Was haben die Olympischen Winterspiele, der Informationsverbund Berlin-Bonn und große sowie kleine und mittelständische Unternehmen gemeinsam? Sie alle waren und sind noch immer Ziel von hochwertigen Cyberangriffen, die darauf aus sind, interne Prozesse auszuspionieren, zu sabotieren und wichtige sowie geheime Daten zu stehlen bzw. zu kopieren. Das alles möglichst unbemerkt und über einen längeren Zeitraum hinweg. Hierbei handelt es sich um „fortgeschrittene, andauernde Bedrohungen“, allgemein bekannt als „Advanced Persistent Threat“ (APT).

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

„Fortgeschritten“ sind die Angriffe deshalb, weil dem Angreifer große Mengen an Zeit und Geld und damit Informationen und Entwicklungskapazitäten zur Verfügung stehen. Für die „Opfer“ ist der Eingriff in ihre IT-Infrastruktur kaum nachvollziehbar und schwer auffindbar, sodass sich der Eindringling über mehrere Wochen oder sogar Monate hinweg im internen Netz unerkannt bewegen kann. Bei den Cyberkriminiellen handelt es sich oftmals um ganze Gruppierungen und nicht selten stehen Wettbewerber, Organisationen oder sogar Staaten hinter den ausgeklügelten Attacken.

Ihre Motive sind sehr unterschiedlich und reichen von Kopieren von möglichst vielen, detaillierten Informationen über interne Unternehmensdaten sowie Angaben zu militärischen und politischen Sachverhalten, bis hin zu finanzieller Bereicherung in Form von Finanz- und Kreditkartendiebstahl. In Deutschland warnte das Bundesamt für Verfassungsschutz erst vor Kurzem vor einer erneuten APT-Angriffswelle auf deutsche Medienunternehmen und Organisationen im Bereich der Chemiewaffenforschung.

Generell wächst mit der fortschreitenden Digitalisierung in immer mehr Unternehmen, auch die Internetkriminalität zunehmend. Nach einer aktuellen Studie der Bitkom über digitale Spionage, Sabotage und Datendiebstahl, gaben 68% der befragten Unternehmen in Deutschland an, in den letzten zwei Jahren von Cyberkriminalität betroffen gewesen zu sein (Stand: Oktober 2018).

Die fünf Stufen eines APT-Angriffs

Im Gegensatz zu „gewöhnlichen“ Viren- und Spamattacken, bei denen Hacker eine große Anzahl infizierter E-Mails versenden, um zufällige Opfer zu treffen, sucht eine APT-Gruppierung vorsätzlich nach einem, für ihre Motive ausgewählten, hochrangigem Ziel. Dabei gehen die Angreifer nach einem klassischen Muster vor, welches sich in 5 Stufen unterteilen lässt:

1. Erkunden und Recherchieren

Ist ein Ziel ausgewählt, geht es in dieser ersten Phase des Angriffs darum, möglichst viele Informationen über das Unternehmen oder die Organisation zu sammeln. Hierbei greifen die Hacker besonders auf Unternehmenswebsites, Social Media und andere öffentliche zugängliche Quellen zu, um mögliche Einstiegsmöglichkeiten in die Systeme des Ziels zu finden.

2. Einfall in das System

Hat der Angreifer eine gute Vorstellung über die Struktur seines Angriffsziels gewonnen und in Erfahrung gebracht, welche IP-Adressen, Domains und Systeme in welcher Art miteinander verbunden sind, kann er detailliert nach Schwachstellen suchen. Um letztendlich Zugriff zu den Systemen des Ziels zu erhalten, bedienen sich die Hacker verschiedener Methoden: Social Engineering, wie CEO-Fraud & Phishing sowie Ransomware, Blended und Targeted Attacks gehören zu den Bekanntesten. So geht es beim Thema Cyber-Sicherheit nicht nur um Computersysteme und Netzwerke – APT-Gruppierungen nutzen häufig den „Faktor Mensch“ als Schwachstelle, indem menschliche Eigenschaften wie Hilfsbereitschaft und Vertrauen ausgenutzt werden. Eine aktuelle Befragung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat ergeben, dass jeder sechste Mitarbeiter auf eine gefälschte E-Mail der Chefetage antworten und sensible Unternehmensinformationen preisgeben würde.

3. Ausspähen und Ausbreiten

Sobald die Hacker Zugriff auf das System haben, operieren die Angreifer üblicherweise möglichst zurückhaltend, um nicht entdeckt zu werden. Die Sicherheitsvorkehrungen und eingesetzte Software des Unternehmens werden identifiziert, sodass weitere Sicherheitslücken zur Ausweitung des Zugriffs der Angreifer auf das Netzwerk genutzt werden können. Mithilfe von Keyloggern und den gefundenen Daten wird versucht, Passwörter herauszufinden und so Zugänge zu weiteren Datensätzen und Systemen herzustellen.

4. Ausführung des Angriffs

Die Täter greifen auf die ungeschützten Systeme zu und agieren nun gemäß ihrer Motivation und Zielsetzung für diesen Angriff. So können beispielsweise sensible Unternehmensdaten über einen längeren Zeitraum hinweg erfasst und/oder Malware im IT-System installiert werden. Auch das Lahmlegen von Systemen und damit den betrieblichen Abläufen ist eine Option.

5. Herausfiltern und Analyse der Daten

Die erhobenen Daten und Informationen werden an die Basis der APT-Gruppe gesendet und dort analysiert. Um weiterhin, jederzeit und vor allem unbemerkt Zugriff auf das infizierte System des Unternehmens zu haben, kann von den Angreifern eine Art „Hintertür“ installiert werden.

Erkennen und Verhindern von APTs

Vor allem bei solch individualisierten und manuellen Vorgehensweisen, sollte der Fokus der IT-Sicherheit auf der gezielten Detektion sowie unmittelbaren Reaktion auf mögliche Angriffsversuche liegen.
Bei der täglichen Flut an E-Mails, die in einem Unternehmen ein- und ausgehen, ist eine manuelle Überwachung einzelner Anhänge oder Inhalte die bspw. auf CEO-Fraud hindeuten, nicht zu bewältigen.

Mit Hornetsecurity Advanced Threat Protection sorgen innovative forensische Analyse Engines für eine Echtzeit-Überwachung der Unternehmenskommunikation und unterbinden Attacken unmittelbar. Der APT Service wird direkt in das Mail Security Management integriert und bietet neben dem Spam- und Virenfilter Schutzmechanismen wie Sandbox, URL Rewriting, URL Scanning, Freezing und Targeted Fraud Forensics. Wichtig bei einem möglichen Angriff ist die unverzügliche Benachrichtigung des IT-Sicherheitsteams eines Unternehmens, mit spezifischen Details zu Art und Ziel der APT Attacke, dem Absender und weshalb die E-Mail abgefangen wurde. Hornetsecurity ATP ist dank Real Time Alerts in der Lage, das IT-Sicherheitsteam eines Unternehmens in Echtzeit über akute Angriffe zu informieren. Diese aktuelle Information kann direkt vom Unternehmen zur Gegensteuerung genutzt werden, sodass Sie in kürzester Zeit Ihre Sicherheitslücken schließen und zusätzliche Schutzmaßnahmen aufbauen können.

Vielleicht ebenfalls für Sie von Interesse: