Bitte melden Sie sich an

Registrieren Sie Sich als Premium-Mitglied, um Vorträge herunterzuladen.

  • 100% Rabatt auf alle Club-Events und Kongresse
  • Download der Vortragsunterlagen aller Veranstaltungen
  • Zugriff auf Fotogalerie aller Veranstaltungen
Sie sind noch kein Mitglied?

Dann registrieren Sie sich jetzt:

Jetzt Mitglied werden
Sie sind bereits Mitglied oder waren Teilnehmer?

Bitte loggen Sie sich ein:

Jetzt einloggen
Jetzt Mitglied werden

„APT10 greift vor allem Managed Service Provider an“

Seit etwa einem Jahr kam es vermehrt zu Cyber-Angriffen durch eine Gruppe namens APT10 mit dem Ziel, Kundendaten zu stehlen. Dr. Adrian Nish von BAE Systems beleuchtet die Methoden der Hacker und erläutert, welche Gegenmaßnahmen zur Verhinderung von Schäden bei den betroffenen Organisationen getroffen werden. Interview: Philipp Scherber

Von Philipp Scherber - 31. Mai 2017

Die Hacker-Gruppe APT10 dringt mit ihrer Malware über die Managed Service Provider indirekt in die Systeme der Kunden ein. Bildnachweis: BAE Systems

BANKINGNEWS: Was verbirgt sich hinter APT10 bzw. der Operation Cloud Hopper?

Adrian Nish: Die Operation Cloud Hopper ist eine Kampagne von Netzwerk-Angriffen auf globale Unternehmen, die von einer Gruppe namens APT10 durchgeführt werden. APT steht für Advanced Persistent Threat und dies ist eine von vielen solcher Gruppen, die wir derzeit verfolgen. Einiges deutet darauf hin, dass sie aus China operiert. Es gab Spekulationen darüber, dass es sich um Auftrags-Hacker handelt, die versuchten, ihre Machenschaften durch die Beschränkung auf gewöhnliche Arbeitszeiten zu verschleiern. Die Gruppe ist seit etwa zehn Jahren aktiv, allerdings konnten wir eine signifikant erhöhte Aktivität seit dem zweiten Halbjahr 2016 feststellen. Die Angreifer haben es gezielt auf Managed Service Provider (MSPs) weltweit abgesehen. Diese MSPs haben naturgemäß einen privilegierten Zugang zu den Netzwerken ihrer Kunden. Sind sie einmal kompromittiert, können die Angreifer den Zugang nutzen, um in das Ökosystem der Kunden des MSPs einzudringen und Daten zu stehlen. Organisationen vertrauen den MSPs vorbehaltlos, was den Angreifern einen relativ uneingeschränkten Zugang zu den Netzwerken und Daten erlaubt, ohne einen Alarm auszulösen.

Dr. Adrian Nish leitet das Threat-Intelligence-Team in der Applied-Intelligence-Abteilung von BAE Systems. Sein Team verfolgt sowohl kriminelle Bedrohungen als auch Bedrohungen der nationalen Sicherheit, überträgt die Erkenntnisse auf die technischen Systeme der Kunden und berät Regierungen und Unternehmen hinsichtlich der Bedrohungslandschaft. Der promovierte Physiker ist wissenschaftlicher Mitarbeiter der Ideenfabrik RUSI.

Wer wurde bisher von APT10 angegriffen und welche Organisationen sind gefährdet?

APT10 zeigt eine Präferenz für Angriffe auf Managed Service Provider mit dem Ziel, die Kundendaten zu stehlen. Diese „Endnutzer-Opfer“ stammen primär aber nicht ausschließlich aus den Bereichen Ingenieurwesen, Energie, Pharmazeutik, Technologie und professionelle Dienstleistungen. Die Attacken sind eine Form des Supply-Chain-Risikos. Wenn ein MSP Zugang zu sensiblen Daten hat oder Daten im Auftrag eines Kunden verarbeitet, ist der potentielle Schaden signifikant. Sich gegen diese Angriffe zur Wehr zu setzen, ist deswegen schwierig, weil Kunden sehr viel Vertrauen gegenüber den Dienstleistern aufbringen, jedoch meistens nicht in der Lage sind, die Angriffe zu erkennen oder auf sie zu reagieren.

Angriffe überwachen und melden

Wie können sich Finanzinstitute vor diesen indirekten Angriffen schützen?

Der Finanzsektor beruht wie viele andere Branchen auf MSPs. Allerdings existieren keine Hinweise darauf, dass APT10 sich besonders stark auf die Finanzbranche fokussiert. Nichtsdestotrotz können daraus Lehren gezogen werden, und Erfahrungen in der Analyse von Supply-Chain-Risiken sind wertvoll für jede Art von Unternehmen. An erster Stelle sollten Unternehmen gewährleisten, dass optimale Kommunikationskanäle zu ihren MSPs bestehen. Diese sollten vom hauseigenen Sicherheits-Team genutzt werden, um herauszufinden, ob ein Angriff durch APT10 stattgefunden hat. Falls der MSP einen transparenten Einblick in die Vorgänge verweigert, sollten die Vertragsverpflichtungen gemeinsam mit den verantwortlichen Kollegen überprüft werden. Unternehmen können darüber hinaus noch mehr tun, um auf ihre Netzwerke ausgerichtete Angriffe von APT10 zu überwachen und Aktivitäten zu melden, die nicht dem Business as usual entsprechen.

Koordinierte Gegenmaßnahmen

BAE Systems, PricewaterhouseCoopers (PwC) und das britische National Cyber Security Centre (NCSC) haben eine gemeinsame Gegeninitiative ins Leben gerufen.

Schon in einer frühen Phase unserer Untersuchungen haben wir mit PwC und dem NCSC zusammengearbeitet, Erkenntnisse zu neuen Angriffsmethoden, -werkzeugen und -infrastrukturen sowie Informationen zu kompromittierten Unternehmen dokumentiert und geteilt. Durch den Wissensaustausch mit dem NCSC können wir gemeinsame Gegenmaßnahmen koordinieren und mit globalen Partnern an der Verringerung der Gefahr arbeiten. In einem ersten Schritt haben wir die MSP-Community und die geschädigten Endkunden vertraulich unterrichtet. Angesichts des Ausmaßes haben wir uns entschieden, die Aktivitäten der Gruppe öffentlich zu machen: Dies half dabei, die Operationen der Angreifer zu stören und das Bewusstsein für das Gefahrenszenario zu schärfen. Was kommt als nächstes? Die Angreifer benötigen Zeit, um sich für eine neue Offensive aufzustellen. Die Frage ist, ob sie sich überhaupt dazu entscheiden, weiterzumachen, was auch davon abhängt, wie groß das Bewusstsein bezüglich der Gruppe und ihrer Methoden ist.

Am 27.06.2017 können Sie in Frankfurt gemeinsam mit IT-Sicherheits-Experten von der Deutschen Bundesbank und BAE Systems über die aktuellen Gefahren durch Cybercrime diskutieren.

Lesen Sie auch

Compliance-Funktion: Botschafter der Risikokultur

Die MaRisk verpflichtet die Geschäftsführung von Kreditinstituten, eine[…]

Carina Sophie Röthke

Compliance mit Storytelling

Frontalschulung, Dialogschulung, Live- und Video-Schulung – so gelingen[…]

Elfriede Jirges

Beschwerdemanagement als Wettbewerbsvorteil

Zentral oder dezentral? Umsetzungen der Anforderungen des BaFin-Rundschreibens[…]

Christian Gudat

Sachkunde auf dem Prüfstand

Die Sachkunde eines Mitarbeiters in der Anlageberatung darf[…]

Manuel Regent

Offene Fragen bei der Ex-ante-Kostentransparenz

Trotz BaFin-Erläuterungen gibt es immer wieder Unklarheiten bei[…]

Arne Almási

„Wir arbeiten daran, dass die PSD2 ein Erfolg wird“

Die PSD2 erlaubt digitalen Zahlungsdiensten über eine Schnittstelle[…]

Redaktion

„Erst kam die Finanzkrise, dann der regulatorische Tsunami“

Bei unserem Kongress COMPLAINCEforBANKS 2019 kamen auch dieses[…]

Daniel Fernandez

„Das Netz wird engmaschiger“

Die Bekämpfung von Geldwäsche und Terrorismusfinanzierung nimmt beim[…]

Daniel Fernandez

„Heute geht es vor allem darum, etablierte Standards anzunehmen und effizienter zu werden“

Machine Learning ist aktuell branchenübergreifend in aller Munde.[…]

Redaktion

„Die PSD2 gibt Banken ein Stück Kontrolle zurück“

Die PSD2 öffnet die Schnittstellen von Banken für[…]

Daniel Fernandez

Mit offener Unternehmenskultur zu gutem Compliance-Bewusstsein

Ein gesundes Risiko- und Compliance-Bewusstsein ist elementarer Bestandteil[…]

Redaktion

Der Transparenz verpflichtet

Die regulatorische Belastung auf deutsche Finanzinstitute wächst stetig[…]

Axel Schmale

Mit Fintechs zu besserem Compliance Management

Fintech-Kooperationen sind eine beliebte Methode für Banken, ihre[…]

Dr. Silvana Gangi Chiodo

Die Compliance-Funktion nach MaRisk und ihr Compliance-Life-Cycle

Die BaFin hat mit der 4. Novelle der[…]

Markus Müller

Regulatorik: Synergien nutzen und Ressourcen sparen

Die Notwendigkeit für Banken, trotz wachsender regulatorischer Anforderungen[…]

Luise Fleischmann

Verdachtsmeldung vs. Datenschutz

Mit Inkrafttreten der DSGVO riskieren Unternehmen durch den[…]

Alexander Stehr

Neulich in der Copy-Paste-Abteilung

Fehlerhafte Marketing- und Vertriebsunterlagen führen nicht selten zu[…]

Tobias Schenkel

Datenschutzorganisation wird zur Chefsache

Die seit Ende Mai geltende DSGVO droht mit[…]

Dennis Heinemeyer

„30 Sekunden vor 12“

Regulierung kann für Banken ein wichtiger Verbündeter sein.[…]

Thorsten Hahn

Was bedeutet die EU-DSGVO für Banken und ihre Kunden?

Die EU-DSGVO (Europäische Datenschutz-Grundverordnung) wurde zunächst vor allem[…]

Jürgen P. Müller

Die besonderen Herausforderungen der GwG-Meldepflicht

Der § 43 GwG, die unverzügliche Meldepflicht von[…]

Thomas Seidel

Moral, MiFID II und Verletzungen beim Handball

Nachbericht zum Kongress COMPLIANCEforBANKS 2018

Tobias Schenkel

Ausgewählte Neuerungen zum Thema Auslagerungen in der 5. MaRisk-Novelle

Am 27. Oktober 2017 veröffentlichte die Bundesanstalt für[…]

Christian Gudat

Geschützt: Vorträge ComplianceForBanks 2018 (exklusiv für Mitglieder und Teilnehmer)

Es gibt keinen Textauszug, da dies ein geschützter[…]

Redaktion

Der goldene Mittelweg im Spannungsfeld der Regularien

Eine der größten Herausforderungen und gleichzeitig wichtigsten Aufgaben[…]

Elfriede Jirges

Die Entourage von politisch exponierten Personen als Bankkunden

Banken müssen im Rahmen der Erfüllung ihrer gesetzlichen[…]

André Blum

Eine Revolution auf dem Markt für Identitätsprüfungen

In Zeiten der rasanten Digitalisierung können Banken und[…]

Uwe Stelzig

Der alte Mann und die Malware

Der Rückgang von Filialen sowie Gebühren für Überweisungen[…]

Daniel Fernandez

UK Bribery Act 2.0 – Erfahrungen im Umgang mit Geschäftspartnern

Seit Inkrafttreten des UK Bribery Act im Juli[…]

Johanna Duenser

Die Verschärfung des Korruptionsstrafrechts und die Auswirkungen auf Kreditinstitute

Die Verhinderung von Korruption war abseits der Schwerpunktthemen[…]

Fabian Malkoc

Der Regierungsentwurf zur Umsetzung der 4. Geldwäsche-Richtlinie der EU

Am 22. Februar 2017 legte die Bundesregierung ihren[…]

Indranil Ganguli

„Betrugsrisiken sind durch Online-Legitimation gesunken“

Auch in einer Zeit, in der immer stärker[…]

Philipp Scherber

Cybercrime-Bedrohungen im Jahr 2017

Im vergangenen Jahr wurde Cybersicherheit im Rahmen zahlreicher[…]

Michael Hagebölling

Business Judgement Rule im Privatstiftungsrecht

Nach einer kürzlich ergangenen Entscheidung des Obersten Gerichtshofs[…]

Manfred Wieland

Deutsche Bank einigt sich mit amerikanischen Behörden

Die Deutsche Bank hat sich im Streit über[…]

Daniel Fernandez

Gemeinsam gegen Betrugsversuche

Ob manipulierte Unterlagen wie Gehaltsabrechnungen bei Kreditanträgen oder[…]

Stephan R. Peters

Fraud: der menschliche Faktor

Mit betrügerischen Handlungen beschäftigt man sich im geschäftlichen[…]

Michael Leuthner

Digitalisierung = Illegalisierung?

Eine Firewall zu überwinden, stellt heute für Geübte[…]

Christian Grosshardt

Hanns Feigen

Landgericht München, 25. April 2016, Verfahren gegen fünf[…]

Philipp Scherber

Wasch mich, aber mach mich nicht nass – Vol. 2

Es kommt nicht oft vor, dass eine Bank[…]

Thorsten Hahn

Quo vadis MiFID II? Anlegerschutz oder das Ende der Anlageberatung?

MiFID II wird auf Anfang 2018 verschoben, und[…]

Andreas Gehrke

Zwischen der Schulung und der Praxis liegt das Meer

Die Umsetzung von Schulungsinhalten kann Mitarbeiter vor Probleme[…]

Ronny Fuchs

„Willkommen beim Rudern“

MiFID II um ein Jahr verschoben. Aufatmen bei[…]

Philipp Scherber

Kosten- und Risikoreduzierung durch qualitativ hochwertige Kundendaten

Entity Resolution, also die Systematisierung, Verlinkung und Gruppierung[…]

Philipp Scherber

Das Ende der improvisierten IT

Immer, wenn Banken und Versicherungen versuchen, Anforderungen der[…]

Carsten Krah

Datensicherheit: Einfallstor Drucker

Cyberattacken gehören für Unternehmen mittlerweile zum Alltag. Umso[…]

Julian Achleitner

Weniger ist manchmal mehr

MiFID II steht in den Startlöchern und viele[…]

Christian Grosshardt

Compliance-Paranoia in deutschen Banken?

Eine Überlegung.

Julian Achleitner