Advanced Persistent Threat (APT): Anatomie gezielter Cyberangriffe

Kurzerklärung: Umfassendes, öffentlich zugängliches Wissenssystem, das reale Angreifertaktiken, -techniken und -verfahren (TTPs) dokumentiert. ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) wird von Sicherheitsteams weltweit als gemeinsame Sprache für Bedrohungsanalyse, Detection-Engineering und Purple Teaming genutzt.

Advanced Persistent Threat (APT) bezeichnet eine Klasse gezielter, langfristiger Cyberangriffe, bei denen hochqualifizierte Angreifer - häufig mit staatlicher Unterstützung oder erheblichen finanziellen Ressourcen - ein konkretes Ziel systematisch über Monate oder Jahre kompromittieren. Im Gegensatz zu opportunistischen Angriffen wie Massenphishing oder automatisierter Ransomware-Verteilung steht bei einem APT nicht der schnelle Profit im Vordergrund, sondern das möglichst lange, unbemerkte Verweilen im Zielnetzwerk - zum Zweck der Industriespionage, Sabotage oder geopolitischen Einflussnahme.

Der Begriff wurde erstmals 2006 durch das US Air Force Cyber Command geprägt und bezeichnet seitdem sowohl die Angriffsmethodik als auch die Bedrohungsakteure selbst. Sicherheitsunternehmen vergeben alphanumerische Bezeichnungen wie APT28 oder APT41, um einzelne Gruppen nachverfolgbar zu machen.

Was macht APT anders als gewöhnliche Angriffe

Gewöhnliche Cyberangriffe folgen dem Prinzip der größten Wirkung mit geringstem Aufwand: automatisierte Scanner suchen nach ungepatchten Systemen, Phishing-Mails gehen millionenfach raus, Ransomware verschlüsselt wahllos alles Erreichbare. Der Angreifer kennt sein Opfer meist nicht.

Ein APT-Angriff beginnt dagegen mit Wochen oder Monaten Reconnaissance. Die Angreifer studieren das Zielnternehmen: Organigramm, Schlüsselpersonen, eingesetzte Technologien, Lieferantenbeziehungen, Mitarbeiterprofile in sozialen Netzwerken. Erst dann beginnt der aktive Angriff - maßgeschneidert auf das spezifische Ziel.

Vier Eigenschaften unterscheiden APT fundamental von anderen Bedrohungen:

Zielorientierung: Das Opfer ist kein Zufallstreffer. Angreifer wählen Ziele aufgrund von Industriegeheimnissen, politischer Relevanz oder strategischen Infrastrukturen.

Ressourcenstärke: APT-Gruppen verfügen über eigene Exploit-Entwickler, Custom-Malware-Teams, Infrastruktur-Experten und ausreichend Zeit. Zero-Day-Exploits werden gezielt und sparsam eingesetzt.

Ausdauer: Ein APT-Angriff endet nicht nach einigen Stunden. Angreifer etablieren mehrere redundante Zugangspunkte (Backdoors), sodass das Schließen einer Lücke sie nicht aus dem Netz verdrängt.

Tarnung: Alles ist darauf ausgerichtet, unterhalb der Erkennungsschwelle zu bleiben. Kommunikation läuft über verschlüsselte, legitim aussehende Protokolle; Aktivitäten finden bevorzugt zu Zeiten statt, in denen Security-Teams nicht aktiv überwachen.

Merkmale: Advanced, Persistent, Threat

Advanced

"Advanced" bedeutet nicht zwingend technische Avantgarde bei jedem Schritt. Es beschreibt die Kombination aus:

• Operativer Planung: Wochen der Vorbereitung, OSINT-Recherche zu Zielpersonen und Infrastruktur
• Custom-Tooling: Eigenentwickelte Malware oder stark modifizierte Open-Source-Tools, die Signatur-basierte AV-Lösungen nicht erkennen
• Living-off-the-Land (LotL): Missbrauch legitimer Betriebssystem-Tools wie PowerShell, WMI, PsExec - kein eigenes Binary, kein Malware-Alert
• Mehrstufige Angriffsketten: Kombinationen aus Spear-Phishing, Zero-Day-Exploits und Social Engineering, abgestimmt auf das konkrete Ziel

Persistent

Persistenz ist das definierendes Merkmal. APT-Gruppen investieren erhebliche Ressourcen, um ihren Zugang auch nach Patches, Passwortänderungen oder Teilerkennungen aufrechtzuerhalten:

• Mehrere unabhängige Command-and-Control-Kanäle (C2)
• Backdoors in wenig überwachten Systemen (Drucker, IoT, veraltete Server)
• Gestohlene Credentials legitimer Nutzer statt offensichtlicher Malware-Prozesse
• Schlafende Implantate, die sich erst nach Wochen aktivieren

Threat

APT-Gruppen sind echte, handelnde Akteure mit klaren Zielen und Mitteln, sie auszuführen. Die Bedrohung ist nicht abstrakt: Laut BSI-Lagebericht 2024 war Spionage gegen deutsche Wirtschafts- und Regierungsziele durch staatlich gesteuerte Angreifer eine der dominierenden Cyberbedrohungen des Jahres.

APT-Lebenszyklus nach MITRE ATT&CK

MITRE ATT&CK dokumentiert Angreifertaktiken und -techniken auf Basis realer Vorfälle. Der APT-Lebenszyklus lässt sich entlang der 14 ATT&CK-Taktiken beschreiben:

Phase 1: Reconnaissance (TA0043)

Passive und aktive Informationsbeschaffung vor dem ersten Angriff: Über LinkedIn, XING und Unternehmenswebseiten wird das Organigramm rekonstruiert, Schlüsselpersonen wie CISO, Admins und C-Level werden identifiziert, und der Technologie-Stack wird aus Stellenanzeigen, Impressum sowie HTTP-Headern erschlossen. Technisch ergänzt Shodan- und Censys-Nutzung für exponierte Dienste und Versionsnummern, DNS-Enumeration für Subdomains und MX-Records sowie Certificate-Transparency-Logs für interne Hostnamen.

Phase 2: Initial Access (TA0001)

Der erste Fuß in der Tür - häufig über:

• Spear-Phishing (T1566): Maßgeschneiderte E-Mail an eine Zielperson mit relevantem Kontext (laufendes Projekt, bekannter Kollege als Absender)
• Watering Hole (T1189): Kompromittierung einer Website, die die Zielperson regelmäßig besucht (Branchenportal, Lieferantenwebsite)
• Supply Chain Compromise (T1195): Angriff über vertrauenswürdige Software-Updates oder IT-Dienstleister
• Ausnutzung öffentlicher Dienste (T1190): Exploitation ungepatchter VPN-Gateways, Mail-Server oder Web-Applikationen

Phase 3: Execution, Persistence und Defense Evasion (TA0002, TA0003, TA0005)

Nach dem initialen Zugang wird die Position gefestigt. Typische Persistence-Mechanismen umfassen Registry Run Keys und geplante Tasks (T1053), Web Shells auf exponierten Servern (T1505.003), DLL-Hijacking in legitimen Anwendungspfaden (T1574) sowie Implantate in Firmware bei hochentwickelten Gruppen. Defense Evasion erfolgt über obfuskierten PowerShell-Code (T1027), signierte Binaries für Proxy Execution (T1218) und Timestomping zur Manipulation von Datei-Metadaten (T1070.006).

Phase 4: Privilege Escalation und Lateral Movement (TA0004, TA0008)

Ausbreitung im Netzwerk, bis kritische Systeme erreicht sind. Privilege Escalation erfolgt durch Kerberoasting zum Extrahieren von Service-Account-Hashes aus Active Directory (T1558.003), Pass-the-Hash für die Nutzung von NTLM-Hashes ohne Klartextpasswort (T1550.002) und Token Impersonation zur Rechteübernahme (T1134). Laterale Bewegung nutzt PsExec und WMI Remote Execution (T1021), gestohlene Admin-Credentials sowie die Ausbreitung über SMB-Shares (T1021.002).

Phase 5: Collection und Exfiltration (TA0009, TA0010)

Das eigentliche Ziel: Daten sammeln und ausschleusen. Gesammelt werden Keylogging- und Screenshot-Erfassung (T1056, T1113), E-Mail-Archiv-Exporte aus Exchange und Outlook (T1114), Datenbank-Dumps (T1213) sowie Source-Code-Repositories (T1213.003). Exfiltriert wird über DNS-Tunneling (T1048.001), HTTPS zu scheinbar legitimen Cloud-Services (T1567) und durch niedrige Transferraten über Wochen, um Anomalie-Detection zu umgehen.

Bekannte APT-Gruppen

APT28 - Fancy Bear (Russland)

APT28 wird dem russischen Militärgeheimdienst GRU zugeordnet und ist eine der aktivsten APT-Gruppen weltweit. Bekannte Operationen:

• Bundestag-Hack 2015: Kompromittierung des deutschen Parlaments, Exfiltration von geschätzten 16 GB Daten über mehrere Wochen
• DNC-Hack 2016: Einbruch in das Democratic National Committee vor der US-Präsidentschaftswahl
• Industrie-Spionage: Rüstungs-, Energie- und Regierungsziele in NATO-Staaten

Typische Werkzeuge: X-Agent (Sofacy), Zebrocy, LoJax (erstes bekanntes UEFI-Rootkit eines APT).

APT29 - Cozy Bear (Russland)

Ebenfalls russischer Ursprung, dem FSB oder SVR zugeordnet. APT29 gilt als technisch noch ausgefeilter als APT28 und agiert geduldiger:

• SolarWinds-Lieferkettenkompromittierung 2020: Einschleusen von Schadcode in SolarWinds Orion Updates - betroffen waren Microsoft, Intel, FireEye und US-Bundesbehörden
• COVID-19-Forschungsspionage 2020: Angriffe auf Impfstoffforscher in UK, USA und Kanada

Merkmal: extrem langer Dwell-Time, teils über ein Jahr unentdeckt in Zielnetzwerken.

Lazarus Group (Nordkorea)

Lazarus wird dem nordkoreanischen Regime zugeordnet und ist für eine ungewöhnliche Kombination aus Spionage und finanziell motivierten Angriffen bekannt:

• Sony Pictures Hack 2014: Komplette Infrastruktur vernichtet, unveröffentlichte Filme gestohlen
• Bangladesh Bank Heist 2016: Fast $1 Milliarde über das SWIFT-Netzwerk gestohlen, $81 Millionen erfolgreich transferiert
• WannaCry 2017: Ransomware-Welle, die weltweit über 200.000 Systeme infizierte
• Kryptobörsen-Angriffe: Kontinuierliche Angriffe auf Kryptowährungs-Exchanges zur Devisenerwirtschaftung für das sanktionierte Regime

APT41 (China)

APT41 ist ungewöhnlich, weil die Gruppe sowohl staatlich geförderte Spionage als auch eigenmotivierte Cyberkriminalität betreibt - offenbar geduldet oder sogar gefordert vom chinesischen Staat:

• Supply-Chain-Angriffe: NetSarang, CCleaner, ASUS Live Update kompromittiert
• Gesundheitswesen: Angriffe auf Pharmaunternehmen und Impfstoffforscher
• Videospielindustrie: Quellcode und virtuelle Währungen gestohlen (finanzielle Eigenmotivation)
• Telekommunikation: Persistente Zugänge in Telco-Infrastrukturen für Überwachungszwecke

Angriffsvektoren im Detail

Spear-Phishing

Spear-Phishing ist der häufigste initiale Zugangspfad bei APT-Angriffen. Anders als Massen-Phishing ist jede Nachricht individuell auf die Zielperson zugeschnitten:

• Absender imitiert Kollegen, Vorgesetzte oder bekannte externe Kontakte
• Inhalt referenziert laufende Projekte, Konferenzen oder persönliche Interessen (aus OSINT)
• Anhänge nutzen Zero-Days oder makro-basierte Dokumente; Links führen zu täuschend echten Login-Seiten
• Smishing und Vishing (SMS, Telefon) ergänzen digitale Kanäle

Watering-Hole-Angriffe

Wenn das direkte Spear-Phishing zu riskant ist oder keine Zielperson reagiert, kompromittieren APT-Akteure Websites, die die Zielpersonen regelmäßig besuchen:

• Branchenportale, Zulieferer-Websites, Verbands-Seiten
• Einbettung von Browser-Exploits oder Drive-by-Downloads
• Selektive Auslieferung: Schadcode wird nur an IP-Adressen des Zielunternehmens ausgeliefert

Supply-Chain-Kompromittierung

Einer der wirkungsvollsten und schwierigst zu verteidigenden Vektoren: Angreifer infiltrieren nicht das Ziel selbst, sondern einen vertrauenswürdigen Lieferanten oder Software-Anbieter. Typische Angriffspfade sind die Kompromittierung des Software-Build-Prozesses eines Anbieters (wie bei SolarWinds), der Einsatz eines MSP als Einfallstor zu allen Kunden, die Kompromittierung von Open-Source-Abhängigkeiten (Dependency Confusion) und in seltenen Fällen Hardware-Implantate in Servern.

Erkennung von APT-Angriffen

Indicators of Compromise (IOCs)

IOCs sind forensische Artefakte, die auf eine Kompromittierung hinweisen: bekannte Malware-Hashes, C2-IP-Adressen, charakteristische Registry-Keys oder ungewöhnliche Netzwerkprotokolle. Ihr Nachteil: APT-Gruppen wechseln IOCs regelmäßig. IOC-basierte Erkennung allein reicht nicht aus.

Threat Intelligence

Kommerzielle und öffentliche Threat-Intelligence-Quellen liefern aktuell: welche Gruppen welche Branchen angreifen, welche Taktiken und Tools sie einsetzen, welche Infrastruktur sie betreiben. MITRE ATT&CK-basierte Detektionsregeln im SIEM sind robuster als einzelne IOC-Feeds, da sie Verhaltens-Muster erkennen, nicht einzelne Artefakte.

Deutsche Quellen: BSI CERT-Bund, alliierte CERT-Netzwerke (CERT-EU, ENISA).

EDR/XDR

Endpoint Detection and Response-Lösungen überwachen Prozessverhalten auf Endpunkten und erkennen APT-typische Muster auch ohne bekannte Malware-Signaturen. Typische Erkennungslogik: Word.exe, das PowerShell.exe erzeugt, deutet auf einen Macro-Angriff hin; ein unbekannter Prozess, der auf LSASS zugreift, signalisiert Credential-Dumping; encoded PowerShell kombiniert mit Base64 und Download-Aktivität zeigt einen Stage-2-Payload; PsExec auf 50 Hosts innerhalb von 10 Minuten ist ein klares Lateral-Movement-Signal.

XDR (Extended Detection and Response) korreliert Signale von Endpunkten, Netzwerk, Identity und Cloud - und erkennt damit APT-Kampagnen, die sich über mehrere Schichten verteilen und auf jeder Ebene unauffällig bleiben.

Threat Hunting

Proaktives Suchen nach Angreifern im Netzwerk, die noch keine Alarmierung ausgelöst haben. Threat Hunting setzt aktuelle TI-Erkenntnisse um: Eine typische Hypothese basierend auf einem TI-Report über APT29 lautet etwa, dass die Gruppe WMI-Subscriptions zur Persistenz auf Windows-Systemen in europäischen Behörden nutzt. Im SIEM wird dann nach auffälligen WMI-Activity-Events (EventCode 5857 oder 5859) gesucht, speziell nach unbekannten WMI-Filter- und Consumer-Kombinationen sowie Ausführungen zu ungewöhnlichen Zeiten.

Threat Hunting setzt qualifiziertes Personal voraus - es ist keine Automatisierungsaufgabe.

Schutzmaßnahmen

Defense in Depth

Kein einzelnes Sicherheitsprodukt schützt zuverlässig gegen APTs. Defense in Depth bedeutet gestaffelte Schutzschichten, sodass das Versagen einer Schicht nicht zur vollständigen Kompromittierung führt:

• Perimeter: Next-Gen Firewall, IPS, E-Mail-Filtering, Web-Proxy
• Endpoint: EDR/XDR, Application Allowlisting, Patch-Management
• Identity: MFA auf allen Zugängen, Privileged Access Management
• Daten: Verschlüsselung, DLP, segmentierte Backups
• Monitoring: SIEM, SOAR, SOC mit 24/7-Überwachung
• Menschlich: Security Awareness Training, Phishing-Simulationen

Netzwerksegmentierung

Laterale Ausbreitung ist der Kern jedes APT-Angriffs. Netzwerksegmentierung begrenzt den Schaden nach einer initialen Kompromittierung erheblich:

• Mikrosegmentierung: Server kommunizieren nur mit explizit erlaubten Gegenstellen
• Zero-Trust-Netzwerkarchitektur: kein implizites Vertrauen aufgrund von Netzwerkzugehörigkeit
• Separate Segmente für OT/ICS, kritische Server, Gäste
• Monitoring des Ost-West-Traffics (lateraler Verkehr innerhalb des Netzes) - nicht nur des Perimeters

Privileged Access Management (PAM)

APT-Gruppen zielen auf Admin-Credentials, weil sie den größten Bewegungsspielraum bieten. PAM begrenzt Schaden und erhöht Erkennbarkeit:

• Keine dauerhaften Admin-Konten auf Endpunkten
• Just-in-Time-Privilegierung: Admin-Rechte nur für die Dauer einer definierten Aufgabe
• Privileged Access Workstations (PAWs) für administrative Tätigkeiten
• Alle privilegierten Aktionen werden protokolliert und überwacht

Threat Hunting als Prozess

Einmalige Threat-Hunting-Übungen reichen nicht. Effektiver Schutz erfordert einen kontinuierlichen Prozess:

1. TI konsumieren: Welche Gruppen greifen gerade ähnliche Unternehmen an?
2. Hypothesen ableiten: Welche MITRE ATT&CK-Techniken würden diese Gruppen einsetzen?
3. Aktiv suchen: Gibt es in unseren Logs Hinweise auf diese Muster?
4. Erkennungen automatisieren: Gefundene Muster als dauerhafte SIEM-Regeln hinterlegen
5. Wiederholen: Das Bedrohungsbild ändert sich kontinuierlich

Für Unternehmen ohne eigenes SOC bieten externe Managed Detection and Response (MDR)-Dienstleister diese Funktion.

APT-Erkennung: Realistische Erwartungen

Selbst gut ausgestattete Security-Teams entdecken APT-Angriffe oft erst nach Monaten. Die durchschnittliche Dwell-Time - Zeit zwischen erstem Einbruch und Entdeckung - lag laut Mandiant M-Trends 2024 bei 10 Tagen global, für Angriffe bei denen das Opfer selbst entdeckte jedoch deutlich länger. Staatlich geförderte APT-Gruppen investieren in Tarnung, die weit über das hinausgeht, was kommerzielle Malware leistet.

Das Ziel realistischer APT-Abwehr ist daher nicht die vollständige Verhinderung jedes Einbruchs, sondern die Reduzierung der Dwell-Time und des resultierenden Schadens. Mit Defense in Depth, konsequentem Patch-Management, PAM und aktivem Threat Hunting lässt sich die Angriffsoberfläche drastisch reduzieren und die Erkennungsgeschwindigkeit erhöhen - auch für mittelständische Unternehmen, die keine staatlichen Ressourcen aber dennoch wertvolle Daten besitzen.

• TA0006: Credential Access (Taktik)
  • T1003: OS Credential Dumping (Technik)
    • .001 - LSASS Memory (Sub-Technik)
    • .002 - Security Account Manager (SAM)
    • .003 - NTDS
    • .006 - DCSync
  • T1558: Steal or Forge Kerberos Tickets
    • .001 - Golden Ticket
    • .002 - Silver Ticket
    • .003 - Kerberoasting
    • .004 - AS-REP Roasting

ID	Taktik	Beschreibung	Beispiel-Techniken
TA0001	Initial Access	Wie kommt der Angreifer ins Netzwerk?	T1566 Phishing, T1190 Exploit Public-Facing App
TA0002	Execution	Wie führt er Code aus?	T1059 Command and Scripting Interpreter (PowerShell, Bash)
TA0003	Persistence	Wie stellt er sicher, dass er bleibt?	T1547 Boot/Logon Autostart, T1053 Scheduled Task
TA0004	Privilege Escalation	Wie erhöht er seine Rechte?	T1055 Process Injection, T1068 Exploit Vulnerability
TA0005	Defense Evasion	Wie umgeht er Security-Tools?	T1562 Impair Defenses, T1027 Obfuscated Files
TA0006	Credential Access	Wie stiehlt er Zugangsdaten?	T1003 OS Credential Dumping, T1558 Kerberos Tickets
TA0007	Discovery	Was findet er im Netzwerk?	T1018 Remote System Discovery, T1082 System Information
TA0008	Lateral Movement	Wie breitet er sich aus?	T1021 Remote Services, T1075 Pass the Hash
TA0009	Collection	Was sammelt er?	T1560 Archive Data, T1074 Data Staged
TA0010	Exfiltration	Wie schleust er Daten aus?	T1048 Exfiltration Over Alternative Protocol
TA0011	Command and Control	Wie steuert er Malware?	T1071 Application Layer Protocol, T1572 Protocol Tunneling
TA0040	Impact	Was ist der finale Schaden?	T1486 Data Encrypted for Impact (Ransomware!), T1485 Data Destruction
TA0042	Resource Development	Ressourcen aufbauen	-
TA0043	Reconnaissance	Aufklärung	T1595 Active Scanning

1. Coverage-Gap-Analyse: „Rot = keine Detection - Priorisierung: welche Rot-Felder zuerst schließen?"
2. Threat-Profile erstellen: „APT28 Layer" - welche Techniken nutzt diese Gruppe? Fokus der Detection auf diese Techniken.
3. Pentest-Scope definieren: „Teste diese 20 Techniken - wir wollen Coverage messen"
4. Reporting: „Wir haben ATT&CK-Coverage von X%" - verständlich für das Management

Matrix	Plattformen	Besonderheiten
Enterprise	Windows, macOS, Linux	Hauptmatrix, am umfangreichsten
Mobile	iOS, Android	T1516 Input Injection, T1412 Capture SMS Messages
ICS	OT/SCADA	T0886 Remote Services, T0817 Drive-by Compromise
Cloud	AWS, Azure, GCP, SaaS	T1552.005 Cloud Instance Metadata API
PRE-ATT&CK	Reconnaissance & Resource Development	T1595 Active Scanning, T1589 Gather Victim Identity Information