Advanced Persistent Threats (APT)

Hinterlistige Cyberattacken: im Schnitt 200 Tage unbemerkt


Die Schweiz mit ihrer grossen Dichte an internationalen Organisationen und Firmen hat ein erhöhtes Risiko für Cyber-Operationen, hielt MELANI in ihrem Halbjahresbericht zur Sicherheitslage in der Schweiz fest. Dazu gehören auch Advanced Persistent Threats. Cyrill Peter erklärt, wie solche Angriffe ablaufen und wie Unternehmen sich davor schützen können.


Ann-Kristin Koch,




Die Netze der Welt-Anti-Doping-Agentur (WADA) und des Sportschiedsgerichts in Lausanne (TAS) wurden letztes Jahr gehackt. Die Experten mutmassten, dass die Schiedsstelle im Zusammenhang mit dem Ausschluss russischer Athleten wegen Dopings Ziel der Hackergruppe Anonymous Polen geworden war. Die genauen Umstände und die Rolle, welche die Hackergruppe gespielt hat, sind noch nicht restlos geklärt. Solche heimlichen und gut vorbereiteten Attacken nennen Security-Experten Advanced Persistent Threats (APT) und verbinden damit häufig Hackerangriffe, die auch von fremden Regierungen unterstützt werden. "Fancy Bear" nannte sich die Gruppe, die zahlreiche Daten über Athleten auf der ganzen Welt veröffentlichte, die angeblich aus den WADA-Datenbanken stammten.


So herzig der Name, so unbarmherzig sind die Angriffsmethoden. In den vergangenen Jahren wurde bewiesen, dass Advanced Persistent Threats (APT) effiziente Cyberwaffe sind. APT-Attacken werden von den Angreifern gut vorbereitet und sind in den meisten Fällen mit einem beträchtlichen Aufwand und Kosten verbunden. Somit muss das Ziel „attraktiv“ sein: Intellectual Property, sensitive Informationen oder direkte kommerzielle Beute.


APT kommt auf leisen Sohlen

Advanced Persistent Threats sind eine Kombination aus verschiedenen Methoden, die für gezielte Angriffe auf Unternehmen eingesetzt werden. Die Bandbreite reicht von verfügbaren Exploits über das Ausnutzen von Schwachstellen bis hin zu speziell entwickelter Schadsoftware für den Angriff auf eine bestimmte Firma. Dabei sind im Speziellen auch Systeme der mobilen User wie Notebooks und Smartphones betroffen. Attacken finden gezielt auf diesen Endgeräten statt, da diese immer wieder Verbindungen ins Firmennetzwerk aufbauen, um die Ressourcen wie Mail oder File Server vom Unternehmen zu verwenden. Das Schlimmste: Es dauert im Schnitt rund 200 Tage bis ein Unternehmen die Kompromittierungen überhaupt bemerkt. Denn: wirklich gute Attacken sind nicht mehr "laut", sondern eben "leise" und werden deshalb nicht bemerkt - ganz im Sinne der Angreifer.


Doch wie dagegen schützen?

Aktuelle Installationen bestehen meistens aus einer Vielzahl an Sicherheitssystemen wie Firewalls, Intrusion Detection, Antiviren-Scanner. Diese Security-Infrastrukturen sind und bleiben ein wichtiger Bestandteil und müssen als Kette clever aufeinander abgestimmt sein. Sie reichen aber nicht aus, um APT zu erkennen oder zu blockieren. Klassische Systeme erkennen bekannte Angriffe von bekannten Systemen mittels Signaturen - bekannten Mustern. Zero-Day-Attacken, Kommunikation zu verdächtigen Netzwerken, Botnets und Internetdiensten lassen sich so nicht erkennen. Um diese zu identifizieren, braucht es dedizierte und lokal abgestützte Threat Intelligence. Sie dient als relevante Quelle für Security Analytics- und Detection-Lösungen, die mit verschiedenen Mechanismen wie Log-Daten Analyse, Korrelation und Verhaltensanalysen in der Lage sind, Attacken oder infizierte Systeme zu erkennen. Dazu ganz wichtig: top ausgebildete Security-Mitarbeitende, die Informationen schnell und richtig interpretieren und dementsprechend agieren und bei Bedarf weitere Spezialisten aus weiteren IT-Disziplinen beiziehen können.

Advanced Persistent Threats erklärt

APT steht für Advanced Persistent Threat. Bei einem APT wird der Angriff gezielt auf ein bestimmtes Opfer oder zumindest eine stark eingegrenzte Anzahl an Opfern eingegrenzt. Das Instrumentarium ist ebenfalls ausgefeilt: Die APT-Angreifer spielen die gesamte Klaviatur an Techniken und Taktiken, kundschaften das Ziel detailliert aus und optimieren die Angriffsart. Die Angriffe sind hartnäckig: Der erste infizierte Rechner bei einem APT ist das Sprungbrett ins lokale Netz. Hat der Angreifer einmal den Fuss in der Tür, verschafft er sich nach und nach weitere Benutzerrechte und dringt auf andere Rechner im lokalen Netz vor. So lange, bis das eigentliche Ziel, etwa ein PC mit Forschungs- und Entwicklungsdaten, erreicht ist. Dort richtet sich der Angreifer häuslich ein und spioniert sein Opfer über längere Zeit oft unbemerkt aus.


Denken wie Hacker

Gerade den Security-Abteilungen in den Unternehmen kommt eine Schlüsselrolle zu. Haben Sie bisher mehrheitlich die Security-Systeme à jour gehalten, so werden sie zunehmend in die Schuhe der Angreifer schlüpfen müssen. Das heisst: Denken wie Hacker, um ihnen einen Schritt voraus zu sein. Wer diese Ressourcen nicht hat, kann professionelle Hilfe von spezialisierten Security Service Providern beziehen. Diese haben nicht nur die richtigen Tools, sondern vor allem auch Experten, die Rund-um-die-Uhr die Systeme im Blick haben, Security Events effizient interpretieren und Massnahmen zur Bereinigung von Security Incidents einleiten.




Mehr zum Thema