Den Cyber-Spionen auf der Spur
Einfache, aber effektive Mittel
Es gibt aber auch ganz einfache Vorkehrungen, um zumindest das Ausmass von APT-Angriffen zu verringern. Gabi Reish von Check Point nennt in diesem Zusammenhang die Segmentierung des eigenen Netzes und als Beispiel den Angriff auf den US-Händler Target. «Dort wurde zuerst der Klimaanlagenlieferant attackiert, allerdings mit dem Ziel, die Kassensysteme von Target selbst anzugreifen. Eine einfache Segmentierung hätte diesen Angriff verhindert. Es gibt keinen Grund, warum die Netze des Zulieferers und Händlers so eng verbunden sein müssen, sodass Malware sich vom einen zum anderen ausbreiten kann», meint Reish. Ein anderes Beispiel seien die Gast-WLANs in vielen Firmen. Auch diese seien oft mit dem Firmennetz verbunden und somit ein offenes Tor für alle möglichen Seuchen. «Warum sollte es vom Gast-WLAN eine Verbindung zum Netz der Finanz- abteilung geben? Segmentierung schafft Abhilfe und ist zudem eine altbekannte Technik», sagt Reish.
Als weitere Gegenmassnahmen nennt Mark Stäheli von Avantec noch restriktive Zugriffsrechte und eine Multi-Faktor-Authentisierung. Und: Sensitive Daten im Unternehmen sollten konsequent verschlüsselt werden – das minimiert zumindest den potenziellen Schaden eines APT-Angriffs.
Bekannte APT-Angriffe
- Operation Aurora: Dieser Angriff fand bereits 2009 statt und ist auch als Google-Hack bekannt, weil Google sich als Opfer geoutet hat. Es wurden aber auch viele andere Hightech-Firmen angegriffen, darunter Adobe, Yahoo und Symantec. Die Hacker nutzten eine Lücke im Microsoft-Browser Internet Explorer 6 aus. Urheber der Attacken war eine Gruppe mit Verbindungen zur chinesischen Armee. Laut IT-Security-Spezialist McAfee war das Ziel der Operation, an sensitive technische Informationen der gehackten Firmen zu kommen, zum Beispiel Programmquelltext.
- RSA-Hack: Die US-Firma RSA wurde im März 2011 attackiert. Den Hackern gelang es, eine Datenbank zu stehlen, in der Seriennummern des Sicherheits-Tokens SecurID mit den geheimen Einschüben (Seeds) verbunden waren, die dafür sorgen, dass jeder Token einzigartig wird. Die Angreifer verschickten Spearphishing-Mails an ausgewählte RSA-Mitarbeiter mit einer verseuchten Excel-Datei namens «Recruitment Plan» im Anhang. Die Abwehrsysteme von RSA funktionierten zwar und bugsierten die Mail in den Spam-Ordner. Die neugierigen Mitarbeiter fischten die Mail aber wieder heraus und öffneten das Attachment. Bemerkenswert: Das finale Ziel war nicht RSA, sondern deren Kunde Lockheed Martin.
- Stuxnet: Der Wurm hatte zum Ziel, das Atomprogramm des Iran zu sabotieren. Er ist ein gutes Beispiel dafür, mit welch langem Atem manche Täter ans Werk gehen. Stuxnet wurde bereits 2007 in Verkehr gesetzt und erst 2010 entdeckt, kurz bevor er in der Urananreicherungsanlage im persischen Natanz ans Werk ging. Stuxnet zeigt auch, wie gezielt APT ablaufen können. Denn obwohl allein im Iran gut 30 000 Rechner von Stuxnet befallen waren, wartete der Wurm ab, bis er sich in der richtigen industriellen Umgebung befand, bevor er aktiv wurde. Stuxnet hatte das Steuer- und Überwachungssystem Simatic S7 von Siemens im Visier, richtete aber nur im Iran Schaden an. Insgesamt 24 Siemens-Kunden berichteten im Nachhinein, ebenfalls infiziert worden zu sein. Bei keinem seien aber Unregelmässigkeiten aufgetreten.