Advanced Persistent Threats – Still und gefährlich

it-sicherheit 54
Fachbeitrag

Politisch und finanziell motivierte „Cyber-Söldner“ attackieren immer zielgerichteter kritische Infrastrukturen einzelner Unternehmen oder nehmen auch ganze Branchen ins Visier. Erst vor 3 Tagen berichtete heise von einem Angriff auf einen US-Krankenhausanbieter bei dem ca. 4,5 Millionen Patientendaten erbeutet wurden.

Hintergrund

Früher war die professionelle Sicherung eines Unternehmensnetzwerks noch mit „handelsüblichen“ Mitteln, wie einer Firewall, Virenscanner und regelmäßigen Patches und Backups, sowie einer guten Schulung der Mitarbeiter, zu bewerkstelligen.

Allerdings sind professionelle und gezielte Angriffe auf Unternehmensnetzwerke, die mittlerweile auch von sog. Cyber-Söldnern durchgeführt werden, in den letzten Jahren immer häufiger geworden und haben ein komplett neues Niveau angenommen. Sie werden immer komplexer und wurden mit der Zeit finanziell und politisch motiviert.

Was sind “Advanced Persistent Threats”?

Unter “Advanced Persistent Threats” (APTs // deutsch: fortgeschrittene, andauernde Bedrohungen) versteht man gezielte Angriffe, bei denen Schadsoftware unbemerkt in ein Netzwerk eindringt und sich wie ein Schädling in der lokalen IT-Infrastruktur einnistet. Ist der Schädling erst einmal im System angekommen, verbreitet er sich stillschweigend statt aggressiv und merkbar durch das System, um Daten zu sammeln, die an den Server des Angreifers gesendet werden, oder anderweitigen Schaden anzurichten. Durch ihre Passivität sind APTs kaum auffindbar und können daher über einen langen Zeitraum unbemerkt im System verbleiben.

Eine von Kaspersky Lab mit dem Marktforschungsinstitut B2B International durgeführte Studie von 2013 beziffert den Schaden für Großunternehmen mit durchschnittlich 1,8 Millionen Euro.

Beispielsweise konnte der Stuxnet-Trojaner bis zu seiner Entdeckung im Sommer 2010 über ein Jahr lang im Verborgenen Informationen sammeln, u.a. mit dem Ziel die in iranischen Atomanlagen eingesetzten Steuerungssysteme zu sabotieren. APTs spähen z.B. persönliche Daten, Informationen über Netzwerke und technische Daten aus.

APTs – eine neue Entwicklung?

Nein. Zwar ist der Name neu, jedoch gab es bereits früher derartige Angriffe. Beispielsweise erfüllt der KGB-Hack bei dem der Angreifer Mitte der 1980er in verschiedene Computernetze eindrang, Daten sammelte und diese an den KGB verkaufte, die Anforderungen an einen APT. Die Angreifer drangen schrittweise ins Netzwerk ein und sammelten auf den Zielrechnern über längere Zeiträume Informationen.

Abgrenzung zu herkömmlichen Angriffen

Im Gegensatz zu herkömmlichen Angriffen, bei denen eine Vielzahl von Opfern attackiert wird, greifen Advanced Persistent Threats lediglich ein bestimmtes Opfer oder einen stark eingegrenzten Opferkreis an. Die Software wird dabei ebenfalls auf das jeweilige Opfer oder den Opferkreis spezifiziert. Ebenso wird statt nur einer einzigen Schadsoftware auf eine größere Anzahl von Taktiken und Techniken zurückgegriffen.

Statt Zugangsdaten zu z.B. Online-Shops, suchen und sammeln ATPs Zugangsdaten zu weiteren Systemen in der IT-Infrastruktur des Opfers, um so ihren Zugriff auszubauen und schließlich auf die Daten, die dem Beschaffungsauftrag entsprechen, zugreifen zu können.

„Spear-Phishing“ und „Wasserlochattacken“

Hacker sind gewieft und suchen stetig nach Schwachstellen, die zielgerichtet ausgenutzt werden kann, um die optimale Wirkung zu entfalten. Viele Unternehmen führen heutzutage regelmäßige Sicherheitsupdates zeitnah aus, so dass sich Hacker anderer, aber gleich effektiver Mittel bedienen: Der Angreifer sieht sich nach Veröffentlichung eines Sicherheitsupdates den genauen Programmcode an und vergleicht die angreifbare mit der aktualisierten Version, um so seinen Angriff zielgerichtet umzustrukturieren und die neue Schwachstelle zu nutzen.

Wie die von Kaspersky Lab durchgeführte Studie ausführt bedienen sich Cyberkriminelle einer neuen Methode neben dem sog. „Spear-Phishing“: den sog. Wasserlochattacken.

Bei Spear-Phishing-Attacken, einer zielgerichteten Form des Phishings, wird eine E-Mail an eine bestimmte Person in einer Zielorganisation geschickt, bei der sich der Hacker z.B. als Schulfreund oder Arbeitskollege in u.a. sozialen Netzwerken ausgibt. Klickt die anvisierte Person auf den in der E-Mail enthaltenen gefährlichen Link oder öffnet den Anhang, führt sich der Code des Hackers selbstständig aus und verhilft ihm zum Zutritt auf das System.

Bei sog. Wasserlochattacken wird das Ziel nicht direkt angegriffen, sondern der Angreifer kompromittiert zunächst Server von Dienstleistern, die häufig von Mitarbeitern des eigentlichen Ziels genutzt werden (z.B. ein Reiseportal oder Lieferservice der während der Arbeitszeit regelmäßig besucht wird). Diese sind leichter anzugreifen, da sie nicht unter der Obhut der IT und IT-Security des jeweiligen Ziels stehen und daher weniger stark überwacht werden.

Advanced Persistent Threats abwehren

Auf Grund der Komplexität gibt es keine technische Lösung. Um sich zu schützen, müssen Unternehmen daher eine ganze Reihe an Sicherheitsvorkehrungen treffen und ständig im Blick haben; u.a.

  • Kennen der eigenen Infrastruktur
  • Regelmäßige Evaluation des Sicherheitskonzepts und Updates
  • Penetrationstests durch eine externe Firma (unabhängiger, objektiver Blick)
  • Durchführung von Schulungen zum Thema IT-Sicherheit und Datenschutz

IT-Sicherheitsgesetz als Lösung?

Auch die Politik nimmt die Thematik von neuen und komplexeren Hackerangriffen ernst. Bereits 2012 wurde das „Nationale Cyber-Abwehrzentrum“ (NCAZ) unter Aufsicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gegründet, wodurch seitens der Politik ein deutliches Zeichen gesetzt wurde. Gestern hat Bundesinnenminister Thomas de Maizìere seinem Referentenentwurf für ein IT-Sicherheitsgesetz vorgestellt. Hauptbestandteil ist dabei eine Meldepflicht von Hackerangriffen auf sicherheitsrelevante Einrichtungen.

Das IT-Sicherheitsgesetz stößt auf herbe Kritik und wird vom Spiegel sogar als WWW-Wunschzettel bezeichnet.

“Wunschzettel können Eltern überfordern. Einige Wünsche sind kaum zu erfüllen, weil sie eigentlich zu teuer sind (“ein Flugzeug, aber ein echtes”). Manche sind auch problematisch (“zwei neue Brüderchen”). Andere wiederum sind für einen Wunsch sehr vage (“was zum Spielen”). Manche schließen sich gegenseitig aus (“eine Katze und eine Maus”). Und manche Wünsche kann selbst das Christkind nicht erfüllen (“dass Opa für immer lebt”).”

“Die Agenda ist damit ein typischer Wunschzettel: Manches darauf ist eigentlich zu teuer (schnelles Internet für alle kostet einen zweistelligen Milliardenbetrag). Manches ist problematisch (DE-Mail etwa gilt als hoch umstritten, Smart-Home-Technologien gelten häufig als Sicherheitsrisiko). Und manches schließt sich gegenseitig aus (das Vertrauen der Bürger in die Technologie zu stärken und gleichzeitig Geheimdienst und Strafverfolgern bessere Überwachungsmöglichkeiten zu bieten).”

An sich ist eine Meldepflicht für Cyberattacken wie vorgeschlagen eine gute Idee, ob sie jedoch in der heutigen Zeit, die von einem stetigen technischen Wandel gekennzeichnet ist, den versprochenen Erfolg bringt, darf zu bezweifeln sein, da eine bloße Meldepflicht nur zur Kenntnisnahme dient ohne sich jedoch dem Problem selbst anzunehmen.

Hacker sind so versiert, dass sie sich stetig an neue Gegebenheiten anpassen und neue Schwachpunkte in Systemen finden, dass eine bloße Meldepflicht wenig bringen dürfte. Stattdessen sollten Hardwarehersteller und Softwareentwickler möglichst schnell auf etwaige Sicherheitslücken reagieren. Das IT-Sicherheitsgesetz ist sehr vage und reiht Worthülsen und Floskeln aneinander und bleibt dadurch überwiegend wolkig.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Ein Kommentar zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.