Was ist ein Advanced Persistent Threat?

APT steht für Advanced Persistent Threat, was auf deutsch etwa bedeutet "Fortgeschrittene, permanente Bedrohung". Hierbei handelt es sich um einen Akteur, der über signifikante technische, personelle sowie finanzielle Ressourcen verfügt, um gezielt und langfristig in Netzwerke einzudringen und dort Informationen zu stehlen. Vor allem große und wirtschaftlich interessante Unternehmen sind von Angriffen durch APTs betroffen.

Was ist für APT charakteristisch?

"Advanced" (fortgeschritten): Dieser Begriff verdeutlicht, dass APT in der Lage sind eigene Werkzeuge zu entwickeln oder Zugriff auf Zero Days haben. Teilweise werden Tools und Techniken maßgeschneidert, um die Sicherheitsmechanismen des Ziels zu umgehen.

"Persistent" (anhaltend): Das übergeordnete Ziel von APT ist es meist über längere Zeiträume kritische Daten zu sammeln und unentdeckt zu bleiben. Das bedeutet, dass ein APT relativ zügig dazu übergeht sich im Netzwerk auszubreiten und Backdoors zu pflanzen, um immer wieder reinkommen zu können.

"Threat" (Bedrohung): APT sind der Worst Case für jedes Unternehmen.

Wer steckt hinter APT?

Allgemein gibt es APT-Gruppen, die unabhängig sind, meist finanzielles Interesse haben. Die andere Gruppe sind Gruppen, die gemein hin als "staatliche Akteure" bezeichnet werden. Hier stecken oft Geheimdienste dahinter, die politische oder wirtschaftliche Interessen verfolgen. Beispiele sind beispielsweise die militärische Spionage oder Industriespionage. Einige Staaten setzen APTs auch für das Beschaffen von Geld in großem Stile ein - ein bekanntes Beispiel ist Nordkorea.

Vorgehen von APT

Jedes APT hat sein eigenes Vorgehen. Allgemein sammeln diese Gruppen ausführliche Informationen und Daten zu ihren Zielen und Zielpersonen. Mit Hilfe verschiedener Methoden, darunter das Eindringen in öffentliche Server oder Angriffe via Phishing, verschaffen sie sich initialen Zugang. Von dort aus breiten sie sich im gesamten Netzwerk aus und erledigen ihre Aufgaben - Sabotage, Datenexfiltration oder Spionage.

Das Erkennen aktiver APT im eigenen Netzwerk ist alles andere als einfach - das liegt in der Natur der Sache. Diese Gruppen wollen möglichst lange unentdeckt bleiben, entsprechend vorsichtig sind sie. Einige APTs sind so gut, dass sie jahrelang unentdeckt bleiben. In der Praxis ist es daher oft so, dass APT erst entdeckt werden, wenn es schon zu spät ist. Daher ist es wichtig, dass Unternehmen sich proaktiv schützen und sich auf den Ernstfall vorbereiten.

Wie kann man sich vor APT schützen

Hier sollte man bei technischen Maßnahmen anfangen. Die Implementierung moderner SIEM- sowie EDR-Systemen ist Pflicht. Diese Systeme helfen dabei, Anomalien im Netzwerk zu erkennen und darauf zu reagieren. Man sollte sich allerdings durch diese Tools nicht in Sicherheit wiegen - sie sind nur ein kleiner Baustein in der Verteidigung gegen APT. Auch hier zeigt die Realität, dass oft Tools installiert sind, aber nicht richtig konfiguriert oder überwacht werden. Außerdem lohnt es sich nicht nur die externe Sicherheit zu betrachten, sondern auch die interne. Jedes System, egal ob intern, extern, wichtig oder unwichtig - sollte auf dem aktuellen Stand der Technik/Software sein (was einfacher gesagt, als getan ist). Ein effektiver Baustein ist außerdem die Netzwerksegmentierung und Einführung von Zugriffskontrollen und Zero Trust Prinzipien.

Zu den organisatorischen Maßnahmen zählen primär die Sensibilisierung der Mitarbeiter. Hierbei sollte auf Schulungen und Awareness-Kampagnen gesetzt werden. Mitarbeiter sind oft das schwächste Glied in der Kette und werden daher oft gezielt angegriffen. Die Entwicklung eines Incident-Response-Plans ist ebenfalls eine wichtige Komponente - man sollte wissen, wie man reagiert, wenn es ernst wird. Heutzutage zählen regelmäßige Penetrationstests zum Standard - diese helfen dabei, Schwachstellen zu identifizieren und zu schließen. Auch die Einrichtung eines Security Operations Centers (SOC) kann helfen, Angriffe frühzeitig zu erkennen und darauf zu reagieren. Wenn es das Budget hergibt, sollten zusätzlich Red Teamings stattfinden, die die Vorgehensweise von echten APT simulieren.

Mehr Informationsmaterial

Beispiele für APT Gruppen

  • APT28/Fancy Bear: Zugeordnet zum russischen Militärgeheimdienst GRU
  • APT29/Cozy Bear: Zugeordnet zum russischen Auslandsgeheimdienst SVR
  • APT41: Zugeordnet zur Volksrepublik China
  • APT38/Lazarus: gehört zu Nordkorea
  • Equation Group: gehört zur us-amerikanischen NSA
  • APT33/Elfin: wird dem Iran zugeordnet
  • APT34/OilRig: wird oft fälchlicherweise dem Iran zugeordnet, vermutlich Israel

Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.

Hast du Feedback zum Thema APT? Schreib uns!

Damian Strobel
APT gehören sind der Worst Case für jedes Unternehmen. Lassen Sie uns gemeinsam Ihre Infrastruktur so absichern, dass APT keine Chance haben!