Jede Auseinandersetzung mit dem Thema Industriespionage leidet unter einem doppelten Handicap:
Zum einen löst allein das Wort „Spionage“ dramatische Assoziationen aus, die in der Regel direkt aus der Popkultur stammen. Wer Spionage sagt oder hört denkt automatisch an Schlagworte wie James Bond, „Mission Impossible“, die NSA, den KGB, den Mossad und an all die hiermit verbundenen Elemente der Popkultur. Das allgemeine Bild der Spionage hat daher häufig etwas Fantastisches, Unwirkliches oder Realitätsfernes, wird aber nicht mit den Wirklichkeiten des geschäftlichen Alltags in Verbindung gebracht.
Zum anderen betrachten Unternehmen Spionage zuallererst als ein technisches bzw. kriminelles Problem. Einbrüche, Hacking, DOS-Attacken, Einsatz von Maulwürfen oder Verrat von Betriebsgeheimnissen durch langjährige Mitarbeiter: All diese Szenarien vereint ein klar erkennbares kriminelles Motiv, es ist ein verantwortlich Handelnder ersichtlich und das jeweilige Verbrechen findet direkt in der Einflusssphäre des Unternehmens statt.
Über den Autor
Michael Hellerforth ist Rechtsanwalt in Mülheim an der Ruhr und ehemaliger Abteilungsleiter bei der Nato.
Die Konsequenzen für die Sicherheitsstrategie der meisten Unternehmen sind klar. Wichtige Daten werden durch physische Trennung geschützt, Zugänge zu kritischen Betriebsstätten werden beschränkt, IT-Systeme werden gehärtet und aktiv geschützt und Mitarbeiter werden bei Einstellung oder Versetzung soweit durchleuchtet wie es die aktuelle Gesetzeslage erlaubt.
Unzweifelhaft sind diese Maßnahmen sinnvoll und geboten. Was den meisten Unternehmen allerdings nicht klar ist, ist dass ein auf den technisch/organisatorischen Ansatz reduziertes Schutzkonzept den Faktor Mensch weitgehend ausklammert und gleichzeitig ein falsches Gefühl der Sicherheit vermittelt. Und genau diese Schwachstellen nutzt Social Engineering aus.
Die Auseinandersetzung mit dem Thema wird zudem dadurch erschwert, dass es in der deutschen Sprache keine allgemein anerkannte Bezeichnung gibt weder für „Intelligence“ noch für „Social Engineering“. Viele Betroffene haben daher nur eine ungefähre Idee davon was sich hinter diesen Schlagworten überhaupt verbirgt. Eine kurze Klarstellung und Definition der Begriffe scheint daher hier geboten:
- Intelligence ist die gezielte und geplante Erkenntnisgewinnung durch Beschaffung, Auswertung und Aufbereitung von Informationen. Die Spionage ist dabei eine Form der Intelligence,
- Social Engineering ist die aktive Manipulation von Informationen im Internet und sozialen Medien zwecks Beeinflussung einer Zielperson oder Zielorganisation um von dieser Informationen zu gewinnen und/oder diese zu einem bestimmten Verhalten zu bewegen.
Forum IT-Sicherheit
Der Hackerangriff auf den Deutschen Bundestag hat auch dem letzten Vorstand die Augen geöffnet. Kein Unternehmen ist gefeit vor Cyberangriffen. Jede noch so kleine Sicherheitslücke in den IT-Systemen kann zum Einfallstor für Spionage- oder Sabotageattacken werden und Schäden in Millionenhöhe verursachen. Die Verunsicherung in den Unternehmen ist jedenfalls groß. Sind die Sicherheitsvorkehrungen wirklich auf dem allerneusten Stand, um die Kronjuwelen des Unternehmens zu schützen? Kennen die Mitarbeiter alle Indizien, die auf einen Angriff hindeuten? Wie lange brauchen die Alarmsysteme, um einen Angriff zu erkennen? Es gibt viele Fragen, aber nur wenige Experten, die fundierte Antworten liefern können. Zusammen mit Bernd-Oliver Bühler, geschäftsführender Gesellschafter der Janus Consulting und Spezialist für IT-Sicherheit, hat die WirtschaftsWoche die Sicherheitsverantwortlichen in deutschen Unternehmen gebeten, aus ihrer Sicht die größten Probleme und mögliche Lösungen vorzustellen.
Alle Beiträge finden Sie auf www.wiwo.de/it-forum
Social Engineering nutzt hierbei die ganze Palette von Social Media, Blogs, kommerziellen Angeboten und Kommunikationsdiensten aller Art.
Wichtig in diesem Zusammenhang ist die Tatsache, dass nicht jede Art der Intelligence automatisch Industriespionage darstellt. Damit eine Operation als Industriespionage qualifiziert, muss diese mit dolosen und/oder illegalen Mitteln außerhalb der Rechtsordnung durchgeführt werden. Grundsatz ist: alles ist erlaubt, was nicht explizit verboten ist. Angesichts des in der Regel massiven Vorsatzes und der gezielten Täuschungsabsicht gegenüber der betroffenen Person findet Social Engineering selten in einer Grauzone statt und kann, wenn es gegen die Industrie gerichtet ist, als Industriespionage qualifiziert werden.
Organisation und Phasen des Social Engineerings
Definition und Grundlagen
Um Social Engineering zu verstehen, muss man sich über den technischen Hintergrund klar sein. Zunächst ist Social Engineering ohne die Entwicklung der modernen Mediengesellschaft nicht denkbar. Richtig ist, dass nachrichtendienstliche Konzepte lange vor der Digitalisierung der Gesellschaft existiert haben. Bereits im Alten Testament, also vor über 4000 Jahren finden sich hierzu detaillierte Beschreibungen von ausgeklügelten nachrichtendienstlichen Operationen. Allerdings waren diese von entsprechend aufgestellten Organisationen nur unter Einsatz von erheblichen Ressourcen möglich. Durch die Technologisierung der Gesellschaft hat sich dies heute verändert. Schon mit geringen Mitteln sind heute vergleichsweise komplexe Operationen auch für nichtstaatliche Organisationen und Akteuere möglich.
Zum anderen ist da die allgemeine Datenlage. Für die meisten Konkurrenten reichen Knowledge Management und Informationsgewinnung aus offenen Quellen (OSINT) völlig aus um valide Grundlagen für erfolgreiches Marketing und Produktentwicklung zu legen. Nach einer weitgehend als Axiom akzeptierten Formel sind 80 % bis 90 % aller Informationen im Internet oder in anderen offenen Quellen verfügbar (Open Sources). Jedes Unternehmen – oder jeder andere interessierte Akteur – kann diese Quellen problemlos auswerten.
Durch Abgleichen der so gewonnen Informationen mit Wissen aus dem hausinternen Knowledge Management können Analysten dann noch tiefer in die Materie eindringen. Im Ergebnis ist es daher möglich, fast alle gewünschten Informationen zu erhalten ohne sich in irgendeiner Weise illegal zu betätigen. Das Gefährlichste daran ist aber, dass viele Zielobjekte überhaupt nicht bemerken, dass man sich für sie interessiert.
Industriespionage durch Social Engineering setzt an genau diesem Punkt an. Der Akteur – der sowohl ein Konkurrent, als auch ein staatlicher Dienst, die organisierte Kriminalität, Terrorist oder ein politischer Aktivist sein kann – benötigt eine spezielle Information und sucht nach einem Mittel diese zu erlangen, ohne dass das Ziel etwas davon bemerkt und ohne dass er sich der Gefahr der Enttarnung oder der strafrechtlichen Verfolgung unterzieht.
Phasen des Social Engineering und Organisation
In der Praxis durchläuft eine solche Operation mehrere aufeinander aufbauende Phasen:
- Vorbereitung
- Kreation von Avataren und Aufbau von Legenden
- Kontaktaufnahme
- Informationsabschöpfung
Obwohl es in der Praxis häufiger zu Operationen kommt, die von einer oder zwei Personen durchgeführt werden, ist es aus Praxissicht sinnvoller, ein eingespieltes Team einzusetzen.
Diese Branchen sind am häufigsten von Computerkriminalität betroffen
Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.
Quelle: Bitkom/Statista
Stand: 2015
Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.
58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.
Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.
Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.
Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.
Idealtypischerweise besteht ein Team aus mehreren Spezialisten mit klar abgegrenzten Aufgabenbereichen:
- Ein Teamleiter als Manager und zentraler Entscheider
- Ein IT-Analyst, der Informationen aus offenen Quellen über die Ziele sammelt und bündelt. Gleichzeitig erstellt er ein aktuelles Lagebild über den Auftritt der eigenen Avatare im Netz sowie über das Bild das das Ziel von diesen gewinnen kann.
- Ein Fachmann für das Informationsgebiet aus dem die Informationen gewonnen werden sollen.
- Ein Fachmann für Social Media sowie sämtliche eingesetzten Seiten, Blogs, Medien und Applikationen.
- Ein Kommunikationsspezialist als Redakteur für die im Netz sowie im direkten Kontakt zu veröffentlichenden Elemente, Kommentare, Texte sowie persönliche Nachrichten. Dieser muss sowohl über psychologisches Gespür, schreiberisches Talent sowie den notwendigen sprachlichen und kulturellen Background verfügen.
Social Engineering in der Praxis
In der Praxis werden einerseits häufig Positionen zusammengelegt, insbesondere wenn es sich um eine einzige, begrenzte Operation handelt. Im Falle von mehreren parallelen Operationen ist dies insoweit nicht sinnvoll, da ansonsten leicht der Überblick verloren gehen kann.
Auch wenn die Mehrzahl des Social Engineering von relativ kleinen, diskreten Teams durchgeführt wird, ist dies nicht zwingend. Im Falle von großen Operationen verwenden Hackergruppen wie Anonymous, organisierte Kriminalität oder staatliche Dienste parallel Dutzende bis hunderte von Teammitgliedern. Beispiele hierfür sind er Chinesische Geheimdienst, Nordkoreanische Dienste, Abteilungen der Hamas sowie südamerikanische Drogenkartelle. Ähnliches soll - wenn auch mit anderer Stoßrichtung – nach Aussagen ehemaliger Mitarbeiter für Teile der Belegschaft des Online-Dating-Portals Ashley Madison gelten.
Ashley Madison, ein in den USA ansässiger Webdienstleister für Partnersuche bei Seitensprüngen, war im Sommer 2015 in die Schlagzeilen geraten als eine Hackergruppe den gesamten Datenbestand der ca. 32 Millionen Mitglieder nach vorheriger Ankündigung online gestellt hat. Bei der Auswertung dieser Daten stellte sich heraus, dass zum einen Daten ehemaliger Mitglieder trotz Bezahlung einer entsprechenden Dienstleistung nicht gelöscht worden waren sowie zum Anderen, dass mehr als 90 % der Profile männlich waren. Die vorhandenen weiblichen Mitglieder waren nach den veröffentlichten Datensätzen in Masse keiner echten Person zuzuordnen sondern hatten Lockvogelcharakter. Diese Praxis deckte sich im Übrigen mit von ehemaligen Mitarbeitern geäußerter Kritik. Die Veröffentlichung löste sowohl eine Polemik bezüglich der Geschäftspraktiken als auch eine Hexenjagd auf Mitglieder aus in deren Verlauf es zu Erpressungsversuchern von Nutzern durch Dritte kam.
Chronik: Die größten Datendiebstähle
Der japanische Unterhaltungskonzern Sony meldet das illegale Ausspähen mehrerer Server. Betroffen sind 77 Millionen Nutzer, die sich auf der Plattform der Spielkonsole „Playstation“ registriert hatten.
Hacker erschleichen sich den Zugang zu Rechnern des Online-Bekleidungsshops Zappos und stehlen 24 Millionen Kundendaten. Zappos ist eine 100-prozentige Tochter des Web-Warenhauses Amazon.
Vodafone zeigt den Diebstahl von zwei Millionen Kundendaten in Deutschland an. Ein Hacker stahl von Rechnern des Mobilfunkkonzerns Namen, Adressen und Kontodaten.
Hacker dringen in Datenbanken des US-Softwareherstellers Adobe ein und stehlen Listen mit 152 Millionen Nutzerdaten. Sie konnten dabei auch die verschlüsselt gespeicherten Passwörter knacken.
In Datenbanken der US-Warenhauskette Target dringen Hacker ein und stehlen 110 Millionen Kundendaten, darunter knapp 40 Millionen Kredit- und EC-Kartendaten.
Die Datenbank des Online-Auktionshauses Ebay wird angezapft. Die Hacker, die über gestohlene Mitarbeiterzugänge eindrangen, kommen in den Besitz von 145 Millionen Daten inklusive Passwörter und weiteren persönlichen Daten.
Bei der US-Baumarktkette Home Depot knacken Hacker die Sicherheitsvorkehrungen von Zahlungssystemen. Die Kreditkartendaten von 56 Millionen Kunden werden ausspioniert.
Die US-Bank JP Morgan wird Opfer eines groß angelegten Cyberangriffs. Daten von 76 Millionen Privatkunden und sieben Millionen Firmenkunden fallen in die Hände von Hackern. Ausgespäht wurden Name, Adresse, Telefonnummer und E-Mail-Adresse.
Das Beispiel Online-Dating-Portal zeigt anschaulich auf, dass selbst vermeintlich harmlose Daten schnell zum Problem werden können, falls sie in die falschen Hände geraten. Wer ein Profil bei Xing, LinkedIn oder Facebook anlegt, verwendet tendenziell dieselben Informationen über sich wie ein Nutzer eines Online-Dating-Portals. Dennoch sind die Konsequenzen des Bekanntwerdens dieser Daten alles andere als identisch. Im ersteren Falle kann das wenig bis keine praktischen Konsequenzen haben. Im letzteren Falle kann bereits die Androhung der bloßen Veröffentlichung der Daten den Nutzer unter erheblichen Druck setzen und diesen zu einem bestimmten Verhalten zwingen.
Vorbereitung
In der ersten Phase werden die Grundlagen für eine erfolgreiche Operation gelegt. Hierzu nutzt die Operation Mittel und Techniken von OSINT und Knowledge Management: Durch Auswertung von bereits bekannten Informationen sowie durch das Datenschürfen (Data Mining) von Blogs, Nachrichtenseiten, Unternehmenswebseiten, Veröffentlichungen und sozialen Medien wird ermittelt, wo sich die gewünschten Informationen finden lassen.
Vorbereitung einer erfolgreichen Operation
Die Ermittlung des richtigen Ziels oder der Zielperson für das spätere Social Engineering steht hierbei im Mittelpunkt aller Anstrengungen und Überlegungen. Zum einen muss das oder müssen die Ziele mit hinreichender Wahrscheinlichkeit über die gewünschten Informationen verfügen. Hierfür kann es notwendig sein, ermittelte potentielle Ziele in einem zweiten Schritt unauffällig zu überprüfen. Zum anderen muss das Ziel ein Persönlichkeits- oder Organisationsprofil haben, das auf besondere Angreifbarkeit hinweist. Der Prüfstein hierfür ist die Webaktivität. Je mehr eine Zielperson in sozialen Medien, Blogs, etc. von sich preisgibt, umso leichter wird es später sie zu kontaktieren und sie zu umgarnen. Eine große Webaktivität erlaubt es nicht nur ein detailliertes Persönlichkeitsprofil anzulegen, sondern lässt auch auf eine gesteigerte Extrovertiertheit schließen, was eine gute Voraussetzung für die weiteren Schritte der Operation darstellt. Ähnliches gilt für soziale Auftritte von Gruppen oder Organisationen. Je größer, aktiver, lauter und ungeordneter diese sind, umso leichter ist es sie zu infiltrieren.
Die endgültige Auswahl der Zielperson erfolgt nach zwei maßgeblichen Kriterien: Der potentielle Wert des Ziels als Quelle sowie der notwendige Aufwand. Auch wenn Social Engineering weniger Ressourcen verbraucht als klassische Informationsgewinnung von menschlichen Quellen (HUMINT), setzen Anzahl der Zielpersonen, Zeit, notwendige Personaleinsatz und vorhandene IT-Kapazitäten jeder Operation faktische Grenzen. Es kann im Zweifelsfall sinnvoller sein, mit geringem Einsatz fünf mittelwertige Ziele sicher abzuschöpfen als sämtliche Energie darauf zu verwenden, möglicherweise ein Hochwertziel erfolgreich zu bearbeiten.
Die erste Phase schließt mit der Erstellung eines detaillierten Plans ab. Dieser enthält eine Aufschlüsselung der gesuchten Information, der Schwächen und Angriffsmöglichkeiten, benennt die einzusetzenden Mittel, definiert Zwischenschritte und gibt eine Zeitplanung vor. Ein guter Plan enthält darüber hinaus Notfallplanungen für bestimmte Szenarien und definiert Kill-Kriterien, bei deren Eintreten die Operation abgebrochen werden muss.
Verbrechen 4.0 - das ist möglich
Rund 75 Prozent aller Computer können heute innerhalb von Minuten gehackt werden.
Jeden Tag werden 600.000 Nutzerkonten attackiert, wie das Unternehmen 2011 selbst einräumte. Eine Zahl, die seitdem eher gestiegen ist.
Fast 90 Prozent aller Kleinunternehmen, deren Kundenkartei gestohlen wurde, müssen innerhalb von drei Jahren ihr Geschäft aufgeben.
Mittels manipuliertem GPS-Signal locken Gangster Lastzüge mit Waren oder Luxusyachten in Hinterhalte.
Kreation von Avataren und Schaffung von Legenden
Aufbauend auf diesem Plan werden in der zweiten Phase als erstes glaubwürdige Avatare geschaffen und deren Legende aufgebaut. Auch hier kommt eine Kosten-/Nutzenrelation zum Tragen. Ein Avatar, dessen Aufgabe es ist, als Referenz im Hintergrund zu dienen, benötigt selten mehr als eine Emailadresse und einen Eintrag in ein oder zwei Netzwerken bzw. Blogs. Ein Avatar, der punktuell direkt mit einem Ziel interagiert, muss stärker ausgearbeitet sein. Ein Avatar, der sich intensiv mit dem Ziel austauscht, braucht eine weitgehend wasserdichte Legende.
Je nach Stoßrichtung der Operation kann es zudem notwendig sein, Webseiten von fiktiven Unternehmen oder Organisationen zu schaffen, Foren zu schalten bzw. Onlineangebote aufzusetzen.
Größtmögliche Nähe bei weitgehender Distanz
Wichtig ist in diesem Zusammenhang, dass beim ersten Googeln der Avatare, Tarnorganisationen oder sonstigen Konstruktionen kein „deus ex machina“-Effekt auftritt. Auf vielen interaktiven Seiten ist genau ersichtlich, wann das Mitglied das erste Mal beigetreten ist und wann es bestimmte Informationen gepostet hat.
Dieser Effekt kann durch zwei einfache Maßnahmen einfach umgangen werden. Zum einen können Avatare, Seiten und Adressen mit einer Minimallegende aus Name, Geschlecht, Alter und Wohnort auf Vorrat geschaffen und mit minimalem Aufwand auf niedriger Flamme am Leben erhalten werden. Sobald eine Operation ansteht, ist es dann möglich, die passenden Avatare auszuwählen, ihre Legende auszubauen und mit Leben zu erfüllen. Zum anderen ist es auf vielen Seiten wie Twitter, Facebook und anderen möglich, Informationen zu posten und diese erst später allgemein oder einer ausgewählten Gruppe zugänglich zu machen. Hierdurch ist es möglich, über Monate oder Jahre hinweg Postings mit dem richtigen Zeitstempel zu erarbeiten und diese kurz vor Operationsbeginn nachträglich in die Öffentlichkeit zu entlassen. Die nicht benötigten Postings werden dann einfach gelöscht oder nicht freigegeben. Hierdurch ist es möglich, nachträglich fast jede gewünschte Argumentationskette so zu erstellen, dass der Leser einen stringenten Eindruck eines vergangenen Verhaltens bekommt, das es in Wirklichkeit nie so gegeben hat.
Durch Verbindung von gezielten Neuschöpfungen und Einarbeitung von auf Vorrat erstellter Webpräsenz aller Art ergibt sich bei sauberer Arbeit das abgerundete Bild einer scheinbar echten Person. Im Extremfall hat der Avatar anscheinend mit echten Personen eine Schule besucht, tweetet zu aktuellen Themen und seinen Hobbies, veröffentlicht auf Facebook und Instagram Urlaubsbilder, fragt in Foren nach, wie man am besten Schildkröten hält, macht bei Online-Petitionen mit, hat einen eigenen Youtube-Kanal und kann per Skype oder Viber erreicht werden. Ein solcher Avatar interagiert sichtbar erfolgreich mit echten Personen und wird im Idealfall jeder Plausibilitätsprüfung Stand halten.
Welche Sicherheitsmaßnahmen die Unternehmen verstärken
66 Prozent Organisatorische Verbesserungen (z. B. Zugriffskontrollen)
35 Prozent Firewall eingeführt/erneuert.
43 Prozent Virenscanner eingeführt / erneuert.
33 Prozent Schulungen zur IT-Sicherheit.
3 Prozent Standardisierungen/Zertifizierungen.
2 Prozent Früherkennungssysteme einsetzen.
0 Prozent Einstellung zusätzlicher IT-Sicherheitsexperten.
Ob im Einzelfall ein so detaillierter Avatar erstellt werden muss, hängt wegen den jeweils benötigten Ressourcen logischerweise vom tatsächlichen Bedarf und der zu erwartenden Langlebigkeit ab.
Die genaue Ausformung des Avatars oder der Avatare wird dann grundsätzlich an der Zielperson ausgerichtet. Ziel ist es stets, größtmögliche Nähe bei weitgehender Distanz zu erzielen. Beispielsweise könnte ein auf einen Hamburger Luftfahrtingenieur angesetzter Avatar eine Legende als junge Flugbegleiterin in Österreich haben. Eine solche Wahl würde ein tatsächliches Treffen durch räumliche Distanz und berufliche Anforderungen erschweren, erklärte aber gleichzeitig Interesse und Kenntnisse im Bereich Luftfahrt.
Entsprechende Techniken und Überlegungen gelten für falsche Unternehmenswebseiten, Blogs oder andere Formen der Internetpräsenz.
Kontaktaufnahme
Der schwierigste Moment einer Operation ist der Augenblick der Kontaktaufnahme. Ein verhunzter Erstkontakt kann den eingesetzten Avatar oder die Webpräsenz in den Augen des Ziels verbrennen und muss deshalb gut vorbereitet werden.
Bei einer Operation mit einer oder mehreren menschlichen Zielpersonen setzt man regelmäßig mehrere am Profil des Ziels ausgerichtete Avatare parallel als Köder ein. Diese interagieren mit verschiedener Intensität und unterschiedlichem Auftreten sowohl mit dem Ziel als auch mit unbeteiligten Dritten. Bei erfolgreichem Einsatz wird das Ziel ein oder mehrere Avatare von sich aus kontaktieren und einen tiefergehenden Austausch initiieren. Zu diesem Zeitpunkt findet in der Regel noch keine Plausibilitätsprüfung durch die Zielperson statt – wer googelt schon jeden Menschen dem er per Twitter antwortet? Zudem sorgt die Tatsache, dass die Initiative von der Zielperson ausgeht, bei dieser unwillkürlich für einen Vertrauensvorschuss.
Beispiel: Unsere Zielperson, der Hamburger Ingenieur, beteiligt sich regelmäßig an Facebook-Gruppen die nicht mit seiner beruflichen Tätigkeit in Zusammenhang stehen. Hierbei kommt es zu Austauschen per Chat mit verschiedenen Mitgliedern. Eines dieser Mitglieder spricht eines Tages über private Probleme und bittet die Zielperson um Rat. Es kommt zu einem intensiven Austausch, im Rahmen dessen die Zielperson Informationen über sich und seine aktuelle persönliche Lage preisgibt. Nach Auswertung dieser Informationen rät der Lockvogel der Zielperson in einem Folgechat einer anderen, privaten Facebookgruppe beizutreten zu der er ihm den Kontakt vermittelt. Tatsächlich ist die Facebookgruppe nur mit Avataren besetzt, von denen mehrere am Persönlichkeitsprofil der Zielperson ausgerichtet sind.
Sollte die Zielperson nur sporadisch oder gar nicht in den sozialen Medien tätig sein oder nur mit vertrauten Personen kommunizieren, bietet sich als weiteres Mittel die gezielte Ansprache zu einem Thema an, das wahrscheinlich den bekannten Interessen der Zielperson entspricht. Dies kann z.B. das Anschreiben per Change.org, die Einladung in eine interessante Facebook-Gruppe oder die Weiterleitung von Links auf Xing sein. Beißt die Zielperson an, gerät sie in ein gezielt für sie kreiertes Umfeld. Ein allgemein bekanntes Bespiel für eine sehr plumpe Variante dieser Taktik sind die legendären Emails der Nigeria-Connection, einer in Westafrika ansässigen Grupp Krimineller. Diese Gruppe ist bekannt dafür, per Spam und Massenversand Opfer zu ködern. Inhaltlich variieren diese Emails ständig ein Thema: Die Absender versprechen die Zahlung einer großen Geldsumme aus scheinbar illegaler Quelle gegen eine finanzielle Vorleistung zur vorgeblichen Finanzierung der Abwicklung.
Für Zielorganisationen gilt Ähnliches. Durch Beobachtung des Außenauftritts sowie der identifizierten Mitglieder wird erst ein passendes Profil für Avatare aufgebaut, die dann in einem oder mehreren Schritten an die Organisation andocken.
Abschöpfen
Sobald ein Kontakt hergestellt ist, gilt es ihn dauerhaft zu etablieren. Hier bietet es sich an, mit der Zielperson parallel auf mehreren sozialen Medien beziehungsweise Kommunikationssystemen in Verbindung zu treten um zu verhindern in Vergessenheit zu geraten. Wichtig ist es, genügend Kontakt zu halten um präsent zu bleiben, langsam steigendes Interesse zu generieren und gleichzeitig zu verhindern, die Zielperson durch zu starken Einsatz zu verschrecken. Die Zielperson muss den Eindruck haben, jeweils den nächsten Schritt zu tun und dies aufgrund eigener, freier Überlegung.
“Datenklau 2015” - Die Ergebnisse im Überblick
Für die Studie “Datenklau 2015” hat die Prüfungs- und Beratungsgesellschaft Ernst & Young Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 450 deutschen Unternehmen befragt. Die Befragung wurde im Mai / Juni 2015 vom Marktforschungsinstitut Valid Research durchgeführt.
Quelle: Ernst & Young - Datenklau 2015
Jedes fünfte Unternehmen mit mehr als einer Milliarde Euro Umsatz hat in den vergangenen drei Jahren einen Angriff auf die eigenen Daten bemerkt, zeigt die EY-Studie. 18 Prozent der Betroffenen registrierten sogar mehrere Attacken. Mittlere (ab 50 Millionen Euro Umsatz) und kleinen Unternehmen (bis zu 50 Millionen Euro Umsatz) erlebten seltener Angriffe: 16 beziehungsweise zehn Prozent haben Hinweise auf Spionage oder Datenklau entdeckt.
Nicht nur die Größe entscheidet, wer ins Visier der Hacker gerät. Unternehmen der Energie- (17 Prozent ) und der Finanzbranche (16 Prozent) werden am häufigsten Opfer von Spionage und Datenklau. In der Industrie wurden 15 Prozent der Unternehmen bereits zum Opfer.
In den meisten Fällen (48 Prozent) ließ sich der Täter nicht zuordnen. In 18 Prozent der Fälle konnten laut EY Hackergruppen als Täter identifiziert werden. In 15 Prozent war es ein konkurrierendes ausländisches Unternehmen.
Die größte Gefahr geht aus Sicht der Manager von China aus: “46 Prozent nennen das Land als Region mit dem höchsten Risikopotenzial, dahinter folgen Russland (33 Prozent) und die USA (31 Prozent)”, wertet Ernst & Young aus.
Hinter den Angriffen vermuten die Manager in erster Linie den Versuch an Wettbewerbsvorteile oder finanzielle Vorteile (je 29 Prozent) zu gelangen. Reputationsschädigung (8 Prozent), Racheaktion (6 Prozent) und die Störung des Geschäftsbetriebs (3 Prozent) werden deutlich seltener hinter den Attacken vermutet.
In drei von vier Fällen (74 Prozent) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, in 21 Prozent wurden IT-Systeme vorsätzlich lahmgelegt. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen (elf Prozent), Mitarbeiter abgeworben oder Datenklau durch eigene Mitarbeiter begangen (jeweils zehn Prozent).
Sobald ein gewisses Gleichgewicht erzielt ist, muss der Kontakt in eine belastbare, vertrauensvolle Beziehung umgewandelt werden. Die Zielperson muss dem Avatar vertrauen und – je nach Art und Intensität des Kontakts – als guten Bekannten oder sogar als Freund betrachten. Sobald dieser Punkt erreicht ist, kann mit dem Abschöpfen begonnen werden.
Abschöpfen
Für einen Laien erstaunlich ist das Abschöpfen, zumindest kurzfristig, die am wenigsten komplizierte Phase. Fälschlicherweise betrachten die meisten Internetnutzer das Netz als einen privaten Raum, oder als eine Art großes Computerspiel, die nicht im Zusammenhang mit der Lebenswirklichkeit stehen. Die durch das Netz automatisch erzeugte Distanz bzw. Unwirklichkeit trägt zudem dazu bei, dass der typische Nutzer ihm persönlich unbekannte Kontakte so sieht, wie er sie gerne sehen möchte. Sobald einmal ein enger Kontakt mit jemandem etabliert ist, haben viele Nutzer daher die Tendenz, ihrem Gegenüber zu vertrauen. Was sollte schließlich ein Facebook-Freund, der sich ebenfalls für Schildkröten interessiert, damit anfangen können, wenn man ihm sein Leid über werkstoffbezogenen Ärger im Büro klagt...
Das eigentliche Abschöpfen der Zielperson erfolgt in der Regel auf eine möglichst unaufgeregte, aber genau strukturierte Art. Wichtig ist es hierbei, den richtigen Mix aus privat, beruflich und sonstiges zu treffen, nicht aus der Rolle zu fallen und mehrere kritische Punkte miteinander in Deckung zu bringen:
Der Avatar muss gleichzeitig größtmögliche Nähe halten, ohne eine bestimmte Schwelle zu überschreiten. Bei zu großer Distanz sinkt der Wunsch sich offen mitzuteilen. Bei zu großer Nähe kann der Wunsch entstehen, Kontakt in der realen Welt zu etablieren.
Das Ziel muss gleichzeitig in Laune gehalten werden, ohne dass die Präsenz des Avatars gegenüber Dritten zum Problem wird. Zum einen muss die Legende weiter am Leben gehalten werden. Zum anderen müssen gemeinsame Kontakte und Bezugspersonen so gemanagt werden, dass es zu keinen Auffälligkeiten kommt.
Die Zielperson muss in die Lage gebracht werden, freiwillig und arglos wertvolle Informationen zu geben ohne sich über Umfang und Konsequenzen im Klaren zu sein. Dies verlangt nach einem indirekten Ansatz. Klassisches Beispiel ist eine Frage im Stile von: „Na wie war dein Arbeitstag? Nicht zu k.o. nach zehn Stunden im Tollhaus?“
Schließlich bedarf es einer dauerhaften oder teilweisen Exit-Strategie, um die Operation bei Bedarf so zu beenden, dass weder das Ziel noch Dritte Verdacht schöpfen.
Gezielte Desinformation
Dies verlangt nach einem psychologisch sinnvollen Vorgehen, der Fähigkeit zu antizipieren, der Vorbereitung von Notfallplänen sowie einem eingespielten Team, das den Avatar sowie das Ziel während der ganzen Operationsdauer führt.
Tatsächlich ist es im Einzelfall bei Bedarf möglich, gegen jeden der oben benannten Punkte zu verstoßen. Ein solcher Verstoß – im Sinne von „quick and dirty“ - beschleunigt den Prozess insoweit, als er möglicherweise schneller zum Erfolg führt und punktuell wertvolle Ergebnisse erzielt. Gleichzeitig erhöht er massiv das Risiko, den Avatar zu verbrennen. Ob ein solcher Ansatz riskiert werden kann, hängt daher insbesondere von einem akuten Bedarf des Auftragsgebers der Operation, dem psychologischen Profil der Zielperson, zeitlichen Imperativen sowie der langfristigen Strategie ab.
Operationsende und Risikomanagement
Eine Operation endet entweder durch mehr oder weniger auffälligem Abbruch wegen Erreichens des Operationsziels, durch langsames Ausphasen, wenn Unauffälligkeit sinnvoll und geboten ist oder durch sofortigen Ausstieg im Falle des Verbrennens des Avatars oder der Operation insgesamt.
Trotz der relativ hohen Sicherheit einer Social Engineering Operation für die Durchführenden, heißt das nicht, dass die Ausführenden unangreifbar wären. Neben dem Risiko identifiziert und - soweit möglich - der Strafverfolgung zugeführt zu werden, besteht stets die Möglichkeit, dass die Gegenseite die Operation durchschaut und die Beziehung zwischen Ziel und Avatar zur gezielten Desinformation nutzt. Bereits aus diesen Gründen ist es von höchster Bedeutung, dass die Avatare einerseits stets glaubwürdig bleiben und sich keine Fehler erlauben sowie andererseits sämtliche gewonnen Informationen konsequent ausgewertet und wann immer möglich durch weitere Quellen bestätigt werden müssen.
Diese Cyber-Gefahren gilt es zu entschärfen
Friedrich will die Bürger schneller vor Risiken warnen und den Informationsaustausch zwischen Unternehmen über neu entdeckte Angriffsstrategien verbessern.
Großkonzerne treiben teils großen Aufwand, Geschäftsgeheimnisse gegen digitalen Diebstahl zu sichern. Kleineren Unternehmen aber fehle oft das Risikobewusstsein, moniert der Innenminister.
Die Nationale Strategie zum Schutz kritischer Infrastrukturen stammt von 2009. Sie soll Strom-, Wasser- oder Telefonnetze absichern. Ihre Umsetzung zieht sich hin.
Friedrich will Telefon- und Internet-Verbindungsdaten EU-konform sechs Monate speichern. Bundesjustizministerin Leutheusser-Schnarrenberger geht das zu weit.
Neben den üblichen, nachrichtendienstlichen Techniken aus dem Bereich HUMINT zur Überwachung des eigenen Verhaltens hat das eingesetzte Team daher darauf zu achten, dass es fachlich, sprachlich, kulturell und technisch auf der Höhe ist. Insbesondere der Umgang mit den sozialen Medien muss fehlerfrei sein und einer Analyse durch Dritte Stand halten. Gleiches gilt für das Auftreten des Avatars. Entspricht dieser nicht dem Niveau und den Kenntnissen die von einer echten Person in vergleichbarer Situation erwartet werden, werden dem Ziel frühzeitig Zweifel kommen.
Schutz gegen Social Engineering
Wie bereits ausgeführt, handelt es sich bei Social Engineering um ein Problem, das schwerpunktmäßig außerhalb des Unternehmens auftritt, so dass Mittel des Betriebsschutzes nur schwer oder überhaupt nicht greifen. Das eigentliche Ziel einer Operation – das Gehirn des Opfers – kann von seinem Arbeitgeber weder kontrolliert noch überwacht werden. Hinzu kommt, dass das Ziel im – vermeintlich - privaten Umfeld unterwegs ist, so dass hier gesetzliche Regelungen zu Daten- und Persönlichkeitsschutz greifen.
Da die Strategien und Handlungsweisen des Social Engineering aus dem Bereich HUMINT, d.h. der nachrichtendienstlichen Praxis kommen, ist es nicht verwunderlich, dass die gangbarsten Lösungen ebenfalls aus diesem Sektor kommen und sich an die Prinzipien der Gegenspionage anlehnen.
Das wirft für Unternehmen zunächst ein Problem auf: Aus Gründen des Persönlichkeitsschutzes, dürfen Unternehmen ihre Mitarbeiter nicht aktiv und dauerhaft im Internet überwachen. Während es technisch möglich wäre, per Data Mining und Web Crawling ständig den Überblick zu behalten, wäre eine solche Operation nach den meisten westlichen Rechtsordnungen schlicht und ergreifend illegal. Richtig ist, dass Unternehmen im konkreten Verdachtsfall analog zum Einsatz von Privatdetektiven vorgehen können. Auch hier sind jedoch enge Grenzen gesetzt, so dass es im Zweifelsfall sinnvoller sein kann, polizeilichen Beistand einzuholen.
Da mitarbeiterbezogene aktive Gegenspionage somit ausfällt, bleiben einem Unternehmen fünf aktive, vorbeugende Maßnahmen zum Schutz gegen Social Engineering:
- Überwachung der eigenen Webpräsenz und von im Zusammenhang mit dem Unternehmen und seinen Produkten, Techniken und Strategien stehenden Postings.
- Steigerung des Gefahrenbewusstseins der Mitarbeiter.
- Aus- und Weiterbildung der Mitarbeiter.
- Einrichtung einer proaktiven Unternehmenspolitik, um Mitarbeiter im Falle einer erfolgten Operation einzubinden und nicht zu verängstigen.
- Aktive Verschleierung und Desinformation.
Die erste Maßnahme stellt gewissermaßen das Gegenstück zu den Handlungen der Gegenseite dar. Das Unternehmen versucht hier einerseits ein genaues Bild dessen zu erhalten, was ein Gegner durch OSINT herausbekommen könnte. Andererseits dient sie dazu, Sicherheitsverstöße und Informationsaustritte zu identifizieren und zu lokalisieren. Mittel der Wahl sind hier üblicherweise Webcrawler und Data Mining. Allerdings kann bisweilen bereits eine erste Google-Suche wichtige Hinweise auf bestehende Probleme geben.
Wie bereits ausgeführt sind Mitarbeiter und ihr Verhalten im Internet die Schnittstelle an die Social Engineering andockt. Unternehmen, die ihre Sicherheit ernst nehmen, müssen daher ihren Mitarbeitern aller Verantwortungsebenen, von der Direktion bis zum Hausmeister, das Konzept verdeutlichen und ihnen klar machen, was für sie persönlich und für ihren Arbeitsplatz auf dem Spiel steht. Ziel ist es, das abstrakte, unrealistische Bild der Spionage durch ein realistisches Risikobewusstsein zu ersetzen.
Präventionskonzepte
Hand in Hand geht hiermit die Aus- und Weiterbildung der Mitarbeiter in Internetkompetenz. Angreifer profitieren im Rahmen des Social Engineering häufig davon, dass ihre Ziele keine Ahnung haben, wie einfach es möglich ist, sie zu täuschen, welche Möglichkeiten die jeweilige Software zulässt und wie man sich durch ein paar einfach zu übernehmende Regeln schützen kann. Kommt dann ein risikobewusstes Verhalten hinzu, wird es schwer, ein Ziel zu profilieren oder abzuschöpfen.
Parallel zu einem auf Prävention gerichteten Konzept sollten Unternehmen eine Unternehmenspolitik fahren, die auf Kooperation und nicht auf Repression beruht. Einbrüche in die Unternehmenssicherheit sind niemals auf die leichte Schulter zu nehmen. Um aktuellen Schaden zu begrenzen oder zukünftige Schäden zu vermeiden, ist es von höchster Wichtigkeit, so schnell wie möglich ein möglich detailliertes Bild der Operation zu haben. Das kann nur gelingen, wenn Zielpersonen sich gegenüber ihrem Arbeitgeber vertrauensvoll öffnen können, sobald sie einen Verdacht hegen. Eine andere Politik führt zudem dazu, dass die Zielpersonen in eine Zwangslage gedrängt werden, in der sie durch die hinter der Operation stehenden Akteure erpressbar werden.
Aktive Verschleierung und Desinformation sind naturgemäß ein zweischneidiges Schwert. Werden diese aufgedeckt, kann das dem Image des Unternehmens empfindlich schaden. Eine Desinformationskampagne wird daher in der Regel nur im Falle eines konkreten Anlasses und zeitlich begrenzt erfolgen.
Ausblick
Das Ende der Digitalisierung der Geschäftswelt ist bei weitem noch nicht abzusehen. Die sogenannte Industrie 4.0, die stark auf Dezentralisierung und Nutzung von 3D-Druck aufbaut, wird den aktuellen Prozess der Zersplitterung von Management, Forschung, Produktion und Vertrieb beschleunigen. Der sich hieraus ergebende Bedarf des Teilens von Wissen und Informationen steht dem Schutz von kritischem Wissen diametral gegenüber. Es wird daher in Zukunft eher leichter als schwerer, sich solche Informationen hausintern legitim zu beschaffen oder diese aus dem Schutzbereich des Unternehmens zu entfernen.
Durch die parallel sich weiter entwickelnden Möglichkeiten der mittlerweile allgegenwärtigen IT-Mediengesellschaft, bilden sich zudem ständig neue Möglichkeiten heraus, menschliche Interaktion aller Art im Rahmen des Social Engineering zu missbrauchen.
Gerade vor diesem Hintergrund muss die Industrie sowohl verantwortlich handeln, als auch ein gesteigertes Interesse daran haben, dass ihre Mitarbeiter loyal und risikobewusst sind - und nicht unbedarft Haus und Hof verkaufen. Dies zu verabsäumen, kann dramatische Folgen für Marktanteile, Gewinn oder sogar die wirtschaftliche Existenz haben.
Parallel hierzu benötigen Industriestaaten wie Deutschland ein stringentes Schutzkonzept sowie die hieraus abgeleiteten Organisationen und Mittel, um den Schutz von Industrie und geistigem Eigentum zu gewährleisten.