APTs stellen eine immer größer werdende Gefahr für die digitale Sicherheit dar. Besonders bedrohlich sind dabei APT-Gruppen, ein organisierter Zusammenschluss von Cyberkriminellen. Denen wird gemeinhin nachgesagt, im Auftrag oder mindestens mit Billigung ausländischer Dienste unterwegs zu sein. Die jüngsten Konflikte haben die Sicherheitslage hierzulande weiter verschärft und schwappen digital zu uns herüber. Westliche Infrastrukturen geraten ins Visier. Behörden sind Fancy Bear (APT28), Cozy Bear (APT29), Turla und anderen Bedrohungen ausgesetzt.
APT-Gruppen sind staatlich unterstützte Angreifer. Sie arbeiten zielgerichtet. Ihre Ziele können langfristige Spionage oder Sabotage sein. Besonders betroffen sind neben den staatlichen Einrichtungen und KRITIS auch Unternehmen mit sensiblen Informationen. Dabei sind nicht selten Forschungsergebnisse, technologischer Vorsprung oder sogar die geschäftsstrategische Ausrichtung von Interesse. Ein Einfallstor zu Informationen über volkswirtschaftlich bedeutende Unternehmen können auch deren Zulieferbetriebe sein. Deshalb nimmt das aktualisierte Informationssicherheitsgesetz genau diese Angriffsvektoren nunmehr stärker in die Pflicht.
Politische Ereignisse, Spannungen und Interessenskonflikte der staatlichen Mächte beeinflussen die Aktivitäten der APT-Gruppen und führen zu einer vermehrten Zunahme von Cyberangriffen. Dabei dienen die Angriffe der Destabilisierung oder Schwächung des politischen Gegners. Das konnten die Sicherheitsbehörden leider sehr anschaulich insbesondere zu Beginn des Ukraine-Konflikts beobachten. Und nicht wenige sind der Überzeugung, dass die staatlichen Strukturen dort nur deswegen nicht vollends zusammengebrochen sind, weil die ukrainische Zentralregierung bereits im Vorfeld des 24. Februars viele Verfahren und Infrastrukturen raus in die Cloud gegeben hatte.
Besonders stark betroffen ist der öffentliche Sektor und kämpft mit mehreren Herausforderungen gleichzeitig: der Personalmangel an qualifizierten IT-Sicherheitsexperten, die Knappheit der finanziellen Mittel oder auch der erhöhte Schulungsbedarf der Mitarbeiter, um mit der ständigen Weiterentwicklung der Bedrohungen Schritt zu halten.
Im Alltag vor Ort in Deutschland erleben wir vermehrt Angriffe. Wenn staatliche Dienstleistungen, wie bspw. die einer Zulassungsstelle, unterbrochen sind, Fehlinformationen verbreitet werden oder Kreisverwaltungen nicht arbeitsfähig sind, dann stehen der finanzielle Schaden oder die Reputation im Fokus. Richtig kritisch sind aber Angriffe auf medizinische Einrichtungen oder Versorgungsunternehmen. Dabei können personen- oder gesundheitsbezogene Daten geleakt werden. Wenn ein Krankenhausbetrieb zum Erliegen kommt, dann wird die digitale Bedrohung sehr schnell körperlich spürbar. Und diese Fälle hatten wir bereits in NRW, wo es leider auch zu einem Todesfall im Zusammenhang mit dieser Cyberattacke kam.
Maßnahmen und Schutzstrategien
Neben den passiven Maßnahmen, sprich der ständigen Arbeit daran, Sicherheitslücken zu schließen, Architekturen von Zero-Trust zu implementieren, braucht es verstärkt auch aktive Schutzmaßnahmen. Dazu gehören intelligente Systeme, die innerhalb der eigenen Systemlandschaft aktiv, klug und lernend aufklären. Der Einsatz von Frameworks wie MITRE ATT&CK kann bei der Identifikation und Bekämpfung von APTs unterstützen. Zudem implementieren verschiedene Hersteller KI-gestützte Systeme, die bei der Erkennung von Anomalien unverzüglich aufmerksam werden.
