APT steht für „Advanced Persistent Threat" – also eine fortgeschrittene, anhaltende Bedrohung. Hinter diesem technischen Begriff verbergen sich hochprofessionelle Hackergruppen, die in der Regel von Staaten finanziert oder direkt von Geheimdiensten betrieben werden. Ihr Ziel ist nicht schnelles Geld wie bei gewöhnlichen Cyberkriminellen, sondern langfristige Spionage, Sabotage oder der Diebstahl von Staatsgeheimnissen und Industriewissen.
Wie funktioniert das?
Der Name „Advanced Persistent Threat" beschreibt die drei wesentlichen Merkmale dieser Gruppen:
Advanced (Fortgeschritten): APT-Gruppen verfügen über erstklassige technische Fähigkeiten. Sie entwickeln eigene Zero-Day-Exploits, schreiben maßgeschneiderte Malware für jedes Ziel und setzen Techniken ein, die weit über das hinausgehen, was gewöhnliche Cyberkriminelle können. Ihre Werkzeuge werden oft speziell für einen einzigen Angriff entwickelt und danach nie wieder verwendet – was die Erkennung extrem schwierig macht.
Persistent (Anhaltend): Das ist der entscheidende Unterschied zu normalen Hackern. APT-Gruppen denken in Monaten und Jahren, nicht in Stunden. Sie infiltrieren ein Netzwerk und bleiben dort – leise, unauffällig, geduldig. Sie beobachten, sammeln Informationen, kartieren das Netzwerk und warten auf den richtigen Moment. Manche APT-Kampagnen bleiben jahrelang unentdeckt.
Threat (Bedrohung): APT-Gruppen sind keine Skript-Kiddies und keine Gelegenheitshacker. Sie haben klare Aufträge, praktisch unbegrenzte Ressourcen und Teams von Spezialisten. Wenn eine Methode nicht funktioniert, versuchen sie eine andere. Wenn ein Zugang verloren geht, finden sie einen neuen. Sie geben nicht auf.
APT-Gruppen werden typischerweise Ländern zugeordnet. Russland betreibt Gruppen wie APT28 (Fancy Bear, militärischer Geheimdienst GRU) und APT29 (Cozy Bear, Auslandsgeheimdienst SVR). China unterhält Dutzende APT-Gruppen wie APT1, APT10 und APT41. Nordkorea ist bekannt für die Lazarus-Gruppe, die unter anderem für den WannaCry-Angriff verantwortlich gemacht wird. Auch Iran, Israel und westliche Staaten betreiben solche Einheiten.
Die Ziele von APT-Gruppen sind vielfältig: Regierungen und Militär, kritische Infrastruktur (Energieversorgung, Wasserwerke, Telekommunikation), Rüstungsunternehmen, Forschungseinrichtungen, politische Organisationen und zunehmend auch „normale" Unternehmen, die über wertvolles geistiges Eigentum verfügen.
Der typische Angriffsablauf einer APT-Gruppe umfasst mehrere Phasen: Zuerst die Aufklärung – über Wochen oder Monate werden Informationen über das Ziel gesammelt. Dann der initiale Zugang, oft über Spear-Phishing oder eine Zero-Day-Schwachstelle. Es folgt die Etablierung im Netzwerk: Die Angreifer installieren Backdoors, stehlen Zugangsdaten und bewegen sich seitlich durchs Netzwerk. Schließlich die eigentliche Mission: Daten abziehen, Systeme manipulieren oder Sabotage vorbereiten.
Beispiele aus der Praxis
APT28 (Fancy Bear) ist eine der bekanntesten und aktivsten APT-Gruppen weltweit. Sie wird dem russischen Militärgeheimdienst GRU zugeordnet und ist seit mindestens 2004 aktiv. APT28 war beteiligt am Hack des Deutschen Bundestages 2015, an den Angriffen auf die US-Demokraten 2016 und an zahlreichen Spear-Phishing-Kampagnen gegen NATO-Mitgliedsstaaten. Die Gruppe nutzt regelmäßig Zero-Day-Exploits in Microsoft-Produkten und setzt auf hochentwickelte Phishing-Techniken. Wie APT28 vorgeht und welchen Schaden die Gruppe anrichtet, zeigt unser Schadenbeispiel zu APT28.
Der SolarWinds-Angriff (2020), zugeschrieben der russischen Gruppe APT29 (Cozy Bear), demonstrierte eindrucksvoll die Fähigkeiten einer APT-Gruppe. Über einen kompromittierten Software-Update-Mechanismus drangen die Angreifer in Netzwerke von Regierungsbehörden, Sicherheitsfirmen und Technologieunternehmen weltweit ein. Der Angriff blieb neun Monate lang unentdeckt – typisch für APT-Operationen. Die vollständige Analyse in unserem Schadenbeispiel zu SolarWinds.
Auch der Angriff auf den Deutschen Bundestag 2015 durch APT28 zeigt die Dimension: Die Angreifer hatten über Wochen Zugang zum gesamten IT-Netz des Parlaments und kopierten rund 16 Gigabyte an Daten – E-Mails, Dokumente, vertrauliche Kommunikation. Die komplette IT-Infrastruktur musste anschließend ausgetauscht werden.
Wie schützt Deep Freeze davor?
APT-Gruppen sind die Champions der Persistenz – sie wollen sich möglichst lange und möglichst tief in einem Netzwerk festsetzen. Genau das ist ihr Geschäftsmodell: Monate unbemerkt im System bleiben und Daten abziehen. Ihre Backdoors sind darauf ausgelegt, jeden Neustart zu überleben, sich in Systemdienste einzunisten und mehrere Zugangswege gleichzeitig offen zu halten.
Deep Freeze macht es APT-Gruppen erheblich schwerer, diese Persistenz aufzubauen. Jeder Neustart löscht alle Änderungen an der Systemfestplatte – installierte Backdoors, manipulierte Systemdateien, nachgeladene Werkzeuge. Die Angreifer verlieren bei jedem Reboot ihren Zugang und müssen den aufwendigen Erstzugang wiederholen.
Natürlich sind APT-Gruppen technisch in der Lage, auch Deep Freeze als Hindernis zu identifizieren und möglicherweise zu umgehen – sie gehören zu den fähigsten Angreifern der Welt. Aber selbst im besten Fall erhöht Deep Freeze den Aufwand und das Entdeckungsrisiko für die Angreifer erheblich. Und in vielen Fällen – etwa wenn APT-Gruppen ihre Standardwerkzeuge und -techniken einsetzen – wird die Persistenz schlicht verhindert.
Für Privatanwender und kleine Unternehmen, die zwar selten direktes Ziel von APT-Gruppen sind, aber als Sprungbrett oder Kollateralschaden betroffen sein können, bietet Deep Freeze eine wertvolle zusätzliche Schutzschicht.
APT-Gruppen sind die Eliteeinheiten der Cyberwelt – geduldig, bestens ausgestattet und extrem hartnäckig. Ihre größte Stärke ist die Persistenz, und genau diese Stärke wird durch eine eingefrorene Systempartition untergraben: Kein Neustart, kein dauerhafter Zugang.