17.06.2026
KI-generiertes Bild
Wenn vertrauliche Projektstände, Zugangsdaten oder interne Entscheidungen plötzlich außerhalb des Unternehmens auftauchen, muss dahinter nicht der klassische Einbruch stecken. APTs (Advanced Persistent Threats) arbeiten oft deutlich leiser: gezielt, geduldig und sorgfältig vorbereitet. Für Unternehmen zählt deshalb nicht nur, Angriffe abzuwehren. Ebenso wichtig ist es, verdächtige Aktivitäten früh zu erkennen, bevor ein stiller Zugriff großen Schaden verursacht.
Ein Advanced Persistent Threat (kurz APT) ist ein gezielter Cyberangriff auf ausgewählte Ziele – etwa bestimmte Organisationen, Branchen, Behörden oder Personen. Die Attacken sind langfristig angelegt und komplex. Dabei dringen Angreifer in Netzwerke und IT-Umgebungen ein und versuchen, dort möglichst lange unentdeckt zu bleiben. Auf Deutsch bedeutet der Begriff etwa fortgeschrittene (hochentwickelte), andauernde Bedrohung.
Wichtig ist: Gemeint ist nicht nur ein einzelnes Schadprogramm (z. B. Computerviren, Trojaner oder Spyware), sondern eine mehrstufige Kampagne aus Recherche, Zugriff, Tarnung und weiteren Schritten.
Der Begriff APT beschreibt zudem Gruppen, Kampagnen oder Akteure. Sie sind häufig staatlich unterstützt oder staatlich verbunden, können aber auch kriminell motiviert sein. Was sie verbindet, ist der strategische Fokus: Sowohl die Opfer als auch der Zweck des Angriffs – etwa Cyberspionage, Datendiebstahl, Sabotage oder die Vorbereitung weiterer Angriffe – stehen von Anfang an fest.
Damit unterscheiden sich Advanced Persistent Threats klar von breit gestreuten Angriffen. Methoden wie klassisches Phishing erreichen viele zufällige Empfänger. Nach einem Treffer nutzen Angreifer die erbeuteten Daten oder Zugänge dann meist schnell für einen kurzfristigen Gewinn aus. Ein APT-Angriff dagegen wird vorbereitet, auf das Ziel zugeschnitten und so umgesetzt, dass der Zugriff möglichst unentdeckt bleibt. Als Einstiegsvektor kann dabei auch gezieltes, auf einzelne Personen gerichtetes Spear-Phishing zum Einsatz kommen.
Für Unternehmen ist diese Abgrenzung enorm wichtig. Wer APTs nur als besonders ausgefeilte Malware versteht, übersieht die organisatorische Seite. Ein solcher Angriff kann gültige Konten, legitime Tools, Cloud-Dienste, E-Mail-Kontakte und Schwachstellen kombinieren, also genau jene Dinge, die im Alltag oft ganz unspektakulär wirken.
APTs richten sich gegen Organisationen, deren Daten, Zugänge oder Prozesse strategisch wertvoll sind. Dazu zählen Behörden, kritische Infrastrukturen (wie Wasser- und Energiewirtschaft, Telekommunikation und Transport), Technologieunternehmen, Fertigung, Finanzbereiche, Forschung, Verteidigung und Unternehmen in wichtigen Lieferketten. Auch Zulieferer oder IT-Dienstleister können für APTs interessant werden, wenn sie dadurch Zugang zu einem größeren Ziel erhalten.
Der Schaden entsteht nicht nur durch gestohlene Dateien. APTs können vertrauliche Informationen erbeuten, Systeme manipulieren, Abläufe stören oder weitere Angriffe vorbereiten.
Dass auch Deutschland stark betroffen ist, verdeutlicht der BSI-Lagebericht 2025: Demnach lag Deutschland auf dem vierten Platz der weltweit am häufigsten von APT-Gruppen angegriffenen Länder – mit einem Anteil von 25 %. Das Hauptziel der hierzulande aktiven APT-Gruppen war dabei die öffentliche Verwaltung. Daneben gerieten der Bereich auswärtige Angelegenheiten, Verteidigung, Rechtspflege und öffentliche Sicherheit, IT-Dienstleister sowie geistes- und sozialwissenschaftliche Forschungseinrichtungen und politische Parteien ins Visier der Akteure.
Für Deutschland hilft die BSI-Übersicht über hierzulande aktive APT-Gruppen (Stand 14.04.2026) bei der Einordnung. Sie nennt Gruppen mit Aktivitäten gegen deutsche Ziele oder vergleichbare Ziele im europäischen Ausland. Die Gruppierungen werden dabei in der Regel durch Nummern unterschieden. Teilweise werden auch spezielle Namen genutzt.
Diese kurze Auflistung soll lediglich einen Einblick geben. Sie dient nicht als vollständiges Verzeichnis aller Gruppen und Aktivitäten.
Ein APT-Angriff zeigt sich selten als einzelner, öffentlich sichtbarer Sicherheitsvorfall. Er entwickelt sich schrittweise: Angreifer sammeln Informationen, verschaffen sich Zugriff, weiten Rechte aus und bringen Daten oder Systeme unter Kontrolle.
„Initial Access“ bezeichnet den ersten Einstieg. Er kann über Spear-Phishing, also sehr gezieltes Phishing, eine ausgenutzte Schwachstelle, kompromittierte Lieferketten oder gültige Konten erfolgen. Besonders kritisch sind gültige Konten mit fehlender oder schwacher Multi-Faktor-Authentifizierung (MFA).
In der Regel verlaufen Advanced-Persistent-Threat-Angriffe in folgenden Schritten:
Moderne APT-Akteure nutzen zunehmend legitime Werkzeuge und Plattformen. „Living Off the Land“ (LotL) beschreibt den Missbrauch vorhandener Systemwerkzeuge (z. B. PowerShell in Windows-Systemen). Living Off the App (LotA) meint den verdeckten Einsatz legitimer Anwendungen (z. B. Cloud-Dienste). Dadurch wirkt bösartige Aktivität zunächst wie normale Administration oder gewöhnlicher Cloud-Verkehr.
Gleichzeitig wird das Zeitfenster für Verteidigung kleiner. Die durchschnittliche eCrime-Breakout-Zeit lag laut CrowdStrike Global Threat Report 2026 im Jahr 2025 bei 29 Minuten. Sie beschreibt, wie schnell sich Angreifer nach dem ersten Zugriff in weitere Systeme bewegen. Der schnellste beobachtete Breakout gelang in 27 Sekunden. In einem dokumentierten Fall begann die Datenexfiltration vier Minuten nach dem Erstzugriff. Hinzu kommt: Die Zahl der ausgenutzten Schwachstellen mit hohem oder kritischem Schweregrad stieg von 71 im Jahr 2024 auf 146 im Jahr 2025 (Rapid7 2026 Global Threat Landscape Report).
Der Schutz vor APTs beginnt nicht bei einem einzelnen Tool. Unternehmen brauchen Schulungen, klare Zuständigkeiten und eine Sicherheitsarchitektur, die verdächtige Muster erkennt, bevor Angreifer kritische Systeme erreichen.
Folgende Funktionen sollte eine umfassende Sicherheitslösung enthalten:
Weitere Elemente zum Schutz gegen Advanced Persistent Threats sind:
Wenn ein APT-Verdacht entsteht, kann eine hektische Bereinigung die Angreifer alarmieren. Besser ist eine kontrollierte Antwort (Incident Response): Systeme identifizieren, Kommunikationswege beobachten, forensische Informationen sichern und die Bereinigung vorbereitet durchführen.
Die eigentliche Behebung des Vorfalls erfolgt dann im Rahmen der sogenannten Remediation. In diesem Schritt werden gleichzeitig auch Eintrittswege und Hintertüren geschlossen.
Besonders wichtig sind MFA und Schwachstellenmanagement. Fehlende oder schwache Multi-Faktor-Authentifizierung erleichtert den Missbrauch gültiger Konten. Um sich gegen aktiv ausgenutzte Schwachstellen mit kritischem Schweregrad zu schützen, sollten Unternehmen zudem Systeme regelmäßig patchen und auch Listen wie den US-amerikanischen CISA-KEV-Katalog für die Priorisierung beachten. Die stetig aktualisierte Datenbank sammelt bekannte, aktiv ausgenutzte Schwachstellen.
Auch Remote-Verbindungen, Standortvernetzung, Cloud-Zugänge und mobile Arbeitsplätze gehören in diese Schutzlogik. Verschlüsselte Verbindungen, klare Zugriffskontrollen und Segmentierung reduzieren unnötige Eintrittspunkte und schaffen bessere Voraussetzungen für Monitoring und Reaktion.
APTs sind keine gewöhnlichen Einbrüche in IT-Systeme, sondern langfristig angelegte Kampagnen gegen ausgewählte Ziele.
APTs sind gezielte, fortgeschrittene und langfristige Cyberangriffe auf ausgewählte Organisationen. Angreifer versuchen, unbemerkt Zugriff zu erhalten und ihn für Spionage, Datendiebstahl oder Sabotage zu nutzen.
Ein APT-Angriff ist eine mehrstufige Kampagne. Sie kann mit Aufklärung, Spear-Phishing, Schwachstellenausnutzung oder gültigen Konten beginnen und über Seitwärtsbewegung im Netzwerk bis zum Datenabfluss führen.
Nein. Ein Advanced Persistent Threat ist keine einzelne Schadsoftware wie ein Trojaner, sondern eine zielgerichtete Bedrohungskampagne oder Akteursaktivität. Malware kann Teil des Angriffs sein, bildet aber nicht den gesamten APT ab.
Unter diesen Begriff fällt eine Kategorie von Cybersicherheitslösungen, die entwickelt wurden, um komplexe, gezielte Angriffe und Schadsoftware (wie APTs) zu erkennen und abzuwehren.
Ein bekanntes Beispiel mit Deutschland-Bezug ist APT28, auch Fancy Bear genannt. Die Gruppe steht in der BSI-Übersicht vom 14.04.2026 weiterhin als relevante APT-Gruppe für Deutschland.
Passend zum Thema