken müssen Sie sich anfreunden. Es gibt aber natürlich Mittel und Wege, mit denen Sie sich für den Fall eines Angriffs optimal aufstellen können. Die oben genannte Schwäche des Unternehmensnetzwerks nach der Überwindung der „Burgmauer“ kann zur größten Schwachstelle eines solchen APT-Angriffs umgemünzt werden: Scheitert der initiale Angriff und gelingt es den Angreifern nicht, eine Basis innerhalb der Ziel-Infrastruktur zu errichten, scheitert der komplette Angriff – zumindest vorerst.
Aus diesem Grund sind moderne Sicherheitslösungen wie SASE, NextGen-Firewalls, IAM oder PAM heute wichtiger denn je. Mit ihnen schützen Sie nicht nur den Perimeter, sondern auch die Assets innerhalb sowie die Übergänge von einem Teil des Netzwerks in einen anderen. Unsere Welt wird digitaler. Immer mehr Anwendungen, Daten und sogar ganze Infrastrukturen gehen in die Cloud. Devices und Anwendungen werden zum neuen Perimeter im Alltag und entsprechend müssen sie auch geschützt werden. Der große Vorteil: Ist ein Device oder Service betroffen, kann dieses oder dieser isoliert untersucht und der Eindringling entfernt werden, ohne dass eine horizontale Ausbreitung auf andere Computersysteme und Dienste im Unternehmensnetzwerk stattgefunden hat. Der Angreifer steht somit bei jedem neuen Ziel vor einem Perimeter, den es zu überwinden gilt. Das macht es den Kriminellen zumindest schwieriger. Sowohl auf der technischen als auch auf der organisatorischen Seite gibt es noch eine Vielzahl weiterer Möglichkeiten, Ihr Unternehmen gegen diese Angriffe zu wappnen. Auf alle einzugehen, würde den Rahmen dieses Artikels sprengen. Sprechen Sie daher einfach unsere Experten an, wenn Sie Fragen zu diesen Lösungen oder generell zu Ihrer IT-Security haben.
Neben all der technischen Ausstattung sind es aber häufig die unbedacht preisgegebenen Informationen, die den Angreifern die entscheidenden Hinweise geben, um die vorhandenen Sicherheitsmaßnahmen überwinden zu können. Einige Tipps, mit denen Sie es den Angreifern bereits während dieser ersten Phase deutlich erschweren können, an Infos über Sie, Ihre Mitarbeitenden und Ihr Unternehmen zu kommen, haben wir Ihnen hier zusammengestellt:
