APT
16.06.2016, 07:43 Uhr
Den Cyber-Spionen auf der Spur
Mit Hilfe von «Advanced Persistent Threat»-Methoden (APT) unterwandern Cyber-Spione die Firmen-IT und versuchen Unternehmensgeheimnisse zu stehlen. Computerworld zeigt auf, wie APT-Angriffe funktionieren und welche Abwehrmethoden es gibt.
(Quelle: Archiv CW)
Stellen Sie sich einen Parasiten vor, der haargenau auf Ihre DNA zugeschnitten ist, sich dauerhaft festsetzt und lange Zeit unentdeckt bleibt. Ungefähr so verhalten sich Advanced Persistent Threats (APT). Dass auch Ihr Unternehmen einer solchen «fortgeschrittenen, andauernden Bedrohung» (so die wörtliche Übersetzung) zum Opfer fällt, ist gar nicht so unwahrscheinlich. Die Angreifer könnten von überallher kommen, auch von der Konkurrenz. Selbst kleinere, unbekannte Firmen sind den Kriminellen dabei nützlich – als Zwischenwirt, um den Angriff in aller Ruhe weiterzuentwickeln.
Das Perfide an APT ist gerade die Langfristigkeit. «Ziel der Angreifer ist es, möglichst lange unbemerkt zu bleiben, um an klar definierte Informationen zu gelangen», so Andreas Jaggi, Lead Security Engineer Network Services beim Zürcher IT- Sicherheitsanbieter Open Systems. Es gehe eben nicht um schnellen Diebstahl, sondern ums langfristige Ausspionieren. Gabi Reish, verantwortlich fürs Produktmanagement bei Check Point, kennt Fälle, bei denen sich die Malware jahrelang in der Infrastruktur verstecken konnte.
Auch Mark Stäheli, Mitglied der Geschäftsleitung beim Zürcher Anbieter für IT-Security-Lösungen Avantec, geht davon aus, «dass viele Unternehmen gar nicht wissen, dass sie betroffen sind». Genau darin liege auch das grösste Problem: «Bleiben die Angriffe monatelang unentdeckt, können sie sehr grossen Schaden anrichten.»
Jeder ist ein potenzielles Opfer
Jeder ist ein potenzielles Opfer Doch wann gilt eine Bedrohung als «advanced», also als besonders raffiniert? «Oftmals werden diese Angriffe auf die jeweiligen Opfer massgeschneidert», erklärt Ernesto Hartmann, Head of Security Operations beim Baarer Cyber-Security-Spezialisten InfoGuard. Das heisst, der Angreifer muss das Opfer im Vorfeld schon sehr gut kennen. Aber auch sogenannte opportunistische Attacken, bei denen die Angreifer weniger gezielt vorgehen, werden heute teilweise als APT bezeichnet. Laut Hartmann ist der Übergang fliessend, «denn auch herkömmliche Angriffe machen vermehrt Gebrauch von fortgeschrittenen Methoden und die Persistenz wird immer wichtiger». Einmal infizierte Geräte lassen sich zum Beispiel im kriminellen Untergrund vermieten, und zwar sowohl opportunistisch als Bestandteil eines Botnets für DDoS-Attacken als auch gezielt. Damit wird auch klar, dass kaum eine Firma vor APT gefeit ist. Diese Angriffsform betrifft längst nicht nur Unternehmen, bei denen es eindeutig etwas zu holen gibt.
Im Fokus stehen allerdings besonders solche Unternehmen, die wertvolle Assets in Form von Daten besitzen, sagt Stäheli und präzisiert: «Das können persönliche Kundendaten sein, Finanzinformationen, aber vor allem auch geistiges Eigentum, Gesundheitsdaten oder hochsensitive Regierungsgeheimnisse.»