Thought Leadership
Cyberkriminelle sind auf der Jagd nach Daten, die sie aus sensiblen Netzwerken stehlen oder manipulieren. Advanced Persistent Threats (APTs) – fortgeschrittene, andauernde Bedrohungen – werden von den Hackern gezielt aufgebaut und können Betreibern von IT-Infrastrukturen schwer schaden.
Das sollte den potenziellen Opfern bewusst sein. Für eine effektive Abwehr stehen technologisch eine Reihe wirksame Lösungen bereit. So erschwert Sandboxing den Cyberkriminellen den Zugang über Spear Phishing.
Informationen sind wertvoll. Jeder, der eine IT-Infrastruktur betreibt, kann automatisch zur Zielscheibe für Attacken aus dem Netz werden. Diese nehmen sowohl mittelständische Technologieführer und Konzerne als auch Verbände oder NGOs ins Visier. Sie machen auch vor Parlamenten nicht Halt, wie der Angriff auf den Bundestag im Mai 2015 gezeigt hat.
Bei einem Cyberangriff kann es sich um einen aufwändig programmierten und straff durchorganisierten Advanced Persistent Threat handeln. Oder eine automatisierte Software wurde durch eine zufällige Infektion aktiviert. Möglich ist auch eine Kombination aus beidem. Die Intention der Hacker ist es, tief ins Netzwerk einzudringen und lange unentdeckt zu bleiben, um ausgiebig Daten zu stehlen und zu Geld zu machen. Oder es geht darum, missliebige Konkurrenz auszuspionieren und zu sabotieren. Es liegt im Wesen dieser über einen langen Zeitraum andauernden Bedrohung, dass sie nur schwer nachzuvollziehen und zu entdecken ist. Wer dahinter steckt, lässt sich oft bis zum Schluss nur vermuten. Dabei kann der materielle und immaterielle Schaden beträchtliche Dimensionen erreichen.
Gefahr mit rasantem Ausbreitungstempo
Wie lange sich APT-Angreifer im Opfernetzwerk einnisten, verdeutlichen zwei prominente Beispiele. So soll sich die Cyberwaffe „Stuxnet“ mehr als zwölf Monate im System aufgehalten und Atomanalagen im Iran zerstört haben, bis sie entdeckt wurde. „Red October“ blieb sogar fünf Jahre unentdeckt, bis Sicherheitsdienstleister Kaspersky die höchst aufwändige Kampagne zur Cyber-Spionage 2012 auffliegen ließ. Unbekannte nutzten weltweite Netzwerke von Botschaften, Regierungen, Forschungseinrichtungen, Ministerien, Militärs, Ölfirmen, Handelsunternehmen und Raumfahrtfirmen, um vermutlich hunderte Terabyte Daten abzuschöpfen.
Ein anderes bekanntes Beispiel ist der Krypto-Trojaner Locky, der sich Anfang 2016 rasant ausbreitete – und in seiner Hochphase 5.000 Windows-Rechner pro Stunde infizierte. Locky zählt ebenso zu den APTs. Die Schadsoftware war auf definierte Opfergruppen zugeschnitten. Im Unterschied zu anderen APTs wollte Locky wie eine Ransomware Geld von den Opfern erpressen.
Locky weist auf einen wesentlichen Punkt hin: Die typische APT-Attacke gibt es nicht, sondern die Angreifer richten ihre Methode und Strategie am Opfer aus. Bestimmte Muster sind jedoch auffällig. So dient Spear Phishing oft als Sprungbrett ins Opfernetzwerk. Gelingt über diese spezielle E-Mail-Betrugsmasche der Netzwerkzugriff, richten die Cyberkriminellen Hintertüren ein. Der Eintritt kann auch über zuvor identifizierte Schwachstellen oder durch das Platzieren von Malware auf Websites, die Mitarbeiter oft aufrufen, erfolgen. Die Angreifer laden Malware nach, greifen auf lokale Systeme sowie Passwörter zu und überwachen Tastatureingaben. Je größer die Sicherheitslücken sind, desto schneller kann die Infiltration voranschreiten. Zur Exfiltration der Daten setzen Hacker oft Module ein, welche die Spionage oder den Datendiebstahl verschleiern.
Organisierte Cyberkriminalität
Cyberkriminalität bildet einen eigenen Wirtschaftszweig, in dem ohne großen Aufwand mit klassischen Ransomware- und Phishing-Attacken viel Geld verdient wird. Ein APT-Angriff erfordert hingegen eine erhebliche Investition in das Konzipieren und Durchführen. Cyberkriminelle setzen moderne Technologie versiert ein und müssen sich wie eine Firma organisieren. Ein Teil der Täter programmiert und implementiert die Malware-Module, andere Gruppenmitglieder bauen die notwendige IT-Infrastruktur auf und orchestrieren den Angriff.
Datendiebstahl hinterlässt auch bei einer APT-Attacke Spuren. Ein Administrator kann sich auf ausgehende Daten konzentrieren. Dieser Vorgang liefert ihm Indizien, ob das eigene Netzwerk attackiert wurde. Bestimmte Dateien, Skripte, Registry Keys und andere Informationen stellen weitere wichtige Anhaltspunkte dar, dass APT-Angreifer am Werk sind.
Schwachstellen absichern
Um sich rechtzeitig vor Angriffen durch opferspezifische Malware zu schützen, sollten Unternehmen proaktives Vulnerability Management betreiben. Das beinhaltet eine regelmäßige Analyse, wo die größten Schwachstellen liegen – auch mithilfe von IT-Security-Qualitätssicherung und Penetrationstests. Hat die IT Schwachpunkte identifiziert, kann sie Gegenmaßnahmen ergreifen. In der Realität haben meist nur Großunternehmen die Ressourcen für kontinuierliches Vulnerability Management. Für alle anderen empfiehlt sich eine regelmäßige Sicherheitsüberprüfung und Beratung durch externe Experten.
Viren- und Malicious-Code-Scanner sind Pflicht, sie erkennen jedoch neue Viren und Würmer nicht. Besseren Schutz vor solchen Übeltätern bietet das Sandboxing. Bei diesem Verfahren werden eingehende Inhalte wie E-Mail-Anhänge zunächst in separate virtuelle Umgebungen, die sogenannten Sandboxen, geleitet und dort ausgeführt. Treten während des Beobachtungszeitraums verdächtige Aktionen auf, wird die betroffene Datei nicht an den Empfänger weitergeleitet. Die IT-Abteilung kann frühzeitig Gegenmaßnahmen ergreifen. Da Sandboxen sehr ressourcenhungrig sind, werden sie häufig auch als Cloud Service bereitgestellt.
Mit Security-Information-and-Event-Management-Lösungen (SIEM) lassen sich Sicherheitsvorfälle sehr schnell identifizieren, analysieren und die geeigneten Gegenmaßnahmen ergreifen. SIEM-Lösungen arbeiten auf Basis von Data Analytics: Sie sammeln sicherheitsrelevante Daten, Protokolle und andere Dokumente aus dem gesamten Unternehmensnetz und analysieren diese nahezu in Echtzeit. Da die Einführung eines SIEM-Systems in der Regel sehr kostenintensiv ist, empfiehlt sich gerade für kleinere Unternehmen ein Managed Security Service von einem externen Dienstleister.
Raus aus dem Fadenkreuz
Die Gefahr durch APTs breitet sich rasant aus und hält Sicherheitsexperten weiterhin auf Trab. Technisch kann man ihnen mit verschiedenen Abwehrmitteln begegnen. Unternehmen sollten sich daher mit Sandboxing-Mechanismen wappnen, um Cyberkriminellen den Einstieg per E-Mail oder Download ins eigene Netzwerk zu erschweren. Auch SIEM-Lösungen sind ein wichtiges Security Tool, um automatisiert und basierend auf Data Analytics Schaden durch APTs zu vermeiden. Ein umfassendes Schwachstellenmanagement komplettiert die Sicherheitsstrategie, mit der sich ein Betreiber einer IT-Infrastruktur bewusst zu einem sehr schwer zu knackenden Angriffsziel macht.
Bildmaterial:
Olaf Niemeitz, Geschäftsführer bei Axians IT Security und Leiter der Division Vertrieb bei Axians IT Solutions. (Quelle: Axians IT Security)
