Cyber-Angriffe auf Unternehmen werden immer raffinierter. Insbesondere gezielte Advanced Persistent Threats verlangen nach neuen Abwehrmassnahmen, wie der Swisscom Cybersecurity Report zeigt. Und nach menschlichem Eingreifen.
Text: Andreas Heer, 15. März 2019
Der Angriff war sorgfältig vorbereitet. In monatelangen Recherchen spionierten die Cyberkriminellen das Umfeld des Unternehmens aus. Wichtige Personen, deren Kontakte und Vorlieben, Aktivitäten und die IT-Infrastruktur, wie sie sich von aussen zeigte. Erst danach pflanzten die Angreifer mit Spearphishing, massgeschneiderten Phishing-Mails, Malware auf zwei Rechnern der gezielt ausgesuchten Opfer. Die Sicherheitsmassnahmen des Unternehmens umgingen die Angreifer, indem sie neustes Wissen und ausgeklügelte Technologie nutzten. Mithilfe eines Skripts drangen sie über eine Zero-Day-Lücke auf den Rechner ein, ohne verdächtige Spuren in Form von Dateien zu hinterlassen.
In den folgenden Monaten breiteten sich die Angreifer unbemerkt im Netzwerk und auf den Systemen des Unternehmens aus. Bis sie schliesslich ihr Ziel erreichten, die vertraulichen Kundendaten und Projektinformationen. Über gut getarnte Kanäle schleusten sie die Dokumente aus der Firma heraus.
Etwa so könnte sich ein raffinierter, gezielter Cyberangriff heute abspielen. Advanced Persistent Threats (APT), Angriffe mit enormen Ressourcen und hervorragendem technischen Know-how ausgeführt, gehören zu den anhaltenden Trends in der Cyberkriminalität, wie der Swisscom Cybersecurity Report 2019 ausweist.
Aufgrund dieser Ausgangslage sind derartige Attacken nur schwierig zu entdecken. Der Security-Anbieter Kaspersky Lab beobachtet derzeit über 100 solcher APT-Gruppen, die gezielt Angriffe vornehmen. Sie tragen schönfärberische Namen wie LuckyMouse, OceanLotus oder Comment Crew und agieren mutmasslich zumindest teilweise mit der Unterstützung von Regierungen. Ziele der Angreifer sind staatliche Organisationen, Regierungen und Unternehmen, die in sensiblen Bereichen agieren. Beweggründe sind Spionage, Datenklau oder Sabotage, wie etwa die Angriffe auf die Infrastruktur der Olympischen Winterspiele in Südkorea zeigte.
Klassische IT-Security-Massnahmen wie der Perimeter-Schutz alleine reichen nicht aus, um APT-Angriffe abzuwehren. Unternehmen müssten ihre IT-Security verstärkt auf Angreifer ausrichten, die bereits ins Firmennetz eingedrungen seien, sagt Costin Raiu im Interview im Swisscom Cybersecurity Report.
Der Leiter des Forschungs- und Analyseteams Kaspersky GReAT spricht sich damit für einen Paradigmenwechsel aus. Denn Angreifer verbrächten die meiste Zeit damit, sich im Firmennetz auszubreiten und Daten abzusaugen. Firmen sollten also ihre Schutzmassnahmen auf diese Aktivitäten ausrichten.
Eine wichtige Massnahme besteht darin, laufende Prozesse, Dateioperationen und Logins zu überwachen. Ein solches Monitoring trägt dazu bei, verdächtige Vorgänge aufzudecken. Die Informationen aus Threat Intelligence helfen ebenfalls, typische Muster und Internet-Adressen von Cyberattacken zu erkennen. Die Kehrseite: Solche Überwachungsmassnahmen sind aufwändiger und ressourcenintensiver in der Umsetzung als klassische Perimeter-Security.
Doch mit rein technischen Massnahmen ist den Advanced Persistent Threats nicht beizukommen. Eine wichtige Rolle in deren Abwehr spielt der Mensch. Sicherheitsverantwortliche und -spezialisten müssten sich in die Rolle eines Angreifers versetzen, um dessen Vorgehensweise zu verstehen, empfiehlt Costin Raiu. Da APT manuell ausgelöste Attacken darstellen, ist der Verlauf oftmals von Menschenhand gesteuert. Hilfreich sind also Fragen wie «Was macht mich als Unternehmen interessant für APT?», «Welche Informationen und Systeme sind interessant für Spionage oder Sabotage?», «Wie könnte ein Phishing-Mail oder eine Social-Engineering-Attacke auf den Finanzchef aussehen?».
Eine solche Fokussierung hilft auch bei der Erkennung von Mustern in Logdateien, weil die Suche nach Auffälligkeiten zielgerichtet erfolgen kann. Beispielsweise, indem der Netzwerkverkehr des Rechners des Finanzchefs oder des ERPs gesondert überwacht werden.
Bei menschlichen Abwehrmechanismen ist die Bekämpfung von APT prädestiniert als Aufgabe für ein Security Operations Center (SOC). Dort sitzen die Spezialisten, die sich auf die aufgezeichneten Muster einen Reim machen und menschliche Angreifer entlarven können. Und sich aufgrund ihres Fachwissens in die Haut eines Angreifers versetzen können. Denn die Denkweise hochprofessioneller Cyberkrimineller zu verstehen und ihre Werkzeuge zu kennen, ist ein wichtiger Baustein bei der Abwehr von APT.
Erfahren Sie mehr über die Cyber-Security-Dienstleistungen von Swisscom.
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?