So schützen Sie sich vor Advanced Persistent Threats (APTs)

Digitales Business

Digitales Business

Datum 18.08.2022
Lesezeit 7 Min.

So schützen Sie sich vor Advanced Persistent Threats (APTs)

Stellen Sie sich vor, Sie entwickeln ein neues Projekt in Ihrem Unternehmen und heimliche Zuhörer:innen stehlen sämtliche Informationen darüber. Oder jemand erpresst Sie mit der Kenntnis von Geschäftszahlen, die nur Ihrer Unternehmensleitung bekannt sein dürften. Dann sind Sie womöglich Opfer eines Advanced-Persistent-Threat-Angriffs geworden.

Advanced Persistent Threats (APTs ) bedrohen Geschäftsdaten, die Dritten auf keinen Fall zugänglich sein sollen. Darunter fallen neben Informationen zu Finanzen und Geschäftsprozessen auch Betriebsgeheimnisse in Bezug auf Ihre angebotenen Produkte und/oder Dienstleitungen. Die Angriffe zielen dabei auf umfangreichen und dauerhaft angelegten Informationsdiebstahl ab und stellen für Unternehmen eine große Gefahr dar.

Wie genau APT-Angriffe funktionieren, wie gefährlich sie tatsächlich sind und welche Gegenmaßnahmen Sie in Ihrem Unternehmen ergreifen können, erfahren Sie in diesem Artikel.

 

Was steckt hinter der Abkürzung Advanced Persistent Threats (APTs)?

Advanced Persistent Threats (APT bzw. APTs) sind nicht darauf ausgelegt, sofortigen Schaden in den IT-Strukturen von Opfern anzurichten. Stattdessen geht es bei den aufwendigen Infiltrationen um dauerhafte Spionage und den Diebstahl großer Informationsmengen über einen längeren Zeitraum. Diese Cyber-Attacken zielen also auf Datendiebstahl „im großen Stil“ ab. Sie bedrohen vor allem größere Unternehmen und Organisationen sowie die kritische IT-Infrastruktur von Staaten.

Dementsprechend handelt es sich bei den Angreifer:innen nicht um vereinzelte Hacker:innen oder Kriminelle, die auf einen schnellen Diebstahl oder Betrug aus sind, wie beispielsweise beim Betrug durch Spam-Mails. Stattdessen stehen hinter APT-Angriffen gut organisierte Gruppen aus teilweise spezialisierten Personen. Das Organisationslevel und die Expertise sind in der Regel sehr hoch und häufig beauftragen und finanzieren größere Organisationen (wie zum Beispiel Geheimdienste oder Konzerne) die Angriffe.

APT-Attacken sind ein Werkzeug der Staats- und Industriespionage und verfolgen häufig das Ziel, die Handlungsfähigkeit des Ziels auf Basis einer enormen Menge gesammelter Informationen strategisch zu untergraben. Das kann auf der Unternehmensebene in der Erlangung eines Wettbewerbsvorsprungs durch einen Mitbewerber basieren. Auf staatlicher Ebene können Maßnahmen wie Erpressung oder die Sabotage kritischer Infrastrukturen eines als Gegner definierten Staats die Folge eines APT-Angriffs sein.

 

Whitepaper: Cyber Security

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

  • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
  • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
  • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

 

So funktioniert ein APT-Angriff

APT-Angriffe erfolgen meist auf Basis eines festen Schemas. Sie werden häufig von kompletten Gruppen von Hacker:innen umgesetzt, in denen jede:r einen festen Aufgabenbereich hat. Dabei ist ein hohes Maß an Koordination notwendig, da hochwertige Ziele mit sensiblem Inhalt meist auch auf besondere Weise geschützt sind und von entsprechend qualifiziertem IT-Personal überwacht werden.

  • Zugang: Zunächst verschaffen sich die Angreifer:innen einen Überblick über die Zugangsmöglichkeiten. Angriffe erfolgen danach in den meisten Fällen über das Internet mittels Spear-Phishing-E-Mails oder eine Schwachstelle in der Software des Ziels. Durch diese schleusen Cyberkriminelle Schadsoftware ein, um die „Tür offen zu halten“.
  • Etablierung: Sobald der Zugang eingerichtet ist, führen die Angreifer:innen Erkundungen innerhalb des Netzwerks aus. Mittels der verwendeten Malware erzeugen sie Subnetzwerke und Tunnel, durch die sie sich unbemerkt innerhalb einer größeren Netzwerkinfrastruktur bewegen können.
  • Ausbau: Innerhalb der infiltrierten Infrastruktur beginnen die Hacker:innen mit dem Knacken von Passwörtern und der Überwindung weiterer Zugangsbeschränkungen, um administrative Rechte zu erlangen. Damit erhalten sie eine weitreichende Kontrolle über Systemfunktionen und können ihren Zugang weiter ausbauen.
  • Breite: Angreifer:innen können sich mit administrativen Rechten nahezu ungehindert im Zielnetzwerk bewegen. Aus dieser Sicherheit heraus versuchen sie, den Zugang zu weiteren Servern oder besonders geschützten Netzwerkbereichen herzustellen.
  • Datensammeln: Das Ziel des APT-Angriffs ist in der Regel der großangelegte und kontinuierliche Diebstahl von Daten. Die Angreifer:innen sammeln, verschlüsseln und komprimieren diese Zieldaten.
  • Extraktion: Im nächsten Schritt extrahieren sie die Beutedaten auf eigene Systeme. Dieser Schritt kann einmalig erfolgen oder beliebig oft wiederholt werden.
  • Unbefristeter Aufenthalt: Die Hacker:innen bleiben in der Regel so lange in einem infiltrierten System, bis sie entdeckt werden. Wollen sie sich nicht permanent in einem Netzwerk einrichten, können sie auch eine „Hintertür“ anlegen, durch die sie bei Bedarf zu einem späteren Zeitpunkt erneut auf das System zugreifen.

 

Ausklappbare Informationsgrafik

APT-Attacken folgen meist einem festen Schema und reichen von der Auskundschaftung eines Ziels bis zum konkreten Datendiebstahl.

 

So erkennen Sie verdeckte Zugriffe auf Ihre Systeme

APT-Angriffe laufen meist nach der in der Grafik genannten Abfolge von Angriffskomponenten ab und müssen dementsprechend gut koordiniert sein. Allgemein sind sie zwar schwer zu erkennen, da die Angreifenden häufig nicht über einen einzelnen Zugangspunkt in ein System eindringen. Dennoch existieren einige typische Merkmale, an denen Sie einen solchen Angriff erkennen können. Folgende Zeichen könnten auf eine APT-Attacke auf Ihr Unternehmensnetzwerk hindeuten:

  • Spear-Phishing: Durch gezielte Recherchen finden Hacker:innen heraus, mit welcher Art von Phishing-E-Mail sie Interesse von Mitarbeiter:innen Ihres Unternehmens wecken können. Sie recherchieren und verwenden zum Beispiel persönliche Informationen oder vermeintlich bekannte Kontakte und verleiten Ihre Mitarbeiter:innen gezielt zu einer Reaktion (so genanntes E-Mail-Spoofing): Zum Beispiel, indem sie E-Mail-Anhänge öffnen oder auf einen Link klicken. Erhalten mehrere Mitglieder der Unternehmensleitung entsprechende Spam-E-Mails, ist höchste Vorsicht geboten.
  • Ungewöhnliche Account-Aktivitäten: Ihre IT verfolgt gewöhnlich die Anmeldungen in Ihrem Netzwerk. Erfolgen diese in ungewöhnlich großer Zahl oder außerhalb der normalen Zeiten, ist dies ein Warnzeichen – erst recht, wenn diese von Führungspersonen des Unternehmens stammen (sollen). APT-Angriffe erfolgen häufig zu Uhrzeiten, in denen sich wenige Personen im Netzwerk aufhalten, um die Chance auf eine Entdeckung zu senken.
  • Backdoor-Trojaner: Spüren Ihre Antivirenprogramme so genannte Backdoor-Trojaner im System auf, könnte das bedeuten, dass Ihre Systeme bereits infiltriert worden sind. Diese Software dient zur Etablierung eines dauerhaften Zugangs zu Ihrem Netzwerk: Diese „Hintertür” steht gewissermaßen ständig offen und dient als Durchlass für die Remote-Verbindung der Angreifer:innen sowie für den Empfang der gestohlenen Daten. Rootkits nahe dieser Tür sorgen oft dafür, dass der unautorisierte Zugriff unbemerkt bleibt. Selbst wenn Sie die Anmeldedaten Ihres Netzwerks ändern, kann diese Verbindung bestehen bleiben.
  • Informationstransfer: Sie bzw. Ihre IT-Expert:innen sollten den Datenaustausch innerhalb des Netzwerks und zu externen Rechnern stets überwachen. Finden Sie Daten an ungewöhnlichen Orten oder werden ungewöhnliche Mengen an Dateien an einen externen Rechner übertragen, kann das ein Hinweis auf einen APT-Angriff sein.
  • Exportbereite Daten: Die Angreifer:innen erstellen häufig große komprimierte Dateien, um diese auf Ihre eigenen Rechner zu exportieren. Um diese Datenmengen zu verschieben, platzieren sie sie meist an einem Ort bzw. in einem spezifischen Ordner. Wenn Sie oder Ihre IT-Expert:innen etwas Derartiges entdecken, vielleicht sogar in einem ungewöhnlichen Dateiformat, könnten Sie auf das „Diebesgut“ eines APT-Angriffs gestoßen sein.

 

APT-Groups: Organisierte Spionage oder motivierte Hobby-Hacker:innen?

APT-Attacken können aufgrund ihrer Komplexität kaum von Einzelpersonen ausgeführt werden – zumindest nicht bei größeren Zielen. Stattdessen stecken fast immer größere Gruppen spezialisierter Hacker:innen dahinter, die sich in so genannten „APT-Gruppen“ zusammenschließen. Sie handeln selten auf Eigeninitiative, sondern meist im Auftrag eines Auftraggebers im Hintergrund: Dies können Konzerne, staatliche Behörden oder Nichtregierungsorganisationen (NGOs) sein.

In den meisten Fällen, jedoch nicht ausschließlich, handelt es sich bei APT-Attacken also um organisierte Spionage mit einem klaren Auftrag. Die wichtigsten sind:

  • Industriespionage: Der Diebstahl von Daten durch ein konkurrierendes Unternehmen ist ein Klassiker der Industriespionage. Dies kann Planungen zu Projekten und der Unternehmensstrategie, Pläne und technische Daten zu Produkten und Prototypen, Informationen über die Geschäftsdaten oder vertrauliches Wissen bezüglich der internen Unternehmenspolitik umfassen. Auftraggeber:innen verschaffen sich damit einen illegalen Wettbewerbsvorteil oder erpressen das Opfer.
  • Staatliche Spionage: Noch eine Ebene höher geht es bei einem APT-Angriff auf staatlicher Ebene. Ein als Ziel auserkorener Staat bietet viele lohnende Angriffsmöglichkeiten: Informationen zur kritischen Infrastruktur (wie Energienetze und Versorgungswege), Verteidigungsmaßnahmen (zum Beispiel militärische Infrastruktur, Standorte, Cyber-Security), staatliche Behörden jedweder Art, persönliche Informationen zu Funktionsträger:innen. Die geraubten Informationen können gezielten (Cyber-)Angriffen, Erpressung oder der Erzeugung politischen Drucks dienen.
  • „Hacktivismus“: So genannte „Hacktivist:innen“ handeln häufig im Auftrag von Nichtregierungsorganisationen oder der Presse. Ihr Ziel besteht darin, sensible Information zu kriminellen Machenschaften, Korruption oder moralisch verwerflichen Handlungen von Organisationen und Einzelpersonen zu erlangen. Ziel ist die Veröffentlichung, um bislang unbekannte (und möglicherweise kriminelle) Handlungen der Opfer publik zu machen und diese damit zu schwächen.
  • Gelddiebstahl: Meistens auf einer niedrigeren Ebene angesiedelt ist der vermeintlich profane Diebstahl von Geld oder Unternehmenswerten. Hier sind besonders kleine und mittelständische Unternehmen gefährdet: Hacker:innen können durch den bei einem APT-Angriff möglicherweise unbeschränkten Zugang zu den finanziellen Ressourcen des Opfers ganze Konten plündern und enormen Schaden anrichten.

 

So sichern Sie Ihr Unternehmen gegen APTs ab

Advanced Persistent Threats sind extrem gefährlich. Sie und Ihr Unternehmen sind diesen Angriffen aber nicht schutzlos ausgeliefert. In diesem Zusammenhang sollten Sie allerdings bedenken, dass es nicht „die eine” wirkungsvolle Maßnahme als APT-Blocker gibt, um Angriffe zu verhindern. Es reicht also nicht, einen gute Antivirensoftware und eine leistungsfähige Firewall zu betreiben, um APT-Schutz zu generieren.

Stattdessen gewährt einzig eine Kombination aus unterschiedlichen Technologien und Sicherheitsmaßnahmen eine APT-Abwehr, die es Angreifer:innen sehr viel schwerer macht, sich in Ihren Systemen einzunisten. Ein Beispiel dafür ist die Zero-Trust-Architektur: Dieses perimeterlose Sicherheitskonzept vertraut prinzipiell keinen Authentifizierungen, überprüft diese immer wieder und erlaubt es nicht, sich schrankenlos innerhalb eines Netzwerks zu bewegen.

Des Weiteren sollte der Schutz vor Spam-E-Mails und der sehr umsichtige Umgang mit direkt an Ihre Mitarbeiter:innen adressierte Schreiben unbekannter Absender:innen Priorität genießen. Der allergrößte Teil der APT-Attacken verwendet Spear-Phishing als Ausgangspunkt (laut Erhebungen rund 95 Prozent). Eine APT-Security-Strategie sollte aus diesem Grund eine umfassende Erkennungslösung beinhalten, die nach gezielten Bedrohungen in eingehenden E-Mails sucht. Verläuft diese Erkennung erfolgreich, kann ein entsprechender Spamfilter derartige E-Mails isolieren. Aus den Inhalten können Security-Profis im Abschluss herauslesen, welche Benutzer:innen Ihres Unternehmens auf welche Weise angegriffen werden.

 

Lookout: Die Sicherheitslösung für mobile Endgeräte

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehende Mobile Device Management Lösungen (EMM) und steuern somit den einfache Roll-Out in Ihre mobile Flotte.

 

Drei Schritte zur Prävention gegen APT-Angriffe

Ein wirksamer Schutz gegen Advanced Persistent Threats sollte die folgenden drei Prämissen umfassen:

  1. Überwachung: Sie sollten stets den kompletten Überblick über Ihre geschäftlich gespeicherten Daten besitzen. Angreifer:innen haben es darauf abgesehen und nutzen die Berechtigungen von Mitarbeiter:innen, um Zugriff darauf zu erlangen. Sie sollten also folgende Fragen beantworten können: Wo genau sind die Geschäftsdaten gespeichert und wer kann darauf zugreifen? Wer administriert die Firewall und Anmeldeinformationen? Wer greift auf das Unternehmensnetzwerk und vor allem auf sensible Daten zu?
  2. Analyse: Datensicherheitsanalysen bieten Erkenntnisse darüber, welche Aktivitäten innerhalb Ihres Unternehmensnetzwerks normal und welche ungewöhnlich sind. Verdächtige Aktivitäten weisen auf eine APT-Bedrohung hin und können gestoppt werden, bevor sie größeren Schaden anrichten. Ihre IT-Security sollte zudem stets einen Aktionsplan besitzen, um bei einer Bedrohungslage angemessen zu reagieren.
  3. Perimeterschutz: Sie sollten den Zugriff auf sämtliche Zugangspunkte und physische Räumlichkeiten streng beschränken und kontrollieren. Dabei ist es egal, ob Sie eine klassische perimeterbasierte oder eine modernere perimeterlose (umgebungsbezogene) Netzwerksicherheit in Ihrem Unternehmen einsetzen.

 

Eine Frau und ein Mann lächeln und drücken auf ein virtuelles Symbol für IT-Sicherheit.

Sie sind APT-Attacken nicht schutzlos ausgeliefert. Strenge IT-Sicherheit und deutliche Warnzeichen reduzieren das Risiko deutlich.

 

Advanced Persistent Threats: Das Wichtigste in Kürze

  • APT-Angriffe erfolgen meistens durch gut organisierte Hacking-Gruppen auf die IT-Strukturen von großen Unternehmen und staatlichen Einrichtungen.
  • Eine APT-Attacke zielt auf den dauerhaften Diebstahl von Informationen ab. Industriespionage und die Kenntnis über sensible staatliche Infrastrukturen (zum Beispiel im Bereich der Energieversorgung) stellen die Hauptziele dar.
  • Angreifer:innen breiten sich unsichtbar in Netzwerken aus und bleiben bis zur Entdeckung im System.
  • Bevor es zu einem Angriff kommt, gibt es Warnzeichen: zielgerichtete Spear-Phishing-Mails an Funktionsträger:innen eines Unternehmens, verdächtige Account-Aktivitäten und verschobene Datenbestände weisen auf einen APT-Angriff hin.
  • Ihr Unternehmen ist APT-Attacken nicht schutzlos ausgeliefert: Mit geschultem IT-Personal, lückenloser Überwachung Ihrer IT-Systeme sowie einer modernen Sicherheitsarchitektur (wie zum Beispiel Zero Trust) können Sie die Gefahr für APT-Angriffe auf Ihr Unternehmen deutlich reduzieren.

 

Ist Ihr Unternehmen schon einmal Ziel eines APT-Angriffs geworden? Wie schützen Sie Ihre betriebliche IT-Infrastruktur vor dieser Gefahr? Lassen Sie es uns in den Kommentaren wissen.

 

 


Ihre Digitalisierungs-Berater:innen für den Mittelstand

Sie haben Fragen zur Digitalisierung? Unser Expert:innen-Team hilft Ihnen kostenlos
und unverbindlich im Chat (Mo.-Fr. 8-20 Uhr). Oder am Telefon unter 0800 5054512

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Facebook Twitter WhatsApp LinkedIn Xing E-Mail