Cyberangriffe gehören heute zum Alltag. Die Attacken treffen Unternehmen jeder Größenordnung und oft werden vertrauliche oder private Informationen gestohlen. Allein in den USA fanden 2018 laut Statista schätzungsweise 668 Datenschutzverletzungen statt, bei denen 22 Millionen Datensätze offengelegt wurden. Datenschutzverletzungen stellen für Unternehmen, Anbieter und Verbraucher gleichermaßen ein großes Risiko dar. Doch es gibt sogar eine noch größere Bedrohung: sogenannte Advanced Persistent Threats – oder kurz APT. Wir erklären Ihnen, was APTs sind, an welchen Anzeichen Sie sie erkennen und wie Sie Ihr Unternehmen und seine Daten schützen können.
Was sind Advanced Persistent Threats (APT)?
APTs sind Angriffe, bei denen über einen längeren Zeitraum hinweg vertrauliche Informationen aufgespürt und entwendet werden. Hacker verschaffen sich Zugang zu einem Computernetzwerk und verbringen dort viel Zeit, um Aktivitäten, Benutzer und Daten zu überwachen. Dabei setzen sie viele hoch entwickelte Tools ein, um unentdeckt zu bleiben.
Diese Angriffe erfolgen nicht zufällig. Hacker suchen sich ihre Ziele sorgfältig aus und untersuchen sie ausgiebig. Zu den Opfern zählen meist größere Organisationen oder Regierungsbehörden, die geheime Daten, wie z. B. militärische Pläne, Finanzdaten oder Patente, verarbeiten.
„Advanced Persistent Threat“ bedeutet so viel wie hoch entwickelte, hartnäckige Bedrohung. Doch Hacker können auch zu Methoden greifen, die nicht hoch entwickelt oder hartnäckig sind. Manche Cyberkriminelle opfern beispielsweise Hartnäckigkeit für Tarnung, um ihre Aktionen besser verbergen zu können – in der Hoffnung, dass der Angriff so vielleicht überhaupt nicht hartnäckig sein muss. Andere setzen in der Anfangsphase der Attacke statt der oben erwähnten hoch entwickelten Tools einfache Verwaltungstools ein. Diese Weiterentwicklung verschiedener Angriffsvektoren zeigt, wie wichtig ausgiebig getestete und bewährte Sicherheitssoftware ist.
Fünf Anzeichen von APTs
Diese Angriffe können äußerst komplex sein und lassen sich oft nur sehr schwer finden. Wie also finden Sie heraus, ob Ihr Unternehmen Opfer einer APT ist, gerade wenn Cyberkriminelle sich solche Mühe geben, unentdeckt zu bleiben? Es gibt verschiedene Anzeichen, die in Kombination auf eine APT hindeuten können. Darüber hinaus ist die Zusammenarbeit mit einem geeigneten Anbieter für Cybersicherheit und der Einsatz spezieller Anti-APT-Tools erforderlich, um verborgene APTs zu finden und zu beseitigen. Folgende Anzeichen deuten auf eine APT hin:
1) gezieltes Spear-Phishing
Hacker müssen einen Weg ins System finden und oft setzen sie hierbei auf E-Mails als Einstiegspunkt. Hierbei wählen sie basierend auf den Recherchen, die sie vor dem Angriff angestellt haben, einen Betreff aus, der wahrscheinlich das Interesse der Mitarbeiter im Zielunternehmen weckt. Die Nachrichten enthalten vielleicht einen infizierten Anhang oder einen Link, über den ein Programm heruntergeladen wird, das dem Hacker Zugang zu Ihrem System bietet.
Diese Methode wird als „Spear-Phishing“ bezeichnet, da sie auf eine kleinere Gruppe von Zielen zugeschnitten sind. Denn normale Phishing-Versuche zielen darauf ab, dass möglichst viele Benutzer ihre personenbezogenen Daten preisgeben, und sind deshalb nicht personalisiert. Spear-Phishing hingegen ist auf spezielle Unternehmen zugeschnitten. Hierbei werden persönliche Informationen der Opfer verwendet, um vertrauenswürdiger zu erscheinen. Wenn eine hochrangige Führungskraft E-Mails mit Anhang von unbekannten Personen erhält, ist Vorsicht oberstes Gebot. Mitarbeiter müssen die Gefahren von Phishing kennen und sich der Risiken bewusst sein, die mit dem Öffnen unbekannter Anhänge und Links einhergehen.
2) seltsame Anmeldungen
Verfolgen und bewerten Sie Anmeldungen in Ihrem Netzwerk. Wenn viele Anmeldeversuche außerhalb der Geschäftszeiten stattfinden oder ungewöhnliche Anmeldemuster zu erkennen sind, sind das deutliche Warnzeichen. Das gilt insbesondere, wenn diese Anmeldungen vermeintlich von Personen auf Führungsebene stammen, die über breiten Zugriff auf das Netzwerk verfügen. Cyberkriminelle agieren oft aus Ländern auf der ganzen Welt, was die seltsamen Anmeldezeitpunkte erklärt. Darüber hinaus führen sie ihre Angriffe oft aus, wenn gerade wenige – oder gar keine – Mitarbeiter anwesend sind, die die verdächtige Aktivität bemerken und aufhalten könnten.
3) weit verbreitete Backdoor-Trojaner
Hacker setzen oft Backdoor-Trojaner ein, um sich Zugang zu Computern zu verschaffen oder diesen aufrechtzuerhalten. Hierbei handelt es sich um Programme, mit denen Hacker Remote-Verbindungen zu Computern in infizierten Netzwerken herstellen können, um Befehle zu senden und Daten zu empfangen. Sie dienen Cyberkriminellen als Hintertür („Backdoor“) in die Systeme ihrer Opfer, selbst wenn die Anmeldedaten geändert werden.
4) verschobene Informationen
Hacker dringen aus einem Grund in Systeme ein: Sie wollen an bestimmte Informationen gelangen. Achten Sie deshalb auf Informationen, die sich plötzlich an anderer Stelle finden. Vielleicht wurden Dateien oder Daten von Server zu Server verschoben. Halten Sie also nach Daten Ausschau, die zwischen Computern im selben Netzwerk oder an externe Computer übertragen wurden. Und auch seltsame Verbindungen, einschließlich solcher zu externen Ressourcen, können ein Anzeichen sein.
5) gepackte Daten, bereit für den Export
Achten Sie auf große Dateien, die nicht dort sind, wo sie sein sollten. Oft gruppieren und komprimieren Hacker Daten an einem Ort, um sie aus Ihrem System zu exportieren. So ist es für sie leichter, große Datenmengen gleichzeitig zu verschieben. Ein weiteres Anzeichen dafür, dass Hacker den Export von Datenpaketen vorbereiten, sind komprimierte Daten in einem Archivformat, das Ihr Unternehmen für gewöhnlich nicht verwendet. Sehen Sie sich also auch die Dateierweiterungen der gepackten Daten genau an.
Tipps zur Verhinderung von APTs
Trotz ihrer Komplexität gibt es Möglichkeiten, wie sich Ihr Unternehmen vor APTs schützen kann. Hierzu haben wir die folgenden vier Tipps zusammengestellt.
Schulen Sie Mitarbeiter hinsichtlich Phishing
Viele APTs beginnen mit einer einfachen E-Mail, über die sich ein Hacker Zugang zu Ihrem System verschafft. Implementieren Sie deshalb ein Schulungsprogramm, bei dem Mitarbeiter lernen, auf welche Anzeichen sie achten, wie sie bei verdächtigen Aktivitäten vorgehen und wen sie benachrichtigen sollen. Am besten lassen sich die Risiken minimieren, indem Sie Angriffe abwehren, bevor sie überhaupt erst auftreten.
Stellen Sie sicher, dass alle Sicherheitspatches installiert sind
APT-Hacker versuchen, Schwachstellen in Ihrem System auszunutzen, um sich Zugang zu verschaffen. Deshalb ist es entscheidend, dass Sie immer sämtliche Updates für Ihre Sicherheitsprogramme installieren. Wenn Sie Updates und Patches aufschieben, ist Ihr Unternehmen anfällig für Angriffe.
Schützen Sie vertrauliche Daten
Ziehen Sie für Ihre vertraulichsten Informationen zusätzliche Sicherheitsmaßnahmen in Betracht. Weisen Sie nicht einfach jedem Mitarbeiterkonto Administratorberechtigungen zu, wenn sie sie nicht benötigen. Beschränken Sie den Zugriff auf Daten, um die Wahrscheinlichkeit versehentlicher Änderungen zu reduzieren. Sorgen Sie dafür, dass Ihre wichtigsten Daten auch am schwierigsten zu finden und zu kopieren sind.
Setzen Sie auf einen Sicherheitspartner
Verarbeitet Ihr Unternehmen vertrauliche Informationen? Dann brauchen Sie einen Cybersicherheitspartner, der sich mit APTs auskennt. Ein solches Unternehmen kennt Ihre Anforderungen, implementiert Sicherheitsmaßnahmen und überwacht Ihre digitale Umgebung aktiv, um Ihnen umfassenden Schutz zu gewährleisten.
APTs können in Unternehmen verheerende Schäden anrichten. Wenn Sie glauben, dass Ihr Unternehmen gefährdet ist, sollten Sie sich an einen Sicherheitspartner Ihres Vertrauens wenden. Entscheiden Sie sich hierbei für einen Anbieter, der neben APT Intelligence Reporting auch den nötigen Support zum Finden und Abwehren von Bedrohungen bietet.
Verwandte Artikel und Links:
- Was sind Advanced Persistent Threats?
- Was ist Cybersicherheit?
- Was ist Cyberkriminalität? Risiken und Prävention
- So vermeiden Sie die meisten Arten von Cyberkriminalität