Advanced-Persistent-Threats
Das Drei-Phasen-Modell zur APT-Abwehr
Spektakuläre Cyber-Angriffe, wie beispielsweise auf den deutschen Bundestag, haben einen Begriff bekannt gemacht: Advanced-Persistent-Threats (APTs). Solche APT-Angriffe sind professionell organisiert (Advanced). Es gibt große Schwierigkeiten, die Schad-Programme von den Rechnern zu entfernen und es lässt sich kaum nachvollziehen, wie lange sie sich bereits auf den Rechnern befinden (Persistent).
Cyber-Attacken dient meistens zu Spionage-Zwecken. Professionell organisierte Hacker-Gruppen bereiten solch langfristig angelegte Cyber-Angriffe sorgfältig vor. Sie bewegen sich unauffällig unter dem Radar sämtlicher Sicherheitssysteme und verbreiten sich im gesamten Netz, bevor sie die eigentlichen Aktivitäten starten – zum Beispiel den Diebstahl sensibler Informationen.
Neue Abwehr-Methoden
APTs sind besonders gefährlich, da sie für Wirtschafts- oder Militär-Spionage sowie für kriminelle Handlungen genutzt werden. Typische Angriffsziele sind Konzerne aber auch mittelständische Unternehmen und Behörden. Nur die Art und Weise wie APT-Angreifer Schad-Software in die Netzwerke ihrer Opfer einschleusen, variiert im Einzelfall.
Für eine effektive Abwehr beziehungsweise Früherkennung von professionellen Cyber-Angriffen benötigen Unternehmen eine „Defense-in-Depth“ Strategie, die sich über drei Phasen erstreckt:
- Resilience (Erhöhung der Widerstandsfähigkeit gegen einen potenziellen Angriff)
- Detection (schnelles Entdecken eines Angriffs)
- Response (Gegenmaßnahmen nach einem erfolgten Angriff)
Resilience
Die klassischen Abwehrmechanismen Virenschutz und Firewall spielen im Rahmen eines Defense-in-Depth-Ansatzes immer noch eine wichtige Rolle. Bei Firewalls sorgen die neuen Generationen der UTM-Firewalls (Unified-Threat-Management) für mehr Sicherheit. Sie erweitern die Funktionen einer klassischen Firewall durch erheblich intelligentere und granulare Rechte und regeln, wer zu welchem Zeitpunkt mit welcher Applikation auf welche Ressource zugreifen darf.
Eine weitere technische Maßnahme ist die Trennung einzelner Netze (beispielsweise Produktions- und Office-Netz). Viele Angriffe finden ihren Anfang in Sicherheitslücken von Systemen. Für die meisten Schwachstellen gibt es sogar bereits zum Zeitpunkt des Angriffes Patches der entsprechenden Software-Hersteller. Diese werden nur leider oft nicht rechtzeitig eingespielt. Daher gehört ein funktionierendes Patch-Management ebenfalls zu den wichtigen technischen Maßnahmen für den Ausbau der Widerstandsfähigkeit.
Solche Maßnahmen alleine reichen aber nicht aus. Denn professionelle Hacker greifen Unternehmen heute gerne über die Mitarbeiter an. Beliebte Methoden sind:
- Spear-Phishing: Dabei handelt es sich um Phishing-E-Mails, die gezielt anbestimmte Personen(gruppen) versandt werden. Oft sind sie von einem typischen Geschäftsvorgang des Opfers kaum zu unterscheiden.
- USB-Sticks: Mit Schadsoftware präparierte Sticks werden von Angreifern beispielsweise in Besprechungsräumen „verloren“ und von neugierigen Mitarbeitern eingesteckt.
- Social-Engineering: Die Manipulation von Menschen zur Erschleichung von Informationen nennt sich Social-Engineering. So kam beispielsweise Edward Snowden an geheime NSA-Unterlagen: Er sagte einigen Mitarbeitern der NSA, dass er seinen Job als Administrator nicht machen könne, wenn sie ihm nicht ihr Passwort geben würden. Sie glaubten ihm.
Mitarbeiter müssen für solche Situationen sensibilisiert werden und verstehen, wie Cyber-Hacking und Wirtschaftsspionage funktionieren und wie sie durch eigenes Verhalten das Risiko deutlich reduzieren können. Eine entscheidende Rolle spielen dabei die Führungskräfte. Nur wenn das Führungspersonal sicherheitsbewusstes Verhalten vorlebt, werden sich auch die Mitarbeiter sicherheitskonform verhalten. Deshalb sollten die Führungskräfte immer „persönlich“ in entsprechenden Schulungen abgeholt und sensibilisiert werden.
- Das Drei-Phasen-Modell zur APT-Abwehr
- Anwender sensibilisieren
- Angemessene Reaktion bei APTs
Lesen Sie mehr zum Thema
