Advanced-Persistent-Threats
Deutscher Mittelstand im Visier der Angreifer
Fortsetzung des Artikels von Teil 1
Sicherheitslücken innerhalb von Minuten ausgenutzt
Experten-Untersuchungen zufolge beträgt die durchschnittliche Zeit, in der ein Netzwerk durch einen erfolgreichen APT-Angriff kompromittiert ist, etwa ein Jahr. Aber auch deutlich längere Zeiträume sind keine Seltenheit. Währenddessen durchläuft der Angriff üblicherweise mehrere Phasen. Die erste Phase beginnt mit dem Einbruch in das Unternehmensnetzwerk. Übliche Techniken sind Spear-Phishing, Social-Engineering, das Ausnutzen bisher unbekannter Sicherheitslücken sowie die Platzierung von Schadsoftware auf Web-seiten, die Mitarbeitern wahrscheinlich aufrufen. Weitere Phasen beinhalten die Installation von Remote-Access-Tools (RATs) und das Verschaffen von Administratorrechten. Es folgt das Ausspionieren der internen Netzwerkstruktur, um weitere Systeme zu kompromittieren, Daten zu sammeln und einen dauerhafter Zugang zum Netz zu erhalten. Erst im letzten Schritt fließen die Daten, auf die es die Angreifer abgesehen haben, ab.
Dieses Phasenmodell suggeriert einen sehr langsamen Verlauf. Durch einen hohen Automatisierungsgrad der Angriffswerkzeuge ist der gesamte Angriff jedoch sehr schnell zu durchlaufen: Das Ausnutzen einer unbekannten Sicherheitslücke und anschließende Installieren eines Remote-Access-Tools inklusive Keylogger oder Password-Cracker ist problemlos über einen infizierten USB-Stick oder eine E-Mail mit Schadsoftware möglich. Damit sind die ersten drei Phasen bereits in wenigen Sekunden durchlaufen. Zudem sind die erforderlichen Werkzeuge oder die Informationsbeschaffung für gezieltes Social-Engineering heute relativ schnell über eine einfache Internetrecherche zu erhalten.
Angriffe oft zu spät entdeckt
Im Hinblick auf kritische Infrastrukturen hat die Bundesregierung mit dem KRITIS-Entwurf (IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen) zwar reagiert – von einer „Waffengleichheit“ gegenüber ausländischen Geheimdiensten, die APT-Angriffe durchführen, zum Beispiel aus China, Russland und den USA, ist aber kaum auszugehen. Das hat vor allem zwei Gründe: Zum einen haben entsprechende Organisationen heute die technischen Möglichkeiten, Hintertüren in internationale Standards einzubauen. Zum anderen verfügen die Mitarbeiter dieser Geheimdienste über eine sehr große Know-how-Tiefe. So ist es nicht verwunderlich, dass Unternehmen von einem APT in ihrem Netzwerk oft nur durch Zufall erfahren – oder sogar erst, wenn Know-How und
Daten bereits das Unternehmen verlassen haben.
Um APTs erfolgreich abzuwenden ist im Zeitalter ganzheitlich in IT abgebildeter Geschäftsprozesse ein teilweises Umdenken erforderlich: Beispielsweise der Fall RSA, wo die Informationen zur Bildung der Einmalpasswörter in den Tokens durch einen Angriff öffentlich wurden und somit berechenbar waren. Muss man sich hier nicht fragen, warum RSA diese Information elektronisch im Netzwerk vorgehalten hat? Für welchen Geschäftsprozess sollte dies erforderlich gewesen sein?
- Deutscher Mittelstand im Visier der Angreifer
- Sicherheitslücken innerhalb von Minuten ausgenutzt
- Komplexität der IT nimmt zu
Lesen Sie mehr zum Thema
