Advanced Persistent Threats

Der Cyber-Krieg hat gerade erst begonnen

05.02.2013
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

Fokus auf die einzelne Information

"Das Schützen ganzer Netze ist nicht zukunftstauglich", sagt Thorsten Krüger.
"Das Schützen ganzer Netze ist nicht zukunftstauglich", sagt Thorsten Krüger.
Foto: SafeNet

Dass der Wert der einzelnen Daten stärker in den Fokus rücken muss, sieht auch Symantec-Vertreter Zeitler so "Wir entwickeln alle unsere Sicherheitskonzepte gemeinsam mit den Unternehmen nicht mehr unter der Prämisse 'Wie schütze ich das System', sondern anhand der Fragestellung 'Wie schütze ich die Information'." Nur so sei eine wirkungsvolle Abwehr ausgeklügelter Angriffe überhaupt noch möglich. Symantec, vor einigen Jahren ebenfalls Ziel einer erfolgreichen Hackerattacke, propagiert öffentlichkeitswirksam, dass es erst durch die Abkehr vom bisherigen System- und Geräte-Ansatz möglich sei, Identitätsdaten und Informationen auf jeder Infrastruktur angemessen zu schützen - ob auf Servern, mobilen Geräten oder in der Cloud. Auch SafeNet, Anbieter für Datensicherheit und Authentifizierungslösungen, wirbt mit seiner "Information Lifecycle Protection"-Strategie: "Das Schützen ganzer Netze ist nicht zukunftstauglich", meint Thorsten Krüger, Director Regional Sales bei SafeNet. Kritische Daten müssten einzeln gesichert und verschlüsselt werden, um sie schwerer an- und abgreifbar zu machen. Ausgeklügelte Zugriffsrechte und ein dauerhaft überwachtes Netzwerk könnten zudem bei der Gefahrenabwehr helfen.

Und wenn Zeit und Geld für einen aufwändigen Security-Masterplan einfach nicht da sind? Für solche Unternehmen bleibt immerhin noch das "Modell Apple", das im Herbst 2011 durchgespielt wurde: Lange Zeit hatte der private Betreiber der Internetplattform Jailbreakme.com regelmäßig Hacks für neue iOS-Betriebssysteme veröffentlicht. Andere Unternehmen hätten ihn sicher verklagt - Apple tat jedoch etwas anderes: Das Unternehmen stellte ihn als Sicherheitsexperten ein. Die Folge: Apple war bislang noch nie Ziel einer öffentlichkeitswirksamen größer angelegten Hackerattacke. Mikko Hypponen rät deshalb: "Bevor ein schlauer Kopf Sie angreifen kann, stellen Sie ihn lieber ein!"

Mit Raffinesse und Insiderwissen

Mikko Hypponen, Chief Research Officer bei F-Secure, demonstrierte im Rahmen der "IT-Defense 2012", wie ein gezielter Angriff heute in den meisten Fällen von statten geht. Über eine perfekt gefälschte E-Mail wird Backdoor-Schadcode in sensible Sicherheitsbereiche geschleust und ausgeführt. Nun stehen Spionen und Saboteuren alle Möglichkeiten offen.

Wonach es aussieht:

Der Mitarbeiter eines Industrieunternehmens erhält eine E-Mail von einem ihm bekannten Absender. Die E-Mail sieht unverdächtig, aber wichtig aus - der Name des Absenders, seine E-Mail-Adresse und selbst die Signatur sind echt. Sogar die Tonalität des E-Mail-Textes scheint zu stimmen - dieser verweist in knappen und sprachlich einwandfreien Worten auf den PDF- (wahlweise auch Excel-)-Anhang. Der Mitarbeiter denkt sich nichts Böses und öffnet den Anhang - das Adobe-Reader-Fenster poppt kurz auf, geht dann aber sofort wieder zu. Einige Sekunden später lädt das Programm erneut und eine interessante PDF-Datei öffnet sich - auch sie scheint völlig in Ordnung zu sein und enthält spannende Informationen (das kann sogar die offizielle Einladung zur Nobelpreisverleihung mit echter Unterschrift sein, wie es im Jahr 2011 in Schweden tatsächlich vorgekommen ist). Ein kurzes Durchlesen der Datei und dann geht es wieder zur Tagesordnung im Büro über. Kurz vor dem Schließen des Adobe Readers bemerkt der Mitarbeiter noch beiläufig, dass in der Kopfleiste des Programms ein ganz anderer Dateiname steht als der, der im E-Mail-Programm als Anhang angezeigt wird. In der E-Mail hieß die Datei noch "Tagesordnung_Meeting_Mittwoch.pdf", jetzt im Reader steht "program.pdf" darüber. Merkwürdig, diese Technik …

Was wirklich geschah:

Der Mitarbeiter erhielt eine von vorne bis hinten perfekt gefälschte E-Mail von einem Angreifer. In der angehängten PDF-Datei befand sich ein Spionageprogramm, das beim ersten Klick auf die Datei ausgeführt wurde und eine nichtssagende exe-Datei (beispielsweise a.exe) tief im System platzierte. Die Datei wurde umgehend gestartet und öffnete eine Backdoor im System. Nun hatte der Angreifer vollen Zugriff auf den Rechner des Mitarbeiters. Die PDF-Datei wurde gleichzeitig umbenannt und normal ausgeführt - auch die hierin enthaltenen Informationen waren echt. Wie der Angreifer an die Informationen gelangt war, bleibt im Dunkeln. Auf Nachfrage beim vermeintlichen E-Mail-Absender kann sich dieser nicht daran erinnern, jemals derartige Daten weitergereicht, geschweige denn eine solche E-Mail versendet zu haben.