Neben Prävention und Detektion ist die Attribution eine Kernherausforderung bei der Beschäftigung mit Advanced Persistent Threats. Es handelt sich dabei um eine Urheberschaftsermittlung, also eine Zuordnung, von wem ein Cyberangriff durchgeführt wurde. (Eissing 2016, S.491)
Problematisch ist diese Zuordnung schon auf Grund der Möglichkeit, anonym im Netz agieren und Cyberangriffe durchführen zu können. Der Angreifer ist grundsätzlich bestrebt, seine Urheberschaft zu verbergen. Dies kann er durch besonders unauffälliges Verhalten, das Verwischen von Spuren oder das Legen falscher Spuren (sogenannter “False Flag Attacken”) erreichen. Bei Letzteren wird ganz bewusst eine falsche Fährte gelegt, um den Tatverdacht auf eine andere Gruppe oder ein anderes Land zu lenken. (Krieger 2012, S.4)
Besonders staatliche Stellen haben nach der Detektion von Cyberangriffen – was meist bereits selbst schon eine Herausforderung ist – die Aufgabe, den Angriff richtig zuzuordnen, also zu attributieren, um in der Folge angemessen reagieren zu können. (Eissing 2016, S.491)
Bevor die verschiedenen Akteure betrachtet werden, welche sich mit der Attribution beschäftigen, soll das grundsätzliche Vorgehen bei der Attribution von Cyberangriffen kurz dargestellt werden. Im Anschluss erfolgt die Vorstellung verschiedener Attributionsmodelle aus der Praxis.
Greift ein Staat einen anderen Staat mit Hilfe konventioneller Waffen an, ist der Täter schnell zu bestimmen: Bei einem Raketenangriff kann beispielsweise anhand von Satellitenbildern rekonstruiert werden, wo der Ursprung eines Angriffs liegt. Bei digitalen Angriffen is es ungleich schwieriger. (Brühl und Hakan 2016, S.2)
IT-Forensik im Zusammenhang mit Cyberangriffen beschreibt die Spurensuche in oft tausenden von Zeilen Programmiercode einer vom Angreifer verwendeten Schadsoftware. Auf diese Art und Weise kann festgestellt werden, wie ein Angriff durchgeführt wurde – die Frage, wer ihn durchgeführt hat, bleibt aber zunächst offen. (Brühl und Hakan 2016, S.2)
Bei der Attribution von Cyberangriffen geht es aber genau um die Frage nach dem Urheber. Im Falle von staatlichen Angriffen durch Cyberspionage oder Cybersabotage ist das Ziel der Attribution eine geografische Zuordnung. Bei Fällen von organisierter Cyberkriminalität soll nach Möglichkeit eine konkrete Person oder Personengruppe als Täter ausfindig gemacht werden.
Im Rahmen dieser Arbeit werden Advanced Persistent Threats betrachtet, die schon von ihrer Definition her bestrebt sind, eine Entdeckung und vor allem Aufdeckung ihrer Urheberschaft zu verhindern. Der Attributionsprozess des Cyberangriffs einer APT-Gruppe ist damit noch komplexer.
Einen eindeutigen Beweis für eine Urheberschaft gibt es selten. Stattdessen versucht man, möglichst viele Details verschiedener Angriffe des mutmaßlich selben Angreifers zu sammeln und auf Grund von Ähnlichkeiten zu einem gemeinsamen Bild zusammenzufügen, aus dem sich die Beschreibung für einen APT ergibt. Ein Advanced Persitent Threat erhält so über die Zeit ein gewisses Set von Eigenschaften (beispielsweise zur Intention oder Details der Vorgehensweise). So können weitere konkrete Cyberangriffe mit einer immer größeren Wahrscheinlichkeit einem bestimmten Akteur zugeordnet werden, wodurch sich wiederum das Bild dieses APTs verfeinern lässt. (FireEye 2016,S.12)
Je genauer ein APT beschrieben werden kann, desto eher ist es in der Folge möglich, auch zwischen diesen verschiedenen APT-Gruppen Ähnlichkeiten zu erkennen. Beauftragt ein Staat zum Beispiel mehrere unterschiedliche Gruppen mit Angriffen auf dasselbe oder verschiedene Ziele und arbeiten diese Gruppen in gewisser Weise miteinander zusammen (im selben Büro, über die Nutzung derselben Angriffswerkzeuge etc.), können diese Verbindungen durch sehr konkrete Beschreibungen der einzelnen Gruppen erkannt und aufgedeckt werden. Dem konkreten Urheber oder Auftraggeber der Angriffe kommt man auf diese Art und Weise Stück für Stück näher. (FireEye 2016, S.12)
Ein erster Schritt bei der Attribution fortgeschrittener Cyberangriffe ist also die Zuordnung zu einer Tätergruppe – dem APT. Dazu bedarf es zunächst der Festlegung von Merkmalen, anhand derer ein Advanced Persistent Threat beschrieben werden kann.
In Kapitel vier werden häufig verwendete Beschreibungskriterien (Merkmale) für Advanced Persistent Threats identifiziert und analysiert sowie im späteren Verlauf dieser Arbeit bewertet.
Zu den Beobachtern von Advanced Persistent Threats zählen zunächst natürlich potenziell und tatsächlich Betroffene - also Unternehmen, Regierungsorganisationen usw. Daneben gibt es IT-Sicherheitsdienstleister, die den Schutz vor Cyberangriffen als Geschäftsmodell anbieten und schließlich staatliche Stellen, die mit dem Schutz, der Aufklärung und einer eventuellen Reaktion auf elektronische Angriffe beauftragt sind.
Betroffene
Die Gefahr, Opfer eines APT-Angriffs zu werden, besteht grundsätzlich für jedes Unternehmen und jede Organisation, die eine herausgehobene Stellung beispielsweise im Bereich der kritischen Infrastrukturen (KRITIS) einnimmt und/oder besonders wertvolle Informationen besitzt, die schützenswert sind. Dazu zählt geistiges Eigentum, z.B. zu Sicherheitsstrukturen in Kraftwerken, zur Herstellung von Hochtechnologie, geheime Rezepturen oder aber auch Informationen, die im Rahmen politischer Abstimmungsprozesse entstehen.
Die IT-Sicherheitsverantwortlichen haben die Aufgabe, ihre Organisation vor APTs zu schützen. Viele (potenziell) Betroffene sind sich der Gefahren durch Advanced Persistent Threats allerdings gar nicht bewusst. Staatliche Stellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder das Bundeamt für Verfassungsschutz (BfV) bieten im Rahmen des Wirtschaftsschutzes Sensibilisierungs- und Präventionsmaßnahmen an. Ziel ist es, den Orgnisationen Wissen an die Hand zu geben, wie APT-Angriffe vermieden oder zumindest im Nachhinein erkannt werden können.
Die Unternehmen und anderen Organsationen haben beispielsweise die Möglichkeit, ihre Netzwerke nach sogenannten Indicators of Compromise (IOCs) zu durchsuchen, um in der Vergangenheit bei anderen Organisationen erkannte Schadsoftware aufzuspüren. Diese IOCs kann ein Unternehmen von Sicherheitsbehörden, von IT-Sicherheitsunternehmen sowie teilweise öffentlich zugänglich im Internet beziehen.
Für bestimmte Unternehmen im Bereich KRITIS besteht zudem mit dem neuen IT-Sicherheitsgesetz eine Meldepflicht für erkannte Cyberangriffe. Sie sind damit schon von rechtlicher Seite her gezwungen, sich mit dem Thema auseinanderzusetzen.
IT-Sicherheitsdienstleister
Den Schutz vor Advanced Persistent Threats bieten vor allem IT-Sicherheitsdienstleister an. Zahlreiche Unternehmen dieser Branche haben die sogenannte “Threat Intelligence” als Geschäftsfeld erkannt. Bei Threat Intelligence handelt es sich um Informationen über Cyberbedrohungen wie Tätergruppen oder deren eingesetzte Schadprogramme. (Steffens 2016, o.S.)
Einige Unternehmen liefern Software, die Angriffe anhand der eingespeicherten Signaturen erkennen soll. Ein Beispiel ist das Unternehmen FireEye, dessen “Threat Protection Platform” zur Erkennung von APT-Angriffen laut eigenen Angaben in tausenden von sensiblen Netzwerken weltweit installiert ist. Die FireEye-Sensoren werden hinter den klassischen Abwehrwerkzeugen wie Firewalls, Antivirenprogrammen oder Intrusion-Prevention-Systemen (IPS-Systemen) eingesetzt. Die von den Systemen erkannten Angriffe haben also bereits klassische Schutzmaßnahmen durchdrungen und können als besonders anspruchsvoll eingestuft werden. Die notwendigen Daten entstehen bei den Anbietern von IT-Sicherheitsprodukten ohnehin durch eigene Analysen oder die Rückmeldungen der Daten aus den bei Kunden eingesetzten Sensoren. (FireEye 2014 c, S.5)
In der Regel handelt es sich bei der verkauften “Threat Intelligence” aber um Informationen und nicht um Software. (Steffens 2016, o.S.) Die verschiedenen Angebote auf operativer, taktischer und strategischer Ebene wurden bereits in Kapitel 2.5 beschrieben.
Neben kostenpflichtigen Informationen werden auch kostenlose Berichte zu Advanced Persistent Threats zur Verfügung gestellt. Unternehmen wie FireEye, Trendmicro oder Kaspersky veröffentlichen regelmäßige Bedrohungsanalysen in ihren Blogs. Dies dient sicherlich zu einem nicht unerheblichen Teil der Darstellung der eigenen Fachkompetenz.
Zu den besonders renommierten Unternehmen im Bereich der Threat Intelligence gehören zusätzlich zu den bereits genannten unter anderem auch Palo Alto Networks, Symantec, Crowdstrike, Cylance, Dell Secure Networks, Cisco und BAE Systems. Da der Markt sich ständig weiterentwickelt, ist diese Liste nicht abgeschlossen.
Die Unternehmen beobachten einzelne Advanced Persistent Threats und vergeben in der Regel für jede Gruppe einen eigenen Namen. So werden mutmaßlich chinesische...
