Generell wächst mit der fortschreitenden Digitalisierung in immer mehr Unternehmen, auch die Internetkriminalität zunehmend. Nach einer aktuellen Studie der Bitkom über digitale Spionage, Sabotage und Datendiebstahl, gaben 68% der befragten Unternehmen in Deutschland an, in den letzten zwei Jahren von Cyberkriminalität betroffen gewesen zu sein (Stand: Oktober 2018).
Die fünf Stufen eines APT-Angriffs
Im Gegensatz zu „gewöhnlichen“ Viren- und Spamattacken, bei denen Hacker eine große Anzahl infizierter E-Mails versenden, um zufällige Opfer zu treffen, sucht eine APT-Gruppierung vorsätzlich nach einem, für ihre Motive ausgewählten, hochrangigem Ziel. Dabei gehen die Angreifer nach einem klassischen Muster vor, welches sich in 5 Stufen unterteilen lässt:
1. Erkunden und Recherchieren
Ist ein Ziel ausgewählt, geht es in dieser ersten Phase des Angriffs darum, möglichst viele Informationen über das Unternehmen oder die Organisation zu sammeln. Hierbei greifen die Hacker besonders auf Unternehmenswebsites, Social Media und andere öffentliche zugängliche Quellen zu, um mögliche Einstiegsmöglichkeiten in die Systeme des Ziels zu finden.
2. Einfall in das System
Hat der Angreifer eine gute Vorstellung über die Struktur seines Angriffsziels gewonnen und in Erfahrung gebracht, welche IP-Adressen, Domains und Systeme in welcher Art miteinander verbunden sind, kann er detailliert nach Schwachstellen suchen. Um letztendlich Zugriff zu den Systemen des Ziels zu erhalten, bedienen sich die Hacker verschiedener Methoden: Social Engineering, wie CEO-Fraud & Phishing sowie Ransomware, Blended und Targeted Attacks gehören zu den Bekanntesten. So geht es beim Thema Cyber-Sicherheit nicht nur um Computersysteme und Netzwerke – APT-Gruppierungen nutzen häufig den „Faktor Mensch“ als Schwachstelle, indem menschliche Eigenschaften wie Hilfsbereitschaft und Vertrauen ausgenutzt werden. Eine aktuelle Befragung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat ergeben, dass jeder sechste Mitarbeiter auf eine gefälschte E-Mail der Chefetage antworten und sensible Unternehmensinformationen preisgeben würde.
3. Ausspähen und Ausbreiten
Sobald die Hacker Zugriff auf das System haben, operieren die Angreifer üblicherweise möglichst zurückhaltend, um nicht entdeckt zu werden. Die Sicherheitsvorkehrungen und eingesetzte Software des Unternehmens werden identifiziert, sodass weitere Sicherheitslücken zur Ausweitung des Zugriffs der Angreifer auf das Netzwerk genutzt werden können. Mithilfe von Keyloggern und den gefundenen Daten wird versucht, Passwörter herauszufinden und so Zugänge zu weiteren Datensätzen und Systemen herzustellen.
4. Ausführung des Angriffs
Die Täter greifen auf die ungeschützten Systeme zu und agieren nun gemäß ihrer Motivation und Zielsetzung für diesen Angriff. So können beispielsweise sensible Unternehmensdaten über einen längeren Zeitraum hinweg erfasst und/oder Malware im IT-System installiert werden. Auch das Lahmlegen von Systemen und damit den betrieblichen Abläufen ist eine Option.
5. Herausfiltern und Analyse der Daten
Die erhobenen Daten und Informationen werden an die Basis der APT-Gruppe gesendet und dort analysiert. Um weiterhin, jederzeit und vor allem unbemerkt Zugriff auf das infizierte System des Unternehmens zu haben, kann von den Angreifern eine Art „Hintertür“ installiert werden.
Erkennen und Verhindern von APTs
Vor allem bei solch individualisierten und manuellen Vorgehensweisen, sollte der Fokus der IT-Sicherheit auf der gezielten Detektion sowie unmittelbaren Reaktion auf mögliche Angriffsversuche liegen. Bei der täglichen Flut an E-Mails, die in einem Unternehmen ein- und ausgehen, ist eine manuelle Überwachung einzelner Anhänge oder Inhalte die bspw. auf CEO-Fraud hindeuten, nicht zu bewältigen.Vielleicht ebenfalls für Sie von Interesse:
- Weitere Informationen zum Thema Cybersicherheit finden Sie ab sofort in der Hornetsecurity Wissensdatenbank.
- Hornetsecurity Service zum Schutz vor Advanced Persistent Threats: Advanced Threat Protection