Was ist ein Advanced Persistent Threat (APT)?

Erfahren Sie alles über APTs, deren ausgeklügelte Strategien und Taktiken ständig weiterentwickelt werden und neue Herausforderungen für die globale Cybersicherheit schaffen.

Übersicht

Definition
Und so funktioniert es
Arten von APTs
Phasen eines Angriffs
Erkennung & Bekämpfung

Sicherheitslösungen

Unter einem APT (Advanced Persistent Threat) versteht man eine Art von Angriff, der ein bestimmtes Unternehmen ins Visier nimmt, sich Zugriff auf dessen IT-Umgebung verschafft und dort unentdeckt lauert, um Daten auszuschleusen, oder auf den richtigen Zeitpunkt wartet, um einen Angriff mit noch verheerenderer Wirkung zu starten. Diese Art von Bedrohung ist durch ihre gezielte strategische Ausrichtung und Persistenz sowie durch die dabei zum Einsatz kommenden, ausgeklügelten Taktiken, Techniken und Verfahren gekennzeichnet.

Das Hauptziel eines APT-Angriffs ist es, sich zu bereichern. Manchmal entwenden die Eindringlinge Daten, während sie in anderen Fällen warten, bis die Bedingungen am besten sind, um ihren eigentlichen Cyberangriff durchzuführen. In der Regel sollen mit dem APT-Angriff Prävention, Schutz, Erkennung und Abhilfemaßnahmen bei Folgeangriffen extrem erschwert werden. Einfach ausgedrückt: Die Angreifer wollen verschleiern, dass sie in Ihre IT-Umgebung eingedrungen sind.

Häufig handelt es sich bei den Angriffszielen um hochkarätige Unternehmen, Behörden, Institutionen usw., die über wichtige, vertrauliche Daten verfügen oder eine maßgebliche Rolle für die nationale Sicherheit oder die wirtschaftliche Stabilität spielen. Unternehmen und Organisationen geraten aufgrund ihres strategischen Werts und der potenziellen Auswirkungen ihrer Schädigung ins Fadenkreuz der Angreifer. Dazu gehören Regierungsbehörden, Einrichtungen der kritischen Infrastruktur, Rüstungsunternehmen sowie Anbieter und Lieferanten in der Lieferkette der Angriffsziele.

Konzerne und Regierungsorganisationen werden auch deshalb ins Visier genommen, weil sie über eine enorme Menge an wertvollen Daten verfügen. Zunehmend werden auch kleinere Unternehmen, die Teil der Lieferkette eines größeren Unternehmens sind, zu Zielen solcher Angriffe. Dadurch können die Angreifer letztendlich das eigentliche, größere Ziel infiltrieren.

Die APT-Akteure werfen ihr weit gespanntes Netz über alle Branchen hinweg aus. Ihre hochkarätigen Angriffsziele finden sie in den Bereichen Verteidigung, Finanzen, Recht, Industrie, Telekommunikation und Konsumgüter.

Und so funktioniert es

Advanced Persistent Threats (APTs) unterscheiden sich von anderen Cyberbedrohungen durch ihre Raffinesse und Komplexität, wobei hoch entwickelte Techniken mit häufig verwendeten Social-Engineering-Taktiken wie Phishing oder Spam kombiniert werden. Die Angriffe werden minutiös geplant und ausgeführt, wobei sie sich nach eingehender Recherche der Angriffsfläche des Opfers auf ein einzelnes Ziel konzentrieren. In der Ausführungsphase eines APT-Angriffs geht es darum, so lange wie möglich unentdeckt im Netzwerk zu bleiben. Das kann sich über Wochen und sogar Jahre hinziehen.

Weitere Informationen

Durch den Einsatz kommerzieller und Open-Source-Ressourcen zur Informationsbeschaffung nutzen APTs eine breite Palette von Techniken, von einfacher Malware bis hin zu Spionagewerkzeugen, wie sie auf staatlicher Ebene verwendet werden. Der praxisorientierte Charakter der APTs zeigt sich auch in den verwendeten Methoden. Die manuelle Ausführung wird automatisierten Skripten vorgezogen, da Angreifer versuchen, maßgeschneiderte Angriffe durchzuführen und Verfahren wie dateilose Angriffe nutzen, um sich dann nach Herzenslust zu bedienen.

Häufig werden gängige und äußerst effektive Angriffstechniken wie RFI, SQL Injection und XSS eingesetzt. Zu den Symptomen eines APT-Angriffs gehören Backdoor-Trojaner und, sobald der Angreifer Fuß gefasst hat und in der IT-Umgebung aktiv ist, ungewöhnliche Aktivitäten von Benutzerkonten und Abweichungen bei den Datenströmen.

Bei APT-Angriffen wird häufig speziell angepasste Malware (APT-Malware) eingesetzt. Diese ist so programmiert, dass sie nicht erkannt wird und die Steuerung der manipulierten Systeme aus der Ferne ermöglicht. Die Angreifer verhindern häufig durch Aktualisierung der Tools, Taktiken, Techniken und Verfahren, dass sie entdeckt werden. Selbst wenn Teile des Angriffs schon aufgedeckt wurden, können sich die Bedrohungsakteure so erneut Zugriff verschaffen. Dieser Ansatz des langsamen, behutsamen Vorgehens wird gewählt, um langfristige strategische Ziele wie Spionage, punktuelle Sabotage und Datendiebstahl zu erreichen. Hier geht es nicht um eine unerbittliche Flut von Angriffen oder eine einmalige Aktion wie bei Ransomware.

Arten von APTs

APTs können anhand von verschiedenen Kriterien klassifiziert werden, von ihrer Herkunft und den eingesetzten Methoden bis hin zu den Infiltrationsverfahren oder dem geografischen Schwerpunkt ihres Einsatzes.

Es gibt zwar kein perfektes Muster, anhand dessen jeder Advanced Persistent Threat exakt definiert werden kann, aber die folgenden Kategorien von APTs werden am häufigsten angetroffen und diskutiert:

· Staatlich unterstützte APTs: Mit enormen Budgets und Zugang zu den neuesten Technologien sowie von rechtlicher Seite abgedeckt führen die Urheber dieser Bedrohungen ihre äußerst komplexen, ausgeklügelten Missionen aus. Dazu gehören Langzeitspionage, Datendiebstahl, Manipulation der öffentlichen Meinung usw. Bei den gut etablierten politischen oder militärischen Angriffszielen handelt es sich um Regierungsorganisationen, militärische Einrichtungen, wichtige Infrastruktur, Wirtschaftsakteure und im Wesentlichen alle, die ihnen nutzen können, um ihre langfristigen Ziele zu erreichen.

· Kriminell motivierte APTs: Einige Gruppen, die APT-Akteure agieren, haben eher das Ziel, sich zu bereichern oder wertvolle Daten wie geistiges Eigentum zu stehlen. Diese Daten werden oft zu Erpressungszwecken eingesetzt. Häufig besteht das Endziel dieser Bedrohungsakteure darin, Ransomware in den Netzwerken hochrangiger Angriffsziele zu verbreiten, Bankbetrug zu begehen, Kreditkarteninformationen zu stehlen und zu verkaufen oder sogar über die IT-Infrastruktur der Opfer illegal Kryptowährung zu schürfen.

· Von Hacktivisten eingesetzte APTs: Einige Gruppen betätigen sich als Cyberkriminelle, um ihre politischen Ziele zu verfolgen, sozialen Wandel voranzutreiben oder ihre Ideologie durch gezielte Angriffe zu fördern, mit dem Ziel, Kritiker zum Schweigen zu bringen, Propaganda zu verbreiten oder jegliche Opposition zu unterdrücken. Zu den verwendeten Taktiken gehören DDoS-Angriffe (Distributed Denial-of-Service-Angriffe), Website-Verunstaltungen und die Offenlegung vertraulicher Informationen. Diese Gruppen suchen die Öffentlichkeit, was oft durch Manifeste oder öffentliche Bekundungen zum Ausdruck kommt.

· Von Unternehmen veranlasste APTs: Diese APTs werden von Wirtschaftsunternehmen genutzt oder gesponsert. Dabei werden Wettbewerber ausspioniert, in der Regel auf Konzernebene. Mit dem Aufkommen von APT-as-a-Service bieten nun auch Gruppen von hoch qualifizierten Cyberkriminellen ihre Dienste für Industriespionage an. Die Motivation der Akteure in dieser Kategorie liegt darin, sich einen Wettbewerbsvorteil oder finanziellen Gewinn zu verschaffen oder wertvolle Informationen für die Wirtschaftsspionage zu erhalten.

Phasen eines APT-Angriffs

1. Infiltration – Fuß fassen: In der ersten Phase nutzen die Angreifer Schwachstellen aus oder setzen Social-Engineering-Techniken ein, um sich unbefugten Zugriff zum System zu verschaffen. Die Verfahren reichen hierbei vom Ausnutzen von Zero-Day-Schwachstellen oder Sicherheitslücken im Netzwerk bis hin zu Spear-Phishing, das auf wichtige Personen im Unternehmen abzielt. Ziel ist es, einen diskreten Einstiegspunkt zu schaffen, über den dann der weitere Angriff erfolgen soll.

2. Ausbreitung – Möglichkeiten für Persistenz ausloten: Nach der erfolgreichen ersten Infiltration dringen die Angreifer im internen Netzwerk vor, um ihre Kontrolle zu erweitern und weiteren Zugriff zu erhalten. Dabei suchen sie in der Regel Benutzerkonten mit erweiterten Berechtigungen, um besseren Zugriff auf kritische Systeme und vertrauliche Daten zu erhalten. Unter Umständen nutzen die Angreifer Malware, um ein Netzwerk aus Hintertüren und Tunneln aufzubauen, das es ihnen erleichtert, sich unbemerkt innerhalb des Systems zu bewegen. Mit diesen Bemühungen streben die Angreifer danach, sich in einer zum Erreichen ihrer primären Ziele noch besser geeigneten Position festzusetzen.

3. Extraktion – und weg sind die Daten: In dieser Phase kennen die Angreifer oft bereits die Sicherheitslücken und die Arbeitsweise des Systems. Dadurch ist es ihnen möglich, die benötigten Daten zu sammeln und sie möglicherweise an einem sicheren Ort innerhalb des Netzwerks zu speichern. Um eine Erkennung während der Extraktions-Phase zu verhindern, nutzen die Bedrohungsakteure Ablenkungsmaßnahmen wie DDoS-Angriffe (Distributed Denial-of-Service).

In einigen Fällen ist das Abrufen von Informationen allerdings noch nicht das endgültige Ziel des APT-Angriffs. Stattdessen werden die Ressourcen eingesetzt, um ein wichtiges Projekt, eine Mission oder ein Programm des Angriffsziels zu sabotieren.

Unabhängig von ihrem aktuellen Ziel versuchen die Akteure immer wieder, ihre Spuren zu verwischen, um den unerkannten Zugriff auf das Netzwerk auch für weitere Angriffe nutzen zu können.

APT-Angriffe erkennen und darauf reagieren

Zum Erkennen eines Advanced Persistent Threat ist eine umfassende Sicherheitsstrategie erforderlich, die eine prozess-, workload- und plattformübergreifende Bedrohungssuche, eine sorgfältige Überwachung der gesamten Umgebung und die Analyse des ein- und ausgehenden Netzwerk-Datenverkehrs umfasst. Die Cybersicherheitsteams müssen so gewieft sein, dass sie die subtilen „Signale“ von APT-Aktivitäten erkennen können, wie z. B. beim Austausch von Befehls- und Steuerungsdaten auftretende Muster. Diese schwachen Indikatoren müssen zu einer konsolidierten Bedrohungsanalyse kombiniert werden, auf die Experten schnell zugreifen und reagieren können. Ohne diese Unterstützung können sich die Teams bei der Implementierung von zeitnahen und effektiven Abhilfemaßnahmen sehr schwer tun.

Nach der Erkennung eines Angriffs sollten die Abhilfemaßnahmen sofort und zielgerichtet erfolgen. Das Ziel hierbei ist es, betroffene Systeme zu identifizieren, Hintertüren zu entfernen und ein Vordringen im internen Netzwerk zu verhindern. Die Unternehmen müssen auch Zeit und Mühe in eine sorgfältige Analyse nach einem Sicherheitsvorfall investieren, um die Abwehr von zukünftigen Angriffen zu verbessern. Die Analyse sowohl der technischen Aspekte der Sicherheitslücke als auch der betrieblichen Abläufe ist von zentraler Bedeutung, um das Risikoprofil des Unternehmens zu minimieren.

Es gibt Best Practices, mit denen ein Unternehmen die Sicherheitslücken reduzieren kann, die häufig von APTs ausgenutzt werden. Hierzu gehören unter anderem:

· Minimierung der Angriffsfläche durch regelmäßiges Einspielen von Updates und Patches für Software, Anwendungen und Geräte.

· Implementierung einer umfassenden Überwachung des Netzwerk-Datenverkehrs, von Anwendungen und Domänen sowie Einführung robuster Zugriffskontrollmaßnahmen einschließlich Zwei-Faktor-Authentifizierung, um die wichtigsten Zugangspunkte zum Netzwerk zu sichern.

· Verschlüsselung aller Remote-Verbindungen.

· Gründliche Untersuchung eingehender E-Mails, um die mit Spear-Phishing verbundenen Risiken zu mindern.

· Sofortige Analyse und Protokollierung von Sicherheitsvorfällen, um eine schnelle Identifizierung von Bedrohungen und Abhilfemaßnahmen zu ermöglichen.

Sicherheits- und Präventionsmaßnahmen bei APT-Angriffen

Auf der einfachsten Ebene können regelmäßige Schulungen das vom Faktor Mensch ausgehende Risiko erheblich verringern. Die Menschen sind oft das schwächste Glied in der Verteidigungskette für die Cybersicherheit, und bei APT-Angriffen wird dies häufig durch Social-Engineering-Techniken ausgenutzt. Ein formal festgelegter und verinnerlichter Incident-Response-Plan ermöglicht ein effektives und koordiniertes Vorgehen während einer Sicherheitsverletzung.

APTs (Advanced Persistent Threats) werden ständig weiterentwickelt und stellen somit eine echte Herausforderung für jedes Sicherheitsteam dar. Diese Weiterentwicklung erschwert es ihnen, Bedrohungen zu verfolgen, zu entschärfen und gegen deren Auswirkungen gewappnet zu sein. IT-Sicherheitsteams können mithilfe des MITRE ATT&CK Frameworks, einer globalen Wissensdatenbank, in der die Taktiken und Techniken der Angreifer aufgezeichnet sind, komplexe Bedrohungen erkennen und Abhilfemaßnahmen ergreifen.

Eingeschränkte Budgets und ein anhaltender Mangel an qualifizierten Fachkräften führen dazu, dass SOCs (Security Operations Centers), MSSPs (Managed Security Services Provider) und interne IT-Sicherheitsteams mit unzureichenden Ressourcen zurechtkommen müssen. Die Zunahme ausgeklügelter Cyberangriffe hat dazu geführt, dass immer mehr IT-Sicherheitsteams Daten aus Standard-Erkennungstools in verwertbare Bedrohungsinformationen integrieren.

Durch die Kombination von Daten zur Bedrohungsaufklärung (Threat Intelligence) mit EDR-Systemen (Endpoint Detection and Response) entsteht eine mächtiger Verteidigungsverbund. Wenn EDR um Feeds erweitert und XDR (Extended Detection and Response) genutzt wird, hilft dies den Unternehmen, die Sichtbarkeit aller Netzwerkressourcen und -geräte zu nutzen, um potenzielle Einstiegspunkte für APT-Angriffe zu erkennen.

Eine gründliche Protokollanalyse durch ein Team von Experten kann keine Unterscheidung zwischen böswilligen Aktivitäten und legitimen Aktivitäten in Echtzeit leisten. Daher ist zur effektiven Abwehr von Cyberbedrohungen eine intelligente, automatisierte Cyberabwehrlösung erforderlich, die Informationen zu Cyberbedrohungen und leistungsfähige Abwehrmechanismen zur Verfolgung von Angreifern nutzt.

Viele Unternehmen arbeiten daher mit Cybersicherheitsunternehmen zusammen, um leistungsfähige Verteidigungsstrategien entwickeln zu lassen. Hierbei werden Sensoren eingesetzt und Daten zur Bedrohungsaufklärung, Gefährdungsindikatoren (IOCs) und Web Application Firewalls (WAFs) genutzt. Diese Partnerschaften sind von entscheidender Bedeutung, um für Menschen lesbare Ergebnisse der Bedrohungssuche zu liefern. Dabei wird proaktiv nach Indikatoren für APT-Aktivitäten innerhalb der Multi- oder Hybrid-Cloud-Präsenz eines Unternehmens gesucht.

FAQ

Warum bestand die Cybersicherheits-Community darauf, dass APT-Angriffe von der breiteren Kategorie der Cyberbedrohungen unterschieden werden?

APTs stellen eine Kategorie von Bedrohungen dar, die deutlich komplexer sind, bei denen die Angreifer methodischer vorgehen und die ressourcenintensiver sind als „normale“ Cybersicherheitsvorfälle.

Diese Klassifizierung ergibt sich aus der Notwendigkeit, die spezifischen Herausforderungen von APT-Angriffen zu identifizieren und anzugehen. Die Kampagnen der ATP-Akteure sind nicht immer nur rein opportunistisch oder finanziell motiviert, sondern haben auch strategische Hintergründe und sind dauerhaft wirksam.

Weitere Unterscheidungsmerkmale, durch die sich die APT-Angriffe von anderen unterscheiden, sind ihre langfristig angelegten Infiltrationsstrategien, ihre beträchtliche Finanzierung und die Tatsache, dass sie oft staatlich gefördert werden.

Kann ich irgendwie sicherstellen, dass die APT-Akteure mich nicht als potentielles Angriffsziel betrachten?

Aufgrund ihres oft unvorhersehbaren und strategischen Vorgehens ist es nahezu unmöglich zu garantieren, dass APT-Akteure eine bestimmte Organisation oder Einzelperson nicht als Ziel ins Visier nehmen. Wer einen digitalen Fußabdruck hat, ist potenziellen Angriffen ausgesetzt.

In der heutigen vernetzten Wirtschaft sind selbst die kleinsten KMUs vor solchen Angriffen nicht sicher, da größere Unternehmen über kleinere Firmen in ihrer Lieferkette infiltriert werden können. Daher sind ständige Wachsamkeit, regelmäßige Risikobewertung und die Umsetzung von Cybersicherheitspraktiken die einzigen wirklichen Mittel, um die Wahrscheinlichkeit, ein APT-Angriffsziel zu werden, zu minimieren.

Kann eine Infiltration durch einen APT-Angriff über die absichtliche Platzierung eines Insider-Bedrohungsakteurs innerhalb eines Unternehmens erfolgen?

Unter Insider-Bedrohungsakteuren sind Personen innerhalb eines Unternehmens zu verstehen, die in Vertrauenspositionen agieren. Dabei kann es sich um unzufriedene Mitarbeiter handeln, die politische oder finanzielle Motive haben, oder um gezielt platzierte Agenten. Die Erkennung dieser Insider-Bedrohungsakteure und die Abwehr von deren Angriffen kann äußerst schwierig sein, da sie legitimen Zugriff auf das Netzwerk haben und die Sicherheitspraktiken sehr gut kennen.

Um das Risiko von APT-Infiltrationen möglichst weit zu verringern, können die Unternehmen eine Sicherheitskultur fördern, die auf regelmäßigen Mitarbeiterschulungen, strengen Hintergrundüberprüfungen, der Anwendung des Prinzips der geringsten Rechte bei der Zugriffskontrolle (Zero Trust) und der Überwachung des Mitarbeiterverhaltens mit SIEM-Systemen (Security Information and Event Management) basiert.