Advanced Persistent Threats. Bedrohungen durch zielgerichtete und andauernde Cyberattacken

Inhaltsverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Zielsetzung
1.2 Aufbau und Struktur

2 Grundlagen: Was sind Advanced Persistent Threats?
2.1 Begriffsdefinition Advanced Persistent Threat
2.2 Charakteristika eines Advanced Persistent Threats
2.3 Ablauf eines Advanced Persistent Threats
2.4 Bedrohungslage für Unternehmen durch Advanced Persistent Threats
2.5 Repräsentative Beispiele durchgeführter Advanced Persistent Threats

3 Methoden und Techniken eines Advanced Persistent Threats
3.1 Social Engineering
3.2 Spear-Phishing
3.3 Watering Hole Attack
3.4 Drive-by Download
3.5 Rootkits und andere Malware

4 Schutzmaßnahmen gegen Angriffe durch Advanced Persistent Threats
4.1 Defense-in-Depth
4.2 Managed Security Services
4.3 Sensibilisierung der Mitarbeiter

5 Abschließende Betrachtung

Quellenverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Unternehmen müssen sich derzeit gleich mehreren Herausforderungen stellen: Zum einen den steigenden Compliance-Anforderungen und die Umsetzung der digitalen Transformation z. B. in Bezug auf Industrie 4.0 oder Cloud Computing.¹ Zum ande- ren sehen sich immer mehr Unternehmen gezielten Cyberangriffen ausgesetzt. Eine von der Bitkom durchgeführte Umfrage bei über 500 Industrieunternehmen ergab, dass 65% bis 75% der befragten Unternehmen innerhalb der letzten zwei Jahre Opfer von Datendiebstahl, Industriespionage oder Sabotage waren. Dabei standen vor allem Unternehmen aus den Branchen Maschinenbau und Chemie/Pharma im Fokus. Hauptsächliche Angriffsziele waren insbesondere die Bereiche Produktion/Fertigung (36%) und Lager/Logistik (30%).²

Waren die letzten drei Dekaden primär durch Cyber-Vandalismus geprägt, erfolgte in den letzten Jahren ein Wandel zur gezielten Cyber-Kriminalität.³ Richteten willkür- lich verbreitete Computerviren/-würmer und Phishing-Mails früher diffuse Schäden an und zielten vordergründig auf Zerstörung ab, werden mittlerweile verstärkt systematische und komplexe Angriffe auf Unternehmen und ihre IT-Landschaften durchgeführt, um an deren sensible Daten zu gelangen.⁴

1.1 Zielsetzung

Zielsetzung der vorliegenden Arbeit ist es, einen Überblick über Advanced Persistent Threats (APTs), gezielte und andauernde Cyberangriffe, zu liefern. Zum einen werden Charakteristika und Ablauf dieser beschrieben und dargestellt, warum APTs eine Gefahr für Unternehmen darstellen. Zum anderen werden Methoden und Techniken vorgestellt, um APTs erfolgreich abwehren zu können.

1.2 Aufbau und Struktur

Die Arbeit gliedert sich in insgesamt fünf Kapitel, bestehend aus der Einleitung sowie den Grundlagen in Kapitel 2, welche einen wesentlichen Überblick über APTs, ihrer Charakteristika und ihren Ablauf schaffen. In Kapitel 3 werden verschiedene Methoden und Techniken, die primär bei einem APT zum Einsatz kommen vorge- stellt. Weiterhin werden Ansätze für eine geeignete Abwehrstrategie betrachtet. In Kapitel 5 erfolgt eine abschließende Betrachtung, in der die wesentlichen Punkte zusammengefasst werden und ein Ausblick gegeben wird.

2 Grundlagen: Was sind Advanced Persistent Threats?

2.1 Begriffsdefinition Advanced Persistent Threat

Advanced Persistent Threat (APT) ist ein zusammengesetzter Begriff aus mehre- ren Teilbegriffen und beschreibt eine „fortgeschrittene oder erweiterte, andauernde Bedrohung“. Die Teilwörter dieses Begriffs lassen sich wie folgt definieren:⁵

Advanced (A, fortgeschritten):

Das Teilwort Advanced stellt die Abgrenzung zu herkömmlichen, d. h. gewöhn- licherweise willkürlichen, Cyberangriffen dar. Es steht also weniger für die verwendeten Angriffstechniken, da auch klassische Techniken wie Social En- gineering zum Einsatz kommen können. Advanced beschreibt zum einen, dass der oder die Angreifer ganz gezielt ein bestimmtes Ziel anvisieren, zum ande- ren dass es sich oftmals um einen oder mehrere technisch und finanziell gut ausgestattete Angreifer handelt.

Persistent (P, andauernd ):

Ein herkömmlicher Angriff hat i. d. R. das Ziel, den mit Schadsoftware infizier- ten Rechner auszuspähen oder diesen zur weiteren Verbreitung von Schadsoft- ware zu nutzen. Bei einem APT hingegen wird der infizierte Rechner meist nur als eine Art Sprungbrett genutzt, um Zugriff auf weitere Systeme in der IT- Infrastruktur zu erhalten. Hauptziel ist vor allem ein dauerhafter (persistenter) und unbemerkter Zugriff auf das Netzwerk. Unter „dauerhaft“ wird dabei ein Zeitraum von Wochen, Monaten oder gar Jahren verstanden.

Threat (T, Bedrohung ):

Der dritte Teilbegriff steht für die Bedrohung durch Sabotage oder Diebstahl geistigen Eigentums einer Organisation bzw. die Gefährdung eines Systems un- ter kombinatorischen Einsatz verschiedener Techniken und Tools wie Trojanern, Phishing, Social Engineering etc.

2.2 Charakteristika eines Advanced Persistent Threats

APTs sind laut Sicherheits-Jahresberichten von Cisco und Sophos stark auf dem Vormarsch.⁶ Sie stellen unter Einsatz verschiedener Techniken systematische und andauernde Angriffe auf Regierungseinrichtungen, Unternehmen und Personen dar. Bei diesem wollen die Angreifer langfristig, d.h. über einen Zeitraum von Wochen, Monaten oder Jahren, und möglichst unbemerkt Zugang zum Zielnetzwerk erhalten. Dieses wird durch speziell auf die Opfer zugeschnittene Angriffsmethoden erreicht.⁷

Im Fokus des gezielten Angriffs stehen insbesondere strategische Dokumente, Kun- dendaten und Informationen über zukünftige Produktdesigns. Diese Unterlagen lassen sich am „Markt“ verkaufen oder können von Staaten ökonomisch oder militärisch gegen andere Staaten eingesetzt werden. Folglich ist jeder APT zwar grundsätzlich ein gezielter Angriff, vice versa trifft dies nicht unbedingt zu. Auch wenn der Begriff APT in jüngster Zeit vor allem von Anbietern diverser Sicherheitssoftware als Schlagwort verwendet wird und damit zur Verwässerung dessen führt, können APTs bestimmte Charakteristika zugeordnet werden:⁸

Angepasste Angriffe:

Die Angriffe werden speziell auf das Opfer zugeschnitten. Für die „Kampagne“ werden die zu verwendenden Werkzeuge wie Exploits, Viren, Würmer und Rootkits spezifisch auf die jeweilige Infrastruktur angepasst bzw. modifiziert.

Während gewöhnliche Angriffen in verschiedenen Bereichen fast vollständig au- tomatisiert erfolgen (z. B. gewöhnliches Phishing in Form von Spam), erfolgen bei APTs viele manuelle Eingriffe und Anpassungen (z. B. Spear-Phishing).

Still und leise:

Eines der Hauptziele besteht darin, sich möglichst lange im Zielnetzwerk be- wegen zu können. Aus diesem Grund gehen die Angreifer still und leise vor, um unentdeckt zu bleiben. Kontinuierlich erfolgt eine Überwachung seitens der Angreifer, ob möglicherweise die Gefahr entdeckt zu werden besteht. Unter Umständen ruhen ihre Aktivitäten sogar für einige Zeit, wenn dadurch die Gefährdung vermieden werden kann.

Höhere Ambitionen:

Im Gegensatz zu „Fast-Money-Making“ Angriffen sind die Ziele von APTs i. d. R. höher gesteckt. Es geht vielmehr um Spionage und Sabotage durch Konkurrenzunternehmen oder auch Staaten. Die Angriffe können dabei so- wohl wirtschaftlich als auch politisch oder militärisch motiviert erfolgen. Die ausführenden Angriffsgruppen sind je nach Auftraggeber finanziell sehr gut ausgestattet und erhalten u.U. sogar Unterstützung durch Militärs oder Ge- heimdienste.

Spezifizierte Ziele:

Im Gegensatz zu willkürlichen Cyberangriffen werden bei APTs ganz bestimmte Ziele angegriffen. Dies können Unternehmen, Organisationen oder Regierungen sein.

2.3 Ablauf eines Advanced Persistent Threats

In der Literatur findet man unterschiedliche Abstufungen in Bezug auf den Lebens- zyklus eines APTs. Grundsätzlich kann dieser aber in vier bis sechs Hauptphasen unterteilt werden:⁹

Aufklärungsarbeit:

Bevor der eigentliche Angriff startet, wird das Zielobjekt ausgekundschaftet. Dies kann z. B. durch Port- oder Schwachstellen-Scans erfolgen, aber auch durch das Sammeln von Informationen von E-Mail Adressen oder Domains. Durch Telefonanrufe und dem Einsatz von Social Engineering versuchen die Angreifer an Informationen über interne Abläufe sowie Ansprechpartner, Nebenstellen usw. zu gelangen.

Erstmaliger Einbruch in das Zielsystem:

Durch die Ausnutzung entdeckter Schwachstellen und bereits gesammelter Informationen erfolgt ein erstmaliger Zugriff auf das Zielnetzwerk. Hierbei kom- men Techniken wie Social Engineering, Spear Phishing oder Drive-by-Downloads zum Einsatz, um bspw. Zugriff über ein (normales) Benutzerkonto in das Firmennetzwerk zu erhalten.

Investigation:

Ist der Einbruch in das Zielsystem geglückt, verschaffen sich die Angreifer zunächst einen Überblick über die vorgefundene Infrastruktur. Weiterhin versu- chen sie, erweiterte Rechte zu erhalten und relevante Benutzerdaten (Benutzer- namen und Passwörter), Zertifikate der Public-Key-Infrastruktur (PKI), Virtual Private Network (VPN)-Software oder privilegierte Benutzerkonten und Com- puter zu finden und einzusammeln. An mehreren Stellen werden unter Ausnut- zung von Sicherheitslücken Hintertüren platziert, um spätere Zugriffe selbst bei Entdeckung und Schließung einzelner Sicherheitslücken zu gewährleisten.

Dieses Vorgehen erfolgt leise und unauffällig, um jegliche Aufmerksamkeit seitens des Opfers zu vermeiden.

Daten abgreifen:

Ist ein persistenter Zugriff sichergestellt, wird mit dem Abgreifen und Expor- tieren von sensiblen Daten begonnen. Dieser Vorgang kann sich über einen längeren Zeitraum, d. h. mehrere Wochen oder Monate hinziehen, da schnelleres Handeln möglicherweise entdeckt werden könnte.

Exfiltration:

Das Zielnetzwerk wird (vorübergehend) verlassen, um die abgegriffenen Daten zu analysieren. Resultierend kann z.B. die Wertstellung der Daten für einen möglichen Verkauf oder der Verwertung ermittelt werden. Im Anschluss fällt u. U. die Entscheidung, nochmals in das System einzudringen und weitere Daten abzugreifen.

2.4 Bedrohungslage für Unternehmen durch Advanced Persistent Threats

APTs stellen für Unternehmen eine ernstzunehmende Bedrohung dar. Verschie- dene Studien ergaben, dass in den letzten Jahren allein die finanziell messbaren Schäden im Millionenbereich lagen. Die Schadenshöhe in mittelständischen Un- ternehmen lag international durchschnittlich bei rund 1,3 Millionen US-Dollar, bei Großunternehmen betrugen die Schäden im Mittel rund 6 Millionen US-Dollar.¹⁰ Schwer messbar hingegen ist ein potentieller Image- und Vertrauensverlust bei Stakeholdern wie Lieferanten oder Kunden.

Symantec verzeichnete in Untersuchungen zwischen 2011 bis 2015 eine stär- kere Fokussierung der Angriffe auf Kleine- und Mittelständische Unternehmen (KMUs). Konzentrierten sich 2011 noch 50% der Angriffe auf Großunternehmen (über 2.500 Mitarbeiter) und nur 18% auf KMUs, so sank 2015 der Anteil der Großunternehmen auf 35%, während die Angriffe auf KMUs 43% ausmachten.¹¹ KMUs vermuten oftmals fatalerweise, für Angreifer z. B. aufgrund ihrer Größe we- niger interessant zu sein. Allerdings rücken vor allem diese aus zwei Gründen in das Visier von Angreifern: Auf der einen Seite sind viele dieser Unternehmen Hidden Champions, d. h. sie sind trotz einer gewissen Unbekanntheit in der Öffent- lichkeit führend in ihren jeweiligen Branchen wie Maschinenbau, Elektro- oder Fahrzeugtechnik.¹² Auf der anderen Seite sind sie häufig Zulieferer für Großun- ternehmen (z.B. Automobilkonzerne) und an deren Netzwerke angebunden. Cy- berkriminelle vermuten über diesen Weg leichter einen „Fuß in die Tür“ bei den Großunternehmen zu erhalten.¹³

2 Grundlagen: Was sind Advanced Persistent Threats? 6

2.5 Repräsentative Beispiele durchgeführter Advanced Persistent Threats

Die im Folgenden beschriebenen Beispiele sollen repräsentativ die Hintergründe und Auswirkungen von gezielt durchgeführten Cyberattacken veranschaulichen:

Stuxnet - Angriff auf iranische Atomkraftwerke:

Der im September 2010 entdeckte Computerwurm Stuxnet sowie dessen Nach- folger Duqu waren prominente Beispiele großangelegter und geplanter Cyberat- tacken. Durch die Schädlinge wurden gezielt Industrieanlagen mit Steuerungen der Firma Siemens lahmgelegt.¹⁴ Vorwiegend betroffen war der Iran mit über 60.000 Hosts und ca. 15.000 Hosts in Indonesien und Indien (zusammen insge- samt 86% der betroffenen Hosts).¹⁵ Mittlerweile gilt als gesichert, dass die USA gemeinsam mit Israel hinter Stuxnet steckten, um das iranische Atomprogramm lahmzulegen.¹⁶

Chinesische Angreifer erbeuten 3 Millionen US-Dollar bei Mattel:

Unter Einsatz von Social Engineering und Spear-Phishing gelang es chinesi- schen Angreifern im April 2016 3 Millionen US-Dollar vom Spielzeug-Konzern Mattel überwiesen zu bekommen. Es wird vermutet, dass sowohl öffentlich zugängliche Mitarbeiterinformationen ausgewertet wurden, als auch ein uner- kannter Systemeinbruch stattgefunden hat, um an weitere Details zu gelangen. Danach schickte man eine persönlich adressierte E-Mail an den Finanzvorstand und gab sich als ein neuer Geschäftsführer des Unternehmens aus. Dies wirkte so überzeugend, dass der Finanzvorstand die Überweisung freigab.¹⁷

Angreifer stehlen mehr als 20 Gigabyte Daten beim Rüstungskonzern RUAG:

Im Mai 2016 wurde bekannt, dass der Schweizer Rüstungskonzern RUAG Opfer eines lang andauerendern Cyberangriffs wurde. Der Angriff startete im Dezember 2014 und blieb über ein Jahr unentdeckt. In diesem Zeitraum wurden über 20 Gigabyte an Daten gestohlen. Hauptziel war unter dem Einsatz von Schadsoftware der Turla-Familie¹⁸ das Active Directory, um Berechtigungen und Gruppenzugehörigkeiten manipulieren zu können und dadurch Zugriff auf Dateien zu erhalten.¹⁹

3 Methoden und Techniken eines Advanced Persistent Threats

APTs verwenden eine Vielzahl von Methoden und Techniken. Im Folgenden werden diejenigen beschrieben, die bei einem Angriff häufig angewendet werden. Einige wie Social Engineering sind nicht neu. Sie kommen auf das Opfer zugeschnitten in Kombination mit anderen Techniken zum Einsatz.

3.1 Social Engineering

Social Engineering beschreibt im Wesentlichen einen Vorgang, eine andere Person (z. B. einen Mitarbeiter) so zu manipulieren, dass sie eine bestimmte Handlung ausführt. Diese kann vielleicht im Interesse der Zielperson sein, dient aber eher einem Angreifer, um an sein Ziel zu gelangen.²⁰ Im Fokus eines Angreifenden liegt das Sammeln vieler, vermeintlich irrelevanter Informationen. Das wie bei einem Puzzle entstehende Gesamtbild aus Einzelteilen kann umfängliche Erkenntnis über interne Strukturen und Abläufe liefern oder dabei unterstützen gegenüber anderen Menschen glaubwürdig zu erscheinen.²¹

Social Engineering besteht aus verschiedenen Teildisziplinen wie Elizitieren und Pretexting. Beim Elizitieren versucht der Angreifer z.B. während eines Gesprächs mit einer Person auf subtile Weise relevante Informationen zu extrahieren. Dieses Vorgehen funktioniert i. d. R. Regel gut, weil Menschen höflich sein wollen oder gerne mehr reden, wenn sie gelobt werden.²² Pretexting umfasst das Vortäuschen falscher Tatsachen anhand einer erfundenen Hintergrundgeschichte, Verhalten (Dialekte, Redensarten o.Ä. ) und angepassten Aussehen (Kleidung, Frisur etc.), welches für den Angriff als Szenario relevant ist. Pretexting kann soweit gehen, eine komplett andere Identität für den Angriff zu erschaffen.²³

3.2 Spear-Phishing

Beim Spear-Phishing handelt es sich um eine gezielte Attacke oder eine Kampa- gne von Attacken, welche in der Regel per E-Mail erfolgt. Im Gegensatz zu her- kömmlichen Phishing-Mails richtet sich die Attacke sehr gezielt, spezifiziert und personalisiert gegen ausgewählte Einzelpersonen oder Organisationen. Der An- greifer will dabei als seriöser und vertrauenswürdiger Absender wirken, um dann durch einen entsprechend platzierten Exploit unbefugten Zugriff auf vertrauliche Daten zu erhalten. Damit dies gelingt, wird dem Opfer eine persönlich adressierte E-Mail gesendet, die scheinbar von Diensten wie Amazon und PayPal, oder auch Lieferanten, Kunden, Bekannten etc. stammt. Alternativ ist der Angreifer durch den Einsatz von Social Engineering oder durch das Ausspähen von Social Media Profilen (Facebook, XING etc.) in Kenntnis von Hobbys o. Ä. gelangt und kann sich als Absender des Golfclubs, des Sportvereins usw. tarnen. Die präparierte E-Mail enthält üblicherweise entweder einen Link, auf welchen das Opfer klicken soll, oder einen Dateianhang (z. B. ein Word-Dokument, das einen Exploit enthält), welcher geöffnet werden soll.²⁴ Laut Trend Micro gehört Spear Phishing zu den beliebtesten Mitteln im Bereich der APTs.²⁵

3.3 Watering Hole Attack

Eine Watering Hole Attack wird ähnlich dem Spear-Phishing auf das auszuspähende Opfer, z.B. Manager oder andere Mitarbeiter, zugeschnitten. Dazu versuchen die Angreifer durch Einsatz von Social Engineering oder über Social Media Profile bei Facebook oder XING Informationen über die persönlichen Interessen, Hobbys, Aktivitäten in Wohltätigkeitsorganisationen, Sportvereinen usw. zu erhalten.

Vielversprechende Webseiten, die das Opfer z. B. in der Mittagspause besucht, wer- den dann auf Schwachstellen untersucht und kompromittiert. Die Kompromittie- rung kann bspw. durch ausgespähte FTP-Zugangsdaten oder per Cross-Site-Scripting erfolgen. Im Anschluss wird Schadcode auf der Webseite eingeschleust, welcher entweder ausführbaren Code nachlädt oder das Opfer beim Aufrufen der Webseite auf eine andere weiterleitet, die identisch aussieht. Die gefälschte Webseite prüft dann verschiedene Parameter auf dem zu infiltrierenden PC ab. Dazu gehören u. a. die Version des Betriebssystems sowie des Webbrowsers. Durch Ausnutzung von Sicherheitslücken, z.B. im installierten Java Client oder Adobe FlashPlayer, wird dann ein Exploit auf den Opfer-PC eingeschleust.²⁶ Populäre Beispiele für erfolgreiche Watering Hole Attacks waren Angriffe auf die Webseiten von Microsoft, Facebook, Apple und Forbes.²⁷

3.4 Drive-by Download

Ein Drive-by Download beschreibt das unbeabsichtigte Herunterladen und Ausfüh- ren von Schadsoftware beim Aufrufen einer verseuchten Webseite. Sie werden oft in Kombination mit Phishing-Mails genutzt, welche Weblinks auf eine präparierte Webseite enthalten. Diese Webseiten können bspw. das Look-and-Feel von bekann- ten Seiten und Portal imitieren, um Vertrauen zu erwecken und den Anwender z. B. dazu zu bringen, Anmeldedaten preiszugeben. Alternativ wird eine Schwach- stelle der originären oder gekaperten Webseite ausgenutzt, um teils über mehreren Stationen auf die verseuchte Webseite weiterzuleiten. Der Download der Schadsoftware geschieht „im Vorbeifahren“ ohne Kenntnis des Anwenders z.B. unter Ausnutzung von Sicherheitslücken bzw. Exploits des Browers oder eingebetteten Plugins wie ActiveX, Java/JavaScript oder Flash.²⁸

3.5 Rootkits und andere Malware

Oberstes Ziel einer APT-Kampagne ist es, so lange wie möglich unentdeckt zu bleiben. Durch den Einsatz von Rootkits ist es oftmals möglich, die Präsenz von Schadsoftware oder Hintertüren zu verschleiern. Rootkits haben die Fähigkeit, sich selbst und andere Malware, die z.B. zur Observation des zu infiltrierenden PCs genutzt wird, vor dem Betriebssystem und vor Sicherheitssoftware zu verbergen.

Grundsätzlich sind Rootkits nicht „böse“, werden aber oftmals für solche Zwecke verwendet.²⁹ Rootkits existieren im Wesentlichen in zwei Ausprägungen: Zum einen existieren so genannte User-Mode-Rootkits, welche laufende Prozesse modifizieren oder Speicherbereiche überschreiben, die von einer Anwendung genutzt werden.

Zum anderen existieren Kernel-Mode-Rootkits, welche auf der untersten Ebene des Betriebssystems operieren. Diese Ebene ist bedingt durch die Prozessor-Architektur mit den weitreichendsten Privilegien ausgestattet. Kernel-Mode-Rootkits können deshalb wesentlich schwerer erkannt werden.³⁰ Neben Rootkits kommen bei APTs vielfach weitere Malware-Derivate zum Einsatz.

Dazu gehören bspw. Keylogger, um Tastatureingaben aufzuzeichen oder Spyware, die ohne Kenntnis des Opfers Informationen sammelt. Aber auch Schadsoftware, welche die Daten auf Festplatten verschlüsselt, so genannte Ransomware, nimmt in den letzten Jahren massiv zu. So verzeichnete das BSI zwischen Oktober 2015 und Februar 2016 einen Anstieg um den Faktor 10.³¹ Eine Umfrage des BSI ergab, dass bereits über 30% der befragten Unternehmen von Ransomware betroffen waren.³²

4 Schutzmaßnahmen gegen Angriffe durch Advanced Persistent Threats

Aufgrund der Vielseitigkeit der Angriffsszenarien, muss auch eine geeignete Ab- wehrstrategie vielfältig sein. Nachfolgend werden einige Hauptansätze beschrieben, gezielte und persistente Angriffe deutlich zu erschweren, zu entdecken oder im besten Fall erfolgreich abzuwehren.

4.1 Defense-in-Depth

Defense-in-Depth beschreibt eine mehrschichtige Verteidigungsstrategie. Durch über- lappende Layer (Ebenen) soll der Schutz selbst dann gewährleistet werden, wenn Angreifer eine oder mehrere Schichten durchbrechen können. Das Konzept adres- siert sowohl technologische, als auch personelle und operative Schwachstellen im Lebenszyklus eines Systems und verhindert das Eintreten eines Single Point of Failu- re³³. Ursprünglich aus der strategischen Militärführung stammend, liegt die Inten- tion des Konzepts weniger darin, einen Angriff zu verhindern, als den Angriff zu verlangsamen und Zeit zu gewinnen. Folglich können Angriffe nicht nur abgewehrt, sondern auch besser erkannt und analysiert werden, um angemessen zu reagieren.³⁴ Die Schichten einer Defense-in-Depth Strategie können u.a. aus folgenden Komponenten bestehen:

AntiVirus

Virenscanner kommen vor allem auf PCs oder Servern zum Einsatz, um Mal- ware, Viren, Trojaner und Würmer auf Festplatten aufzuspüren, zu isolieren und zu blockieren. Auf der Festplatte befindliche Dateien (Dokumente, E-Mails etc.) werden i.d.R. in Echtzeit beim Öffnen oder Erstellen/Ändern überprüft. AntiVirus-Lösungen setzen zum einen auf klassische Signatur-Dateien, anhand der sich Schadprogramme eindeutig identifizieren lassen. Zum anderen werden Heuristiken eingesetzt, um ähnlich agierende Schadprogramme bzw. verdäch- tige Verhaltensweisen zu erkennen, auch wenn diese noch nicht in der tages- aktuellen Signatur-Datei enthalten sind. Dies führt aber auch zu Fehlalarmen (False-Positive). Neben der Problematik, dass Virenscanner oftmals zu schützen- de Systeme ausbremsen, gehören Fehlalarme zu den üblichen Schwächen von Virenscannern.³⁵

Firewalls

Firewalls bilden eine der ersten Schutzschichten nach außen und regulieren grundsätzlich den Datenverkehr zwischen zwei verschiedenen Netzen. Folglich können sie auch Datenverkehr innerhalb der internen IT-Infrastruktur tren- nen. So genannte Demilitarisierte Zonen (DMZ) können z.B. zur Trennung von FrontOffice, Entwicklung und Produktion implementiert werden, um den Datenverkehr zwischen diesen zu regulieren. Seitens des BSI wird bspw. ein zweistufiges Firewall-Konzept empfohlen: Eine Firewall von Hersteller-A trennt das Internet von der DMZ. Eine weitere Firewall von Hersteller-B überwacht und reguliert die Verbindung zwischen der DMZ und dem internen Netzwerk.

Durch den Einsatz verschiedener Hersteller können im besten Fall jeweils die Schwächen des anderen aufgehoben werden.³⁶

Klassische Firewalls setzten auf das Konzept der Paket- und Portfilterung. Be- stimmte Protokolle wie HTTP oder SSH bzw. Ports wie 80/TCP oder 22/TCP werden erlaubt oder verboten. Da aber viele Applikationen z. B. über HTTP bzw. Port 80 kommunizieren, gilt dieser Ansatz inzwischen nicht mehr als ausrei- chend. Moderne, so genannte Next-Generation Firewalls, können bezogen auf die jeweilige Applikation (z. B. Skype, Spotify etc.) oder Content filtern, Malware durch das Blocken bestimmter Applikationen verhindern oder verschlüsselten SSL/SSH-Traffic analysieren.³⁷

Intrusion Detection Systeme

Intrusion Detection Systeme (IDS) existieren in den Ausprägungen Netzwerkba- sierte IDS (NIDS) und Hostbasierte IDS (HIDS). Ihre Hauptaufgabe liegt darin, Einbruchsversuche und Einbrüche in das Netzwerk zu erkennen und zu mel- den. Das Netzwerk wird dazu auf verdächtige Aktivitäten analysiert und bei entsprechendem Verdacht wird ein Alarm ausgelöst.

NIDS analysieren jedes Paket sämtlicher Netzwerkverbindungen auf ihre Gültig- keit und etwaiger Angriffsmuster. Ihr Hauptproblem liegt jedoch in den immer schneller werdenden LANs und Datenmengen, die bewältigt werden müssen.

Außerdem arbeiten sie häufig noch signaturbasiert, wodurch nur bekannte Angriffsmuster erkannt werden können. HIDS hingegen operieren auf der

Ebene des Hosts. Sie überwachen ein System in Bezug auf dessen Speicherver- brauch, die Anzahl geöffneter Prozesse oder auf zulässige Dateiveränderungen.

[...]

---

¹ Vgl. Kurzlechner (2013); Claranet (2016), S. 24 f.; Schröder (2016), S. 7 f.

² Vgl. Bitkom (2016)

³ Vgl. Emm (2008)

⁴ Vgl. Kaspersky Lab (2013); Wood et al. (2016), S. 37 f.

⁵ Vgl. Binde et al. (2011), S. 3; 5 ff.; Eilers (2012); Slot (2015), S. 1 f.

⁶ Vgl. Sophos GmbH (2014), S. 1; Cisco Systems, Inc. (2014), S. 41 f.

⁷ Vgl. Kaspersky Lab (2013); BSI (2013), S. 5; Wood et al. (2016), S. 37 f.

⁸ Vgl. Schneier (2011); Symantec (2011), S. 1 f.

⁹ Vgl. Symantec (2011), S. 1 ff.; Miller (2012), S. 5; McWhorter (2013), S. 27 f., S. 63 ff.

¹⁰ Vgl. Ponemon (2012), S. 6; PricewaterhouseCoopers (2014), S. 10

¹¹ Vgl. Wood et al. (2016), S. 43

¹² Vgl. Simon (1990), S. 876

¹³ Vgl. PricewaterhouseCoopers (2014), S. 7 f.

¹⁴ Vgl. Bachfeld (2010); Eikenberg (2011)

¹⁵ Vgl. Falliere et al. (2011), S. 5 f.

¹⁶ Vgl. Sanger (2012); M. Holland (2016)

¹⁷ Vgl. Schirrmacher (2016)

¹⁸ Vgl. Symantec (2014)

¹⁹ Vgl. Sperlich (2016); Sarpong (2016)

²⁰ Vgl. Hadnagy (2011), S. 30 f.

²¹ Vgl. Mitnick et al. (2003), S. 33; 44

²² Vgl. Hadnagy (2011), S. 82 f.

²³ Vgl. ebd., S. 109 ff.

²⁴ Vgl. TrendLabs APT Research Team (2012), S. 1 ff.; Wood et al. (2016), S. 40 f.

²⁵ Vgl. TrendLabs APT Research Team (2012), S. 1

²⁶ Vgl. Gragido (2012); Grimes (2013)

²⁷ Ebd.; Rashid (2015)

²⁸ Vgl. Cova et al. (2010), S. 281 f.; Eshete (2013), S. 355; Slot (2015), S. 12 f.

²⁹ Vgl. Hoglund et al. (2006), S. 4 f.

³⁰ Vgl. Malenkovich (2013)

³¹ Vgl. BSI (2016b), S. 6

³² Vgl. BSI (2016c)

³³ Ein Single Point of Failure beschreibt den Bestandteil eines Systems, dessen Ausfall einen Komplettausfall des Systems nach sich zieht

³⁴ Vgl. Schneier (2006); Vacca (2012), S. 546

³⁵ Vgl. Wikipedia (2016)

³⁶ Vgl. BSI (2016a), S. 1610 ff.

³⁷ Vgl. Geier (2011)