Advanced Persistent Threat (APT) bezeichnet eine besonders heimtückische Form des Cyberangriffs, bei der sich hochqualifizierte Angreifer – oft „staatlich gefördert“ oder von sehr professionellen Hackergruppen – über einen längeren Zeitraum unbemerkt in die IT‑Infrastruktur eines Unternehmens aufhalten. Im Gegensatz zu „normalen“ Angriffen sind APTs gezielte Operationen, die darauf abzielen, über einen längeren Zeitraum unentdeckt in einem Netzwerk zu verbleiben, um sensible Daten auszuspähen, Systeme zu manipulieren oder kritische Infrastrukturen zu kompromittieren.
Typische Angriffsziele von APT-Attacken sind demnach auch Unternehmen und Organisationen, die wertvolle Informationen besitzen oder gar zur kritischen Infrastruktur gezählt werden. Das können nun Regierungsorganisationen, sicherheitsrelevante Unternehmen (z.B. Rüstungsbetriebe) oder Firmen mit wertvollem geistigen Eigentum (Pharmaindustrie, Biotechnologie, Forschungsunternehmen) sein. Auch Akteure der kritischen Infrastruktur (Energie- & Wasserversorger, Finanzdienstleister usw.) sind mitunter lohnende Ziele.
Im Gegensatz zu breit angelegten Malware‑Kampagnen, mit denen man ja möglichst viele Opfer erreichen will, arbeitet man bei APTs sehr zielgerichtet. Dazu wird bereits im Vorfeld sehr genau recherchiert, welche Systeme und Daten des Opfers von strategischem Wert sind. Um Einzudringen, nutzen die Angreifer dann meist eine Kombination aus Phishing‑E‑Mails, Zero‑Day‑Schwachstellen und ausgefeilten Social Engineering‑Methoden, um zunächst Zugriff auf einzelne Endgeräte zu erlangen. Anschließend bewegen sie sich seitlich („Lateral Movement“) durch das Netzwerk, um schrittweise höhere Privilegien zu erlangen und zentrale Server, Datenbanken oder Cloud‑Umgebungen zu kompromittieren. Dabei agieren die Angreifer extrem geduldig und unauffällig, um ihre Entdeckung zu vermeiden.
Ein besonderes Kennzeichen von APTs ist außerdem ihre Persistenz. Das heißt: Nachdem die Angreifer einmal im System Fuß gefasst haben, implementieren sie verschlüsselte Command‑and‑Control‑Kanäle, die es ihnen erlauben, unbemerkt Befehle einzuspeisen, Daten abzuziehen oder weitere Schadsoftware nachzuladen. Auch sind APTs darauf ausgelegt, bei Entdeckung einzelner Komponenten oder nach Reinigungsversuchen des Opfers ihre Präsenz aufrechtzuerhalten bzw. wiederherzustellen. Dies geschieht durch die Etablierung mehrerer Einfallspunkte (Backdoors) und die Nutzung von Techniken, die den Wiederzugriff sichern (z.B. Manipulation von Systemdiensten, Anlegen persistenter Benutzerkonten).
