Advanced Persistent Threat

Bedeutet übersetzt „hochentwickelte, anhaltende Bedrohung“ und bezeichnet besonders aufwendige Cyberangriffe. Advanced Persistent Threats erfolgen zumeist gezielt und können sehr große Schäden verursachen. Zum einen durch die Zerstörung von Daten (Sabotage). Zum anderen durch das Ausspionieren besonders wertvoller Daten wie z. B. Staatsgeheimnisse oder Produktinnovationen (Spionage).

Was bedeutet der Begriff Advanced Persistent Threat im Detail?

Bei einem Advanced Persistent Threat investieren die Cyberkriminellen sehr viel Zeit, Aufwand und Know-how, um gezielt ein Unternehmen anzugreifen. Durch diese Zielstrebigkeit unterscheiden sich Advanced Persistent Threats von vielen anderen Cyberrisiken. Typische Angriffsziele eines Advanced Persistent Threat sind u. a.:

Behörden
Forschungseinrichtungen
Kritische Infrastruktur eines Landes
Groß- und Mittelstandsunternehmen, insbes. der Hochtechnologiebranche
Besonders innovative Unternehmen, z. B. die „Hidden Champions“
Militärische Einrichtungen, Rüstungsindustrie sowie deren Partner- und Zulieferunternehmen

Advanced Persistent Threats zeichnen sich durch langfristiges, geplantes Vorgehen der Cyberkriminellen aus:

Am Anfang steht ein erster Zugang zum Netzwerk. Dann kann vermeintlich ziellos verbreitete Malware eingesetzt werden, z. B. Trojanische Pferde in einem E-Mail-Anhang.
Danach versuchen die Cyberkriminellen, ihren Zugriff auf das Netzwerk zu erhalten und auszuweiten.
Sie setzen dabei situationsbezogen unterschiedliche Techniken ein, z. B.: Schadsoftware (Malware) für spezifische Aufgaben, Einrichtung strategisch wichtiger Backdoors, Aufbau und Ausweitung einer verborgenen IT-Infrastruktur, Echtzeitreaktionen auf Sicherheitsvorkehrungen des angegriffenen Systems

Typischerweise wollen Cyberkriminelle bei einem Advanced Persistent Threat möglichst lange unentdeckt bleiben. So können sie beständig aktuelle Daten ausspionieren oder zu einem späteren Zeitpunkt den größtmöglichen Schaden verursachen. Advanced Persistent Threats bestehen oft sehr lange, bevor sie entdeckt werden – teilweise ist von ein Median von über 400 Tagen die Rede. Die meisten Advanced Persistent Threats werden durch Außenstehende oder durch Zufall entdeckt.

Wo begegnen mir Advanced Persistent Threats im Arbeitsalltag?

Potenziell begegnen Ihnen Advanced Persistent Threats überall und nirgends. Überall in dem Sinne, dass Cyberkriminelle an sehr vielen Angriffspunkten ansetzen können, um Zugang zu Ihrer Unternehmens-IT zu erlangen. U. a. durch:

Malware in E-Mail-Anhängen (z. B.Trojanische Pferde, Keylogger)
Phishing, Spear Phishing
Werbung über kompromittierte Webanwendungen
Social Engineering
Malware auf Wechseldatenträgern wie z. B. USB-Sticks oder per USB angetriebenen Werbegeschenken
Kurzzeitig verlassene, ungeschützte Arbeitsplätze
CEO-Fraud
Malware auf der „Schatten-IT“ (Geräte, Dienste und Programme, die sowohl privat als auch im Zusammenhang mit dem Unternehmen genutzt werden. Diese werden bei vielen Sicherheitsvorkehrungen nicht bedacht, bleiben sozusagen im Schatten.)

Nirgends in dem Sinne, dass ein Advanced Persistent Threat für einen normalen Anwender üblicherweise nicht bemerkbar ist. Darauf legen die Cyberkriminellen viel Wert, um eine aus ihrer Sicht vorzeitig Entdeckung zu vermeiden.

Was kann ich tun, um mich vor Advanced Persistent Threats zu schützen?

Prävention

Grundsätzlich: Gehen Sie möglichst vielstufig vor. Bei einem Advanced Persistent Threat investieren Cyberkriminelle viel Zeit, um Sicherheitslücken Ihres Unternehmensnetzwerkes zu identifizieren und auszunutzen. Minimieren Sie Ihre Angriffspunkte, indem Sie Ihre Cybersicherheit maximieren, u. a. durch:

Technische Maßnahmen wie z. B. Firewalls, Virenscanner, Spywarescanner, verschlüsseltes WLAN, Zwei-Faktor-Authentisierung
Sicherheitshygienische Maßnahmen: Betriebssysteme, Software und insbesondere Virenscanner per Updates immer auf dem aktuellsten Stand halten. Häufige gründliche Prüfungen vornehmen.
Mitarbeiterbezogene Maßnahmen: Schulungen, Sensibilisierungen, Aufklärungskampagnen. Ihre Mitarbeitenden sind ein wichtiger Schutzfaktor für Ihr Unternehmen, ganz besonders hinsichtlich der zahlreichen per E-Mail verbreiteten Malware.
Organisatorisch-technische Maßnahmen: getrennte Netzwerke für unterschiedliche Bereiche, abgestufte Zugriffsrechte, schnelle Löschung aller Benutzerkonten ehemaliger Mitarbeitender
Administrator-Maßnahmen: Überwachung des ausgehenden Datenverkehrs auf Auffälligkeiten, Überwachung der Logins auf Auffälligkeiten (z. B. ungewöhnlich viele Logins in der Nacht), White-Listing von Programmen, besondere Aufmerksamkeit bei großen Datenmengen an ungewöhnlichen Speicherorten und ungewöhnlichen Kompressionsformaten

Wenn Sie einen Advanced Persistent Threat entdecken

Bewahren Sie Ruhe. Sorgen Sie vor allem dafür, dass die Cyberkriminellen nicht wissen, dass sie entdeckt wurden. Verändern Sie zunächst nichts an Ihrer IT-Infrastruktur, bereinigen Sie kein System – nichts.

Reagieren Sie außerhalb Ihrer IT-Infrastruktur. Rufen Sie z. B. per Handy Ihre IT-Abteilung oder Ihren IT-Dienstleister an, damit schnellstmöglich mit dem Analyse-Teil der Incident Response begonnen werden kann.
ACHTUNG: Bei einem Advanced Persistent Threat überwachen Cyberkriminelle wahrscheinlich Ihr gesamtes Netzwerk, u. a. E-Mails, VoIP-Anrufe und Kalender. Geben Sie hier keine Hinweise auf die Entdeckung des Advanced Persistent Threats.
Binden Sie schnellstmöglich externe IT-Sicherheitsexperten wie z. B. Perseus ein, die Routine in der Incident Response auf einen Advanced Persistent Threat haben.
Informieren Sie auch zuständige Stellen. Dort wird Ihr Cybervorfall vertraulich behandelt. Die Information ist zum einen wichtig, um Sie und Ihr Unternehmen besser zu schützen.Zum anderen ist möglich, dass Ihr Unternehmen nicht das Endziel des Advanced Persistent Threats ist, aber einen wichtigen Beitrag zu den Ermittlungen leistet.

Stellen, an die Sie sich wenden können sind u. a.:

Das Computer Emergency Response Team des Bundes (CERT-Bund) des Bundesamt für Sicherheit in der Informationstechnik (BSI)
Ihr zuständiges Landesamt für Verfassungsschutz (LfV)
Die Polizei, genauer: die Ansprechstellen für Cyberkriminalität der Polizeien der Länder und des Bundes für die Wirtschaft.

Interessante Hintergrundinformationen

Einen guten, vertiefenden Einstieg in diese Thematik bietet das Empfehlungspapier„Schützen Sie sich vor professionellen gezielten Cyber-Angriffen“ des Bundesamt für Sicherheit in der Informationstechnik (BSI).

Das Arbeitsdokument „Erste Hilfe bei einem APT-Angriff“ des BSI, gibt erste Hinweise auf die richtige Reaktion nach Entdeckung eines Advanced Persistent Threat. Da dieses Dokument öffentlich zugänglich ist, begegnet Ihnen an vielen Stellen der Hinweis „Inhalt entfernt“ – denn diese Informationen wären auch für Cyberkriminellen sehr wertvoll.

This refers to ‘highly developed, persistent threat’ and refers to particularly complex cyber attacks. Advanced Persistent Threats are usually targeted and can cause significant damage. On the one hand, through the destruction of data (sabotage). On the other hand, through the spying on particularly valuable data such as state secrets or product innovations (espionage).

What does the term ‘advanced persistent threat’ mean in detail?

In an advanced persistent threat, cybercriminals invest a great deal of time, effort and expertise in targeting a specific company. This determination sets advanced persistent threats apart from many other cyber risks. Typical targets of an advanced persistent threat include:

Government agencies
Research institutions
Critical infrastructure of a country
Large and medium-sized companies, especially in the high-tech industry
Particularly innovative companies, e.g. ‘hidden champions’
Military facilities, the defence industry and their partners and suppliers

Advanced persistent threats are characterised by long-term, planned actions by cybercriminals:

The first step is to gain initial access to the network. Then malware that appears to be distributed at random can be deployed, e.g. Trojan horses in an email attachment.
The cybercriminals then attempt to gain and expand their access to the network.
They use different techniques depending on the situation, e.g. malware for specific tasks, setting up strategically important backdoors, building and expanding a hidden IT infrastructure, real-time responses to security measures on the attacked system.

Typically, cybercriminals want to remain undetected for as long as possible when carrying out an advanced persistent threat. This allows them to continuously spy on current data or cause the greatest possible damage at a later point in time. Advanced persistent threats often exist for a very long time before they are detected – in some cases, the median is said to be over 400 days. Most advanced persistent threats are discovered by outsiders or by chance.

Where do I encounter advanced persistent threats in my everyday work?

You could potentially encounter advanced persistent threats anywhere and everywhere. Everywhere in the sense that cybercriminals can use a wide range of attack vectors to gain access to your company’s IT systems. These include:

Malware in email attachments (e.g. Trojan horses, keyloggers)
Phishing, spear phishing
Advertising via compromised web applications
Social engineering
Malware on removable media such as USB sticks or USB-powered promotional gifts
Workstations left unattended for short periods of time
CEO fraud
Malware on ‘shadow IT’ (devices, services and programmes that are used both privately and in connection with the company. These are not taken into account in many security measures and remain, so to speak, in the shadows.)

Nowhere in the sense that an advanced persistent threat is not usually noticeable to a normal user. Cybercriminals attach great importance to this in order to avoid premature detection from their point of view.

What can I do to protect myself against advanced persistent threats?

Prevention

As a general rule, take a multi-layered approach. With an advanced persistent threat, cybercriminals invest a lot of time in identifying and exploiting security vulnerabilities in your company network. Minimise your points of attack by maximising your cyber security, including through:

Technical measures such as firewalls, virus scanners, spyware scanners, encrypted Wi-Fi, two-factor authentication
Security hygiene measures: Keep operating systems, software and, in particular, virus scanners up to date with the latest updates. Carry out frequent thorough checks.
Employee-related measures: training, awareness-raising, information campaigns. Your employees are an important factor in protecting your company, especially with regard to the numerous malware programs spread via email.
Organisational and technical measures: separate networks for different areas, graded access rights, rapid deletion of all user accounts of former employees
Administrator measures: Monitoring outgoing data traffic for anomalies, monitoring logins for anomalies (e.g. unusually high number of logins at night), whitelisting programmes, paying particular attention to large amounts of data in unusual locations and unusual compression formats

If you discover an advanced persistent threat

Stay calm. Above all, make sure that the cybercriminals do not know that they have been detected. Do not change anything in your IT infrastructure, do not clean up any systems – nothing.

Respond outside your IT infrastructure. For example, call your IT department or IT service provider by mobile phone so that the analysis part of the incident response can begin as quickly as possible.
CAUTION: In the case of an advanced persistent threat, cybercriminals are likely monitoring your entire network, including emails, VoIP calls and calendars. Do not give any indication that you have discovered the advanced persistent threat.
Bring in external IT security experts such as Perseus as quickly as possible, who have routine experience in incident response to advanced persistent threats.
Also inform the relevant authorities. They will treat your cyber incident confidentially. This information is important to better protect you and your company. It is also possible that your company is not the ultimate target of the advanced persistent threat, but can make an important contribution to the investigation.

Areas you can contact include:

The Computer Emergency Response Team (CERT-Bund) of the Federal Office for Information Security (BSI)
Your local Office for the Protection of the Constitution (LfV)
The police, more specifically: the cybercrime contact points of the state and federal police forces for the economy.

Interesting background information

The recommendation paper‘Protect yourself against professional targeted cyber attacks’ from the Federal Office for Information Security (BSI) provides a good, in-depth introduction to this topic.

The BSI’s working document ‘First aid in the event of an APT attack’ provides initial guidance on how to respond correctly after discovering an advanced persistent threat. As this document is publicly available, you will encounter the note ‘Content removed’ in many places – because this information would also be very valuable to cybercriminals.