Aktueller Channel Fokus:

Business Continuity

Advanced Persistent Threats

Industriespionage im APT-Zeitalter

| Autor: Dr. Stefan Riedl

Auch Industriespionage wandelt sich im Laufe der Zeit.
Auch Industriespionage wandelt sich im Laufe der Zeit. (Bild: © everettovrk - stock.adobe.com)

Advanced Persistent Threats (APTs) bilden die Königsklasse der Hackerangriffe. Spürt man Schadcode auf, sollte man sich von chinesischen Schriftzeichen aber nicht unbedingt zu Spekulationen verleiten lassen. Es könnte eine falsche Fährte sein.

KPMG ist nicht nur eine Wirtschaftsprüfungsgesellschaft, sondern auch eine Unternehmensberatung, die in Sachen IT-Forensik und Cyberangriffe berät. Im Unternehmensbereich „Forensic Technology“, geht es unter anderem um adäquate und schnelle Reaktion auf IT-Sicherheitsvorfälle. In diesem Zusammenhang wird auch mit Cyber-Versicherungen zusammengearbeitet, die ihren Versicherungsnehmern schnelle Hilfe für den Notfall bieten. Tritt so ein Cyber-Angriff auf, läutet in seiner Abteilung das Telefon: Michael Sauermann, Partner und Head of Forensic ­Technology Germany bei KPMG. „Cyber-Versicherungen arbeiten nicht wie klassische Versicherungen, bei denen es hauptsächlich um den reinen Schadensausgleich geht, sondern sie decken in den meisten Fällen auch den Bereich Notfallhilfe und Krisenmanagement ab“, erläutert der IT-Forensiker. „Konkret heißt das, dass die Versicherung Notfallnummern an die Versicherten ausgibt, damit sich diese direkt per Telefon zum Beispiel an meine Abteilung wenden können.“

Mit einem Experten-Team kümmert sich die KPMG-Abteilung bei IT-Sicherheitsvorfällen darum, die Angreifer aufzuspüren, Schutzmaßnahmen aufzubauen und Systeme wiederherzustellen. Außerdem wird in Hinblick auf mögliche behördliche Meldepflichten, wie sie beispielsweise im Rahmen der DSGVO bestehen, oder auch hinsichtlich der Zusammenarbeit mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) beraten.

Ransomware und APTs

Zur Blütezeit von Ransomware kamen pro Tag Notfallmeldungen im zweistelligen Bereich. Aber auch in weniger bewegten Zeiten kommen beinahe täglich Anrufe, bei denen es allerdings teilweise nur um Verdachtsfälle und kleinere Auffälligkeiten oder Unsicherheiten geht, die schnell aus der Welt geschafft werden können. Darunter befinden sich dennoch gerne einmal die großen Vorfälle, mit denen große Schäden einhergehen. Mitunter geht es dann um „sehr perfide Advanced Persistent Threats (APTs)“, also sehr komplexe und zielgerichtete Angriffe zum Beispiel auf Betreiber kritischer Infrastrukturen oder sonstige Großunternehmen. „Verdachtsmomente hinsichtlich der Urheber solcher Angriffe können im Rahmen von Industriespionage auch staatliche Akteure sein“, sagt Sauermann.

Die hochintelligente und hochentwickelte Schadsoftware, die in der Regel hinter APT-Angriffen steckt, versteckt und tarnt sich im Dateisystem, sodass initial lediglich Spuren der Software im Hauptspeicher aufgespürt werden können. Mitunter gelingt es, über Reverse-Engineering-Methoden den Quellcode zu entschlüsseln. Dabei kommt es vor, „dass sich in der Dokumentation des Codes beispielsweise Schriftzeichen wiederfinden, die auf den Urheber beziehungsweise das Ursprungsland schließen lassen.“ Hier sei es trotzdem ratsam, vorsichtig zu sein und keine voreiligen Rückschlüsse auf die Urheber zu ziehen, denn es gibt natürlich keine Garantie, dass beispielsweise ausländische Schriftzeichen nicht als falsche Fährte ausgelegt wurden, berichtet Sauermann.

Von „schockgefrostet bis aktionistisch“

Michael Sauermann, Partner und Head of Forensic Technology Germany, KPMG
Michael Sauermann, Partner und Head of Forensic Technology Germany, KPMG (Bild: KPMG)

Ein größerer Security-Vorfall führt bei den Unternehmen zu sehr unterschiedlichen Reaktionen, die von „schockgefrostet bis aktionistisch“ reichen können. „Hier kommen wir ins Spiel und sorgen erst einmal dafür, dass nicht versehentlich digitale Spuren der Angreifer verwischt werden“, sagt der IT-Forensiker bei KPMG. „In der Regel ist die IT-Landschaft in einem Unternehmen wie eine Zwiebel aufgebaut. In der Mitte finden sich unter anderem sensible Systeme und digitale Kronjuwelen, umgeben von einer so genannten Demilitarisierten Zone (DMZ).“ Aber nicht alle Systeme müssen mit dem gesamten Unternehmensnetzwerk verbunden sein, führt Sauermann aus. „Teilweise sehen wir völlig abgeschottete Systeme ohne aktivierte USB-Buchsen und andere Anschlussmöglichkeiten und ohne Intranet- und Internet-Zugang. Gegebenenfalls kommt auch ein physischer Tresor ins Spiel, in dem Daten aufbewahrt werden. Soweit wird aber nur selten gegangen.“

Ziel: Active Directory

Ein APT-Angriff beginnt damit, den Perimeterschutz des Unternehmensnetzwerks abzuscannen, um beispielsweise ein nicht gepatchtes System zu finden, Schwachstellen zu identifizieren, für die es einen Exploit gibt, und damit eine Möglichkeit aufzutun, in das System einzudringen. „Gelingt es den Angreifern, in ein System einzudringen, versuchen diese in der Regel, höhere Berechtigungen im Netzwerk zu erreichen, beispielsweise indem geschaut wird, ob auf demselben Rechner ein Systemadministrator angemeldet ist. Mit entsprechender Schadsoftware ist es dann möglich, an die Zugangsdaten des Admins zu kommen. Werden hier die Berechtigungen erlangt, arbeitet sich der Angreifer immer weiter fort, zum Beispiel bis zum Domain Controller, beziehungsweise dem Active Directory, über das dann weitere umfassende Zugriffsrechte und Benutzerkennungen erlangt werden können“, so Sauermann.

Ergänzendes zum Thema
 
KPMG und das Themenspektrum „Cybersecurity und IT-Forensik“

Zwei Dinge wären in diesem Kontext sehr hilfreich, sagt der KPMG-Partner: „Erstens, dass sich Unternehmen aktiv und noch stärker als bisher darum kümmern, wirklich alle Mitarbeiter über die digitale Bedrohungslage aufzuklären.“ Denn ein entsprechendes Risikobewusstsein führt dazu, dass Mitarbeiter mit unbekannten Dateianhängen und Links vorsichtig umgehen und diese nicht einfach anklicken. „Zweitens“, rät Sauermann, „sollten unter dem Modewort ‚Digitalisierung‘ nicht unüberlegt neue Strukturen eingeführt werden, sondern von vorneherein das Thema Cyber-Sicherheit, einschließlich der Veränderungen in Hinblick auf die digitale Bedrohungslage mitberücksichtigt werden“.

Keine klassische Versicherung

Cyber-Versicherungen waren früher vor allem etwas für Großunternehmen, allerdings spielt der Mittelstand eine immer größere Rolle. „Der Markt für Cyber-Versicherungen ist in den USA etwa fünf Jahre reifer und es ist auch in diesem Bereich zu erwarten, dass die Entwicklungen mit einiger Verzögerung dann hierzulande ankommen“, so Sauermann. Eine KPMG-Umfrage stützt diese These: „Wir haben in unserer aktuellen e-Crime Studie über 1.000 Unternehmen verschiedener Größe befragt und es kam raus, dass 27 Prozent der befragten Unternehmen bereits eine Cyber-Police abgeschlossen haben und weitere 28 Prozent einen Abschluss konkret planen.“ Auch die Problematik rund um Datenlecks, insbesondere in Hinblick auf die 72-stündige DSGVO-Meldepflicht, treibt diesen Markt voran.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46184200 / Security)