Direkt zum Inhalt
Symbolfoto: Das AIT ist Österreichs größte außeruniversitäre Forschungseinrichtung
AIT Logo Logo AIT Blog - Austrian Insitute of Technology verlinkt zur Startseite des AIT Blog Logo AIT Blog - Austrian Insitute of Technology verlinkt zur Startseite des AIT Blog
Sie befinden sich hier:

Startseite  Themen  Cyber Security  Projects  APT-CC

APT-CC

Studie zur Errichtung eines APT Competence Centers in Österreich

Advanced Persistent Threats (APT) sind komplexe, zielgerichtete und effektive Angriffe auf kritische IT-Infrastrukturen (KIs), Behörden und Groß- und Mittelstandsunternehmen, um vertrauliche Daten zu entwenden. Die Beobachtung und Ermittlung in Bezug auf Spionage- und Sabotageakte bei staatsschutzrelevanten Organisationen bzw. kritischen Infrastrukturen ist erklärtes Ziel der österreichischen Sicherheitsressorts im Sinne der Steigerung einer gesamtstaatlichen Resilienz (z.B. Österreichische Sicherheitsstrategie und darauf aufbauende Teilstrategien).

Die der Studie vorangegangenen Arbeiten verfolgten mehrere Ziele. In einer ersten Untersuchung bekannter APT-Fälle wurden die Gemeinsamkeiten (in Bezug auf verwendete Angriffsvektoren, Vorgehen, aber auch nachfolgende Aufarbeitung udgl.) identifiziert. Ziel war es eine für APT-CC und v.a. österreichische Verhältnisse passende Definition eines APT-Falls zu erstellen und zu validieren, welcher sich klar von den vorhandenen Kompetenzen (z.B. des Cyber Crime Competence Centers oder der Landesverteidigung) abgrenzt. Darüber hinaus wurden Initiativen im Ausland kurz beleuchtet, welche ggf. als Schablonen für Österreich dienen könnten.

Eine der großen Unterschiede zur Wirtschaft, wo nach Auftreten eines Cyber Security Vorfalls primär die Wiederherstellung im Fokus aller Beteiligten liegt, ist es auch eine der Hauptaufgaben eines staatlichen APT-CCs die Zuordnung von Angriffen zu Tätergruppen zu bewerkstelligen, insbesondere wenn dieses APT-CC innerhalb einer Strafverfolgungsbehörde angesiedelt sein soll. Die Studie beleuchtet daher welche Artefakte bei einem Angriff gesammelt, forensisch bewertet und aufgearbeitet werden können, um diesen Attribuierungsprozess zu unterstützen. Auch die Platzierung sog. „False Flags“ und die Herausforderungen bei der Attribuierung werden dabei kurz hinterleuchtet.

Ein weiteres Ziel war die Untersuchung der Anwendbarkeit diverser Technologien im Regelbetrieb eines APT-CCs. Dabei spielen v.a. international bereits im Einsatz befindliche IoC-basierte Frühwarnsysteme bei Behörden und ggf. kritischen Infrastrukturen eine wesentliche Rolle. Ziel solcher Systeme ist es Indikatoren auf Angriffe landesweit automatisiert zu beobachten. Die Studie beschreibt daher die möglichen Strukturen und Betreibermodelle derartiger Frühwarnsysteme – angelehnt an Beispielen aus dem europäischen Ausland.

Darauf aufbauend geht die Studie auch der Frage nach, welche Angriffsvektoren sich in welche Artefakte widerspiegeln und welche Art von Sensorik daher besonders wünschenswert zur frühzeitigen Erkennung von Angriffsversuchen ist. Dabei wird auch eine kurze Fallstudie beschrieben, in der die Schritte zur begründeten Auswahl geeigneter Datenquellen durchgeführt wurde.

Der Einsatz komplexer technischer Hilfsmittel erfordert auch die Einrichtung dafür erforderlicher Prozesse und entsprechende Schulung der Mitarbeiter. Die zu erwerbenden Fähigkeiten von APT-CC Mitarbeitern wurden daher ebenfalls näher betrachtet. Dieser Teil schließt auch mit einer groben Darstellung der Struktur eines APT-CCs ab.

Parallel zu den technisch-organisatorischen Untersuchungen stand auch die Rechtslage im Zentrum der Betrachtungen dieser Studie. Insbesondere wurden die Anwendbarkeit der untersuchten Technologien (IoC-basierte Frühwarnsysteme, Forensik in Bezug auf DS-GVO), als auch die gültigen rechtlichen Rahmenbedingungen bei Errichtung eines APT-CC (Dienste und Befugnisse) erarbeitet und vollumfänglich dokumentiert.

Die Studie APT-CC beleuchtet letztendlich viele organisatorische, technische und rechtliche Teilaspekte, welche wesentlich bei der Realisierung eines APT-Kompetenzzentrums sind. Damit sollen Möglichkeiten aufgezeigt werden, wie die Cybersicherheit für sicherheitsrelevante Unternehmen (v.a. jener im Bereich der Kritischen Infrastruktur) erhöht und der Austausch zwischen staatlichen und nicht-staatlichen Stellen der Cybersicherheit verbessert werden sollen.

Erklärtes Nicht-Ziel dieser Arbeit war die konkrete Umsetzung in Österreich, insbesondere die Eingliederung in bereits existierende Strukturen in Ministerien und Gremien.

 

  • Partner: REPUCO Unternehmensberatung GmbH,Technische Universität Wien, Bundesministerium für Inneres
  • Projektlaufzeit: 11/2018 – 04/2020
  • Förderprogramm: FFG KIRAS Sicherheitsforschung - Herbstausschreibung 2017/18
Abbildung 1: Struktur und thematische Teilbereiche der Studie "APT-CC"

Abbildung 1 stellt nochmals überblicksmäßig die einzelnen Teilbereiche der Studie und deren Zusammenhänge grafisch aufbereitet dar und geht auch auf die spezifischen Herausforderungen in den einzelnen Teilbereichen ein.

Portraitfoto von Florian Skopik

Dr. Dr. Florian Skopik

Senior Scientist