Zwei Hände bedienen eine Tastatur vor mehreren Bildschirmen mit Code
Security

So schützen Sie sich vor Advanced Persistent Threats (APTs)

Advanced Persistent Threats (APTs) gehören zu den gefährlichsten Cyber-Bedrohungen, denen Unternehmen und Organisationen ausgesetzt sind. Die Angriffe dienen gezielt dazu, Geschäftsdaten sowie Betriebsgeheimnisse auszuspähen.

Wie APT-Angriffe funktionieren, welchen Hintergrund sie haben und welche Gegenmaßnahmen Sie ergreifen können, erfahren Sie in diesem Beitrag.

Inhaltsverzeichnis

Was sind Advanced Persistent Threats (APTs)?

Übersetzt bedeutet Advanced Persistent Threats „fortschrittliche anhaltende Bedrohungen“, was die nachhaltige Absicht dieser Form von Cyberattacken recht gut beschreibt. APT-Angriffe sind meist auf dauerhaften Informationsdiebstahl angelegt und für die betroffenen Unternehmen eine große Gefahr.
APTs sind nicht darauf ausgelegt, sofortigen Schaden in den IT-Strukturen von Opfern anzurichten. Stattdessen geht es bei dieser Art von Cyber-Attacke um dauerhafte Spionage und den Diebstahl großer Informationsmengen über einen längeren Zeitraum. Diese Vorgehensweise unterscheidet APT-Angriffe von Cyber-Angriffen, wie sie beispielsweise über Malware oder Botnetze erfolgen.
Gegenüber klassischen Cyber-Bedrohungen kommen bei APTs komplexe Methoden und Werkzeuge zum Einsatz, die häufig spezifisch für diesen Einsatz entwickelt wurden. Die gezielten Angriffe sind meist von langer Hand vorbereitet. Klassische Cyber-Angriffe richten sich hingegen oft unspezifisch an mehrere Adressaten und versuchen nach dem Zufallsprinzip, Sicherheitslücken aufzudecken und auszunutzen.
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

APT-Attacken sind ein Werkzeug der Staats- und Industriespionage. Auf Unternehmensebene kann das Ziel darin liegen, Wettbewerbsvorteile gegenüber Mitbewerbern zu erlangen. Auf staatlicher Ebene sind klassische Szenarien für APT-Angriffe die Informationsbeschaffung oder die Sabotage kritischer Infrastrukturen.

So funktioniert ein APT-Angriff

APT-Angriffe erfolgen meist nach einem festen Schema. Sie werden häufig von Gruppen oder Teams von Hacker:innen umgesetzt, bei denen jedes Teammitglied einen eigenen Aufgabenbereich hat.
Stadtansicht mit Symbolen für Verkehrsmittel

Mobile Cyber Security für Ihr Business

Mit unseren Ready Business-Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.

  • Sichere Kommunikation
  • Für Homeoffice und Büro
  • Globales, sicheres Log-in-Verfahren
Ähnlich wie bei militärisch organisierten Operationen sorgten die Koordination und die gezielte Vorgehensweise in der Vergangenheit dafür, dass selbst geschützte Ziele Opfer dieser Cyber-Kriminellen wurden. Die Vorgehensweise teilt sich dabei in einzelne Abschnitte auf:
  • Zugang: Zunächst verschaffen sich die Angreifer:innen einen Überblick über die Zugangsmöglichkeiten. Angriffe erfolgen danach in den meisten Fällen über das Internet mittels Spear-Phishing-E-Mails oder eine Schwachstelle in der Software des Ziels. Durch diese schleusen Cyberkriminelle Schadsoftware ein, um die „Tür offen zu halten“.
  • Etablierung: Sobald der Zugang eingerichtet ist, führen die Angreifer:innen Erkundungen innerhalb des Netzwerks aus. Mittels der verwendeten Malware erzeugen sie Subnetzwerke und Tunnel, durch die sie sich unbemerkt innerhalb einer größeren Netzwerkinfrastruktur bewegen können.
  • Ausbau: Innerhalb der infiltrierten Infrastruktur beginnen die Hacker:innen mit dem Knacken von Passwörtern und der Überwindung weiterer Zugangsbeschränkungen, um administrative Rechte zu erlangen. Damit erhalten sie eine weitreichende Kontrolle über Systemfunktionen und können ihren Zugang weiter ausbauen.
  • Breite: Angreifer:innen können sich mit administrativen Rechten nahezu ungehindert im Zielnetzwerk bewegen. Aus dieser Sicherheit heraus versuchen sie, den Zugang zu weiteren Servern oder besonders geschützten Netzwerkbereichen herzustellen.
  • Datensammeln: Das Ziel des APT-Angriffs ist in der Regel der großangelegte und kontinuierliche Diebstahl von Daten. Die Angreifer:innen sammeln, verschlüsseln und komprimieren diese Zieldaten.
  • Extraktion: Im nächsten Schritt extrahieren sie die Beutedaten auf eigene Systeme. Dieser Schritt kann einmalig erfolgen oder beliebig oft wiederholt werden.
  • Unbefristeter Aufenthalt: Die Hacker:innen bleiben in der Regel so lange in einem infiltrierten System, bis sie entdeckt werden. Wollen sie sich nicht permanent in einem Netzwerk einrichten, können sie auch eine „Hintertür“ anlegen, durch die sie bei Bedarf zu einem späteren Zeitpunkt erneut auf das System zugreifen.
Die Phasen eines Advanced-Persistents-Threat-Angriffs, dargestellt durch Symbole: Zugang, Etablierung, Ausbau, Breite, Datensammlung und Extraktion
APT-Attacken folgen meist einem festen Schema und reichen von der Auskundschaftung eines Ziels bis zum konkreten Datendiebstahl.

So erkennen Sie Advanced Persistent Threats

Advanced Persistent Threats sind schwer zu erkennen, da die Angreifenden häufig nicht nur über einen einzelnen Zugangspunkt in ein System eindringen. Dennoch existieren einige charakteristische Merkmale für APTs. Die wichtigsten führen wir nachfolgend in alphabetischer Reihenfolge auf einen Blick auf:
  • Backdoor-Trojaner: Spüren Ihre Antivirenprogramme so genannte Backdoor-Trojaner im System auf, könnte das bedeuten, dass Ihre Systeme bereits infiltriert worden sind. Die Trojaner-Software dient zur Etablierung eines dauerhaften Zugangs zu Ihrem Netzwerk.Diese „Hintertür” steht gewissermaßen ständig offen und dient als Durchlass für die Remote-Verbindung der Angreifer:innen sowie für den Empfang der gestohlenen Daten. Rootkits nahe dieser Tür sorgen oft dafür, dass der unautorisierte Zugriff unbemerkt bleibt. Selbst wenn Sie die Anmeldedaten Ihres Netzwerks ändern, kann diese Verbindung bestehen bleiben.
  • Exportbereite Daten: Die Angreifer:innen erstellen häufig große komprimierte Dateien, um diese auf Ihre eigenen Rechner zu exportieren. Wenn Sie oder Ihre IT-Expert:innen etwas Derartiges entdecken, vielleicht sogar in einem ungewöhnlichen Dateiformat, könnten Sie auf das „Diebesgut“ eines APT-Angriffs gestoßen sein.
  • Informationstransfer: Die IT-Administration sollte den Datenaustausch innerhalb des Netzwerks und zu externen Rechnern stets überwachen. Findet sie Daten an ungewöhnlichen Orten oder werden ungewöhnliche Mengen an Dateien an einen externen Rechner übertragen, kann das ein Hinweis auf einen APT-Angriff sein.
  • Spear-Phishing: Durch gezielte Recherchen finden Hacker:innen heraus, mit welcher Art von Phishing-E-Mail sich das Interesse von Mitarbeiter:innen des Unternehmens wecken lässt. Sie recherchieren und verwenden zum Beispiel persönliche Informationen oder vermeintlich bekannte Kontakte und verleiten Ihre Mitarbeiter:innen gezielt zu einer Reaktion. Diese Vorgehensweise ist auch unter dem Begriff „E-Mail-Spoofing“ bekannt.
  • Ungewöhnliche Account-Aktivitäten: Ihre IT verfolgt gewöhnlich die Anmeldungen in Ihrem Netzwerk. Erfolgen diese in ungewöhnlich großer Zahl oder außerhalb der normalen Zeiten, ist dies ein Warnzeichen – erst recht, wenn diese vermeintlich von Führungspersonen des Unternehmens stammen. APT-Angriffe erfolgen häufig zu Uhrzeiten, in denen sich wenige Personen im Netzwerk aufhalten, um die Chance auf eine Entdeckung zu senken.
  • Zero Day Exploits: Diese Art von Sicherheitslücken ist nur dem oder der Entdecker:in der Schwachstelle bekannt. Die Öffentlichkeit und auch der Hersteller des betroffenen Produkts erfahren erst von der Schwachstelle, wenn diese zu erfolgreichen Hacks geführt hat und dadurch bemerkt wurde. Der Begriff „Zero-Day“ leitet sich von dem fiktiven „Tag Null“ ab, den Hersteller als Zeitfenster zur Schließung der Sicherheitslücke haben, bevor Nutzer:innen Schaden nehmen können. Dadurch wird die Gefährlichkeit derartiger Exploits hervorgehoben.
Arbeiter mit Helm schaut auf sein Smartphone

Mobiler Virenschutz für Mitarbeiter:innen

Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

  • Ohne Installation, direkt im Netz
  • Schützt von Viren und Pishing
  • Automatisch auf dem neusten Stand

APT-Groups: Organisierter Spionagering oder Hobby-Hack-Gemeinschaft?

APTs sehen es zielgerichtet auf Datendiebstahl „im großen Stil“ ab. Sie bedrohen in erster Linie größere Unternehmen und Organisationen sowie die IT-Infrastruktur von Staaten. Dementsprechend handelt es sich bei den Angreifer:innen nicht um einzelne Hacker:innen oder Kriminelle, die auf einen schnellen Diebstahl oder Betrug aus sind, wie beispielsweise beim Betrug durch Spam-Mails.
In den meisten Fällen, jedoch nicht ausschließlich, handelt es sich bei APT-Attacken um organisierte Spionage mit einem klaren Auftrag. Die wichtigsten sind:
Industriespionage: Der Diebstahl von Daten durch ein konkurrierendes Unternehmen ist ein Klassiker der Industriespionage. Dies kann Planungen zu Projekten und der Unternehmensstrategie, Pläne und technische Daten zu Produkten und Prototypen, Informationen über die Geschäftsdaten oder vertrauliches Wissen bezüglich der internen Unternehmenspolitik umfassen. Auftraggeber:innen verschaffen sich damit einen illegalen Wettbewerbsvorteil oder erpressen das Opfer.
Staatliche Spionage: Noch eine Ebene höher geht es bei einem APT-Angriff auf staatlicher Ebene. Ein als Ziel auserkorener Staat bietet viele lohnende Angriffsmöglichkeiten: Informationen zur kritischen Infrastruktur (wie Energienetze und Versorgungswege), Verteidigungsmaßnahmen (zum Beispiel militärische Infrastruktur, Standorte, Cyber-Security), staatliche Behörden jedweder Art, persönliche Informationen zu Funktionsträger:innen. Die geraubten Informationen können gezielten (Cyber-)Angriffen, Erpressung oder der Erzeugung politischen Drucks dienen.
„Hacktivismus“: So genannte „Hacktivist:innen“ handeln häufig im Auftrag von Nichtregierungsorganisationen oder der Presse. Ihr Ziel besteht darin, sensible Information zu kriminellen Machenschaften, Korruption oder moralisch verwerflichen Handlungen von Organisationen und Einzelpersonen zu erlangen. Ziel ist die Veröffentlichung, um bislang unbekannte (und möglicherweise kriminelle) Handlungen der Opfer publik zu machen und diese damit zu schwächen.
Gelddiebstahl: Meistens auf einer niedrigeren Ebene angesiedelt ist der vermeintlich profane Diebstahl von Geld oder Unternehmenswerten. Hier sind besonders kleine und mittelständische Unternehmen gefährdet: Hacker:innen können durch den bei einem APT-Angriff möglicherweise unbeschränkten Zugang zu den finanziellen Ressourcen des Opfers ganze Konten plündern und enormen Schaden anrichten.
Die meisten APT-Gruppen haben keinen Namen und arbeiten eher im Verborgenen. Dennoch sind einige der Angriffe charakteristisch für bestimmte Verursacher, die dann über eine laufende Nummer klassifiziert werden. Im Nachhinein lassen sich diesen Nummern dann auch weitere Details wie das Herkunftsland, bevorzugte Ziele und Angriffsmethoden zuordnen. Die nachfolgenden Gruppen sind nur eine kleine Auswahl der aktivsten und gefährlichsten Gruppen, die durch den IT-Sicherheitsdienstleister Fireeye identifiziert wurden:
APT10 ist vermutlich chinesischen Ursprungs und sucht sich meist Angriffsziele aus der Bauwirtschaft und dem Ingenieurwesen sowie der Luft- und Raumfahrtindustrie, von Telekommunikationsunternehmen sowie Regierungsbehörden in den USA, Europa und Japan.
APT39 operiert mutmaßlich vom Iran aus und greift weltweit Ziele an. Bislang werden der Gruppe hauptsächlich Aktionen gegen die Telekommunikations- und Tourismusbranche und damit verbundene IT-Unternehmen vorgeworfen.
APT40 ist eine chinesische Cyberspionagegruppe und konzentriert sich vorwiegend auf Länder, die für die so genannte „neue Seidenstraße“ strategische Bedeutung haben. In der Vergangenheit richteten sich Aktionen dieser Gruppe auch gegen regionale Ziele in Südostasien.
APT41 werden seit 2012 Cyber-Angriffe in mindestens 14 Ländern vorgeworfen, deren Ursprung in China liegt. Die Kampagnen zielen dabei auf Unternehmen des Gesundheitswesens sowie der Telekommunikations- und Hightech-Branche. Besonderen Fokus legen die Hacker:innen dabei auf den Diebstahl geistigen Eigentums. Dabei schreckt die Gruppe auch nicht davor zurück, gezielt Einzelpersonen von Unternehmen als Ziel Ihrer Attacken zu verfolgen und zu schädigen.
Junger Mann im Home Office schaut auf seinen Notebook-Bildschirm

Identitätsprüfung leicht gemacht

Nicht sicher, ob eine Person die ist, für die sie sich ausgibt? Mit den Vodafone Identity Verification Services haben Cyber-Kriminelle beim Identitätsbetrug keine Chance.

  • Unrechtmäßige Zugriffe entdecken
  • Identitätsdiebstähle aufdecken
  • Konten und Daten wirksam schützen

So wehren Sie APTs ab

Advanced Persistent Threats sind eine Gefahr, der Unternehmen und Organisationen jedoch nicht schutzlos ausgeliefert sind. Es gibt jedoch nicht „die eine” wirkungsvolle Maßnahme, um APTs-Angriffe zu verhindern. Es reicht für Sie daher nicht, eine gute Antivirensoftware und leistungsfähige Firewalls zu betreiben, um ausreichend geschützt zu sein.
Stattdessen gewährt einzig eine Kombination aus unterschiedlichen Technologien und Sicherheitsmaßnahmen eine APTs-Abwehr, die es Angreifer:innen erschwert, sich in Ihren Systemen einzunisten. Ein Beispiel dafür ist die Zero-Trust-Architektur: Perimeter bezeichnen die Trennlinie zwischen unterschiedlichen Netzwerken. Ein perimeterloses Sicherheitskonzept vertraut prinzipiell keinen Authentifizierungen, überprüft diese immer wieder und erlaubt es nicht, sich schrankenlos innerhalb eines Netzwerks zu bewegen.
Des Weiteren sollten Sie sich auf den Schutz vor Spam-E-Mails konzentrieren – und den umsichtigen Umgang mit direkt an Mitarbeiter:innen adressierte Schreiben unbekannter Herkunft. Der allergrößte Teil der APTs-Attacken verwendet Spear-Phishing als Ausgangspunkt.
Eine APT-Security-Strategie sollte aus diesem Grund eine umfassende Erkennungslösung beinhalten, die nach gezielten Bedrohungen in eingehenden E-Mails sucht. Wird ein APTs-Angriff erkannt, kann ein entsprechender Spamfilter derartige E-Mails isolieren. Aus den Inhalten können Security-Profis im Abschluss herauslesen, welche Benutzer:innen Ihres Unternehmens auf welche Weise angegriffen wurden.
Stadtansicht mit Symbolen für Verkehrsmittel

Mobile Cyber Security für Ihr Business

Mit unseren Ready Business-Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.

  • Sichere Kommunikation
  • Für Homeoffice und Büro
  • Globales, sicheres Log-in-Verfahren

Drei Schritte zum Schutz vor APT-Angriffen

Ein wirksamer Schutz gegen Advanced Persistent Threats sollte die folgenden drei Aspekte berücksichtigen:
  • Überwachung: Haben Sie stets den kompletten Überblick über Ihre geschäftlich gespeicherten Daten: Wo sind die Geschäftsdaten gespeichert und wer kann darauf zugreifen? Wer administriert die Firewall und Anmeldeinformationen? Wer greift auf das Unternehmensnetzwerk und auf sensible Daten zu?
  • Analyse: Datensicherheitsanalysen bieten Erkenntnisse darüber, welche Aktivitäten innerhalb Ihres Unternehmensnetzwerks normal und welche ungewöhnlich sind. Ihre IT-Security sollte immer einen Aktionsplan beziehungsweise ein IT-Notfallhandbuch besitzen.
  • Perimeterschutz: Sie sollten den Zugriff auf Zugangspunkte und Räumlichkeiten streng beschränken und kontrollieren. Dabei ist es egal, ob Sie klassische perimeterbasierte oder perimeterlose (umgebungsbezogene) Netzwerksicherheit einsetzen.
Ein Mann mit Kapuze sitzt vor einer Tastatur, im Vordergrund grüne Viren- und Datensymbole

Risikofreies Cloud-Computing: Vodafone Total Cloud Security

Immer mehr DDoS-Attacken, professionellere Hacker-Angriffe, gestiegene Compliance-Anforderungen – nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen als heute.

Unser DDoS Mitigation Service analysiert einlaufenden Traffic und alarmiert Sie automatisch bei drohenden Attacken. Mit Managed Firewall bekommen Sie umfassenden hardware-dedizierten Schutz vor IT-Gefahren. Außerdem verfügen wir über die ISO 27001-Zertifizierung für Cloud & Hosting Services und für Rechenzentrums-Dienstleister in Deutschland.

Das Wichtigste zu Advanced Persistent Threats im Überblick

  • APT-Angriffe erfolgen meistens durch gut organisierte Hacking-Gruppen auf die IT-Strukturen von großen Unternehmen und staatlichen Einrichtungen.
  • Eine APT-Attacke zielt auf den andauernden Diebstahl von Informationen ab. Industriespionage und die Kenntnis über sensible staatliche Infrastrukturen (zum Beispiel im Bereich der Energieversorgung) stellen die Hauptziele dar.
  • Angreifer:innen breiten sich unsichtbar in Netzwerken aus und bleiben bis zur Entdeckung im System.
  • Bevor es zu einem Angriff kommt, gibt es Warnzeichen: Zum Beispiel zielgerichtete Spear-Phishing-Mails an Funktionsträger:innen eines Unternehmens, verdächtige Account-Aktivitäten und verschobene Datenbestände weisen auf einen APT-Angriff hin.
  • Ihr Unternehmen ist APT-Attacken nicht schutzlos ausgeliefert: Mit geschultem IT-Personal, einer so weit wie möglich lückenlosen Überwachung Ihrer IT-Systeme und mit moderner Sicherheitsarchitektur können Sie die Gefahr für APT-Angriffe auf Ihr Unternehmen deutlich reduzieren.
Das könnte Sie auch interessieren:
Security
Eine Person hält ein Smartphone in der Hand. Im Hintergrund ein Notizblock und ein Laptop, über der Szene schweben viele weiße Schloss-Symbole.

Was ist ein SSL-Zertifikat? Funktionen & Nutzen

Ein SSL-Zertifikat sorgt ähnlich wie ein Personalausweis mit Schutzfunktionen für die ordnungsgemäße Authentifizierung – allerdings (meist) nicht einer Person, sondern einer bestimmten Webseite bzw. Internetdomain. Was genau hat es mit den Sicherheitskonzepten der Transport-Layer-Security (TLS) und Secure-Sockets-Layer (SSL) und den Zertifikatmechanismen dahinter auf sich? Wozu dienen diese, welche verschiedenen Zertifikat-Typen gibt es und wie können Sie die Vertrauenswürdigkeit von Zertifizierungsstellen prüfen? Diese und weitere Fragen klären wir im Folgenden. In der aktuellen Ära zunehmender digitaler Sicherheitsanforderungen sind SSL-Zertifikate gewissermaßen die Hüter der Identitäten im Internet. Hinter dem Kürzel SSL verbirgt sich eine Schlüsselkomponente, die den sicheren Datentransfer ermöglicht. Dieser Artikel bietet Ihnen einen Einblick in die Bedeutung von SSL-Zertifikaten, beleuchtet Funktionen und Vorteile und erklärt, wie die Zertifikate die gefürchteten Man-in-the-Middle-Attacken zur Datenspionage wirksam verhindern.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

0800 505 4512

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort