Jetzt Mitglied werden

„APT10 greift vor allem Managed Service Provider an“

Seit etwa einem Jahr kam es vermehrt zu Cyber-Angriffen durch eine Gruppe namens APT10 mit dem Ziel, Kundendaten zu stehlen. Dr. Adrian Nish von BAE Systems beleuchtet die Methoden der Hacker und erläutert, welche Gegenmaßnahmen zur Verhinderung von Schäden bei den betroffenen Organisationen getroffen werden. Interview: Philipp Scherber

Von Philipp Scherber - 31. Mai 2017

Die Hacker-Gruppe APT10 dringt mit ihrer Malware über die Managed Service Provider indirekt in die Systeme der Kunden ein. Bildnachweis: BAE Systems

BANKINGNEWS: Was verbirgt sich hinter APT10 bzw. der Operation Cloud Hopper?

Adrian Nish: Die Operation Cloud Hopper ist eine Kampagne von Netzwerk-Angriffen auf globale Unternehmen, die von einer Gruppe namens APT10 durchgeführt werden. APT steht für Advanced Persistent Threat und dies ist eine von vielen solcher Gruppen, die wir derzeit verfolgen. Einiges deutet darauf hin, dass sie aus China operiert. Es gab Spekulationen darüber, dass es sich um Auftrags-Hacker handelt, die versuchten, ihre Machenschaften durch die Beschränkung auf gewöhnliche Arbeitszeiten zu verschleiern. Die Gruppe ist seit etwa zehn Jahren aktiv, allerdings konnten wir eine signifikant erhöhte Aktivität seit dem zweiten Halbjahr 2016 feststellen. Die Angreifer haben es gezielt auf Managed Service Provider (MSPs) weltweit abgesehen. Diese MSPs haben naturgemäß einen privilegierten Zugang zu den Netzwerken ihrer Kunden. Sind sie einmal kompromittiert, können die Angreifer den Zugang nutzen, um in das Ökosystem der Kunden des MSPs einzudringen und Daten zu stehlen. Organisationen vertrauen den MSPs vorbehaltlos, was den Angreifern einen relativ uneingeschränkten Zugang zu den Netzwerken und Daten erlaubt, ohne einen Alarm auszulösen.

Dr. Adrian Nish leitet das Threat-Intelligence-Team in der Applied-Intelligence-Abteilung von BAE Systems. Sein Team verfolgt sowohl kriminelle Bedrohungen als auch Bedrohungen der nationalen Sicherheit, überträgt die Erkenntnisse auf die technischen Systeme der Kunden und berät Regierungen und Unternehmen hinsichtlich der Bedrohungslandschaft. Der promovierte Physiker ist wissenschaftlicher Mitarbeiter der Ideenfabrik RUSI.

Wer wurde bisher von APT10 angegriffen und welche Organisationen sind gefährdet?

APT10 zeigt eine Präferenz für Angriffe auf Managed Service Provider mit dem Ziel, die Kundendaten zu stehlen. Diese „Endnutzer-Opfer“ stammen primär aber nicht ausschließlich aus den Bereichen Ingenieurwesen, Energie, Pharmazeutik, Technologie und professionelle Dienstleistungen. Die Attacken sind eine Form des Supply-Chain-Risikos. Wenn ein MSP Zugang zu sensiblen Daten hat oder Daten im Auftrag eines Kunden verarbeitet, ist der potentielle Schaden signifikant. Sich gegen diese Angriffe zur Wehr zu setzen, ist deswegen schwierig, weil Kunden sehr viel Vertrauen gegenüber den Dienstleistern aufbringen, jedoch meistens nicht in der Lage sind, die Angriffe zu erkennen oder auf sie zu reagieren.

Angriffe überwachen und melden

Wie können sich Finanzinstitute vor diesen indirekten Angriffen schützen?

Der Finanzsektor beruht wie viele andere Branchen auf MSPs. Allerdings existieren keine Hinweise darauf, dass APT10 sich besonders stark auf die Finanzbranche fokussiert. Nichtsdestotrotz können daraus Lehren gezogen werden, und Erfahrungen in der Analyse von Supply-Chain-Risiken sind wertvoll für jede Art von Unternehmen. An erster Stelle sollten Unternehmen gewährleisten, dass optimale Kommunikationskanäle zu ihren MSPs bestehen. Diese sollten vom hauseigenen Sicherheits-Team genutzt werden, um herauszufinden, ob ein Angriff durch APT10 stattgefunden hat. Falls der MSP einen transparenten Einblick in die Vorgänge verweigert, sollten die Vertragsverpflichtungen gemeinsam mit den verantwortlichen Kollegen überprüft werden. Unternehmen können darüber hinaus noch mehr tun, um auf ihre Netzwerke ausgerichtete Angriffe von APT10 zu überwachen und Aktivitäten zu melden, die nicht dem Business as usual entsprechen.

Koordinierte Gegenmaßnahmen

BAE Systems, PricewaterhouseCoopers (PwC) und das britische National Cyber Security Centre (NCSC) haben eine gemeinsame Gegeninitiative ins Leben gerufen.

Schon in einer frühen Phase unserer Untersuchungen haben wir mit PwC und dem NCSC zusammengearbeitet, Erkenntnisse zu neuen Angriffsmethoden, -werkzeugen und -infrastrukturen sowie Informationen zu kompromittierten Unternehmen dokumentiert und geteilt. Durch den Wissensaustausch mit dem NCSC können wir gemeinsame Gegenmaßnahmen koordinieren und mit globalen Partnern an der Verringerung der Gefahr arbeiten. In einem ersten Schritt haben wir die MSP-Community und die geschädigten Endkunden vertraulich unterrichtet. Angesichts des Ausmaßes haben wir uns entschieden, die Aktivitäten der Gruppe öffentlich zu machen: Dies half dabei, die Operationen der Angreifer zu stören und das Bewusstsein für das Gefahrenszenario zu schärfen. Was kommt als nächstes? Die Angreifer benötigen Zeit, um sich für eine neue Offensive aufzustellen. Die Frage ist, ob sie sich überhaupt dazu entscheiden, weiterzumachen, was auch davon abhängt, wie groß das Bewusstsein bezüglich der Gruppe und ihrer Methoden ist.

Am 27.06.2017 können Sie in Frankfurt gemeinsam mit IT-Sicherheits-Experten von der Deutschen Bundesbank und BAE Systems über die aktuellen Gefahren durch Cybercrime diskutieren.

Lesen Sie auch

Mit offener Unternehmenskultur zu gutem Compliance-Bewusstsein

Ein gesundes Risiko- und Compliance-Bewusstsein ist elementarer Bestandteil[…]

Redaktion

Der Transparenz verpflichtet

Die regulatorische Belastung auf deutsche Finanzinstitute wächst stetig[…]

Axel Schmale

Mit Fintechs zu besserem Compliance Management

Fintech-Kooperationen sind eine beliebte Methode für Banken, ihre[…]

Dr. Silvana Gangi Chiodo

Die Compliance-Funktion nach MaRisk und ihr Compliance-Life-Cycle

Die BaFin hat mit der 4. Novelle der[…]

Markus Müller

Regulatorik: Synergien nutzen und Ressourcen sparen

Die Notwendigkeit für Banken, trotz wachsender regulatorischer Anforderungen[…]

Luise Fleischmann

Verdachtsmeldung vs. Datenschutz

Mit Inkrafttreten der DSGVO riskieren Unternehmen durch den[…]

Alexander Stehr

Neulich in der Copy-Paste-Abteilung

Fehlerhafte Marketing- und Vertriebsunterlagen führen nicht selten zu[…]

Tobias Schenkel

Datenschutzorganisation wird zur Chefsache

Die seit Ende Mai geltende DSGVO droht mit[…]

Dennis Heinemeyer

„30 Sekunden vor 12“

Regulierung kann für Banken ein wichtiger Verbündeter sein.[…]

Thorsten Hahn

Was bedeutet die EU-DSGVO für Banken und ihre Kunden?

Die EU-DSGVO (Europäische Datenschutz-Grundverordnung) wurde zunächst vor allem[…]

Jürgen P. Müller

Die besonderen Herausforderungen der GwG-Meldepflicht

Der § 43 GwG, die unverzügliche Meldepflicht von[…]

Thomas Seidel

Moral, MiFID II und Verletzungen beim Handball

Nachbericht zum Kongress COMPLIANCEforBANKS 2018

Tobias Schenkel

Ausgewählte Neuerungen zum Thema Auslagerungen in der 5. MaRisk-Novelle

Am 27. Oktober 2017 veröffentlichte die Bundesanstalt für[…]

Christian Gudat

Geschützt: Vorträge ComplianceForBanks 2018 (exklusiv für Mitglieder und Teilnehmer)

Es gibt keine Kurzfassung, da dies ein geschützter[…]

Redaktion

Der goldene Mittelweg im Spannungsfeld der Regularien

Eine der größten Herausforderungen und gleichzeitig wichtigsten Aufgaben[…]

Elfriede Jirges

Die Entourage von politisch exponierten Personen als Bankkunden

Banken müssen im Rahmen der Erfüllung ihrer gesetzlichen[…]

André Blum

Eine Revolution auf dem Markt für Identitätsprüfungen

In Zeiten der rasanten Digitalisierung können Banken und[…]

Uwe Stelzig

Das Onlinebanking-Konto kann mehr als Zahlungen: Mit Smart Data Fraud-Risiken minimieren

Die Betrugsrisiken nehmen im Bankenumfeld weiter zu: Zahlreiche[…]

Martin Schmid

Der alte Mann und die Malware

Der Rückgang von Filialen sowie Gebühren für Überweisungen[…]

Daniel Fernandez

UK Bribery Act 2.0 – Erfahrungen im Umgang mit Geschäftspartnern

Seit Inkrafttreten des UK Bribery Act im Juli[…]

Johanna Duenser

Die Verschärfung des Korruptionsstrafrechts und die Auswirkungen auf Kreditinstitute

Die Verhinderung von Korruption war abseits der Schwerpunktthemen[…]

Fabian Malkoc

Der Regierungsentwurf zur Umsetzung der 4. Geldwäsche-Richtlinie der EU

Am 22. Februar 2017 legte die Bundesregierung ihren[…]

Indranil Ganguli

„Betrugsrisiken sind durch Online-Legitimation gesunken“

Auch in einer Zeit, in der immer stärker[…]

Philipp Scherber

Cybercrime-Bedrohungen im Jahr 2017

Im vergangenen Jahr wurde Cybersicherheit im Rahmen zahlreicher[…]

Michael Hagebölling

Business Judgement Rule im Privatstiftungsrecht

Nach einer kürzlich ergangenen Entscheidung des Obersten Gerichtshofs[…]

Manfred Wieland

Deutsche Bank einigt sich mit amerikanischen Behörden

Die Deutsche Bank hat sich im Streit über[…]

Daniel Fernandez

Gemeinsam gegen Betrugsversuche

Ob manipulierte Unterlagen wie Gehaltsabrechnungen bei Kreditanträgen oder[…]

Stephan R. Peters

Fraud: der menschliche Faktor

Mit betrügerischen Handlungen beschäftigt man sich im geschäftlichen[…]

Michael Leuthner

Digitalisierung = Illegalisierung?

Eine Firewall zu überwinden, stellt heute für Geübte[…]

Christian Grosshardt

Hanns Feigen

Landgericht München, 25. April 2016, Verfahren gegen fünf[…]

Philipp Scherber

Wasch mich, aber mach mich nicht nass – Vol. 2

Es kommt nicht oft vor, dass eine Bank[…]

Thorsten Hahn

Quo vadis MiFID II? Anlegerschutz oder das Ende der Anlageberatung?

MiFID II wird auf Anfang 2018 verschoben, und[…]

Andreas Gehrke

Zwischen der Schulung und der Praxis liegt das Meer

Die Umsetzung von Schulungsinhalten kann Mitarbeiter vor Probleme[…]

Ronny Fuchs

„Willkommen beim Rudern“

MiFID II um ein Jahr verschoben. Aufatmen bei[…]

Philipp Scherber

Kosten- und Risikoreduzierung durch qualitativ hochwertige Kundendaten

Entity Resolution, also die Systematisierung, Verlinkung und Gruppierung[…]

Philipp Scherber

Das Ende der improvisierten IT

Immer, wenn Banken und Versicherungen versuchen, Anforderungen der[…]

Carsten Krah

Datensicherheit: Einfallstor Drucker

Cyberattacken gehören für Unternehmen mittlerweile zum Alltag. Umso[…]

Julian Achleitner

„IS-Terroristen nutzten Flüchtlings- konto zur Finanzierung der Attentate“

Die Schlagzeile ist fiktiv, doch das Risiko ist[…]

Carsten Lang

Weniger ist manchmal mehr

MiFID II steht in den Startlöchern und viele[…]

Christian Grosshardt

Compliance-Paranoia in deutschen Banken?

Eine Überlegung.

Julian Achleitner

Compliance-Vorschriften und Probleme mit der Datenaufbereitung?

Die Einhaltung regulatorischer Vorgaben wird immer komplexer. Die[…]

Chris Atkinson

Wir korrumpieren eine Welt, die uns nicht gehört.

Die Sonne ist nicht über uns. Wir werden[…]

Julian Achleitner

Des Kunden innigster Wunsch – Ein Diskurs im Elfenbeinturm

Die Chefetagen verschiedener Kreditinstitute beraten darüber, wie sie[…]

Christian Grosshardt

Geldwäscheprävention, ein reines Bankenthema?

Bei Geldwäsche denken die meisten Menschen sofort intuitiv[…]

Thomas Hensel

Datenweitergabe immer noch Grauzone

Vor gut zweieinhalb Jahren veröffentliche 3sat auf seiner[…]

Christian Grosshardt

Cyberattacke – planen Sie Ihre Kommunikationsstrategie vor dem Angriff

Anfang 2015 haben Hacker bis zu eine Milliarde[…]

Claudia Böhnert

„Der Schutz und die Sicherheit von Daten ist das wichtigste Kundeninteresse!“

Offen gestaltete Filialen sind keine Seltenheit mehr in[…]

Christian Grosshardt

Illegal geht auch digital

Bargeld hat derzeit nicht den allerbesten Ruf bei[…]

Julian Achleitner

Risikofaktor „Risikomodell“

Enterprise Governance Risc Compliance (EGRC) gehört zu den[…]

Carsten Krah

Fraud im internationalen Umfeld einer Privatbank

Der Schutz vor Wirtschaftskriminalität gewinnt auch für Privatbanken[…]

Ramon Schürer