APT28, Fancy Bears, Sofacy
Den Ursprung von Hacker-Angriffen ermitteln
Zu leicht kann der Ursprungsort der Attacken verschleiert werden. Deswegen suchen Forscher von Unternehmen wie Symantec, Kaspersky oder FireEye nach Indizien, die allein keinen Beweis bilden - aber in Summe zumindest eine begründete Vermutung erlauben.
So kommt es oft vor, dass Hacker-Gruppen zu den typischen Büro-Arbeitszeiten in Zentralrussland oder chinesischen Großstädten aktiv sind - das wird als ein Hinweis auf ihren Standort gewertet. Manchmal wurden im Software-Code russische Worte entdeckt. Und auch an manchen englischen Formulierungen sei zu erkennen gewesen, dass hinter ihnen russischsprachige Personen steckten, hieß es bei einer IT-Sicherheitsfirma.
- Offenes Verderben
Öffentliche WLAN-Netzwerke stellen einen verbreiteten Angriffsvektor für Hacker dar, die auf der Suche nach privaten Daten sind. Sie sollten also wenn möglich stets den Umweg über VPN nehmen. Avast Software hat im Vorfeld des Mobile World Congress 2016 ein Experiment dazu am Flughafen von Barcelona durchgeführt. Das Ergebnis: Tausende MWC-Besucher hatten die Gefahr aus Bequemlichkeit ignoriert und ihre Devices und Daten aufs Spiel gesetzt. - Datenverzicht
Wo keine Daten sind, kann auch nichts gestohlen werden, verloren gehen oder missbraucht werden. Die erste Generation von Security-Lösungen für Mobile Devices versuchten die Geräte komplett abzuschirmen, um die Daten zu schützen. Inzwischen wissen wir, dass Device Management alleine nicht genügt. Verschiedene mobile Geräte und Betriebssysteme zu managen, kann dafür sorgen, dass IT-Abteilungen mit Anfragen überhäuft werden. Das wiederum fördert die allgemeine IT-Sicherheit in den betreffenden Unternehmen. Nicht. - Nonstop-No-Go
Ein weiterer Weg, Hacker vor den Kopf zu stoßen: Sorgen Sie dafür, dass Ihre Applikationen möglichst wenig Angriffsfläche bieten. Dazu sollten Sie sicherstellen, dass die Cyber-Bösewichte nicht massig Zeit haben, um einen strategischen Pfad zu Ihrer IP zu finden. Indem Sie dauerhafte Verbindungen gar nicht erst zulassen, machen Sie es den Angreifern schwer. - Vollstreckungsbescheid
Einer der schnellsten und einfachsten Wege, um Kontrolle über mobile Applikationen zu gewinnen: Prüfen Sie Ihre Richtlinien! Jedes Unternehmen sollte über einfach durchsetzbare Richtlinien verfügen, die sowohl den Zugriff der Mitarbeiter auf Mobile Apps als auch den Ressourcen-Zugriff der Applikationen selbst abdeckt. Angestellte, die nur über eine absehbare Zeit im Unternehmen sind, brauchen zum Beispiel keinen Zugriff auf das gesamte Netzwerk - stattdessen sollten sie nur auf die Applikationen zugreifen können, die sie für ihre Aufgaben benötigen. Übergreifende Berechtigungen von Third-Party-Apps sollten übrigens ebenfalls der Kontrolle der IT-Abteilung unterliegen und nicht den Mitarbeitern beziehungsweise Usern. - Schlüssel zum Glück
Security-Entwicklertools sind eine wunderbare Sache, wenn es um den Schutz Ihrer Daten geht. Mit jedem IT-Sicherheits-Layer wird es für die Netzschurken schwieriger, auf die Daten zuzugreifen. Klingt eigentlich logisch, oder? Und trotzdem ist das alles andere als "Business as usual". - Fusionsküche
IT-Sicherheit und der App-Entwicklungsprozess werden immer noch getrennt voneinander betrachtet. Dabei sollte Security längt im gesamten Entwicklungsprozess integriert sein - von den ersten Tests über die eigentliche Produktion bis hin zur Übermittlung an den App Store. Den Aspekt der IT-Sicherheit nicht in den Gesamtprozess mit einzubeziehen, kommt einem gewaltigen Fail gleich. Nur damit Sie Bescheid wissen. - Fremde Federn
Entwickler setzen bei der App-Entwicklung oft auf Komponenten von Dritten - zum Beispiel, wenn es um File-Format-Parsing oder Kompression geht. Diese modularen Bestandteile passen den Apps meist wie ein gut eingetragenes Paar Kampfhandschuhe und es wäre nicht effizient, diese jedesmal neu zu entwerfen. Allerdings sollten Ihre Entwickler in diesem Fall auf jeden Fall überprüfen, dass jede Komponente von Drittherstellern auf dem neuesten Stand ist. Auch nach Release!
Außerdem hilft eine längere Beobachtung, die Angriffe bestimmten Gruppen zuzuordnen: Sie haben eine bestimmte typische "Handschrift". Das können Teile des Software-Codes sein, die sie immer wieder verwenden, die Schwachstellen, die sie als Einfallstor benutzen, oder die Art, wie sich ihre Schadprogramme im angegriffenen Netzwerk ausbreiten. Zudem erlauben auch die angegriffenen Ziele einen Rückschluss auf die Interessen der Hacker.
Die Hacker, die Unterlagen der Welt-Anti-Doping-Agentur (WADA) gestohlen haben, nennen sich "Fancy Bears' Hack Team". Unter dem Namen "Fancy Bear" führen westliche IT-Sicherheitsfirmen eine Gruppe mit mutmaßlicher Nähe zu russischen Geheimdiensten. Sie ist auch unter den Bezeichnungen "Sofacy" und "APT28" bekannt und wird unter anderem hinter den Hacker-Angriffen auf den Bundestag und den Demokraten-Parteivorstand DNC vermutet. Die WADA erklärte in ihrer Stellungnahme am Dienstag, dass APT28 hinter dem Daten-Diebstahl stecke, Beweise dafür wurden dafür zunächst nicht öffentlich bekannt. (dpa/rs)