Was ist ein Advanced Persistent Threat genau? Übersetzt: “Fortgeschrittene, andauernde Bedrohung”. Als APT wird ein hochentwickelter Cyberangriff bezeichnet, der von gut ausgebildeten und des öfteren auch staatlich beauftragten Cyberkriminellen durchgeführt wird.
APTs sind zumeist von langer Hand geplant und die Angriffe dementsprechend ausgeklügelt. Das Ziel der Attacke ist die Spionage von geheimen Informationen oder die Sabotage des angegriffenen IT-Systems. Von Interesse für die Angreifer sind Geschäftsgeheimnisse, Forschungsergebnisse oder auch politische und wirtschaftliche Entscheidungen. So werden Cyberkriminelle beispielsweise konkret damit beauftragt, Informationen über ein neues technologisches Produkt abzugreifen, um dieses beispielsweise nachbauen zu können. Ebenso interessant für APT-Angreifer sind unternehmensstrategische Entscheidungen, wie geplante Geschäftsübernahmen, Börsengänge oder Business-Partnerschaften.
Laut Bundesamt für Sicherheit und Informationstechnik (BSI) liegt ein APT vor, wenn: „ein typischerweise staatlich gesteuerter Angreifender zum Zweck der Spionage oder Sabotage über einen längeren Zeitraum hinweg sehr gezielt ein Netz oder System angreift, sich unter Umständen darin bewegt und/oder ausbreitet und so Informationen sammelt oder Manipulationen vornimmt.“
Wie lässt sich ein APT von einem gewöhnlichen Cyberangriff unterscheiden?
Der entscheidende Unterschied ist, dass ein APT wesentlich komplexer geplant ist als ein herkömmlicher Angriff. Er erfordert sowohl in der Planung als auch der Umsetzung hohe personelle als auch finanzielle Ressourcen. Daher wird ein APT häufig von einer Gruppe von Hackern durchgeführt. Das Ziel ist nicht, möglichst schnell Daten zu erbeuten oder Schaden anzurichten, sondern über einen längeren Zeitraum hinweg unentdeckt im IT-System zu bleiben. Dies über einen längeren Zeitraum hinweg zu gewährleisten, erfordert ausgesprochen viel Aufwand.
Das Einfallstor: Wo starten die meisten APTs?
Ein APT wird über verschiedene Angriffsstufen hinweg durchgeführt, wobei mehrere Taktiken kombiniert werden. Eine Gemeinsamkeit vieler APTs ist, dass sie trotz ihrer Komplexität beim Menschen beginnen, beispielsweise über Spear-Phishing.
- Social Engineering:
Die Hacker greifen zunächst einen einzelnen Rechner eines Mitarbeitenden an und arbeiten sich von dort aus weiter in das IT-Netz vor. Das Opfer merkt dabei in der Regel nicht, dass der Rechner befallen und bereits als Einfallstor missbraucht wird. - Malware:
Ist der Schaden einmal angerichtet, haben die Cyberkriminellen nahezu freie Hand und schleusen zumeist Malware ein, um sich weiter im IT-System auszubreiten. - Adminrechte:
Die Angreifer sind häufig dann am Ziel, wenn sie Administratorenrechte erlangt haben. Damit ist es dann möglich zu sicheren Teilen des Netzwerks vorzudringen. - Datenklau:
Nun können Daten und Wissen über das IT-System gesammelt und die entdeckten Schwachstellen manipuliert werden.
Welche Ziele werden per ATPs angegriffen?
Grundsätzlich sind alle Organisationen ein potenzielles Angriffsziel, die über sensible oder geheime Informationen verfügen. Besonders gefährdet sind globale Konzerne, Organisationen der Kritischen Infrastrukturen (KRITIS), Behörden oder kleine und mittelständische Unternehmen (KMU), die in ihrem Bereich ein „Hidden Champion“ sind.
So werden Unternehmen bezeichnet, die in Nischen-Marktsegmenten Europa- oder Weltmarktführer sind. Insgesamt ist die Liste der betroffenen Branchen lang und umfasst auch Forschungseinrichtungen, Regierungen, Banken, militärische Einrichtungen oder Medienhäuser.
Daneben werden auch Unternehmen angegriffen, die als mögliches Sprungbrett auf die gewünschten Ziele dienen, zum Beispiel Dienstleister oder Lieferanten des geplanten Angriffsziels.
Wie kann man sich vor einem APT schützen?
Auch wenn hinter einem Advanced Persistent Threat ein hoch komplexer Prozess, der zahlreiche Ressourcen seitens der Hacker erfordert, steckt, sind die präventiven Maßnahmen dennoch denkbar simpel.
Denn die meisten APTs starten auf die gleiche Weise – bei einem Mitarbeitenden des ausgespähten Zieles. Ein entscheidender Faktor, der leider häufig in der IT-Sicherheitsstrategie von Unternehmen vergessen wird, ist, dass die eigenen Mitarbeiterinnen und Mitarbeiter häufig der einfachste und effektivste Weg in ein IT-System sind.
Dabei fokussieren sich die Angreifenden auf geeignete Einzelpersonen oder eine sehr kleine Gruppe von Mitarbeitenden. Die Opfer des Angriffs sind zumeist ungeschult und merken in der Regel nicht, dass sie manipuliert wurden.
Deshalb sind APTs so gefährlich:
Ihre Auswirkungen sind gewaltig und sie können bereits durch das unbedachte Verhalten einer einzigen Person ausgelöst werden.
Für Unternehmen und Organisationen besonders wichtig:
Sprechen Sie uns zum Thema Advanced Persistent Threat an. Wir informieren Sie und Ihr Unternehmen gerne über präventive Awareness-Schulungen von Ihren Mitarbeitern!