Ratgeber - APTs verstehen und abwehren

Was bei APTs wirklich dahinter steckt

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Vor Advanced Persistent Threats (APTs) wird seit Jahren gewarnt. Trotzdem gibt es Missverständnisse, die die Abwehr der APTs erschweren. Wir klären auf.

Das Jahr 2015 war geprägt durch eine fortschreitende Professionalisierung der Angriffsmittel und -methoden. Dies gilt insbesondere für die Angriffe, die als Advanced Persistent Threat (APT) bezeichnet werden, so der Bericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) zur Lage der IT-Sicherheit in Deutschland 2015. APTs sind laut BSI auch zukünftig eine große Bedrohung für Unternehmen und Behörden.

APTs sind keine neue Malware

Auch in vielen anderen IT-Sicherheitsprognosen tauchen die APTs auf und werden zusammen genannt mit verstärkt auftretenden Schadprogrammen wie Ransomware (Erpresser-Viren). Diese Auflistung von APTs zusammen mit spezieller Schadsoftware kann den Eindruck erwecken, dass APTs ebenfalls eine neue oder besondere Form von Malware darstellen. Dem ist aber nicht so, vielmehr nutzen APTs verschiedene Formen von Malware innerhalb der Angriffswellen.

Die Folge für die Abwehr: Alleine Anti-Malware-Programme können APTs nicht verhindern, selbst wenn sie aktuell sind und signatur- und verhaltensbasierte Analysen von Dateien durchführen. So helfen Anti-Malware-Programme zum Beispiel nicht gegen die Social Engineering-Attacken, die häufig zu APT-Angriffen gehören.

APTs nutzen nicht nur geheimen Kanäle

Zu Recht melden IT-Sicherheitsanbieter, dass die Abwehr der APTs immer noch ein großes Problem darstellt. Viele Angriffe finden unerkannt statt und werden erst nach langer Zeit entdeckt. In dieser Zeit bis zur Entdeckung entsteht oftmals ein beträchtlicher Schaden, Gegenmaßnahmen erfolgen zu spät. Man bekommt deshalb schnell das Gefühl, dass APTs auf geheimen, unerkannten Wegen stattfinden. Fast könnte man glauben, dass bestehende Monitoring-Systeme versagen müssen, weil sie nur die üblichen Kommunikationswege überwachen.

Bei APTs werden zahlreiche Angriffswege beschritten und kombiniert. Deshalb müssen Abwehr und Erkennung ebenfalls an vielen Stellen parallel erfolgen. Das APT-System Fidelis XPS zum Beispiel untersucht Sessions und Daten von der Netzwerk- bis zur Applikationsebene inklusive aller Anhänge.
Bei APTs werden zahlreiche Angriffswege beschritten und kombiniert. Deshalb müssen Abwehr und Erkennung ebenfalls an vielen Stellen parallel erfolgen. Das APT-System Fidelis XPS zum Beispiel untersucht Sessions und Daten von der Netzwerk- bis zur Applikationsebene inklusive aller Anhänge.
Foto: DATAKOM Gesellschaft für Datenkommunikation mbH

Tatsächlich aber nutzen APTs viele, verschiedene Kommunikations- und Angriffswege, darunter auch viele Standardwege wie E-Mail, FTP oder Chat. So kann eine APT-Attacke schlicht damit beginnen, dass ein unvorsichtiger Nutzer auf den Link in einer E-Mail klickt und eine verseuchte Datei herunterlädt.

Die Folge für die Abwehr: Niemand sollte glauben, Netzwerk-Monitoring und das Scannen von E-Mails verliere an Wert, denn die Attacken der Zukunft gehen andere Wege. In Wirklichkeit ist ein umfassendes Monitoring und Scanning auf allen vorhandenen Kommunikationswegen entscheidend. APT-Angriffe versuchen hartnäckig, eine Schwachstelle zu finden und auszunutzen. Unzureichend kontrollierte Kommunikation über E-Mail, Chat oder FTP-Transfers sind genau so eine Schwachstelle.

APTs

APTs werden häufig mit zielgerichteten Angriffen in Verbindung gebracht, und keine Frage, sie sind zielgerichtet. Dabei ist aber die klare Ausrichtung auf ein Angriffsziel nicht die Besonderheit von APTs. Breit gestreute, ungezielte Angriffe werden zunehmend zur Seltenheit. Auch Internetkriminelle optimieren ihre Methoden und scheuen unnötigen Aufwand. Deshalb erfolgen inzwischen die meisten Angriffsformen mit einem klaren Ziel.

Zur Abwehr von APTs gehören Erkennung und forensische Untersuchung nach einem Vorfall zwingend dazu, denn Angriffe lassen sich nicht vollständig verhindern.
Zur Abwehr von APTs gehören Erkennung und forensische Untersuchung nach einem Vorfall zwingend dazu, denn Angriffe lassen sich nicht vollständig verhindern.
Foto: Gartner

Bei APTs liegen die Besonderheiten eher in der Vielfalt der Angriffsmethoden, die kombiniert und verknüpft werden, und in der Dauer und Hartnäckigkeit der Attacken.

Die Folge für die Abwehr: Unternehmen müssen generell mit gezielten Attacken rechnen, nicht nur bei APTs. Aus diesem Grund muss die Abwehr selbst gezielter werden. Das bedeutet aber nicht etwa, die Konzentration auf bestimmte Angriffstypen wie APTs, sondern die Ausrichtung auf das Ziel, keine Schwachstellen zu belassen, die missbraucht werden könnten.

APTs sind keine überraschende Entwicklung

Viele Unternehmen sind nicht auf die Bedrohung durch APTs vorbereitet. Man bekommt deshalb den Eindruck, dass diese Art von Angriffen nicht zu erwarten war und deshalb die Abwehr nicht vorbereitet ist.

In Wirklichkeit aber sind APTs eine logische, kriminelle Entwicklung. Die Angreifer wissen aus Erfahrung, dass ihre Opfer nicht völlig schutzlos sind, ein gewisser Basisschutz ist vorhanden, wie Umfragen immer wieder ergeben. Aus diesem Grund versuchen es die Angreifer auf vielen verschiedenen Wegen, um ans Ziel zu kommen, sei es an die vertraulichen Daten, die gestohlen werden sollen, sei es an die IT-Systeme, die manipuliert und gestört werden sollen. Die Angreifer wissen auch, dass es in aller Regel Lücken in der Verteidigung gibt, man muss nur lange genug danach suchen.

Die Folge für die Abwehr: Die Entwicklung hin zu APTs sollte für Unternehmen ein deutliches Zeichen sein, dass sich Mängel in der IT-Sicherheit früher oder später rächen. Die Angreifer suchen so lange, bis sie ein Schlupfloch finden, das nicht ausreichend abgesichert wurde. Nun ist aber klar, dass es keine wirklich lückenlose IT-Sicherheit gibt, auch wenn man dies immer anstreben sollte. Die Aussage "Es ist keine Frage, ob man angegriffen wird, nur wann" hat ihre Berechtigung. Deshalb müssen die Abwehrmaßnahmen immer um Maßnahmen der Erkennung, IT-Forensik und Schadensbegrenzung ergänzt werden. Die beste Abwehr hilft nicht, wenn trotzdem erfolgte Angriffe nicht schnell genug erkannt werden.

APTs erfordern keine völlig neue Security

Die enormen Risiken durch die modernen Angriffsformen wie APT zeigen deutlich, dass die IT-Sicherheit Bedarf an Verbesserung hat. Fast könnte man glauben, alles anders und neu machen zu müssen. Doch das ist weder wirtschaftlich machbar, noch sinnvoll oder notwendig. Es geht vielmehr um eine Optimierung der bestehenden IT-Sicherheit, um eine Ergänzung. Das Ziel muss sein: eine umfassende, koordinierte und intelligente IT-Sicherheit gegen gezielte, hartnäckige und vielschichtige Angriffe.

Die Folge für die Abwehr: Die IT-Sicherheitsmaßnahmen müssen besser vernetzt und mit mehr Security Intelligence versehen werden. Die Angreifer sind organisiert, sammeln Informationen über ihre Opfer und Ziele und werten diese detailliert aus. Die IT-Sicherheit muss entsprechend antworten und braucht ein klares Bild über die Bedrohungen. Deshalb ist es so wichtig, APTs nicht zu unterschätzen, aber auch nicht falsch einzuschätzen. (rw)

Zur Startseite