Wenn Sie zum ersten Mal etwas von APTs hören oder lesen, lassen Sie sich gesagt sein: Sie sind damit nicht allein. Obwohl diese Form der Cyberspionage schon seit fast 15 Jahren aktiv im Internet anzutreffen ist, sorgt erst die zunehmende Professionalisierung der letzten Jahre dafür, dass die Zahl der Angriffe auf die entsprechenden Infrastrukturen steigt – und die Berichterstattung mehr Licht auf das Thema wirft. Das amerikanische Sicherheitsunternehmen Mandiant, später von FireEye übernommen, hat in einem 2013 veröffentlichten Bericht den chinesischen Staat mit bereits seit 2006 bestehenden Cyberspionage-Aktivitäten in Verbindung gebracht. Das Ziel waren damals die USA, aber auch andere englischsprachige Länder. Seitdem gab und gibt es eine Vielzahl inzwischen bekannter Gruppierungen, die andere Länder, deren Industrien oder auch Organisationen und Institutionen digital ausspionieren. Dies geschieht zumeist im Auftrag von Regierungen.
Eine Gruppierung, die mutmaßlich auch in Deutschland sehr namhaften Firmen das Leben schwer gemacht haben soll, ist die Gruppe Winnti. Ein Sicherheitsexperte, der die Angriffe der aus China agierenden Hackergruppe über Jahre hinweg untersucht hat, wird mit den Worten zitiert: „Ein Dax-Konzern, der nicht von Winnti angegriffen wurde, hat irgendetwas falsch gemacht.“ Sie gelangte aber nicht nur wegen ihrer „Kundenliste“ in die öffentliche Aufmerksamkeit. Ihr ist es ebenso gelungen, den ersten Trojaner für 64-Bit-Systeme zu veröffentlichen, der mit einer gültigen Signatur auch die Windows-eigene Sicherheit zunächst aushebeln konnte.
Hoher Aufwand, lukrative Beute und jeder kann zum Opfer werden.
APTs sind, kurz gesagt, sehr aufwendige Angriffe auf die IT-Infrastruktur von Unternehmen, Institutionen und Organisationen oder auch ganzen Ländern. Charakteristisch für APT-Angriffe ist die zugrunde liegende Motivation für die Attacke. Diese ist meist im Bereich der Industriespionage zu finden oder hat politische Hintergründe. Ebenso zeichnen sich diese Angriffe durch die Verwendung einer Vielzahl an Angriffsvektoren aus und erfolgen in der Regel in einzelnen, klar voneinander abgrenzbaren Phasen.
Im Normalfall haben APT-Angriffe einen konkreten Auftraggeber und ein konkretes Ziel. Anders als bei klassischen Sicherheitsangriffen, bei denen mit einer möglichst großen Streuung der verwendeten Schadsoftware ein möglichst großer Schaden angerichtet werden soll, haben APTs ein anderes Ziel und verfolgen daher auch eine komplett andere Strategie. Bei einem solchen Vorfall geht es immer um die gezielte Exfiltration oder Manipulation bestimmter Daten oder auch Assets, wie die im Fall von Winnti missbräuchlich genutzten Zertifikate. Daten und Informationen, die klassische Cyberkriminelle entwenden würden, um damit lediglich kurzfristig Geld zu verdienen, lassen diese Gruppierungen links liegen. Ihnen geht es nur um die Zielerfüllung.
Um den Kontakt mit den Auftraggebern herstellen zu können, bauen diese Gruppierungen nicht selten selbst Firmenstrukturen auf und treten als seriöse IT-Beratungsunternehmen auf – aber eben mit einem anderen Kundenkreis. Als Auftraggeber für diese zwielichtigen Unternehmen können ganze Staaten genauso wie Regierungsorganisationen, NGOs und Institutionen oder wiederum andere Unternehmen infrage kommen. Kurzum: Wer Opfer werden kann, kann auch Auftraggeber sein. Somit kann, zumindest theoretisch, jeder zum Opfer werden. Nehmen Sie sich doch eine Sekunde Zeit und überlegen Sie, ob Sie Assets haben, die für andere von Interesse sein könnten. Und nun können Sie davon ausgehen, dass jemand anderes das auch so sieht.
Um aufzuzeigen, was diese Angriffe so besonders und aufwendig macht, müssen wir uns zunächst der Bedeutung des Begriffs Advanced Persistent Threats nähern. Betrachten wir die einzelnen Bestandteile einmal näher:
Advanced: Für einen Angriff nutzen Kriminelle die komplette Bandbreite an fortgeschrittenen Möglichkeiten, die ihnen für einen Angriff zur Verfügung stehen. Dazu gehören eigens zu diesem Zweck programmierte Tools, mit denen Zugriffe aus der Ferne ermöglicht und gesteuert werden können. Auch der direkte Kontakt mit dem Ziel wird gesucht und Spione werden als Mitarbeitende getarnt eingeschleust. Aber auch sanftere Techniken, wie zum Beispiel Social Engineering, kommen zum Einsatz.
Persistent: Auf Deutsch mit „hartnäckig“ übersetzt, bringt dieses Wort auch einen zeitlichen Faktor ins Spiel. APT-Angriffe sind darauf ausgelegt, dem Ziel nachhaltig zu schaden und langfristig an sensible Informationen zu gelangen. Angreifer gehen dabei sehr strukturiert vor und setzen auf kontinuierliche Interaktion mit dem Ziel und die Überwachung der Abwehraktionen. Vor allem in das Auskundschaften des Opfers wird viel Zeit und Anstrengung investiert. Doch der Aufwand lohnt sich: Je mehr man über das Ziel weiß, desto besser kann der Angriff vorbereitet werden und je passgenauer die Attacke auf die beim Ziel vorgefundenen Gegebenheiten passt, desto erfolgreicher wird die eigentliche Operation ablaufen.
Threat: Schlussendlich macht der Begriff Bedrohung noch einmal deutlich, dass es sich hierbei nicht um ein zufällig ausgewähltes Ziel handelt, sondern diese Angriffe gut geplant und durchdacht erfolgen. Hinter APTs stecken keine automatisierten Angriffstechniken, sondern echte Menschen, die den Angriff live durchführen.
Das alles macht APTs zu einem ungewöhnlich langsam ablaufenden und für das Ziel nur schwer vorhersehbaren Angriffsszenario. Weil der Angreifer sich möglichst gut dem Ziel anpasst, unter Umständen sogar dessen Verhalten für eine gewisse Zeit spiegelt, kann er sich teilweise über Jahre hinweg unentdeckt im Netzwerk bewegen. Die meisten Unternehmen bemerken diese Angriffe meist gar nicht – oder erst, wenn zuvor entwendetes geistiges Eigentum veröffentlicht wird oder im großen Stil entwendete Daten veräußert werden. Ohne einen sehr detaillierten Blick auf den Status Quo Ihrer ICT-Landschaft kann Ihnen niemand sagen, ob Sie nicht bereits Opfer eines APT-Angriffs waren oder aktuell noch sind.
Unter dem Radar – wie läuft ein Angriff ab?
Wie Sie bereits wissen, finden die Aktionen der Kriminellen verdeckt statt. Um das auch langfristig gewährleisten zu können, müssen sich die bösartigen Akteure zunächst nahezu nahtlos in die alltäglichen Aktivitäten eines Unternehmens oder einer Organisation einfügen. Damit das gelingt, nutzen sie fortschrittliche Techniken, mit denen Sicherheitsmaßnahmen und Anwendungen umgangen werden können, ohne dabei entdeckt zu werden. Haben die Angreifer wertvolle Informationen ausfindig gemacht, beginnen sie, diese anzuzapfen.
Sicherheitsexperten der unterschiedlichsten Unternehmen und Organisationen haben über die Jahre herausgefunden, dass diese Angriffe stets nach einem bestimmten Muster in unterschiedlichen Phasen stattfinden. Dieser Ablauf, der auch als APT Lifecycle bezeichnet wird, besteht aus den folgenden sechs Phasen:
1. Erkundung (reconnaissance): In dieser ersten Phase werden Informationen über das Ziel gesammelt. Dazu gehören nicht nur technische Informationen über die Infrastruktur wie die vorhandenen Hardware- und Softwarestände oder die Netzwerkarchitektur. Es werden auch soziale und wirtschaftlich relevante Informationen, meist aus öffentlich zugänglichen Quellen wie sozialen Netzwerken, gesammelt und eine Art Dossier des Ziels erstellt.
2. Anfängliche Angriffsversuche (initial compromise): In der zweiten Phase versuchen die Angreifer zumeist mittels Malware, seltener über einen Mittelsmann, an einem schwachen Zugriffspunkt anzudocken und so eine Basis im Unternehmensnetzwerk zu errichten. Im nächsten Schritt wird diese Basis für eine ausgehende Datenverbindung genutzt. Steht die ausgehende Datenverbindung zum Angreifer, werden die ersten internen Informationen über das zugrunde liegende Netzwerk versendet und das Dossier nach und nach verfeinert.
3. Zugriff aufrechterhalten (maintaining access): In dieser Phase versuchen die Angreifer, den ersten Zugriff zu den Systemen zuverlässig aufrechtzuerhalten. Die Suche nach weiteren Zugriffspunkten liefert die Basis für die in Phase 4 beginnende seitliche Bewegung.
4. Seitliche Bewegung (lateral movement): Als Erweiterung von Phase drei bewegen sich die Angreifer jetzt zunächst seitlich im Unternehmensnetzwerk und versuchen dabei, weitere Geräte zu kompromittieren. Ziel ist es, in dieser Phase den Zugriff zu festigen und dabei weiterhin Informationen über das Netzwerk selbst ausfindig zu machen. Aber auch die Struktur der Rechtevergabe wollen die Angreifer in dieser Phase erkennen. Jetzt wird auch das eigentliche Ziel, also die sensiblen Daten, ausfindig gemacht und der Zugriff darauf errichtet.
5. Datenabfluss (data exfiltration): Haben die Angreifer Zugriff auf die sensiblen Daten erhalten, beginnen sie, diese abzugreifen. In der Regel wird das Diebesgut dann auf mehrere Server weltweit kopiert oder sogar verschoben, um den erbeuteten Datensatz auch im Fall der Entdeckung einzelner Verbindungen und Speicherorte noch nutzen zu können. Die Angreifer haben also zumeist eine eigene Backup-Strategie und sind damit weiter als viele deutsche Unternehmen.
6. Verschleierung (cover tracks): In dieser letzten Phase versuchen die Angreifer, ihre Spuren zu verwischen und dem Ziel der Attacke vorzutäuschen, dass es keine bösartigen Aktivitäten gab. Da bereits vom ersten Moment an nur sehr wenige verdächtige Spuren zurückgelassen werden, gelingt das im Normalfall auch sehr gut. Für das Opfer wird es sehr schwierig, diese Angriffe zu erkennen – auch wenn sie schon seit längerer Zeit stattgefunden haben. Dabei bleiben geöffnete Einfallstellen weiterhin aktiv. Ein vollständiger Rückzug der Angreifer aus dem Zielnetzwerk findet in der Regel nicht statt. So können sie im Falle eines weiteren Auftrags die bestehende Infrastruktur erneut nutzen.
Sie haben kein Backup Ihrer Daten? Fragen Sie doch mal bei Ihren Angreifern nach!
Die Cyberkriminellen legen bei der Abführung der Daten aus dem Netzwerk des Opfers großen Wert auf die eigene Datensicherheit. Schließlich sind die abgeschöpften Daten der Gegenstand ihres Auftrags. In Phase fünf des Lifecycles werden die erbeuteten Daten in der Regel auf eine Vielzahl unterschiedlicher Systeme kopiert. Dies ermöglicht den Hackern, die Daten auch dann nutzen zu können, wenn Teile des Angriffsnetzes entdeckt und deaktiviert werden. Erschreckenderweise gehen Unternehmen in diesem Bereich noch immer sehr naiv mit der Problematik fehlender Backups um. Und das kann weitreichende Folgen mit sich bringen. Sind die Daten erst gelöscht oder verschlüsselt, ist eine Rettung zumindest aufwendig und je nach Auftrag des Hackers vielleicht sogar unmöglich. Eine ausgeklügelte Backup-Strategie kann Ihnen dann viele teure Scherereien ersparen. Und das sogar dann, wenn Sie selbst nie Opfer eines APTs werden sollten.
Ein weiteres Problem ist die in europäischen Unternehmen noch immer sehr oft anzutreffende Mischung aus veralteter Technik und nicht mehr zeitgemäßer Sicherheitsstrategie. Die Angreifer profitieren bei ihrem Vorgehen dann von den immer noch häufig angewendeten traditionellen Sicherheitskonzepten: Die Burg mit ihren vermeintlich starken Mauern zum Schutz findet man noch immer sehr oft vor. Zwar sind die Sicherheitsmaßnahmen am äußeren Perimeter am stärksten, doch hat ein Angreifer diesen überwunden, kann er sich in der Burg nahezu ungestört bewegen. Diese Schwachstellen nutzen Angreifer jetzt natürlich aus. Mit den unterschiedlichsten Mitteln, die perfekt auf das Opfer abgestimmt sind, bringen sie einen „Fuß in die Tür“ der Verteidigung. Haben sie das Basislager erst errichtet, gibt es innerhalb der Firewall kaum noch Widerstand. Ist diese dann aber auch noch schlecht konfiguriert, stellt auch der äußere Wall keine nennenswerte Hürde mehr dar.
Wie verhindere ich einen APT-Angriff?
Eine 100-prozentige Sicherheit wird man nie erreichen. Mit diesem Gedanken müssen Sie sich anfreunden. Es gibt aber natürlich Mittel und Wege, mit denen Sie sich für den Fall eines Angriffs optimal aufstellen können. Die oben genannte Schwäche des Unternehmensnetzwerks nach der Überwindung der „Burgmauer“ kann zur größten Schwachstelle eines solchen APT-Angriffs umgemünzt werden: Scheitert der initiale Angriff und gelingt es den Angreifern nicht, eine Basis innerhalb der Ziel-Infrastruktur zu errichten, scheitert der komplette Angriff – zumindest vorerst.
Aus diesem Grund sind moderne Sicherheitslösungen wie SASE, NextGen-Firewalls, IAM oder PAM heute wichtiger denn je. Mit ihnen schützen Sie nicht nur den Perimeter, sondern auch die Assets innerhalb sowie die Übergänge von einem Teil des Netzwerks in einen anderen. Unsere Welt wird digitaler. Immer mehr Anwendungen, Daten und sogar ganze Infrastrukturen gehen in die Cloud. Devices und Anwendungen werden zum neuen Perimeter im Alltag und entsprechend müssen sie auch geschützt werden. Der große Vorteil: Ist ein Device oder Service betroffen, kann dieses oder dieser isoliert untersucht und der Eindringling entfernt werden, ohne dass eine horizontale Ausbreitung auf andere Computersysteme und Dienste im Unternehmensnetzwerk stattgefunden hat. Der Angreifer steht somit bei jedem neuen Ziel vor einem Perimeter, den es zu überwinden gilt. Das macht es den Kriminellen zumindest schwieriger. Sowohl auf der technischen als auch auf der organisatorischen Seite gibt es noch eine Vielzahl weiterer Möglichkeiten, Ihr Unternehmen gegen diese Angriffe zu wappnen. Auf alle einzugehen, würde den Rahmen dieses Artikels sprengen. Sprechen Sie daher einfach unsere Experten an, wenn Sie Fragen zu diesen Lösungen oder generell zu Ihrer IT-Security haben.
Neben all der technischen Ausstattung sind es aber häufig die unbedacht preisgegebenen Informationen, die den Angreifern die entscheidenden Hinweise geben, um die vorhandenen Sicherheitsmaßnahmen überwinden zu können. Einige Tipps, mit denen Sie es den Angreifern bereits während dieser ersten Phase deutlich erschweren können, an Infos über Sie, Ihre Mitarbeitenden und Ihr Unternehmen zu kommen, haben wir Ihnen hier zusammengestellt:
- Seien Sie vorsichtig bei den Dingen, die Sie in sozialen Netzwerken veröffentlichen. Sprechen Sie nie über Firmeninterna und geben Sie nur die notwendigsten Informationen weiter.
- Reagieren Sie nicht auf Anfragen nach sensiblen Daten über E-Mail, Telefon oder bei direkten Kontakten. Leiten Sie solche Anfragen an die entsprechenden Abteilungen im Unternehmen weiter, zum Beispiel die Pressestelle.
- Achten Sie beim Surfen darauf, welche Websites Sie besuchen. Klicken Sie nicht auf verdächtige Links und laden Sie keine vermeintlich kostenlose Software herunter, die andernorts bezahlt werden muss.
- Klicken Sie nicht auf Links in E-Mails, deren Absender Sie nicht kennen. Öffnen Sie in einem solchen Fall auch keine E-Mail-Anhänge in diesen Mails.
- Geben Sie verdächtige E-Mails oder verdächtige Vorkommnisse auf Ihrem Gerät oder in Ihrem Netzwerk an die IT zur Prüfung weiter.
- Nutzen Sie nur die USB-Geräte, deren Herkunft Sie sicher kennen. Geschenkte USB- und Bluetooth-Geräte können Malware enthalten, die sich dann auf Ihrem System ausbreitet.
- Verschaffen Sie sich einen Überblick über die Geräte und Nutzer in Ihrem Netzwerk. Sind Geräte aktiv, die Sie nicht kennen? Oder greifen unbekannte Nutzer auf Ihre Infrastruktur zu?
- Halten Sie Ihre Infrastruktur auf dem neuesten Stand und führen Sie Updates zeitnah durch – insbesondere sicherheitskritische Updates.
- Sorgen Sie für sichere Zugänge zum WLAN oder LAN. Lassen Sie keine offenen Zugänge zu Netzwerken zu.
Wie reagiere ich richtig auf einen APT-Angriff?
Mit der richtigen Mischung aus technischen und organisatorischen Sicherheitsmaßnahmen lässt sich eine ganze Reihe an Situationen umgehen, die einem APT-Angriff Tür und Tor öffnen können. Die richtige Sicherheitsstrategie betrachtet die Bedürfnisse Ihres Unternehmens umfassend und kann Sie und Ihr Unternehmen vor enormem Schaden bewahren. Darüber hinaus unterstützt sie auch dabei, Anomalien im Nutzerverhalten, beim Netzwerk-Traffic oder in den Logfiles zu finden. Da die Kriminellen alles tun werden, um nicht entdeckt zu werden, ist es unabdingbar, zu jeder Zeit darüber Bescheid zu wissen, was im Netzwerk eigentlich passiert und ob es vom zuvor definierten Idealzustand ohne Angreifer abweicht. Eine umfassende Reaktion auf einen APT-Angriff beginnt also schon vor dem Angriff.
Schnelligkeit vor Vollständigkeit: Den Vorfall melden.
Sind Sie auf einen Angriff aufmerksam geworden, gibt es gewisse Schritte, die Sie einleiten müssen, um weiteren Schaden von sich und anderen abzuwenden.
Sind Sie Betreiber einer kritischen Infrastruktur, wie zum Beispiel eines Kraftwerksbetriebs, einer Meldestelle oder auch eines Telekommunikationsnetzbetreibers, müssen Sie den Vorfall unverzüglich an das BSI melden, sobald ein Ausfall oder eine erhebliche Beeinträchtigung der Verfügbarkeit Ihres Dienstes durch den Vorfall entstanden ist oder sich dadurch abzeichnet. Wenden Sie sich ebenfalls an das BSI, wenn Sie Anbieter von Suchmaschinen, digitalen Dienstleistungen aus der Cloud und Online-Marktplätzen sind.
Das Bundesamt für Sicherheit in der Informationstechnik definiert auch den Umfang einer solchen Meldung sehr deutlich:
Alle Erkenntnisse, die zum Zeitpunkt der Meldung vorliegen, müssen an das BSI gemeldet werden. Können im Rahmen dieser unverzüglichen Meldung noch nicht alle erforderlichen Angaben zur IT-Störung gemacht werden, ist die Meldung als Erstmeldung zu kennzeichnen. Sobald fehlende Informationen bekannt sind, ist eine Folgemeldung und letztendlich eine Abschlussmeldung vorzulegen.
Mit der genannten Abschlussmeldung hat das Unternehmen seine Meldepflicht gegenüber dem BSI erfüllt. Die Meldung ersetzt jedoch nicht etwaige weitere Meldepflichten:
Kommt es beim gemeldeten Vorfall zu einem Datenabfluss, werden Daten verändert oder gelöscht und kann dabei ein Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen entstehen, müssen Sie auch die Datenschutzaufsicht in Ihrem Bundesland und die Polizei über den Vorfall informieren. Dies muss innerhalb von 72 Stunden geschehen. Die von dem Abfluss der Daten betroffenen Personen und Unternehmen müssen jedoch unverzüglich darüber informiert werden.
Sie sehen: Wenn Sie einen Vorfall bemerken, müssen Sie zunächst eine ganze Reihe an Meldungen absetzen. Parallel dazu müssen Sie aber auch schon die Betriebsfähigkeit Ihres Unternehmens wiederherstellen oder aufrechterhalten und es müssen Beweise gesichert werden. Der anfallende Aufwand, der in einer solchen Situation ansteht, ist immens. Sorgfältig ausgewählte Dienstleister helfen Ihnen dabei, die Anforderungen innerhalb der vorgegebenen Zeiträume zu bewältigen.
Je nach Schweregrad des Vorfalls können Sie auch entscheiden, ob Sie den Angreifer zunächst gewähren lassen. Das klingt auf den ersten Blick zwar absurd, doch es kann ratsam sein, den Angreifer weiter im Netzwerk agieren zu lassen, um mehr über ihn und seine Arbeitsweise zu erfahren. Für ein späteres Gerichtsverfahren oder den Versicherungsfall können so wertvolle Beweise und Spuren gesichert werden. In anderen Fällen wiederum ist das Gebot der Stunde, den Eindringling so schnell wie möglich aus dem Netzwerk zu entfernen, bevor er weiteren Schaden anrichten kann.
In jedem Fall ist es ratsam, einen qualifizierten Dienstleister ins Boot zu holen, der Ihnen dabei hilft, im Falle eines IT-Sicherheitsvorfalls die richtigen Maßnahmen zur rechten Zeit einzuleiten und Sie auch bei der forensischen Untersuchung des Vorfalls unterstützen kann.
Bechtle unterstützt Sie bei der Reaktion auf APTs.
Je früher Sie unerwünschte Zugriffe und auffälliges Verhalten in Ihrem Netzwerk entdecken, desto eher können Sie größeren Schaden abwenden. Für das einzelne Unternehmen gestaltet sich dies jedoch oft schwierig. Als zertifizierter APT-Dienstleister unterstützen wir Sie daher sowohl bei der frühzeitigen Erkennung eines Angriffs als auch bei den notwendigen Schritten nach einem Vorfall.
Dafür bieten wir deutschlandweit eine 24-Stunden-Verfügbarkeit an sieben Tagen in der Woche. Mit insgesamt 31 regional verteilten Security-Teams in 16 Competence Centern sind wir flexibel aufgestellt, um die schnelle Wiederherstellung attackierter Systeme zu gewährleisten. Zudem stehen Ihnen erfahrene Incident-Response- und IT-Forensik-Teams zur Seite, um schnell auf Sicherheitsvorfälle zu reagieren. Dazu gehört die Einhaltung entsprechender Meldefristen ebenso wie die gerichtssichere Beweissicherung nach einem Vorfall.
Seit Ende März 2021 ist Bechtle als qualifizierter APT-Response-Dienstleister beim BSI gelistet. Ziel der Handreichung des BSI ist es, den Betreibern kritischer Infrastrukturen eine Übersicht über den Markt der APT-Response-Dienstleister zu bieten. Sollten Sie von einem Angriff betroffen sein und Unterstützung in dieser Krisensituation benötigen, stehen wir Ihnen rund um die Uhr zur Verfügung. Rufen Sie einfach unsere Hotline an.
So erreichen Sie unsere Kolleginnen und Kollegen:
Telefon: +49 7132 981 2783
E-Mail: help.sirt@bechtle.com