Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Hartnäckigkeit von APT-Gruppen gegen deutsche Ziele

APT-Gruppen greifen Ziele wiederholt an

Das BSI kategorisiert APT-Gruppen nach Prioritäten, um die eigenen Ressourcen für Tracking, Detektion und Prävention effizient nutzen zu können. Die Priorität einer Gruppe bestimmt sich aus Informationen darüber, ob sie bereits bei Angriffsversuchen auf das Regierungsnetz oder andere deutsche Ziele beobachtet wurde, ob ausländische Partner über Angriffsversuche berichteten, oder ob die Gruppe als technisch oder strategisch fortschrittlich gilt.

Eine der Annahmen dabei ist, dass das Beuteschema der Angreifer konstant bleibt und Angriffe in der Vergangenheit Hinweise auf Ziele in der Zukunft geben. Eine ähnliche Empfehlung gibt das BSI an Opfer von APT-Gruppen, wonach die Betroffenen mit weiteren Angriffen derselben Täter rechnen sollten. Diese Annahme ist zwar plausibel, sollte aber sicherheitshalber empirisch belegt werden. Daher hat das BSI untersucht, ob und nach welcher Zeit APT-Gruppen erneut mit Angriffsversuchen im Regierungsnetz detektiert werden. Das Regierungsnetz wurde dabei als Untersuchungsobjekt ausgewählt, weil hier ein besseres "Hellfeld" existiert als bei Fällen in der Wirtschaft, über die das BSI naturgemäß eine vergleichsweise unvollständige Sicht hat.

Die folgende Tabelle listet die APT-Gruppen auf, die seit 2021 im Regierungsnetz detektiert wurden, mit dem Zeitpunkt (auf Monatsbasis) der Detektion. Die Gruppennamen wurden aus Vertraulichkeitsgründen pseudonymisiert.

Tabelle 1: Zeitpunkte, zu denen APT-Gruppen im Regierungsnetz detektiert wurden. Deaktivierung von APT-Gruppen im Regierungsnetz
Tabelle 1: Zeitpunkte, zu denen APT-Gruppen im Regierungsnetz detektiert wurden. Markiert sind wiederkehrende Angreifer, sowie das Minimal- und Maximal-Intervall, das zwischen den Angriffen lag. Datengrundlage: Eigene Sensorik im Regierungsnetz. Stand : 05.01.2024 Quelle: BSI

Von den 18 APT-Gruppen, die seit 2021 im Regierungsnetz detektiert wurden, sind 9 mehrmals detektiert worden (mehrmals im Sinne von "nach mindestens einem Monat erneut"). Der Wert ist niedriger als initial erwartet, rechtfertigt aber aus Sicht des BSI dennoch weiterhin die Arbeitshypothese, dass Gruppen, die einmal detektiert wurden, prioritär zu untersuchen sind, da sie mit genügender Wahrscheinlichkeit erneut versuchen werden, das Regierungsnetz anzugreifen. (Methodisch sei darauf hingewiesen, dass die Tabelle ohnehin die Zahl der Angriffe systematisch unterschätzt. Man kann annehmen, dass APT-Gruppen nicht den Auftrag besitzen "das deutsche Regierungsnetz" anzugreifen, sondern "politisch relevante Informationen" zu sammeln, egal, aus welcher Quelle. Wenn also politisch relevante Ziele außerhalb des Regierungsnetzes angegriffen wurden, erscheinen sie in dieser Tabelle aufgrund der Methodik nicht (erneut). Auch nicht-detektierte Angriffe oder keiner Gruppe zugeordnete Angriffe verzerren die Auswertung.

Erstaunlich ist dabei, wie groß die Intervalle zwischen den Angriffen teilweise sind. Vier Gruppen kehrten erst nach einem Jahr wieder, eine Gruppe sogar erst nach zweieinhalb Jahren.

Das BSI geht davon aus, dass die Erkenntnisse aus den Angriffsversuchen auf das Regierungsnetz in etwa übertragbar sind auf die Bedrohungslage in Wirtschaft und Öffentlichkeit. Allerdings ist anzumerken, dass eine Reihe von APT-Gruppen seit Jahren Interesse an Regierungseinrichtungen hat, während das thematische Interesse an Informationen aus Unternehmen stärker variieren kann.

Weitere Informationen

Zurück zu Bundesamt für Sicherheit in der Informationstechnik