Advanced Persistent Threat

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Advanced Persistent Threat (APT) zu deutsch „fortgeschrittene, andauernde Bedrohung“ ist ein häufig im Bereich der Cyber-Bedrohung (Cyber-Attacke) verwendeter Begriff für einen komplexen, zielgerichteten und effektiven Angriff auf kritische IT-Infrastrukturen und vertrauliche Daten von Behörden, Groß- und Mittelstandsunternehmen aller Branchen, welche aufgrund ihres Technologievorsprungs potenzielle Opfer darstellen oder als Sprungbrett auf solche Opfer dienen können.[1]

Im Zuge eines solchen Angriffes gehen die Angreifer sehr zielgerichtet vor und nehmen gegebenenfalls ebenso großen Aufwand auf sich, um nach dem ersten Eindringen in einen Rechner weiter in die lokale IT-Infrastruktur des Opfers vorzudringen. Das Ziel eines APT ist es, möglichst lange unentdeckt zu bleiben, um über einen längeren Zeitraum sensible Informationen auszuspähen (Internet-Spionage) oder anderweitig Schaden anzurichten.[2][3]

Typisch für klassische APT-Angriffe ist, dass die Täter sehr viel Zeit und Handarbeit investieren und Werkzeuge bevorzugen, die nur für einzelne, spezifische Aufgaben geeignet sind. Aufgrund des hohen Schadenpotenzials sind die Erkennung und Analyse dieser Angriffe zwingend erforderlich, gestalten sich jedoch sehr schwierig. Nur das Sammeln, Analysieren und Korrelieren von Sicherheitsinformationen aus verschiedenen Quellen kann Hinweise zur Erkennung geben.[4]

Verwässerung des Begriffes[Bearbeiten | Quelltext bearbeiten]

Ursprünglich wurde „APT“ nur als Tarnbezeichnung für eine bestimmte Form der digitalen Industrie- bzw. Wirtschaftsspionage verwendet, mittlerweile wird er z. B. von den Herstellern von Sicherheitssoftware für jede etwas fortschrittlichere Angriffsmethode verwendet.

Eine neutrale Alternative ist der Begriff „Targeted Attacks“ bzw. gezielter Angriff- oder Ausspähversuch. Selten verwendet wird „digitale“ oder „IT-Fernspionage“.

Abgrenzung zu herkömmlichen Angriffen[Bearbeiten | Quelltext bearbeiten]

Im Gegensatz zu herkömmlichen Angriffen mit Hilfe einer Schadsoftware, bei welchen die Auswahl der Opfer nicht eingegrenzt ist, wird der Angriff lediglich auf ein bestimmtes Opfer oder zumindest eine sehr stark eingegrenzte Anzahl von Opfern durchgeführt. Ebenso wird anstelle nur einer einzigen Schadsoftware auf eine größere Anzahl von Techniken und Taktiken zurückgegriffen. Die Funktionen, die in der typischen Schadsoftware des kriminellen Untergrundes der Gewinnerzielung (Manipulationen von Onlinebanking, Sammeln von Zugangsdaten von Onlineshops) dienen, fehlen in der Regel bei den eingesetzten Werkzeugen innerhalb von APT-Angriffen. Dies schlägt sich auch im Vorgehen wieder – die Daten, welche im Untergrundhandel verkauft werden könnten, werden von den Tätern nicht gesammelt und ignoriert. Statt Zugangsdaten zu Onlineshops suchen und sammeln die Täter Zugangsdaten zu weiteren Systemen im Opfernetz, um ihren Zugriff auszubauen und um schlussendlich auf die Daten, die dem Beschaffungsauftrag entsprechen, zugreifen zu können.

Insbesondere wird das Opfer vor einem vorgesehenen Angriff genauestens sondiert und die für den Angriff verwendete Schadsoftware so weit wie möglich optimal auf den Einsatzzweck angepasst, worauf bei herkömmlichen Angriffen verzichtet wird.

Andere Infektionsvektoren sind z. B. infizierte Medien und Social Engineering. Personen, wie einzelne Hacker, werden in der Regel nicht als APT bezeichnet, da sie nur selten über größere Ressourcen und die dazu notwendigen Techniken verfügen.[5]

In manchen Fällen konnten APT-Angriffe auf Organisationen zurückgeführt werden, die sehr ähnlich wie „herkömmliche“ IT-Dienstleister arbeiten. Softwareentwickler schreiben dabei die benötigte Schadsoftware bzw. beliebige benötigte Programme, es gibt Spezialisten für einzelne Plattformen (Windows, Linux). Letztere wiederum bilden die Arbeitskräfte, welche das Tagesgeschäft erledigen, aus. Administratoren wiederum pflegen die Internet-Infrastruktur, die das Unternehmen für Angriffe benötigt; neben der normalen Anforderung der Ausfallsicherheit besteht nur eine weitere, nämlich dass es keine für Dritte leicht nachvollziehbare Verbindung zu dem Unternehmen gibt. Um Gehälter zu bezahlen und den Kontakt mit den jeweiligen Auftraggebern zu pflegen, benötigt das Unternehmen wiederum Personen, welche diese Verwaltungsaufgaben erledigen usw.

Begriffsbestimmungen[Bearbeiten | Quelltext bearbeiten]

Advanced (deutsch: fortgeschritten)

Abgrenzung zu herkömmlichen Angriffen mit Schadsoftware auf unbestimmte, nicht spezifische Opferanzahlen. Ein APT hingegen erfolgt auf bestimmte, selektierte Opfer, Personen oder Institutionen mit erweiterter Technik und Taktiken.

Persistent (deutsch: andauernd)

Abgrenzung zu herkömmlichen Angriffen mit Beschränkung auf Einschleusen der Schadsoftware auf nur einen Rechner. APT hingegen nutzt den ersten infizierten Rechner nur als Sprungbrett in das lokale Netz der betroffenen IT-Struktur, bis das Hauptziel, z. B. ein Rechner mit Forschungsdaten, zum längeren Ausspionieren oder Sabotieren erreicht ist.

Threat (deutsch: Bedrohung)

Selbsterklärend – APT stellt eine Bedrohung für gefährdete Systeme dar.

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Advanced Persistent Threat – Übersicht ceilers-news.de – abgerufen am 19. März 2013
  2. APT – Verteidigung von Innen gegen Angriffe von Außen ca.com – abgerufen am 19. März 2013
  3. Google Under Attack – The High Cost of Doing Business in China spiegel.de – abgerufen am 19. März 2013
  4. Fraunhofer FOKUS Kompetenzzentrum Öffentliche IT: Das ÖFIT-Trendsonar der IT-Sicherheit - Advanced Persistent Threat Erkennung und Analyse. April 2016, abgerufen am 30. Mai 2016.
  5. ISACA Erhebung zur Internetsicherheit – Jedes fünfte Unternehmen ist APT Angriffen ausgesetzt info-point-security.com – abgerufen am 19. März 2013