Advanced Persistent Threats

Der Cyber-Krieg hat gerade erst begonnen

05.02.2013
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Finanziell und politisch motivierte Hacker attackieren zunehmend gezielt kritische Infrastrukturen - drei Viertel ihrer Angriffe gelten hochsensiblen Netzen mit weniger als 50 Maschinen. Wie sollen Unternehmen mit der Gefahr umgehen?
Die digitale Bedrohungswelle rollt...
Die digitale Bedrohungswelle rollt...
Foto: Fotolia, piai

Über viele Jahre hinweg war die professionelle Absicherung des Unternehmensnetzes zwar nicht gerade handelsüblich, aber immerhin zu bewerkstelligen, wenn man sie denn (bezahlen) wollte. Firewall, Virenscanner, regelmäßige Patches und Backups sowie im besten Fall ein gut umgesetztes Security-Awareness-Programm für die Mitarbeiterschaft - fertig war eine nahezu einbruchs- und ausfallsichere IT-Umgebung. Mit der Professionalisierung des Untergrunds reichen die alten Sicherheitsvektoren jedoch nicht mehr aus.

Sicherheitsguru Bruce Schneier hält digitale Netze per se für unsicher.
Sicherheitsguru Bruce Schneier hält digitale Netze per se für unsicher.
Foto: Peter Houlihan

Streuangriffe ins Blaue hinein, wie sie "Skript-Kiddies" starten, um zu testen, durch welche Lücken im System ihre selbst geschriebenen Schädlinge durchschlüpfen können, sind nur noch selten anzutreffen. Die neue Realität ist ein schwer durchschaubares Gemisch aus verschiedenen Bedrohungen: Da gibt es die staatlich und privatwirtschaftlich initiierte Cyberspionage und -sabotage, die mittlerweile nicht mehr nur im Internet stattfindet, sondern auch vom Netz abgeschirmte Industrieanlagen mit einbezieht und ein entsprechend höheres Gefährdungspotenzial aufweist. Dieses Szenario ist bislang noch eher selten, seit dem "Stuxnet"-Vorfall im Jahr 2010 aber ins öffentliche Blickfeld geraten. Häufiger anzutreffen sind der politisch motivierte "Hacktivismus" und die "herkömmliche" Cyberkriminalität aus finanziellen Motiven. Eines haben alle Attacken gemeinsam, wie der bekannte Sicherheitsexperte Bruce Schneier letztes Jahr auf der Cirosec-Konferenz "IT-Defense" salopp konstatierte: "Wenn der böse Mann ins Netz hinein will, kommt er auch hinein!"

Dieser Artikel soll näher auf neue Formen und Folgen der Industriespionage, Industriesabotage und der finanziell motivierten Cyberkriminalität eingehen.

Komplex und kaum aufzuhalten

Via USB-Stick gelangte der Stuxnet-Trojaner dereinst in die Siemens-Steuerunsanlagen.
Via USB-Stick gelangte der Stuxnet-Trojaner dereinst in die Siemens-Steuerunsanlagen.
Foto: Cisco

Als Oberbegriff für die neuartigen Bedrohungen hat sich die einst vom US-Militär erfundene Bezeichnung "Advanced Persistent Threats" (APTs) etabliert. "Advanced" sind sie deshalb, weil die Angriffsvektoren sehr gezielt aufgebaut und angewendet werden sowie für den Attackierten kaum nachvollziehbar und auffindbar sind. "Persistent" sind sie, weil sie sich sehr passiv verhalten ("Auskundschaftung"), dadurch kaum auffindbar sind und über einen langen Zeitraum bestehen. Der Stuxnet-Trojaner konnte beispielsweise bis zu seiner Entdeckung im Juli 2010 über ein Jahr lang im Verborgenen Informationen sammeln - im gezielten Bestreben, später die unter anderem in iranischen Atomanlagen eingesetzten Siemens-Simatic-Step-7-Steuerungssysteme zu sabotieren. Das Spionageprogramm Duqu, das auf derselben Plattform (Tilded) wie Stuxnet entwickelt wurde und einen Teil dessen Quellcodes trägt, sollte mutmaßlich helfen, unter anderem die Unternehmensnetze der Hersteller solcher Steuerungssoftware zu infizieren.