Unternehmenssicherheit
Advanced Persistent Threats gefährden Unternehmen
Professionelle gezielte Angriffe - Advanced Persistent Threats (APTs) - sind ein viel diskutiertes Phänomen der IT-Sicherheit. APTs werden gern unter-, zuweilen aber auch überschätzt. BSI-Experte Timo Steffens liefert eine seriöse Einschätzung der Bedrohungslage und wertvolle Tipps zur Gefahrenabwehr.
Derzeit erhalten Advanced Persistent Threats (APTs) große Aufmerksamkeit in Medien und bei IT-Sicherheitsteams. Um Entscheider in Wirtschaft und Politik auf diese Form professioneller, gezielter Angriffe aufmerksam zu machen, werden teilweise düstere Untergangsszenarien gezeichnet.
Häufig schießen diese Szenarien jedoch weit über das Ziel hinaus: APTs automatisch mit ruinösen Konsequenzen zu verbinden führt dazu, dass Unternehmen, die tatsächlich von einem APT betroffen sind, diesen aus Angst vor einem Reputationsverlust geheimhalten. Aufgrund der geringen Zahl an publik gewordenen Fällen haften APTs immer noch ein Nimbus von ungerechtfertigtem Hype und Spekulation an. Für viele Unternehmen sind sie jedoch längst Realität, daher ist ein realistischer Umgang mit ihnen umso wichtiger.
Sensibilisierung tut Not
Das Aufmerksamkeitsmuster, das gezielten Angriffen zuteil wird, verläuft stets nach demselben Schema: Als vor einigen Jahren GhostNet als großangelegte Computerspionage-Kampagne gegen die tibetanische Regierung aufgedeckt wurde, hatte man das noch als Sensation empfunden.
Die Operation Aurora, die sich unter anderem gegen die Unternehmen Google und Adobe richtete, wurde bereits mit weniger Aufmerksamkeit behandelt. Nachfolgende Kampagnen wie LuckyCat, ShadyRat oder Nitro kompromittierten teilweise mehrere Dutzend internationale Unternehmensnetzwerke, wurden aber trotzdem nur noch in Fachkreisen diskutiert.
Analog dazu verlief die Rezeption der großen Spionage-Schadprogramme: Während Duqu und Flame noch den Weg in die breite Öffentlichkeit fanden, wurden Gauss oder Mahdi nur noch zur Randnotiz. Die Information und Sensibilisierung der Verantwortlichen in Unternehmen für das Thema IT-Sicherheit ist absolut notwendig. Die Berichte über Flame und Gauss hatten jedoch einen gegenteiligen Effekt: Weil vor allem Ziele im Mittleren Osten betroffen waren, wägten sich europäische Unternehmen in vermeintlicher Sicherheit.
Doch auch wenn der Mittlere Osten aus europäischer Sicht weit weg ist, zeigen diese neuen Schadprogramme, dass Computerspionage mittlerweile ein weitverbreitetes Phänomen ist und hochprofessionell durchgeführt wird. Während GhostNet und Aurora in der öffentlichen Diskussion häufig asiatischen Urhebern zugeschrieben werden, nennen veröffentlichte Analysen zu den im Mittleren Osten entdeckten Schadprogrammen inzwischen auch westliche Akteure.
Für die Verantwortlichen in den Unternehmen ist es folglich ratsam, sich mit ihrer jeweiligen Bedrohungslage und dem Risikopotenzial der APTs auseinanderzusetzen. Zu übertriebener Angst oder Alarmstimmung besteht jedoch kein Anlass, und auch die zum Teil überzogenen Warnungen von ITSicherheitsfirmen sollten auf jeden Fall differenziert betrachtet werden.
Auch europäische Unternehmen sind durchaus bedroht
Bisher sind keine Fälle bekannt, bei denen Unternehmen durch APTs tatsächlich in ihrer Existenz gefährdet oder Aktienkurse ins Bodenlose gefallen wären. Dennoch gibt es negative Auswirkungen. So liegen dem BSI aus vertraulichen Quellen Informationen vor, nach denen Unternehmen beispielsweise Bietergefechte verloren haben oder Unternehmensfusionen behindert wurden, weil vertrauliche Informationen mittels eines APT-Angriffs gestohlen wurden.
In anderen Fällen wurden Konstruktionszeichnungen kopiert. Die finanziellen Konsequenzen solcher Diebstähle lassen sich kaum seriösabschätzen; allein für die notwendigen "Aufräumarbeiten" nach einer Netzwerkkompromittierung können jedoch schnell sechsstellige Summen erreicht werden.
Die Beispiele zeigen, dass gezielte Angriffe auf Unternehmen und Organisationen stattfinden und ernste Konsequenzen haben können. Dabei ist auch nachrangig, ob die Angreifer staatlich gelenkt oder von einem Staat finanziert werden, der seine nationale Wirtschaft stärken will, oder ob es finanzstarke Wettbewerber sind, die sich die Fähigkeiten der inzwischen sehr professionell organisierten und agierenden Angreifer einkaufen. Die Konsequenzen für die Opfer sind oftmals dieselben. Seit dem Start der Allianz für Cyber-Sicherheit wenden sich vermehrt Unternehmen an das BSI, um Unterstützung bei der Bearbeitung von Netzwerkkompromittierungen zu erhalten. Dabei sind in manchen Fällen gigabyteweise Daten abgeflossen, weil Dutzende von Arbeitsplatzrechnern oder sogar Mailserver von Angreifern kontrolliert werden konnten.
Gezielte Angriffe erfolgen zumeist in Kampagnen
Oftmals führt die Untersuchung eines APTs in einem Unternehmen dazu, dass auch in anderen Unternehmen Netzwerkkompromittierungen erkannt werden. Der Grund dafür ist, dass die Angreifer häufig thematisch vorgehen und sich in regelrechten Kampagnen beispielsweise auf Branchen wie Luftfahrt und Luftverteidigung oder Energie konzentrieren. Zudem sind dem BSI Fälle bekannt, in denen mehrere Unternehmen, die in einem großen Projekt zusammenarbeiteten, nahezu zeitgleich von APTs betroffen waren.
Dies deckt sich auch mit systematischen Auswertungen, die das BSI zu den öffentlich bekanntgewordenen APT-Kampagnen wie GhostNet, ShadyRat und Nitro durchgeführt hat. Zwischen vielen dieser Operationen lassen sich technische Verbindungen herstellen, die darauf hindeuten, dass es sich um dieselben Täter handelte oder die Tätergruppen kooperierten.
Diese Verbindungen können durch gemeinsam genutzte Command-and-Control-Server oder durch identische Angriffsdokumente hergestellt werden. Die Analyse legt nahe, dass viele der großen APT-Fälle der letzten Jahre von nur wenigen Gruppen durchgeführt wurden.
Einheitliche Angriffsmuster
Führt man die öffentlich bekannten Vorfälle und die dem BSI gemeldeten Fälle zusammen, zeigt sich das Ausmaß der gezielten Angriffe. Mittlerweile kann man davon ausgehen, dass jede Regierungsorganisation und jedes international relevante Unternehmen Ziel von professionellen Angriffen ist. Wenn man dies der wie vermutet geringen Anzahl von Angreifergruppen gegenüberstellt, wird deutlich, welch große Ressourcen die Angreifer zur Verfügung haben müssen.
Allerdings wird dabei ihre Größe und die Vielzahl von Zielen zur Schwäche: Weil ein erfolgreicher Angriff normalerweise aus vielen einzelnen Schritten besteht, verwenden die Angreifer häufig bestimmte Techniken, Infrastrukturen und Tools mehrfach. Denn diese bei der großen Zahl verschiedener Ziele individuell zu erstellen, wäre dann doch zu aufwendig. Diese "Standardisierung" der Angriffsmodule eröffnet jedoch auch den Verteidigern neue Möglichkeiten.
Bedrohungen aus dem Netz nehmen zu
Wenn gleiche Angriffstechniken, -wege und -methoden bei mehreren Unternehmen eingesetzt werden, entsteht für die Verteidiger nämlich dann ein Mehrwert, wenn sich diese Unternehmen untereinander austauschen. Technische Informationen über einen Angriffsversuch auf das eine Unternehmen können bei einem anderen Unternehmen ähnliche Angriffe verhindern oder schon erfolgte Netzwerkkompromittierungen aufdecken. Deswegen hat es sich für viele Organisationen bereits ausgezahlt, sich innerhalb von Konsortien oder über Kontakte zwischen CERTs (Computer Emergency Response Teams) zu gezielten Angriffen auf die eigenen Netze auszutauschen. Hierzu bedarf es bei den Geschäftsleitungen jedoch der Erkenntnis, dass das eigene Team über Vorfälle im eigenen Netz mit vertrauenswürdigen Kontakten reden darf.
Dabei gilt das Prinzip von Geben und Nehmen: Wer selbst nicht aktiv vernetzt ist und Informationen beiträgt, wird oftmals auch nicht unterrichtet, wenn ein anderer wertvolle Informationen besitzt.
Basis-Sicherheitsmaßnahmen sind Pflicht
Informationen zu konkreten APT-Kampagnen sind wichtig, weil gezielte Angriffe häufig im Rauschen der ungezielt und weit verbreiteten Schadsoftware-Flut untergehen. Professionell ausgeführte gezielte Angriffe sind darauf ausgelegt, unter dem Radar der klassischen Antiviren-Lösungen zu bleiben. Generell zeigt die Erfahrung, dass APTs nicht durch den Einsatz einzelner IT-Sicherheitsprodukte verhindert werden können. Beispielsweise können selbst Systeme, die mit einer hohen Erkennungsrate schädliche E-Mails aus dem Netzverkehr herausfiltern, nicht immer rechtzeitig verhindern, dass eine gut gemachte Angreifer-Mail doch geöffnet oder an einen größeren Verteilerkreis weitergeleitet wird.
Die Erfahrung zeigt leider auch, dass es den Angreifern in vielen Fällen zu einfach gemacht wird. So kommt es relativ oft vor, dass grundlegende Sicherheitsmaßnahmen nicht umgesetzt wurden. Selbst die teuerste Antiviren-Lösung bringt herzlich wenig, wenn zum Beispiel das Patch-Management von Browsern und Browser-Plugins nicht stringent genug gehandhabt wird.
APT-Angreifer nutzen immer nur den einfachsten möglichen Angriffsweg, um damit ihre eigenen Ressourcen zu schonen. Bevor man also darüber nachdenkt, wie man sich vor APTs schützt, muss sichergestellt sein, dass grundlegende IT-Sicherheitsstandards erfüllt werden. Solche Standards sind beispielsweise in den IT-Grundschutz-Katalogen des BSI aufgeführt.
Im Zuge der zunehmenden Verbreitung und geschäftlichen Nutzung von Smartphones und Tablet-PCs sollten auch mobile Geräte in die Sicherheitsüberlegungen einbezogen werden. Das gilt vor allem dann, wenn diese an das interne Netz angeschlossen werden beziehungsweise wenn sie von Entscheidungsträgern verwendet werden.
Prävention gezielter Angriffe
Wenn die Basis-Sicherheitsmaßnahmen konsequent umgesetzt sind und ein Prozess der kontinuierlichen Überprüfung und Anpassung dieser Maßnahmen aufgesetzt ist, kann man sich der Prävention von gezielten Angriffen widmen. Ein entscheidender Erfolgsfaktor ist hierbei unter anderem der Austausch von Informationen über gezielte Angriffe und Angriffsversuche.
Da wie beschrieben die Wahrscheinlichkeit sehr hoch ist, dass ein anderes Unternehmen mit ähnlichen oder sogar denselben Methoden angegriffen wird, erlaubt es der Austausch von Informationen über solche Angriffe den Verteidigern, beispielsweise Signaturen zu erstellen und diese zu teilen. Das BSI konnte bereits Unternehmen und Organisationen bei der Erkennung von Netzwerkkompromittierungen helfen, weil die Täter dieselben Command-and-Control-Server verwendet haben, die schon bei früheren Angriffen genutzt wurden.
Um die gewünschte Anonymität der Unternehmen zu bewahren, baut das BSI im Rahmen der Allianz für Cyber-Sicherheit derzeit eine Austauschplattform auf. Das im BSI ansässige CERT-Bund kann hier als neutraler Mittler dienen, der Angriffsinformationen anonymisiert an potenziell betroffene Unternehmen weiterleitet.
Möchte sich ein Unternehmen auch dem BSI gegenüber nicht identifizieren, so besteht die Möglichkeit, Angriffsdetails anonym a das BSI weiterzuleiten. Wichtige Informationen sind hier zum Beispiel Command-and-Control-Server, Registry-Schlüssel der Schadprogramme, Hash-Summen von Dateien und ausgenutzte Schwachstellen.
Fazit
Die Angst vor einem APT muss einen CIO oder CISO nicht um den Schlaf bringen. Er sollte sich aber auch nicht schlafen legen, ohne genau überlegt zu haben, wo es einem Angreifer vielleicht zu einfach gemacht wird. Zudem sollte er sich auch fragen, wie gut sein Team für Informationen über aktuelle APT-Kampagnen vernetzt ist.
