Advanced Persistent Threat
Ein Advanced Persistent Threat (APT) liegt dann vor, wenn ein gut ausgebildeter, typischerweise staatlich gesteuerter, Angreifender zum Zweck der Spionage oder Sabotage über einen längeren Zeitraum hinweg sehr gezielt ein Netz oder System angreift, sich unter Umständen darin bewegt und/oder ausbreitet und so Informationen sammelt oder Manipulationen vornimmt.
Grundsätzlich stellen solche Angriffe für jedes Unternehmen, das vertrauliche, geschäftskritische Informationen auf IT-Systemen verarbeitet oder dessen Erfolg von der Verfügbarkeit seiner IT-Systeme abhängt, eine Bedrohung dar. In der Wirtschaft stehen Betriebs- und Geschäftsgeheimnisse, wie beispielsweise technologische Forschungs- und Entwicklungsergebnisse, Herstellungsverfahren oder unternehmenspolitische und operativ-betriebswirtschaftliche Entscheidungen wie Fusionen oder Verkäufe im Fokus der Angreifer.
Angegriffen werden aber nicht nur bekannte Großunternehmen, sondern auch Beratungsunternehmen, Anwaltskanzleien und klein- und mittelständische Unternehmen (KMU), die beispielsweise in ihrem Marktsegment eine herausragende Position einnehmen (Hidden Champions) oder die Rolle eines wichtigen Zulieferers in der Supply Chain der zuvor genannten Großunternehmen innehaben. Dieser Einfallsvektor dient den Angreifenden dann u.U. als Sprungbrett bzw. Multiplikator, wodurch sich ihnen weitere Angriffsmöglichkeiten bieten.
Vor diesem Hintergrund stehen viele Institutionen vor der Herausforderung, sich vor gezielten Angriffen bzw. APTs zu schützen. Für die Prävention, Detektion und Reaktion empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) diesen Institutionen eine Reihe von Maßnahmen, die zusätzlich zu den gängigen Basismaßnahmen eingeführt werden sollten. Die folgenden Dokumente verfolgen das Ziel "Erste Hilfe" bei der Vorfallsbearbeitung zu leisten. Sie zählen daher nicht alle relevanten Maßnahmen für die Basis-Sicherheit in Gänze auf und sollen auch nicht als ganzheitliches Sicherheitskonzept verstanden werden.
Prävention und Detektion fortgeschrittener Angriffstechniken
Zielgruppe Management-Ebene (CEO, CIO, Geschäftsführer*innen, etc.):
Im Dokument Advanced Persistent Threats - Teil 1 Prävention [TLP-Green nur im internen Bereich der Allianz für Cyber-Sicherheit (ACS) verfügbar] wird zunächst ein gemeinsames Verständnis des Begriffs APT sicher gestellt. In drei Modulen geht dieses Dokument dann auf die rechtliche Verantwortung der Geschäftsleitung für ein angemessenes IT-Risikomanagement, die Einbindung relevanter Stellen (wie die/den Datenschutzbeauftragen sowie den Personal-/Betriebsrat) und auf strategische, organisatorische und administrative Entscheidungen durch das Management ein.
Zielgruppe Informationssicherheitsbeauftragte (IT-SiBe, CISOs, Leiter der IT)
Das Dokument Advanced Persistent Threats - Teil 2 Prävention [TLP-Amber nur im internen INSI-Bereich der Allianz für Cyber-Sicherheit (ACS) verfügbar] zeigt vornehmlich kurz- bis mittelfristige präventive Maßnahmen entlang der Cyber Kill Chain auf. Zudem finden sich hier Ideen für längerfristig angelegte, aufwändigere Maßnahmen.
Häufig wird ein APT-Angriff erst sehr spät von dem Betroffenen erkannt. Mögliche Wege zur schnelleren Detektion entlang der Cyber Kill Chain sowie vertiefte technische Maßnahmen erläutert das Dokument Advanced Persistent Threats - Teil 3 Detektion [TLP-Amber nur im internen INSI-Bereich der ACS verfügbar].Das Papier stellt zudem das Konzept der anlassunabhängigen Untersuchung („APT-Hunting“) vor.
Reaktion und Erste Hilfe bei einem APT-Angriff
Zielgruppe Informationssicherheitsbeauftragte (IT-SiBe, CISOs, Leiter der IT)
Das Dokument Advanced Persistent Threats - Teil 4 Reaktion [TLP-White] dient als Notfalldokument für IT-Sicherheitsbeauftragte, CISOs und Systemadministratoren für den Fall eines Verdachts eines APT-Angriffs auf das Netzwerk und die Systeme eines Unternehmens oder einer Organisation.
Die ausführlichere Version Advanced Persistent Threats - Teil 4 Reaktion [TLP-Amber nur im internen INSI-Bereich der Allianz für Cyber-Sicherheit (ACS) verfügbar] umfasst weitere reaktive Aspekte wie u.a. die Technische Analyse.
Zielgruppe Management-Ebene (CEO, CIO, Geschäftsführer*innen, etc.):
Das Dokument Advanced Persistent Threats - Teil 5 Reaktion [TLP-Green nur im internen Bereich der Allianz für Cyber-Sicherheit (ACS) verfügbar] trägt dem Umstand Rechnung, dass es sich bei APT-Angriffen meist um eine unklare Bedrohungslage handelt, die einer gründlichen Risikoabwägung bedarf. Es führt das "Rote Linien"-Konzept ein, mit dessen Hilfe das Management eine Entscheidung hinsichtlich der Fortführung der notwendigen Analysen oder der sofortigen Bereinigung der Systeme treffen kann. Dafür werden auch explizit sogenannte "Rote Linien"-Szenarien beschrieben.
IT-Grundschutz
Der IT-Grundschutz widmet dem Thema einen eigenen Baustein. DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle
Qualifizierte Dienstleister
Bei Cyberangriffen kann sowohl bei der Prävention als auch nach einem akuten Sicherheitsvorfall die Einbindung eines qualifizierten Dienstleisters sinnvoll sein.
Hier finden Sie die Übersichtsliste der Dienstleister sowie die Auswahlkriterien für qualifizierte APT-Response-Dienstleister. Wenn Sie Interesse haben als qualifizierter Dienstleister tätig zu werden, finden Sie auf der Seite auch die Verfahrensbeschreibung und Kontaktinformationen.