Jeder zehnte Sicherheitsvorfall in einem Unternehmen kann als gravierend bezeichnet werden. Bei circa einem Drittel der Angriffe gehen die Cyberkriminellen gezielt vor. Dabei wird oftmals Advanced Persistent Threat (APT) als Angriffsvektor eingesetzt, da dieser – aus Sicht der Angreifer – sehr gut geeignet ist, um ein anvisiertes Ziel zu erreichen. Hiervon sind mittelständische Technologieführer und Konzerne aber auch Verbände gleichermaßen betroffen.
Die klassischen Angriffsvektoren wie DDoS und Phishing, aber auch APT, sind allgemein bekannt, doch was dahintersteckt teilweise nicht. Von daher erklärt Patrizio Ziino in diesem zweiten Blogbeitrag Vorgehensweise und Auswirkungen eines APT-Angriffs sowie entsprechende Schutzmaßnahmen.
Frage: Was verbirgt sich hinter dem Angriffsvektor APT genau?
PZ: Unter APT wird grundsätzlich ein gezielter Angriff mit komplexen Angriffstechnologien verstanden. Um ihr Ziel zu erreichen, setzen die Cyberkriminellen dabei unter anderem Malware ein. Stuxnet ist wahrscheinlich vielen noch im Gedächtnis haften geblieben – eine Schadprogramm, das vor ungefähr zehn Jahren zum ersten Mal in Erscheinung trat und primär darauf ausgerichtet war, ganze Produktionsanlagen zu manipulieren. Stuxnet hat heute natürlich keine besondere Relevanz mehr – doch für die Sicherheitsexperten damals war, neben der erstmalig langen Zeitspanne, in der diese Malware unentdeckt im System verbleiben konnte, auch die extrem hohe Durchschlagskraft beunruhigend. Dies ist tatsächlich ein prägnantes Attribut von einem APT-Angriff: der enorme Schaden, der sich damit verursachen lässt.
Frage: Wie verläuft so ein Angriff im Detail, wie gehen Angreifer dabei genau vor?
PZ: Ein APT-Angriff erfordert einen – auch qualitativ – sehr hohen Programmieraufwand (Advanced) und ebenso viel Manpower, vor allem damit es möglich ist, über einen längeren Zeitraum (Persistent) unentdeckt den geplanten Angriff (Threat) durchführen zu können. Daraus lässt sich schließen, dass Cyberkriminelle sehr versiert im Umgang mit fortschrittlichen Technologien sind und die entsprechenden Organisationen im Prinzip hochprofessionell wie ein Unternehmen agieren müssen, da verschiedene Aufgabenbereiche abzudecken sind. Diese sind zum einen programmieren und implementieren der Malware-Elemente – zum anderen der Aufbau der notwendigen IT-Infrastruktur sowie eine sorgfältige Organisation und Überwachung des Angriffs.
Konkret verschaffen sich die Cyberkriminellen dann zum Beispiel mittels infiltrierter E-Mails-Anhänge einen Zugang in das Unternehmen. Im nächsten Schritt werden individualisierte Malware-Elemente implementiert, um den Zugang zu etablieren. Aufgrund dessen können sich die Angreifer in dem kompromittierten IT-System frei bewegen und gleichzeitig auch ihre Spuren verwischen. Das nächste Ziel ist, mit aktualisierten Angriffsmethoden die Administrationsrechte zu erweitern, um so Kontrolle über zusätzliche IT-Systeme zu erhalten und lateral in die Netzwerke vordringen zu können. Dies ermöglicht den Angreifern sowohl in den Besitz von sensiblen Informationen und Daten zu gelangen als auch Wissen über vorhandene Schwachstellen oder Funktionen zu sammeln.
Frage: Warum spielt die Dauer des Angriffs eine wichtige Rolle?
PZ: Das hat mehrere Gründe. Auf der einen Seite beansprucht die Strategieentwicklung für bestimmte Angriffe eine längere Planungszeit. Teilweise kann deren Durchführung erst erfolgen, wenn genügend Informationen – zum Beispiel über Schwachstellen – zusammengetragen worden sind. Oder ganz pragmatisch betrachtet – mit detaillierten Kenntnissen über die unternehmenskritischen Daten ist es eher möglich, eine effiziente Ransomware-Attacke in einer Supply-Chain umzusetzen, die den größtmöglichen Schaden verursacht und so das Unternehmen sowie deren Kunden zur schnellen Zahlung eines hohen Lösegeldes motiviert. Auf der anderen Seite könnte auch Wirtschaftsspionage ein Beweggrund sein – also über einen längeren Zeitraum relevante Informationen abzugreifen, zum Beispiel aus dem Bereich ‚Forschung und Entwicklung‘.
Frage: Aufgrund der Komplexität nehmen Angreifer doch wahrscheinlich eher Konzerne ins Visier?
PZ: Nein, definitiv nicht. Ein reales Beispiel dafür, dass dieses ‚Geschäftsmodell‘ auch bei mittelständischen Unternehmen lukrativ sein kann, beschreibt Prof. Norbert Pohlmann in seinem Glossar Cyber-Sicherheit: Einem Steuerberater wird unbemerkt über einen längeren Zeitraum die komplette Mandantenkartei gestohlen. Per E-Mail erhält er irgendwann eine Zahlungsaufforderung von 100.000 Euro, gleichzeitig mit der Androhung, dass im Falle der Zahlungsverweigerung der gesamte Datenbestand veröffentlicht würde. Als Beweis der Vertrauenswürdigkeit bekommt er noch eine Referenzliste mit Kanzleien mitgeliefert, die durch die Zahlung den angedrohten Reputationsschaden bereits abgewendet haben. Interessant ist bei diesem Fall vor allem die Summe. Experten fanden heraus, dass die Angreifer sich über Jahre tief in der IT des Büros eingenistet hatten und genau an dem Punkt mit ihrer Forderung kommen konnten als es für sie rentabel und für den Steuerberater wirtschaftlich verkraftbar war.
Frage: Wie können Angriffe, die nicht in einer Erpressung enden, entdeckt werden?
PZ: Indirekt kann ein Angriff, und damit verbunden der Abfluss von Daten auffallen, wenn zum Beispiel vertrauliche Informationen in die Öffentlichkeit gelangen. Allgemein sollten Administratoren den ausgehenden Datenfluss kontrollieren, denn darüber ist es möglich Attacken auf das Netzwerk festzustellen. Indem permanent Datei- und Benutzeraktivitäten mit dem Standardverhalten abgeglichen werden, lässt sich erkennen, was normal ist und daraus dann eine verdächtige Aktivität ableiten. Spitzen beim Datenverkehr zu bestimmten Hosts oder spezielle Datentypen wie verschlüsselte Dateien können Indikatoren für einen Angriff sein.
Des Weiteren geben auch Unregelmäßigkeiten bei den Angriffserkennungssystemen einen Aufschluss über kriminelle Aktivitäten.
Frage: Was können Unternehmen dagegen tun?
PZ: Das Gefährdungspotential durch APT-Angriffe sollte nicht unterschätzt werden. Natürlich lässt sich mittels technischer Abwehrmaßnahmen ein bestimmter Schutz erreichen. Es ist gibt jedoch keine einzelne Lösung, die einen ganzheitlichen Schutz bietet, nur separate Sicherheitslösungen. Zum Beispiel Sandboxing-Mechanismen, mit denen Cyberkriminellen der Zugang per E-Mail oder Download in das Unternehmensnetzwerk erschwert werden kann. Oder ein ‚Security Information and Event Management‘ (SIEM), das einen ganzheitlichen Blick auf die Cyber-Sicherheit ermöglicht, indem Meldungen und Logfiles verschiedener Systeme gesammelt sowie ausgewertet werden, um so verdächtige Ereignisse oder gefährliche Trends in Echtzeit zu erkennen. Wichtig hierbei ist zu realisieren, dass die Abwehr der verschiedenen Bedrohungen mehrerer Schutzschichten bedarf.
Von daher ist das A und O ein ganzheitliches Konzept zur Informationssicherheit, in dem alle relevanten Sicherheitsmaßnahmen zur Erreichung eines adäquaten Schutzniveaus verbindlich festgelegt sind. In Bezug auf APT sollten zum Beispiel Maßnahmen wie eine regelmäßige Schwachstellen-Analyse oder ein definiertes Patch-Management verpflichtend geregelt sein.