Logo o2 Business Compass

Was sind APTs? Erklärung und Schutz für Unternehmen im Überblick

17.06.2026

Zwei IT-Spezialisten analysieren Daten auf Bildschirmen in einem Serverraum.

KI-generiertes Bild

Wenn vertrauliche Projektstände, Zugangsdaten oder interne Entscheidungen plötzlich außerhalb des Unternehmens auftauchen, muss dahinter nicht der klassische Einbruch stecken. APTs (Advanced Persistent Threats) arbeiten oft deutlich leiser: gezielt, geduldig und sorgfältig vorbereitet. Für Unternehmen zählt deshalb nicht nur, Angriffe abzuwehren. Ebenso wichtig ist es, verdächtige Aktivitäten früh zu erkennen, bevor ein stiller Zugriff großen Schaden verursacht.

Was sind APTs? Das macht Advanced Persistent Threats aus

Ein Advanced Persistent Threat (kurz APT) ist ein gezielter Cyberangriff auf ausgewählte Ziele – etwa bestimmte Organisationen, Branchen, Behörden oder Personen. Die Attacken sind langfristig angelegt und komplex. Dabei dringen Angreifer in Netzwerke und IT-Umgebungen ein und versuchen, dort möglichst lange unentdeckt zu bleiben. Auf Deutsch bedeutet der Begriff etwa fortgeschrittene (hochentwickelte), andauernde Bedrohung.

Wichtig ist: Gemeint ist nicht nur ein einzelnes Schadprogramm (z. B. Computerviren, Trojaner oder Spyware), sondern eine mehrstufige Kampagne aus Recherche, Zugriff, Tarnung und weiteren Schritten.

APT kann auch Akteure meinen

Der Begriff APT beschreibt zudem Gruppen, Kampagnen oder Akteure. Sie sind häufig staatlich unterstützt oder staatlich verbunden, können aber auch kriminell motiviert sein. Was sie verbindet, ist der strategische Fokus: Sowohl die Opfer als auch der Zweck des Angriffs – etwa Cyberspionage, Datendiebstahl, Sabotage oder die Vorbereitung weiterer Angriffe – stehen von Anfang an fest.

Unterscheidung zu anderen Angriffen

Damit unterscheiden sich Advanced Persistent Threats klar von breit gestreuten Angriffen. Methoden wie klassisches Phishing erreichen viele zufällige Empfänger. Nach einem Treffer nutzen Angreifer die erbeuteten Daten oder Zugänge dann meist schnell für einen kurzfristigen Gewinn aus. Ein APT-Angriff dagegen wird vorbereitet, auf das Ziel zugeschnitten und so umgesetzt, dass der Zugriff möglichst unentdeckt bleibt. Als Einstiegsvektor kann dabei auch gezieltes, auf einzelne Personen gerichtetes Spear-Phishing zum Einsatz kommen. 

Für Unternehmen ist diese Abgrenzung enorm wichtig. Wer APTs nur als besonders ausgefeilte Malware versteht, übersieht die organisatorische Seite. Ein solcher Angriff kann gültige Konten, legitime Tools, Cloud-Dienste, E-Mail-Kontakte und Schwachstellen kombinieren, also genau jene Dinge, die im Alltag oft ganz unspektakulär wirken.

Wer kann von APTs betroffen sein: Ziele, Schäden und Risiken

APTs richten sich gegen Organisationen, deren Daten, Zugänge oder Prozesse strategisch wertvoll sind. Dazu zählen Behörden, kritische Infrastrukturen (wie Wasser- und Energiewirtschaft, Telekommunikation und Transport), Technologieunternehmen, Fertigung, Finanzbereiche, Forschung, Verteidigung und Unternehmen in wichtigen Lieferketten. Auch Zulieferer oder IT-Dienstleister können für APTs interessant werden, wenn sie dadurch Zugang zu einem größeren Ziel erhalten. 

Der Schaden entsteht nicht nur durch gestohlene Dateien. APTs können vertrauliche Informationen erbeuten, Systeme manipulieren, Abläufe stören oder weitere Angriffe vorbereiten.

Mögliche Ziele der Angreifer

  • Geschäftsgeheimnisse: Forschungsstände, Konstruktionsdaten, Herstellungsverfahren oder strategische Entscheidungen
  • Zugangsdaten: gültige Konten, Administratorrechte oder technische Zertifikate, die weitere Angriffe erleichtern
  • Lieferkettenbeziehungen: Partnerzugänge, gemeinsam genutzte Systeme oder Softwareketten, über die Angreifer zum eigentlichen Ziel gelangen können
  • Betriebsfähigkeit: kritische Systeme, deren Manipulation oder Ausfall den Arbeitsalltag und die Versorgung anderer Organisationen beeinträchtigen kann
  • Reputation: Vertrauensverlust bei Kunden, Partnern und öffentlichen Stellen, wenn Datenlecks bekannt werden
Balkendiagramm, das die relevanten APTs nach Branche zeigt.

Deutschland weltweit auf dem vierten Platz bei APTs

Dass auch Deutschland stark betroffen ist, verdeutlicht der BSI-Lagebericht 2025: Demnach lag Deutschland auf dem vierten Platz der weltweit am häufigsten von APT-Gruppen angegriffenen Länder – mit einem Anteil von 25 %. Das Hauptziel der hierzulande aktiven APT-Gruppen war dabei die öffentliche Verwaltung. Daneben gerieten der Bereich auswärtige Angelegenheiten, Verteidigung, Rechtspflege und öffentliche Sicherheit, IT-Dienstleister sowie geistes- und sozialwissenschaftliche Forschungseinrichtungen und politische Parteien ins Visier der Akteure.

Beispiele mit Deutschland-Bezug

Für Deutschland hilft die BSI-Übersicht über hierzulande aktive APT-Gruppen (Stand 14.04.2026) bei der Einordnung. Sie nennt Gruppen mit Aktivitäten gegen deutsche Ziele oder vergleichbare Ziele im europäischen Ausland. Die Gruppierungen werden dabei in der Regel durch Nummern unterschieden. Teilweise werden auch spezielle Namen genutzt.

Diese kurze Auflistung soll lediglich einen Einblick geben. Sie dient nicht als vollständiges Verzeichnis aller Gruppen und Aktivitäten.

  • APT15: Ist im Bereich der öffentlichen Verwaltung aktiv und nutzt über kompromittierte Router und VPN-Server erstellte Verschleierungsnetzwerke.
  • APT28: Ist für Bereiche wie auswärtige Angelegenheiten, Verteidigung, öffentliche Verwaltung, IT-Dienstleistungen und politische Organisationen relevant. Genutzte Wege umfassen unter anderem E-Mail-basierte Schwachstellen und verschiedene Brute-Force-Angriffe wie Password-Spraying. 
  • APT29: Nutzt vor allem legitime Cloud-Dienste als Kontrollinfrastruktur und betrifft besonders staatliche, politische und IT-nahe Ziele. 
  • APT43: Setzt auf mehrstufiges Social Engineering, bei dem Vertrauen über mehrere Nachrichten aufgebaut werden kann, bevor Schadcode oder ein Phishing-Link folgt. 
  • APT44: Auch unter Sandworm bekannt und als relevante Gruppe in der deutschen Lageübersicht geführt.
  • Labyrinth Chollima / Lazarus / Diamond Sleet: Angriff oft via E-Mails mit infizierten Dokumenten zu Jobangeboten.
  • Cruel Jackal / MoleRats / WIRTE: Angreifer versenden LNK-Dateien (Programmverknüpfungen) in Archivdateien.
  • Salt Typhoon: Kompromittiert unter anderem schlecht gewartete Perimeter-Systeme (z. B. Firewalls). Für Deutschland sind Motivation und Zielauswahl in der BSI-Übersicht vom 14.04.2026 noch nicht klar eingegrenzt. 

Wie ein APT-Angriff Schritt für Schritt verläuft

Ein APT-Angriff zeigt sich selten als einzelner, öffentlich sichtbarer Sicherheitsvorfall. Er entwickelt sich schrittweise: Angreifer sammeln Informationen, verschaffen sich Zugriff, weiten Rechte aus und bringen Daten oder Systeme unter Kontrolle. 

„Initial Access“ bezeichnet den ersten Einstieg. Er kann über Spear-Phishing, also sehr gezieltes Phishing, eine ausgenutzte Schwachstelle, kompromittierte Lieferketten oder gültige Konten erfolgen. Besonders kritisch sind gültige Konten mit fehlender oder schwacher Multi-Faktor-Authentifizierung (MFA).

In der Regel verlaufen Advanced-Persistent-Threat-Angriffe in folgenden Schritten:

  1. Aufklärung: Angreifer sammeln Informationen über Personen, Systeme, Software, Partner und erreichbare Dienste. 
  2. Erster Einstieg: Der erste Zugriff erfolgt über präparierte Nachrichten, Schwachstellen, Zugangsdaten oder kompromittierte Dritte. 
  3. Festsetzen: Backdoors, Tunnel oder legitime Fernzugriffswege sichern den weiteren Zugang. 
  4. Privilegien ausweiten und interne Aufklärung: Die Angreifer suchen privilegierte Konten mit erweiterten Rechten, um Zugriff auf weitere Systeme zu erhalten. Gleichzeitig wird die Netzwerkstruktur analysiert und es werden Schwachstellen oder kritische Systeme ausfindig gemacht.
  5. Seitwärtsbewegung: Die Angreifer bewegen sich im Netzwerk und kompromittieren weitere Systeme.
  6. Steuerung: Über Command-and-Control-Kanäle erhalten kompromittierte Systeme Befehle oder übertragen Informationen nach außen. 
  7. Datenabfluss oder Sabotage: Die Hacker sammeln und exfiltrieren Daten, sie manipulieren Systeme oder bereiten Sabotage vor. 
  8. Spuren verwischen und Zugriff sichern: Die Angreifer versuchen, Hinweise zu entfernen und alternative Zugangswege für spätere Aktivitäten zu erhalten. 

APTs nutzen legitime Werkzeuge

Moderne APT-Akteure nutzen zunehmend legitime Werkzeuge und Plattformen. „Living Off the Land“ (LotL) beschreibt den Missbrauch vorhandener Systemwerkzeuge (z. B. PowerShell in Windows-Systemen). Living Off the App (LotA) meint den verdeckten Einsatz legitimer Anwendungen (z. B. Cloud-Dienste). Dadurch wirkt bösartige Aktivität zunächst wie normale Administration oder gewöhnlicher Cloud-Verkehr.

Gleichzeitig wird das Zeitfenster für Verteidigung kleiner. Die durchschnittliche eCrime-Breakout-Zeit lag laut CrowdStrike Global Threat Report 2026 im Jahr 2025 bei 29 Minuten. Sie beschreibt, wie schnell sich Angreifer nach dem ersten Zugriff in weitere Systeme bewegen. Der schnellste beobachtete Breakout gelang in 27 Sekunden. In einem dokumentierten Fall begann die Datenexfiltration vier Minuten nach dem Erstzugriff. Hinzu kommt: Die Zahl der ausgenutzten Schwachstellen mit hohem oder kritischem Schweregrad stieg von 71 im Jahr 2024 auf 146 im Jahr 2025 (Rapid7 2026 Global Threat Landscape Report). 

Wie Unternehmen APTs erkennen und eindämmen

Der Schutz vor APTs beginnt nicht bei einem einzelnen Tool. Unternehmen brauchen Schulungen, klare Zuständigkeiten und eine Sicherheitsarchitektur, die verdächtige Muster erkennt, bevor Angreifer kritische Systeme erreichen. 

Folgende Funktionen sollte eine umfassende Sicherheitslösung enthalten:

  • Anomalieerkennung: sucht etwa nach ungewöhnlichem Verhalten (z. B. Logins zu untypischen Zeiten), neuen privilegierten Konten, auffälliger PowerShell-Nutzung oder großen ausgehenden Datenmengen.
  • Threat Intelligence (Cyber-Bedrohungsanalyse): liefert Kontext zu Taktiken, Schwachstellen und Akteursmustern.
  • Threat Hunting: meint die proaktive Suche nach Anzeichen, auch wenn noch kein eindeutiger Alarm vorliegt.

Weitere Elemente zum Schutz gegen Advanced Persistent Threats sind:

  • Technischer Schutz: Multi-Faktor-Authentifizierung, Patch-Management, Netzwerksegmentierung, Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), Protokollierung und Überwachung von Netzwerkverkehr
  • Organisatorischer Schutz: klare Rollen, Schulungen zu Spear-Phishing und Social Engineering, geregelte Zugriffsrechte, Incident-Response-Plan und regelmäßige Risikobewertung
  • Datenbezogener Schutz: stärkere Kontrolle besonders sensibler Informationen, Beobachtung großer Archive und Prüfung ungewöhnlicher Exporte aus internen Systemen
  • Betrieblicher Schutz: definierte Meldewege, Übungen für Sicherheitsvorfälle und Abstimmung zwischen IT, Management und betroffenen Fachbereichen 

Kontrollierte Reaktion bei Vorfällen

Wenn ein APT-Verdacht entsteht, kann eine hektische Bereinigung die Angreifer alarmieren. Besser ist eine kontrollierte Antwort (Incident Response): Systeme identifizieren, Kommunikationswege beobachten, forensische Informationen sichern und die Bereinigung vorbereitet durchführen.

Die eigentliche Behebung des Vorfalls erfolgt dann im Rahmen der sogenannten Remediation. In diesem Schritt werden gleichzeitig auch Eintrittswege und Hintertüren geschlossen. 

Absicherung der Zugänge und regelmäßige Patches

Besonders wichtig sind MFA und Schwachstellenmanagement. Fehlende oder schwache Multi-Faktor-Authentifizierung erleichtert den Missbrauch gültiger Konten. Um sich gegen aktiv ausgenutzte Schwachstellen mit kritischem Schweregrad zu schützen, sollten Unternehmen zudem Systeme regelmäßig patchen und auch Listen wie den US-amerikanischen CISA-KEV-Katalog für die Priorisierung beachten. Die stetig aktualisierte Datenbank sammelt bekannte, aktiv ausgenutzte Schwachstellen.

Auch Remote-Verbindungen, Standortvernetzung, Cloud-Zugänge und mobile Arbeitsplätze gehören in diese Schutzlogik. Verschlüsselte Verbindungen, klare Zugriffskontrollen und Segmentierung reduzieren unnötige Eintrittspunkte und schaffen bessere Voraussetzungen für Monitoring und Reaktion.

APTs im Überblick 

APTs sind keine gewöhnlichen Einbrüche in IT-Systeme, sondern langfristig angelegte Kampagnen gegen ausgewählte Ziele.

  • Advanced Persistent Threats verbinden gezielte Vorbereitung, verdeckten Zugriff und lange Präsenz im Zielnetzwerk. 
  • Betroffen sind nicht nur Behörden und Großunternehmen, sondern auch kleine und mittlere Unternehmen, Zulieferer und IT-nahe Dienstleister. 
  • Zu den Risiken zählen Cyberspionage, Datendiebstahl, Sabotage, Betriebsunterbrechungen und Lieferkettenkompromittierung. 
  • Typische Phasen einer APT-Attacke sind Aufklärung, Erstzugriff, Ausweitung, Kontrolle, Exfiltration von Informationen und Verschleierung. 
  • Wirksame Abwehr kombiniert MFA, Patch-Management, Monitoring, Threat Intelligence, Incident Response und klare Organisation. 

Häufig gestellte Fragen

APTs sind gezielte, fortgeschrittene und langfristige Cyberangriffe auf ausgewählte Organisationen. Angreifer versuchen, unbemerkt Zugriff zu erhalten und ihn für Spionage, Datendiebstahl oder Sabotage zu nutzen.

Ein APT-Angriff ist eine mehrstufige Kampagne. Sie kann mit Aufklärung, Spear-Phishing, Schwachstellenausnutzung oder gültigen Konten beginnen und über Seitwärtsbewegung im Netzwerk bis zum Datenabfluss führen.

Nein. Ein Advanced Persistent Threat ist keine einzelne Schadsoftware wie ein Trojaner, sondern eine zielgerichtete Bedrohungskampagne oder Akteursaktivität. Malware kann Teil des Angriffs sein, bildet aber nicht den gesamten APT ab.

Unter diesen Begriff fällt eine Kategorie von Cybersicherheitslösungen, die entwickelt wurden, um komplexe, gezielte Angriffe und Schadsoftware (wie APTs) zu erkennen und abzuwehren.

Ein bekanntes Beispiel mit Deutschland-Bezug ist APT28, auch Fancy Bear genannt. Die Gruppe steht in der BSI-Übersicht vom 14.04.2026 weiterhin als relevante APT-Gruppe für Deutschland.

Passend zum Thema