Cyberangriffe und Wirtschaftsspionage

Wenn Virenscanner und Firewalls nicht mehr ausreichen

Frank von Stetten ist Mitgründer und Senior Consultant der HvS-Consulting AG in München. Seit über zehn Jahren berät er mittelständische Unternehmen und große Konzerne zu Informationssicherheit, Prävention von Industriespionage sowie Sensibilisierung von Mitarbeitern. Nebenbei betätigt er sich als professioneller Spion und simuliert regelmäßig Industriespionage-Angriffe auf Unternehmen. Das geschieht allerdings ausschließlich im Kundenauftrag auf der „guten Seite der Macht“.

Advanced Persistent Threats sind in aller Munde und erfordern neue Security-Strategien. In einer mehrteiligen Serie beschreiben wir, mit welchen Methoden Unternehmen auf die neuen Herausforderungen reagieren können.

Ein Begriff macht seit circa zwei Jahren im Sicherheitsumfeld Karriere: Advanced Persistent Threats (APTs). Dahinter verbergen sich aufwändig organisierte Cyberangriffe, die sich gezielt gegen bestimmte Unternehmen beziehungsweise Organisationen oder auch gegen Branchen richten. Hinter APTs stehen in der Regel große professionelle Organisationen und sogar Staaten.

Advanced Persistent Threats verfolgen häufig das Ziel Wirtschaftsspionage. Aber auch der größte Bankraub in der Geschichte, ausgeführt von der Carbanak-Gruppe, folgt den Regeln eines typischen APTs. Advanced steht für hoch komplexe Attacken, die sich aus verschiedenen Angriffs-Vektoren zusammensetzen. Im Carbanak-Fall gelangten die Angreifer unter anderem via Spear Phishing in die Netzwerke von über hundert Finanzinstituten. Dann manipulierten sie Geldautomaten oder Online-Banking-Systeme oder drangen gar bis in die Kernbankensysteme vor. Persistent steht für die lange Dauer eines APTs. Vom "Erstkontakt" bis zum tatsächlichen Cyber-Bankraub vergingen bei den Carbanak-Attacken meist 2 bis 4 Monate. Die Täter beobachteten über einen längeren Zeitraum die Arbeitsweise der Mitarbeiter und ahmten sie teilweise nach. Threat bedeutet, dass durch den Angriff ein erheblicher Schaden entsteht. Bei den "Carbanak"-Überfällen wurden pro Bankraub im Schnitt zehn Millionen Euro erbeutet.

Die Angreifer sind überall: "Assume Compromise"

Das Beispiel zeigt: Professionelle APT-Angreifer umgehen klassische technische Schutzmaßnahmen wie Virenscanner und Firewalls sehr geschickt. Sie nutzen unter anderem den Menschen als Einflugschneise für Malware. Und sie schaffen es, sich über lange Zeiträume unbemerkt in einem Unternehmensnetz zu bewegen - laut aktuellem Mandiant Threat Report waren APT-Angreifer im Jahr 2014 durchschnittlich 205 Tage in infiltrierten Netzen unterwegs. Dort stehlen sie häufig wertvolle Informationen oder - wie bei Carbanak - auch Geld. Sie verwischen geschickt ihre Spuren. Gerade innovative Unternehmen aus dem Technologie-Sektor, aber auch aus der Finanzindustrie oder dem (Online-) Handel sollten deshalb davon ausgehen, dass sie bereits kompromittiert sind, weil die ersten "Verteidigungslinien" den professionellen Angriffen oft nicht standhalten.

Das liegt unter anderem daran, dass die Eindringlinge sehr gerne Administratoren-Tools nutzen, die von klassischen Anti-Virus-Systemen nicht erkannt werden (PUA = possibly unwanted application) oder sich über reguläre Verbindungen in das Unternehmensnetz einwählen - wenn auch zu ungewöhnlichen Zeiten. Ist das erste System kompromittiert, arbeiten sich die APT-Angreifer kontinuierlich weiter durch die IT-Landschaft, um möglichst schnell an Administrationsrechte zu gelangen. Zudem installieren sie Hintertüren, damit sie, bei Entdeckung, jederzeit wieder in das System eindringen können. Die Angreifer fokussieren dabei nicht nur auf Daten aus Forschung & Entwicklung. Auch Kunden-Datenbanken oder Prozessbeschreibungen stellen für viele Unternehmen geschäftskritische Daten dar. Diese Informationen transportieren die Cyber-Spione dann meist unbemerkt in kleinen, verschlüsselten Paketen über verschiedene Systeme.

APT-Abwehr mit der Defense-in-Depth-Strategie

Wie können sich Unternehmen gegen diese professionellen Cyber-Attacken wehren? Die technischen "Basics" wie Anti-Virus-Systeme und Next Generation Firewalls sind für eine effektive APT-Detection nach wie vor unverzichtbar, reichen aber bei weitem nicht mehr aus. Unternehmen sollten eine mehrschichtige Abwehrstrategie nach dem Defense-in-Depth-Ansatz anstreben.

Eine solche Abwehr-Strategie stützt sich auf folgende Säulen:

  • Steigerung der Widerstandsfähigkeit (APT Resilience)

  • Früherkennung von Angriffen (APT Detection)

  • Effiziente Reaktion (Incident Response)

Der Aufbau der Verteidigungslinien ist dabei vergleichbar mit den Schotten bei einem Schiff: Läuft eine voll, bleiben die anderen davon unbehelligt. Sind die Eindringlinge trotz aller Sicherheitsmaßnahem in das Unternehmensnetz eingedrungen, können sie sich zumindest nicht ungehindert ausbreiten.

Ganzheitlicher Ansatz: Menschen, Prozesse und Technologie

Ein entscheidender Aspekt der Defense-in-Depth-Strategie ist, dass sie neben technischen Maßnahmen auch die Mitarbeiter sowie die Unternehmensprozesse einbezieht. Zu den präventiven Maßnahmen einer APT-Abwehr zählen beispielsweise folgende Komponenten:

  • Physische Sicherheit: bezieht sich auf Gebäude und Rechenzentren.

  • Menschen: Sensibilisierung von IT-Administratoren, dem Management und normalen Anwendern bezüglich Informationssicherheit.

  • Perimeter: UTM-Firewall (auch bekannt als "Next Genration" Firewalls).

  • Netz: Netzwerksegmentierung und Zugangskontrolle.

  • Systeme:Hardening / Patching, Malware Protection, Vulnerability Scans.

  • Identität & Zugriff: (Privileged) Identity Management, Rollenbasierte Zugriffsrechte.

  • Anwendungen: Sichere Applikations-Entwicklung (SD3, Threat Modelling, etc.), Vulnerability Management.

  • Informationen - insbesondere Schutz der Kronjuwelen: Informationsklassifizierung / Rights Management.

Damit diese Komponenten im Ernstfall ineinandergreifen und funktionieren, gehören regelmäßige Audits, Assessments und Notfallübungen zum Pflichtprogramm.

Da es APT-Angreifer in der Regel schaffen, eine dieser Schichten zu überwinden, ist es entscheidend, die Eindringlinge so schnell wie möglich zu finden. Diese Detection- und Monitoring-Aufgaben übernehmen Security Information und Event Management Systeme (SIEM) beziehungsweise Intrusion-Detection- / Intrusion-Prevention-Systemen (IDS / IPS). Besteht der Verdacht, dass das Unternehmensnetz bereits kompromittiert ist, ist ein APT-Scanner ein geeignetes Analyse-Tool. Bestätigt sich der Verdacht eines APT-Angriffs, sind eine intensive forensische Analyse sowie die anschließende Bereinigung aller betroffener Systeme (Remediation) unumgänglich.

Im nächsten Teil unserer APT-Serie erfahren Sie mehr zum Faktor Mensch in einer Defense-in-Depth-Strategie. Im Fokus steht, wie sich Mitarbeiter und insbesondere Administratoren in Bezug auf Informationssicherheit sensibilisieren lassen. (bw)

Zur Startseite