IT-Strategien

Advanced Persistent Threats

Professionelle, gezielte Angriffe, sogenannte Advanced Persistent Threats (APTs), sind derzeit wohl das meistdiskutierte Phänomen in Sachen IT-Sicherheit.

image.jpg

© © Scanrail - Fotolia.com

Derzeit erhalten Advanced Persistent Threats (APTs) große Aufmerksamkeit in Medien und bei IT-Sicherheitsteams. Um Entscheider in Wirtschaft und Politik auf diese Form von professionellen, gezielten Angriffen aufmerksam zu machen, werden teilweise du?stere Untergangsszenarien gezeichnet.

Häufig schießen diese Szenarien jedoch weit u?ber das Ziel hinaus: APTs automatisch mit ruinösen Konsequenzen zu verbinden fu?hrt dazu, dass Unternehmen, die tatsächlich von einem APT betroffen sind, diesen aus Angst vor einem Reputationsverlust geheimhalten. Aufgrund der geringen Zahl an publik gewordenen Fällen haften APTs immer noch ein Nimbus von ungerechtfertigtem Hype und Spekulation an. Fu?r viele Unternehmen sind sie jedoch längst Realität, daher ist ein realistischer Umgang mit ihnen umso wichtiger.

Sensibilisierung ist nötig

Das Aufmerksamkeitsmuster, das gezielten Angriffen zuteil wird, verläuft stets nach demselben Schema: Als vor drei Jahren GhostNet als großangelegte Computerspionage-Kampagne gegen die tibetanische Regierung aufgedeckt wurde, galt dies als Sensation.

Die Operation Aurora, die sich unter anderem gegen die Unternehmen Google und Adobe richtete, wurde bereits mit weniger Aufmerksamkeit behandelt. Nachfolgende Kampagnen wie LuckyCat, ShadyRat oder Nitro kompromittierten teilweise mehrere Dutzend internationale Unternehmensnetzwerke, wurden aber trotzdem nur noch in Fachkreisen diskutiert.

Der Autor: Timo Steffens - CERT -Bund (Computer Emergency Response Team der Bundesverwaltung)

© Hersteller / Archiv

Der Autor: Timo Steffens - Stellvertretender Leiter von CERT -Bund (Computer Emergency Response Team der Bundesverwaltung) im Bundesamt für Sicherheit in der Informationstechnik (BSI)

Analog dazu verlief die Rezeption der großen Spionage-Schadprogramme: Während Duqu und Flame noch den Weg in die breite Öffentlichkeit fanden, wurden Gauss oder Mahdi nur noch zur Randnotiz.

Die Information und Sensibilisierung der Verantwortlichen in Unternehmen fu?r das Thema IT-Sicherheit ist absolut notwendig. Die Berichte u?ber Flame und Gauss hatten jedoch einen gegenteiligen Effekt: Weil vor allem Ziele im Mittleren Osten betroffen waren, wägten sich europäische Unternehmen in vermeintlicher Sicherheit.

Doch auch wenn der Mittlere Osten aus europäischer Sicht weit weg ist, zeigen diese neuen Schadprogramme, dass Computerspionage mittlerweile ein weitverbreitetes Phänomen ist und hochprofessionell durchgefu?hrt wird. Während GhostNet und Aurora in der öffentlichen Diskussion häufig asiatischen Urhebern zugeschrieben werden, nennen veröffentlichte Analysen zu den im Mittleren Osten entdeckten Schadprogrammen inzwischen auch westliche Akteure.

Fu?r die Verantwortlichen in den Unternehmen ist es folglich ratsam, sich mit ihrer jeweiligen Bedrohungslage und dem Risikopotenzial der APTs auseinanderzusetzen. Zu u?bertriebener Angst oder Alarmstimmung besteht jedoch kein Anlass, und auch die zum Teil u?berzogenen Warnungen von IT-Sicherheitsfirmen sollten differenziert betrachtet werden.

Auch europäische Unternehmen sind bedroht

Bisher sind keine Fälle bekannt, bei denen Unternehmen durch APTs tatsächlich in ihrer Existenz gefährdet oder Aktienkurse ins Bodenlose gefallen wären. Dennoch gibt es negative Auswirkungen. So liegen dem BSI aus vertraulichen Quellen Informationen vor, nach denen Unternehmen beispielsweise Bietergefechte verloren haben oder Unternehmensfusionen behindert wurden, weil vertrauliche Informationen mittels eines APT-Angriffs gestohlen wurden.

In anderen Fällen wurden Konstruktionszeichnungen kopiert. Die finanziellen Konsequenzen solcher Diebstähle lassen sich kaum seriös abschätzen, allein fu?r die notwendigen "Aufräumarbeiten" nach einer Netzwerkkompromittierung können jedoch schnell sechsstellige Summen erreicht werden.

Die Beispiele zeigen, dass gezielte Angriffe auf Unternehmen und Organisationen stattfinden und ernste Konsequenzen haben können. Dabei ist auch nachrangig, ob die Angreifer staatlich gelenkt beziehungsweise von einem Staat finanziert werden, der seine nationale Wirtschaft stärken will, oder ob es finanzstarke Wettbewerber sind, die sich die Fähigkeiten der inzwischen sehr professionell organisierten und agierenden Angreifer einkaufen. Die Konsequenzen fu?r die Opfer sind oftmals dieselben.

Seit dem Start der Allianz fu?r Cyber-Sicherheit wenden sich vermehrt Unternehmen an das BSI, um Unterstu?tzung bei der Bearbeitung von Netzwerkkompromittierungen zu erhalten. Dabei sind in manchen Fällen gigabyteweise Daten abgeflossen, weil Dutzende von Arbeitsplatzrechnern oder sogar Mailserver von Angreifern kontrolliert werden konnten.

Gezielte Angriffe erfolgen in Kampagnen

Oftmals fu?hrt die Untersuchung eines APTs in einem Unternehmen dazu, dass auch in anderen Unternehmen Netzwerkkompromittierungen erkannt werden. Der Grund dafu?r ist, dass die Angreifer häufig thematisch vorgehen und sich in regelrechten Kampagnen beispielsweise auf Branchen wie Luftfahrt und Luftverteidigung oder Energie konzentrieren. Zudem sind dem BSI Fälle bekannt, in denen mehrere Unternehmen, die in einem großen Projekt zusammenarbeiteten, nahezu zeitgleich von APTs betroffen waren.

Dies deckt sich auch mit systematischen Auswertungen, die das BSI zu den öffentlich bekanntgewordenen APT-Kampagnen wie GhostNet, Shady- Rat und Nitro durchgefu?hrt hat. Zwischen vielen dieser Operationen lassen sich technische Verbindungen herstellen, die darauf hindeuten, dass es sich um dieselben Täter handelte oder die Tätergruppen kooperierten.

Mehr lesen

Windows-Rechner richtig absichern

Diese Verbindungen können durch gemeinsam genutzte Command-and-Control-Server oder durch identische Angriffsdokumente hergestellt werden. Die Analyse legt nahe, dass viele der großen APT-Fälle der letzten Jahre von nur wenigen Gruppen durchgefu?hrt wurden.

Einheitliche Angriffsmuster

Fu?hrt man die öffentlich bekannten Vorfälle und die dem BSI gemeldeten Fälle zusammen, zeigt sich das Ausmaß der gezielten Angriffe. Mittlerweile kann man davon ausgehen, dass jede Regierungsorganisation und jedes international relevante Unternehmen Ziel von professionellen Angriffen ist. Wenn man dies der wie vermutet geringen Anzahl von Angreifergruppen gegenu?berstellt, wird deutlich, welch große Ressourcen die Angreifer zur Verfu?gung haben mu?ssen.

Allerdings wird dabei ihre Größe und die Vielzahl von Zielen zur Schwäche: Weil ein erfolgreicher Angriff normalerweise aus vielen einzelnen Schritten besteht, verwenden die Angreifer häufig bestimmte Techniken, Infrastrukturen und Tools mehrfach. Denn diese bei der großen Zahl verschiedener Ziele individuell zu erstellen, wäre dann doch zu aufwendig. Diese "Standardisierung" der Angriffsmodule eröffnet jedoch auch den Verteidigern neue Möglichkeiten.

Wenn gleiche Angriffstechniken, -wege und -methoden bei mehreren Unternehmen eingesetzt werden, entsteht fu?r die Verteidiger nämlich dann ein Mehrwert, wenn sich diese Unternehmen untereinander austauschen. Technische Informationen u?ber einen Angriffsversuch auf das eine Unternehmen können bei einem anderen Unternehmen ähnliche Angriffe verhindern oder schon erfolgte Netzwerkkompromittierungen aufdecken.

Deswegen hat es sich fu?r viele Organisationen bereits ausgezahlt, sich innerhalb von Konsortien oder u?ber Kontakte zwischen CERTs (Computer Emergency Response Teams) zu gezielten Angriffen auf die eigenen Netze auszutauschen. Hierzu bedarf es bei den Geschäftsleitungen jedoch der Erkenntnis, dass das eigene Team u?ber Vorfälle im eigenen Netz mit vertrauenswu?rdigen Kontakten reden darf.

Dabei gilt das Prinzip von Geben und Nehmen: Wer selbst nicht aktiv vernetzt ist und Informationen beiträgt, wird oftmals auch nicht unterrichtet, wenn ein anderer wertvolle Informationen besitzt.

Basis-Sicherheitsmaßnahmen sind Pflicht

Informationen zu konkreten APT-Kampagnen sind wichtig, weil gezielte Angriffe häufig im Rauschen der ungezielt und weit verbreiteten Schadsoftware- Flut untergehen. Professionell ausgefu?hrte gezielte Angriffe sind darauf ausgelegt, unter dem Radar der klassischen Antiviren-Lösungen zu bleiben.

BSI-Experte liefert wertvolle Tipps zur Gefahrenabwehr

Generell zeigt die Erfahrung, dass APTs nicht durch den Einsatz einzelner IT-Sicherheitsprodukte verhindert werden können. Beispielsweise können selbst Systeme, die mit einer hohen Erkennungsrate schädliche E-Mails aus dem Netzverkehr herausfiltern, nicht immer rechtzeitig verhindern, dass eine gut gemachte Angreifer-Mail doch geöffnet oder an einen größeren Verteilerkreis weitergeleitet wird.

Die Erfahrung zeigt leider auch, dass es den Angreifern in vielen Fällen zu einfach gemacht wird, weil grundlegende Sicherheitsmaßnahmen nicht umgesetzt wurden. Die teuerste Antiviren-Lösung bringt wenig, wenn zum Beispiel das Patch-Management von Browsern und Browser-Plugins nicht stringent genug gehandhabt wird.

APT-Angreifer nutzen immer nur den einfachsten möglichen Angriffsweg, um ihre eigenen Ressourcen zu schonen. Bevor man also daru?ber nachdenkt, wie man sich vor APTs schu?tzt, muss sichergestellt sein, dass grundlegende IT-Sicherheitsstandards erfu?llt werden, wie sie beispielsweise in den IT-Grundschutz-Katalogen des BSI aufgefu?hrt sind.

Im Zuge der zunehmenden Verbreitung und geschäftlichen Nutzung von Smartphones und Tablet-PCs sollten auch mobile Geräte in die Sicherheitsu?berlegungen einbezogen werden, gerade wenn sie an das interne Netz angeschlossen werden beziehungsweise wenn sie von Entscheidungsträgern verwendet werden.

Prävention gezielter Angriffe

Wenn die Basis-Sicherheitsmaßnahmen konsequent umgesetzt sind und ein Prozess der kontinuierlichen Überpru?fung und Anpassung dieser Maßnahmen aufgesetzt ist, dann kann man sich der Prävention von gezielten Angriffen widmen. Ein entscheidender Erfolgsfaktor ist hierbei unter anderem der Austausch von Informationen u?ber gezielte Angriffe und Angriffsversuche.

Da wie beschrieben die Wahrscheinlichkeit sehr hoch ist, dass ein anderes Unternehmen mit ähnlichen oder sogar denselben Methoden angegriffen wird, erlaubt es der Austausch von Informationen u?ber solche Angriffe den Verteidigern, beispielsweise Signaturen zu erstellen und diese zu teilen.

Das BSI konnte bereits Unternehmen und Organisationen bei der Erkennung von Netzwerkkompromittierungen helfen, weil die Täter dieselben Commandand- Control-Server verwendet haben, die schon bei fru?heren Angriffen genutzt wurden.

Um die Anonymität der Unternehmen zu bewahren, baut das BSI im Rahmen der Allianz fu?r Cyber-Sicherheit derzeit eine Austauschplattform auf. Das im BSI ansässige CERT-Bund kann hier als neutraler Mittler dienen, der Angriffsinformationen anonymisiert an potenziell betroffene Unternehmen weiterleitet.

Möchte sich ein Unternehmen auch dem BSI gegenu?ber nicht identifizieren, so besteht auch die Möglichkeit, Angriffsdetails anonym an das BSI weiterzuleiten. Wichtige Informationen sind hier zum Beispiel Command-and-Control- Server, Registry-Schlu?ssel der Schadprogramme, Hash-Summen von Dateien und ausgenutzte Schwachstellen.

Fazit

Die Angst vor einem APT muss einen CIO oder CISO nicht um den Schlaf bringen. Er sollte sich aber auch nicht schlafen legen, ohne u?berlegt zu haben, wo es einem Angreifer vielleicht zu einfach gemacht wird. Oder ohne sich zu fragen, wie gut sein Team fu?r Informationen u?ber aktuelle APT-Kampagnen vernetzt ist.

Mehr zum Thema

So funktioniert Avira im Unternehmen
Sicherheit

Antivirus-Spezialist Avira bietet seine Sicherheitslösungen auch für Unternehmen an. Spezielle Erweiterungen erleichtern die zentrale…
IT-Sicherheitsgesetz für Unternehmen
IT-Sicherheit

Mit dem neuen IT-Sicherheitsgesetz hat die Politik auf zunehmende Vernetzung kritischer Infrastrukturen reagiert.
Apps und TIpps für Antivirus, Antidiebstahl: Wir verraten, wie Sie Ihr Smartphone oder Tablet sichern können.
IT-Sicherheit

Nur mehrschichtige Verteidigungsstrategie bewahren Unternehmen vor riskanten und teuren Distributed-Denial-of-Service-Angriffen.
Unternehmen,MAnagemenr,Datenqualität
IT-Strategien

Information gilt inzwischen oft als wichtigstes Unternehmensgut. Dennoch wird die Sicherung der Datenqualität in vielen Unternehmen noch sträflich…
Sicherheit und Freiheit ausbalancieren
IT-Sicherheit

IT-Sicherheitsexperten, die schützen und helfen und nicht blockieren, erschaffen ein Sicherheitsnetzwerk das Freiheiten lässt und trotzdem sicher…