Sie sind hier
E-Book

Cyberbedrohungen. Eine Analyse von Kriterien zur Beschreibung von Advanced Persistent Threats

AutorAnonym
VerlagStudylab
Erscheinungsjahr2017
Seitenanzahl108 Seiten
ISBN9783668497269
FormatPDF/ePUB
Kopierschutzkein Kopierschutz/DRM
GerätePC/MAC/eReader/Tablet
Preis34,99 EUR
In Abgrenzung zum einfachen Hacking werden hochspezialisierte und hochgradig anspruchsvolle, oft auf einen längeren Zeitraum angelegte Cyberangriffe als Advanced Persistent Threats - kurz APTs - bezeichnet. Mandiant sieht in einem APT eine 'Threat Group' - also eine Gruppe von Personen, die zusammenarbeitet, um für sie interessante Netzwerke anzugreifen. Eine beweissichere Zuordnung eines Cyberangriffs zu einem konkreten Täter (beispielsweise einem staatlichen Akteur) ist nicht unmöglich, aber so komplex, dass sie in den wenigsten Fällen erfolgreich ist. Dennoch versucht man im Zuge dieser Zuordnung, der sogenannten Attribution, möglichst viele Merkmale eines konkreten Angriffs mit den bekannten Merkmalen eines Advanced Persistent Threats abzugleichen. Kann man einer APT immer mehr Angriffe zuordnen, wird das Bild dieser Gruppe Schritt für Schritt genauer. In einigen Fällen war es dadurch bereits möglich, Rückschlüsse auf konkrete Täter ziehen zu können. Das Ziel dieses Buchs ist es, aus Fachberichten und weiteren Quellen ein umfassendes Bild der Beschreibungskriterien für Advanced Persistent Threats zu erarbeiten und zu analysieren. Diese Kriterien werden in einem Fragenkatalog für APT-Angriffe zusammengestellt. Es erfolgt eine Bewertung der Aussagekraft der einzelnen Kriterien. Dazu werden zwei konkrete Beispiele besonders bekannter Cyberangriffsgruppen, APT 10 und APT 28, angeführt. Aus dem Inhalt: - Cyberangriffe; - Advanced Persistent Threat; - APT-Kriterien; - Cyberbedrohungen

Kaufen Sie hier:

Horizontale Tabs

Leseprobe

3 Attribution von Advanced Persistent Threats


 

Neben Prävention und Detektion ist die Attribution eine Kernherausforderung bei der Beschäftigung mit Advanced Persistent Threats. Es handelt sich dabei um eine Urheberschaftsermittlung, also eine Zuordnung, von wem ein Cyberangriff durchgeführt wurde. (Eissing 2016, S.491)

 

Problematisch ist diese Zuordnung schon auf Grund der Möglichkeit, anonym im Netz agieren und Cyberangriffe durchführen zu können. Der Angreifer ist grundsätzlich bestrebt, seine Urheberschaft zu verbergen. Dies kann er durch besonders unauffälliges Verhalten, das Verwischen von Spuren oder das Legen falscher Spuren (sogenannter “False Flag Attacken”) erreichen. Bei Letzteren wird ganz bewusst eine falsche Fährte gelegt, um den Tatverdacht auf eine andere Gruppe oder ein anderes Land zu lenken. (Krieger 2012, S.4)

 

Besonders staatliche Stellen haben nach der Detektion von Cyberangriffen – was meist bereits selbst schon eine Herausforderung ist – die Aufgabe, den Angriff richtig zuzuordnen, also zu attributieren, um in der Folge angemessen reagieren zu können. (Eissing 2016, S.491)

 

Bevor die verschiedenen Akteure betrachtet werden, welche sich mit der Attribution beschäftigen, soll das grundsätzliche Vorgehen bei der Attribution von Cyberangriffen kurz dargestellt werden. Im Anschluss erfolgt die Vorstellung verschiedener Attributionsmodelle aus der Praxis.

 

3.1 Vorgehen bei der Attribution


 

Greift ein Staat einen anderen Staat mit Hilfe konventioneller Waffen an, ist der Täter schnell zu bestimmen: Bei einem Raketenangriff kann beispielsweise anhand von Satellitenbildern rekonstruiert werden, wo der Ursprung eines Angriffs liegt. Bei digitalen Angriffen is es ungleich schwieriger. (Brühl und Hakan 2016, S.2)

 

IT-Forensik im Zusammenhang mit Cyberangriffen beschreibt die Spurensuche in oft tausenden von Zeilen Programmiercode einer vom Angreifer verwendeten Schadsoftware. Auf diese Art und Weise kann festgestellt werden, wie ein Angriff durchgeführt wurde – die Frage, wer ihn durchgeführt hat, bleibt aber zunächst offen. (Brühl und Hakan 2016, S.2)

 

Bei der Attribution von Cyberangriffen geht es aber genau um die Frage nach dem Urheber. Im Falle von staatlichen Angriffen durch Cyberspionage oder Cybersabotage ist das Ziel der Attribution eine geografische Zuordnung. Bei Fällen von organisierter Cyberkriminalität soll nach Möglichkeit eine konkrete Person oder Personengruppe als Täter ausfindig gemacht werden.

 

Im Rahmen dieser Arbeit werden Advanced Persistent Threats betrachtet, die schon von ihrer Definition her bestrebt sind, eine Entdeckung und vor allem Aufdeckung ihrer Urheberschaft zu verhindern. Der Attributionsprozess des Cyberangriffs einer APT-Gruppe ist damit noch komplexer.

 

Einen eindeutigen Beweis für eine Urheberschaft gibt es selten. Stattdessen versucht man, möglichst viele Details verschiedener Angriffe des mutmaßlich selben Angreifers zu sammeln und auf Grund von Ähnlichkeiten zu einem gemeinsamen Bild zusammenzufügen, aus dem sich die Beschreibung für einen APT ergibt. Ein Advanced Persitent Threat erhält so über die Zeit ein gewisses Set von Eigenschaften (beispielsweise zur Intention oder Details der Vorgehensweise). So können weitere konkrete Cyberangriffe mit einer immer größeren Wahrscheinlichkeit einem bestimmten Akteur zugeordnet werden, wodurch sich wiederum das Bild dieses APTs verfeinern lässt. (FireEye 2016,S.12)

 

Je genauer ein APT beschrieben werden kann, desto eher ist es in der Folge möglich, auch zwischen diesen verschiedenen APT-Gruppen Ähnlichkeiten zu erkennen. Beauftragt ein Staat zum Beispiel mehrere unterschiedliche Gruppen mit Angriffen auf dasselbe oder verschiedene Ziele und arbeiten diese Gruppen in gewisser Weise miteinander zusammen (im selben Büro, über die Nutzung derselben Angriffswerkzeuge etc.), können diese Verbindungen durch sehr konkrete Beschreibungen der einzelnen Gruppen erkannt und aufgedeckt werden. Dem konkreten Urheber oder Auftraggeber der Angriffe kommt man auf diese Art und Weise Stück für Stück näher. (FireEye 2016, S.12)

 

Ein erster Schritt bei der Attribution fortgeschrittener Cyberangriffe ist also die Zuordnung zu einer Tätergruppe – dem APT. Dazu bedarf es zunächst der Festlegung von Merkmalen, anhand derer ein Advanced Persistent Threat beschrieben werden kann.

 

In Kapitel vier werden häufig verwendete Beschreibungskriterien (Merkmale) für Advanced Persistent Threats identifiziert und analysiert sowie im späteren Verlauf dieser Arbeit bewertet.

 

3.2 Akteure


 

Zu den Beobachtern von Advanced Persistent Threats zählen zunächst natürlich potenziell und tatsächlich Betroffene - also Unternehmen, Regierungsorganisationen usw. Daneben gibt es IT-Sicherheitsdienstleister, die den Schutz vor Cyberangriffen als Geschäftsmodell anbieten und schließlich staatliche Stellen, die mit dem Schutz, der Aufklärung und einer eventuellen Reaktion auf elektronische Angriffe beauftragt sind.

 

Betroffene

 

Die Gefahr, Opfer eines APT-Angriffs zu werden, besteht grundsätzlich für jedes Unternehmen und jede Organisation, die eine herausgehobene Stellung beispielsweise im Bereich der kritischen Infrastrukturen (KRITIS) einnimmt und/oder besonders wertvolle Informationen besitzt, die schützenswert sind. Dazu zählt geistiges Eigentum, z.B. zu Sicherheitsstrukturen in Kraftwerken, zur Herstellung von Hochtechnologie, geheime Rezepturen oder aber auch Informationen, die im Rahmen politischer Abstimmungsprozesse entstehen.

 

Die IT-Sicherheitsverantwortlichen haben die Aufgabe, ihre Organisation vor APTs zu schützen. Viele (potenziell) Betroffene sind sich der Gefahren durch Advanced Persistent Threats allerdings gar nicht bewusst. Staatliche Stellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder das Bundeamt für Verfassungsschutz (BfV) bieten im Rahmen des Wirtschaftsschutzes Sensibilisierungs- und Präventionsmaßnahmen an. Ziel ist es, den Orgnisationen Wissen an die Hand zu geben, wie APT-Angriffe vermieden oder zumindest im Nachhinein erkannt werden können.

 

Die Unternehmen und anderen Organsationen haben beispielsweise die Möglichkeit, ihre Netzwerke nach sogenannten Indicators of Compromise (IOCs) zu durchsuchen, um in der Vergangenheit bei anderen Organisationen erkannte Schadsoftware aufzuspüren. Diese IOCs kann ein Unternehmen von Sicherheitsbehörden, von IT-Sicherheitsunternehmen sowie teilweise öffentlich zugänglich im Internet beziehen.

 

Für bestimmte Unternehmen im Bereich KRITIS besteht zudem mit dem neuen IT-Sicherheitsgesetz eine Meldepflicht für erkannte Cyberangriffe. Sie sind damit schon von rechtlicher Seite her gezwungen, sich mit dem Thema auseinanderzusetzen.

 

IT-Sicherheitsdienstleister

 

Den Schutz vor Advanced Persistent Threats bieten vor allem IT-Sicherheitsdienstleister an. Zahlreiche Unternehmen dieser Branche haben die sogenannte “Threat Intelligence” als Geschäftsfeld erkannt. Bei Threat Intelligence handelt es sich um Informationen über Cyberbedrohungen wie Tätergruppen oder deren eingesetzte Schadprogramme. (Steffens 2016, o.S.)

 

Einige Unternehmen liefern Software, die Angriffe anhand der eingespeicherten Signaturen erkennen soll. Ein Beispiel ist das Unternehmen FireEye, dessen “Threat Protection Platform” zur Erkennung von APT-Angriffen laut eigenen Angaben in tausenden von sensiblen Netzwerken weltweit installiert ist. Die FireEye-Sensoren werden hinter den klassischen Abwehrwerkzeugen wie Firewalls, Antivirenprogrammen oder Intrusion-Prevention-Systemen (IPS-Systemen) eingesetzt. Die von den Systemen erkannten Angriffe haben also bereits klassische Schutzmaßnahmen durchdrungen und können als besonders anspruchsvoll eingestuft werden. Die notwendigen Daten entstehen bei den Anbietern von IT-Sicherheitsprodukten ohnehin durch eigene Analysen oder die Rückmeldungen der Daten aus den bei Kunden eingesetzten Sensoren. (FireEye 2014 c, S.5)

 

In der Regel handelt es sich bei der verkauften “Threat Intelligence” aber um Informationen und nicht um Software. (Steffens 2016, o.S.) Die verschiedenen Angebote auf operativer, taktischer und strategischer Ebene wurden bereits in Kapitel 2.5 beschrieben.

 

Neben kostenpflichtigen Informationen werden auch kostenlose Berichte zu Advanced Persistent Threats zur Verfügung gestellt. Unternehmen wie FireEye, Trendmicro oder Kaspersky veröffentlichen regelmäßige Bedrohungsanalysen in ihren Blogs. Dies dient sicherlich zu einem nicht unerheblichen Teil der Darstellung der eigenen Fachkompetenz.

 

Zu den besonders renommierten Unternehmen im Bereich der Threat Intelligence gehören zusätzlich zu den bereits genannten unter anderem auch Palo Alto Networks, Symantec, Crowdstrike, Cylance, Dell Secure Networks, Cisco und BAE Systems. Da der Markt sich ständig weiterentwickelt, ist diese Liste nicht abgeschlossen.

 

Die Unternehmen beobachten einzelne Advanced Persistent Threats und vergeben in der Regel für jede Gruppe einen eigenen Namen. So werden mutmaßlich chinesische...

Blick ins Buch

Weitere E-Books zum Thema: Netzwerke - Clouds - Datenbanken

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Microsoft ISA Server 2006

E-Book Microsoft ISA Server 2006
Leitfaden für Installation, Einrichtung und Wartung Format: PDF

Im Januar 2005 ist mein erstes Buch zum Thema ISA Server 2004 erschienen. Die Erstauflage war bereits nach wenigen Monaten ausverkauft, was offensichtlich bedeutet, dass der Bedarf nach Informationen…

Microsoft ISA Server 2006

E-Book Microsoft ISA Server 2006
Leitfaden für Installation, Einrichtung und Wartung Format: PDF

Im Januar 2005 ist mein erstes Buch zum Thema ISA Server 2004 erschienen. Die Erstauflage war bereits nach wenigen Monaten ausverkauft, was offensichtlich bedeutet, dass der Bedarf nach Informationen…

Veritas Storage Foundation®

E-Book Veritas Storage Foundation®
High End-Computing für UNIX, Design und Implementation von Hochverfügbarkeitslösungen mit VxVM und VCS Format: PDF

Hochkonzentrierter und praxisorientierter Kurs zur 'Veritas Storage Foundation': Storage Virtualisierung (Teil 1) erzeugt virtuelle Diskspeicher, die bei Kompatibilität zu ihren physischen…

Veritas Storage Foundation®

E-Book Veritas Storage Foundation®
High End-Computing für UNIX, Design und Implementation von Hochverfügbarkeitslösungen mit VxVM und VCS Format: PDF

Hochkonzentrierter und praxisorientierter Kurs zur 'Veritas Storage Foundation': Storage Virtualisierung (Teil 1) erzeugt virtuelle Diskspeicher, die bei Kompatibilität zu ihren physischen…

Veritas Storage Foundation®

E-Book Veritas Storage Foundation®
High End-Computing für UNIX, Design und Implementation von Hochverfügbarkeitslösungen mit VxVM und VCS Format: PDF

Hochkonzentrierter und praxisorientierter Kurs zur 'Veritas Storage Foundation': Storage Virtualisierung (Teil 1) erzeugt virtuelle Diskspeicher, die bei Kompatibilität zu ihren physischen…

Weitere Zeitschriften

BIELEFELD GEHT AUS

BIELEFELD GEHT AUS

Freizeit- und Gastronomieführer mit umfangreichem Serviceteil, mehr als 700 Tipps und Adressen für Tag- und Nachtschwärmer Bielefeld genießen Westfälisch und weltoffen – das zeichnet nicht ...

Card Forum International

Card Forum International

Card Forum International, Magazine for Card Technologies and Applications, is a leading source for information in the field of card-based payment systems, related technologies, and required reading ...

crescendo

crescendo

Die Zeitschrift für Blas- und Spielleutemusik in NRW - Informationen aus dem Volksmusikerbund NRW - Berichte aus 23 Kreisverbänden mit über 1000 Blasorchestern, Spielmanns- und Fanfarenzügen - ...

Deutsche Hockey Zeitung

Deutsche Hockey Zeitung

Informiert über das nationale und internationale Hockey. Die Deutsche Hockeyzeitung ist Ihr kompetenter Partner für Ihren Auftritt im Hockeymarkt. Sie ist die einzige bundesweite Hockeyzeitung ...

IT-BUSINESS

IT-BUSINESS

IT-BUSINESS ist seit mehr als 25 Jahren die Fachzeitschrift für den IT-Markt Sie liefert 2-wöchentlich fundiert recherchierte Themen, praxisbezogene Fallstudien, aktuelle Hintergrundberichte aus ...

EineWelt

EineWelt

Lebendige Reportagen, spannende Interviews, interessante Meldungen, informative Hintergrundberichte. Lesen Sie in der Zeitschrift „EineWelt“, was Menschen in Mission und Kirche bewegt Man kann ...

Eishockey NEWS

Eishockey NEWS

Eishockey NEWS bringt alles über die DEL, die DEL2, die Oberliga sowie die Regionalligen und Informationen über die NHL. Dazu ausführliche Statistiken, Hintergrundberichte, Personalities ...