Die Mythen
Anbieter zum Thema
Sascha Pfeiffer, Principal-Security-Consultant bei Sophos: "Die vielen unterschiedlichen Definitionen für Advanced-Persistent-Threats (APTs) sorgen oft für Verwirrung. Um Klarheit zu schaffen, müssen die allgemeinen Eigenschaften und die Funktionsweise von APTs sowie mögliche Abwehrmaßnahmen beleuchtet werden. Netzwerksicherheit bedeutet in erster Linie, alle Schlupflöcher zu stopfen, damit Angreifer gar nicht erst in das Netzwerk gelangen. Wichtig ist jedoch auch, dass die Anzeichen eines gerade stattfindenden Angriffs erkannt werden, damit er erfolgreich abgewehrt werden kann. Mit einem mehrdimensionalen Konzept kann das Angriffsrisiko gezielt minimiert werden.
Die Bedrohungslandschaft im Wandel?
Viele Veröffentlichungen zum Thema APTs beginnen mit ominösen Bezugnahmen auf die sich wandelnde Bedrohungslandschaft und Schilderungen raffinierter Cyberangriffe, die sich immer mehr ausweiten. Das kann irreführend sein. Denn tatsächlich kommen bei den meisten Angriffen nach wie vor Techniken zum Einsatz, die schon seit Jahren bestens bekannt sind – vornehmlich Social-Engineering, Phishing-E-Mails, Backdoor-Exploits und Drive-by-Downloads. Solche Angriffe sind weder fortgeschritten noch besonders raffiniert, wenn man ihre einzelnen Bestandteile betrachtet, und setzen oft auf das schwächste Glied im Unternehmen – den Nutzer. Was APTs von anderen Angriffen unterscheidet, ist vielmehr die Kombination verschiedener Techniken und die Hartnäckigkeit der Angreifer.
Der Begriff APT ist den letzten Jahren flächendeckend gebraucht und missbraucht worden. Manchmal wird auch der Begriff Advanced-Targeted-Attack (ATA) verwendet, mit dem meist das Gleiche gemeint ist. Als APT und ATA wurde in der Vergangenheit so ziemlich alles bezeichnet – von medienwirksamen Angriffen auf Unternehmen und Nationalstaaten, über diverse Cybercrime-Kampagnen und Hacking-Techniken bis hin zu einzelnen Malware-Samples. Für viele Unternehmen ist es daher zunehmend schwierig, diesen Hype von tatsächlichen Sicherheitsanforderungen zu unterscheiden. Sie sind sich nicht darüber im Klaren, was ein APT tatsächlich ist und was getan werden kann, um APTs zu erkennen und abzuwehren.
Mythos 1 – APTs greifen nur die „Großen“ an
Ganz gleich, wie groß das Unternehmen ist, IT-Manager und Chief-Security-Officer haben die Aufgabe, wertvolle Daten vor unbefugten Zugriffen zu schützen. Wenn Daten innerhalb des Unternehmens als wertvoll gelten, könnten sie auch für andere Unternehmen und Wettbewerber interessant sein. Und wenn personenbezogene Daten jeglicher Art verarbeitet werden, sind Unternehmen in den meisten Ländern gesetzlich dazu verpflichtet, unbefugte Zugriffe auf die Daten zu unterbinden. Große Unternehmen und Behörden nutzen oft eine breitgefächerte Lieferkette, die sich aus kleineren Unternehmen zusammensetzt. Jene unter ihnen, die ein solcher Zulieferer sind, könnten haftbar sein, wenn die verarbeiteten Daten veruntreut werden, auch wenn es nicht die eigenen sind. APTs haben in der Vergangenheit bewiesen, dass Angriffe durchaus auf andere Unternehmen überspringen können, die ursprünglich nicht Ziel des Angriffs waren.
Mythos 2 – Herkömmliche Maßnahmen sind ungeeignet
Da viele Anbieter von Sicherheitslösungen die Abwehr von APTs als erfolgreiches Geschäftsmodell für sich entdeckt haben, behaupten nicht wenige, nur ihre Lösung biete ausreichenden Schutz – herkömmliche Sicherheitslösungen wie Antivirus-Software seinen überflüssig. Solche Behauptungen sind schlichtweg falsch. Keine einzelne Lösung kann komplett vor APTs schützen. Um eine erfolgreiche Abwehr verschiedenster Bedrohungen zu ermöglichen, sollte man stets auf mehrere Schutzschichten setzen. Web-Exploits, Phishing-E-Mails und Remote-Access-Trojaner sind allesamt beliebte Elemente von APTs. Herkömmliche Sicherheitssysteme sind für die Erkennung von Angriffen im Frühstadium und zum Verhindern ihrer weiteren Ausbreitung also nach wie vor wichtig."
