Hinter der Bezeichnung "Advanced Persistent Threat" verbirgt sich die modernste und gefährlichste Form der Angriffe aus dem Internet: Herkömmliche Sicherheitstools erkennen Stuxnet, Flame und Co. oft nicht.

Wenn die Fiktion die Realität eingeholt hat, so ist dies in den seltensten Fällen positiv. So auch im Fall der Cyber-Attacken. Vor gar nicht allzu langer Zeit wären entsprechende Angriffe über das Internet auf kritische IT-Infrastrukturen wohl noch Stoff für einen James-Bond-Film gewesen.

Doch mittlerweile sind sie Realität. Zielgerichtete, komplexe Attacken auf Unternehmen, Personen oder Institutionen bedeuten eine enorme wirtschaftliche oder auch politische Gefahr. Das große Problem: Flame, Stuxnet und Co., die derzeit bekanntesten entdeckten Angriffe, lassen sich mit herkömmlichen Sicherheitsmaßnahmen und Mechanismen kaum aufspüren oder verhindern. Angreifer schleichen sich in die Systeme und versuchen möglichst diskret und unauffällig Dateien auszuspionieren oder Schaden anzurichten. Der beste Schutz für kritische Infrastrukturen ist derzeit wohl ein achtsamer Umgang, gute Sicherheitsregeln und entsprechende Vorbeugung.

Es gibt aber auch eine gute Nachricht. Die komplexen "Advanced Persistent Threats (APT)" sind extrem aufwendig und sehr teuer. Weltweit gibt es derzeit nicht sehr viele Menschen, die entsprechende Kenntnisse aufweisen und diese dann auch noch in den illegalen Bereich investieren wollen. Als Normalverbraucher scheint die Gefahr, einer solchen Attacke ausgesetzt zu sein, sehr, sehr gering. Für Unternehmen muss aber ein möglichst umfassendes Sicherheitskonzept Pflicht sein, denn auch ein kleiner, aber erfolgreicher Angriff kann großen Schaden anrichten.

In den letzten Wochen schienen weniger die wirtschaftlichen, als vielmehr die politischen Ziele im Visier von Stuxnet und Flame gewesen zu sein. Iranische IT-Infrastrukturen sollen ebenso Opfer geworden sein wie syrische und israelische Unternehmen beziehungsweise Institutionen. Bekennerschreiben fehlen und somit ist auch nicht klar, wer hinter den Angriffen steckt.

Meist werden politische Feinde, etwa die USA, China oder auch der Iran und Israel als Urheber genannt. Belege fehlen allerdings für diese Vermutungen. Doch was unterscheidet einen APT-Angriff von einer bekannten, klassischen Hacker-Attacke? Die Kunst besteht darin, einen so komplexen wie auch gefährlichen Angriff möglichst leise und unerkannt ablaufen zu lassen. Es soll möglichst niemand, und wenn, dann erst möglichst spät, von der Attacke etwas mitbekommen. Je länger die Infektion eines Systems unentdeckt bleibt, desto mehr Daten lassen sich stehlen oder kritische Komponenten unterwandern und gegebenenfalls sogar abschalten.

In der "Formel 1 der Cyber-Attacken" ist es sogar möglich, dass sich die schädliche Software nach einiger Zeit selbsttätig löscht, um Spuren zu verwischen oder einen erfolgreichen Angriff gar nicht erst erkennen zu lassen. Bei einer so komplexen Attacke werden meist noch unbekannte Sicherheitslücken oder Schwachstellen in Software oder Web-Browser ausgenützt.

In den letzten Jahren wurden die schädlichen Programme meist über einen sogenannten "Drive-by-Download" verteilt. Das bedeutet, dass der Besuch einer präparierten Webseite ausreicht, um sich sogenannte "Malware", also gefährlichen Code, einzufangen. Diese verseuchten Webseiten verteilen Programme, die von herkömmlichen Virenscannern fast nie entdeckt werden, und nisten sich auf einem Rechner ein. Dann warten sie auf den richtigen Zeitpunkt. Und starten unbemerkt ihre Attacke. Oder sie öffnen eine Hintertüre, um noch schädlichere Tools eindringen zu lassen. So kann es vorkommen, dass ein infizierter Rechner jeden Tag eine kleine Menge Code, die zwischen einer Unmenge unauffälliger und nicht schädlicher Daten versteckt werden kann, nachlädt, bis am Ende ein ganzes, arbeitsfähiges Programm eingeschleust ist.

Experten berichten, dass die am häufigsten genutzten Verteilungsmethoden jedoch nicht hochtechnische Aspekte aufweisen, sondern auf die Naivität und Unwissenheit der Anwender setzen.