“Xing” oder “LinkedIn” helfen der Industriespionage
Social-Network-Dienste als unternehmerisches Sicherheitsrisiko

Der Trugschluss der Sicherheit

“Xing” oder “LinkedIn” helfen der Industriespionage

Besitzt Ihr Unternehmen eine zentrale Firewall? Nutzen Sie zudem lokale Virenscanner? Verfügen Sie über eine DMZ? Setzen Sie restriktive GPOs in Ihrer AD ein? Überwachen Sie Schnittstellen und blocken externe Geräte? Filtern Sie Spam-Mails und malignen Code beim Surfen Ihrer Mitarbeiter heraus? Dann sind Sie im Hinblick auf IT-Sicherheit recht gut aufgestellt. Technisch gesehen!

Setzt Ihr Unternehmen ein IT-Security Management System (ISMS) ein? Sind die administrativen Prozesse klar beschrieben und die Rollen entsprechend verteilt? Sorgen Sie *für Mitarbeitersensibilisierung? Besitzen Sie Vorgaben zur Passwortvergabe? Haben Sie bereits eine IT-Sicherheitsrichtlinie erarbeitet und in Ihrem Unternehmen umgesetzt? Verfügen Sie über ein Notfallvorsorgekonzept? Dann sind Sie im Hinblick auf IT-Sicherheit recht gut aufgestellt. Organisatorisch gesehen!

Aber was ist, wenn ich mit einer einzigen Frage all das ad absurdum führen kann? Wie? Sie glauben mir nicht? Also gut: Was machen Ihre administrativen Arbeitskräfte in Ihrer Freizeit?

Ich ziele dabei nicht auf riskante Hobbys wie Bergsteigen ab. Vielmehr geht es um ein beruflich relevantes Engagement im Internet. Im Zeitalter von web 2.0 haben sogenannte “Social-Networking-Dienste” (SND) wie Xing und LinkedIn Hochkonjunktur. Aber auch im privaten Bereich wird durch das Blogging, einschlägige Diskussionsforen und Diensteanbieter wie MySpace – eine umfassende Plattform zur Selbstdarstellung und ?inszenierung – bereitgestellt. Was ist daran nun kritisch?

Schwachstelle Social-Networking

“Xing” oder “LinkedIn” helfen der Industriespionage

Social-Networking-Dienste (SND) wie Xing und LinkedIn stellen Berufstätigen eine Plattform zum fachlichen Austausch zur Verfügung. Hier können interessierte Nutzer ein Profil von sich erstellen und ihre Kontakte dokumentieren sowie vorzeigen. Sinn und Nutzen derartiger Plattformen sind nicht vom System, sondern vom inhaltlichen Umgang abhängig. Das bedeutet, dass die Systeme offen gehalten sind und nur so sinnstiftend und nützlich wie der erfasste Inhalt.

Die Lücke ist der Mitarbeiter
Aus unternehmerischer Sicht ist bedenklich, dass Mitarbeiter mit einem erheblichen Drang zur Selbstdarstellung eine öffentliche Schwachstelle für eine innerbetriebliche Sicherheitspolicy werden, wenn sie ihre Kontakte und Beziehungen interner wie auch externer Art detailliert dokumentieren und anhand eines umfangreichen Profils ausreichend Angriffsziel für gezielte Attacken des Social Engineering werden. Dies so gesammelten Daten bieten die Basis für gezielte Attacken im Hinblick auf Industriespionage im Allgemeinen und via technischer Attacken auf die Infrastruktur im Speziellen. Daher sind aus Unternehmenssicht vor allem jene Mitarbeiter kritisch zu betrachten, die ohne Erlaubnis der Firma handeln und an strategisch wichtigen Positionen im administrativen Umfeld, vornehmlich in der IT, sitzen. Denn: Was nutzt eine Verschwiegenheitserklärung des Mitarbeiters, wenn dieser in öffentlichen pseudo-elitären Systemen seine Tätigkeiten und Projekte fein säuberlich für jedermann lesbar deponiert?

Selbstdarstellung vs. Mutmaßung
Ich werde im Folgenden anhand eines selbst durchgeführten Beispiels die Gefährdungslage genauer beschreiben und zusammenfassend Risikopotentiale für die Unternehmen aufzeigen. Um die betroffenen Firmen nicht öffentlich vorzuführen werde ich dabei etwas globalere Beschreibungen wählen müssen, da das Internet lediglich Live-Daten zur Verfügung stellt. Wichtig ist der Hinweis, dass die zusammengetragenen Informationen aus vorhandenen echten Selbstdarstellungen hervorgehen. Die Ergebnisse, die daraus gewonnen werden, sind in erster Linie Mutmaßungen, die anderweitig bestätigt oder negiert werden müssen. Das führt in der Regel zu weiterem Recherche-Aufwand oder zu Prüfungen mittels Social Engineering-Techniken, auf die ich hier jedoch sicherheitshalber nicht eingehen werde.

Ein Beispiel-Szenario

“Xing” oder “LinkedIn” helfen der Industriespionage

Ich wurde vom CIO eines mittelständischen Unternehmens mit einem Security Audit beauftragt. Ich sollte das administrative Umfeld auf soziale Schwachstellen analysieren. Auf die genauen Hintergründe möchte ich aus Gründen der Verschwiegenheit nicht näher eingehen.

“Googling for Columbine”
Da mir das Unternehmen nicht sonderlich vertraut ist, beginne ich meinen Recherche-Einstieg mit Google. Zunächst suche ich mittels Websuche nach den reservierten Domains. Im Anschluss suche ich mittels ?@firmenname.de/com/net? nach verwendeten E-Mail Adressen. So erkenne ich zum Einen bereits die Nomenklatur der Adressierung wie z.B. “Vorname.Nachname@firma.de/com/net”. Zum anderen finde ich über die Google-Suchfunktion “Groups” bereits Diskussionsbeiträge von Mitarbeitern. Dabei zeigt die Erfahrung, dass vornehmlich technisch versiertes IT-Personal sich dort zu Wort meldet. Warum dabei Firmenadressen verwendet werden, entzieht sich meiner Kenntnis.

Beispiel:
Ein Mitarbeiter wendet sich mit einem Firewall-Problem Hilfe suchend an ein Diskussionsforum im Internet. Um einen möglichst breiten Kreis von Experten anzusprechen formuliert er seine Frage zudem in englischer Sprache. Dabei macht er nicht nur sehr exakte Angaben zum Hersteller und Release-Stand, sondern verwendet auch seine Firmen-E-Mail-Adresse. Mit der Datumsangabe ist somit eine zentrale Einheit der Infrastruktur des Unternehmens für die Öffentlichkeit und die Nachwelt dokumentiert. Ein Sahne-Bonbon für jeden interessierten Hacker.

SND zum Ersten – Straight Ahead
Die so “ergoogleten” Namen von relevanten IT-Mitarbeitern gebe ich nun in einem SND wie Xing ein. Mich interessieren dabei vornehmlich umfangreiche Einträge in den Feldern “Ich biete” und “Bestätigte Kontakte”. Nur so kann ich eine adäquate Zielperson finden, die einen erheblichen Hang zur Selbstdarstellung besitzt und zudem eine zentrale Funktion innerhalb der IT-Abteilung besitzt (nach Möglichkeit Führungskraft). Das Ziel liegt ja nicht nur darin, einen Mitarbeiter als Schwachstelle zu identifizieren, sondern weiterführend Informationen zu sammeln. Und das geht natürlich über eine Auswertung der bereitgestellten Informationen.

Profilanalysen von Pofilneurotikern?

“Xing” oder “LinkedIn” helfen der Industriespionage

SND zum Zweiten – Firmensuche
Ist die Suche ergebnislos, weil die ermittelten Mitarbeiter kein Profil angelegt haben oder die bereitgestellten Informationen nicht ausreichen, so weite ich meine Suche aus bzw. gehe einen Schritt zurück. Ich gebe lediglich den Firmennamen in meine Xing-Suche ein. So gelange ich an Übersichten über Mitarbeiter, die “jetzt” in dem Unternehmen beschäftigt sind und die “zuvor” in dem Unternehmen beschäftigt waren. Die Übersicht der aktuellen Mitarbeiter gehe ich soweit durch, bis ich eine interessante Zielperson anhand seiner “Position” ermittle, z.B. “Leiter IT-Infrastruktur”. Ist das Profil der so ermittelten Person sehr umfangreich, so kann die eigentliche Arbeit beginnen. Ist das Profil hingegen nicht aussagefähig genug, gehe ich dessen Kontakte durch, bis ich den SND-Power-User des Unternehmens gefunden habe. Und glauben Sie mir: diesen gibt es in jedem größeren Unternehmen!

Profilanalyse von Mitarbeitern mit Profilneurose
Sobald ich die Zielperson ermittelt habe, starte ich meine Visualisierungshilfe, um den Überblick nicht zu verlieren (in meinem Fall: MindMapping). Menschen mit dem
Hang zur Selbstdarstellung hinterlassen sehr umfassende Informationen über ihren Werdegang (Lebenslauf), ihre Interessen / Hobbys und dokumentieren sehr detailliert ihre Tätigkeitsbeschreibungen und Kontakte. In einem ersten Schritt verdichte ich die Angaben zu einem knappen Persönlichkeits- und Arbeitsprofil, das mir in der Folge sehr hilfreich sein wird.

SND zum Dritten – Daten sortieren
Anhand der Profilanalyse der Zielperson betrachte ich nun jeden bestätigten Kontakt einzeln. Da SND in erster Linie auf berufliche Interessen abzielen, werden wir nur wenige private Kontakte in dem Profil der Zielperson finden. Aufgrund der detaillierten Beschreibung von Hobbys und Firmenhistorie ist eine Bewertung in diese Richtung sehr zügig möglich. Die so identifizierten Kontakte werden aus der Betrachtung genommen, so dass in dem Analysebeispiel etwa 15-20 wahrscheinlich berufliche Kontakte übrig bleiben. In der Folge betrachte ich diese Kontakte, erstelle ebenfalls zusammenfassende Profile (MindMap) und sortiere diese ein. Dabei differenziere ich zwischen internen und externen Kontakten. Bei Unsicherheiten bzgl. komplexer Unternehmensstrukturen helfen in diesem Zusammenhang im Übrigen weitere Informationsquellen über die Beteiligungsverhältnisse, die z.T. ebenfalls öffentlich verfügbar sind.

Das Puzzle beginnt

“Xing” oder “LinkedIn” helfen der Industriespionage

Nachdem die einzelnen Profile und bewertet sind, werden sie in der MindMap logisch verknüpft. Die internen Kontakte ermöglichen eine Analyse im Hinblick auf ein Organigramm; die externen Kontakte erscheinen in diesem Beispiel als Dienstleister und externe Berater.

Anhand der zusammengefassten Profile ist eine Suche nach Gemeinsamkeiten erleichtert möglich, so dass sich sehr schnell Hypothesen bilden lassen. Ist der ermittelte externe Berater z.B. “Consultant im SAP-HR” Umfeld und die Zielperson “Projektmanager SAP-HR”, so ist es sehr wahrscheinlich, dass es zwischen diesen beiden ein Projekt gibt.

In meinem Beispiel habe ich knapp zwei Dutzend Hypothesen im Hinblick auf Infrastruktur-Themen, Netzwerktopologie und Beratungsleistungen gebildet. Diese verdichte ich weiter, bis ich 10 Kernthesen zu diesem Unternehmen finde. Im Falle des Audits vwurden 7 dieser 10 Hypothesen von dem verantwortlichen CIO als zutreffend bewertet. 70 Prozent Trefferquote zuzüglich weiterer Einstiegspunkte und einem zufrieden stellenden Organigramm betrachte ich persönlich als hervorragendes Ergebnis. Ein Industriespion wird sich ins Fäustchen lachen.

Vom Ausspähen bis Identitätsmissbrauch: die Tür mach auf, das Tor mach weit
Viele deutsche Unternehmen haben die Gefahren, die von übereifrigen Mitarbeitern in vertrauensvollen Positionen ausgehen, noch nicht als unternehmerisches Risiko erkannt. Diese Unbekümmertheit kann erhebliche Konsequenzen und Probleme nach sich ziehen, ohne dass die betroffene Firma dazu später in der Lage ist, zu erkennen, was der Auslöser für einen spezifischen Sicherheitsvorfall gewesen ist.

Wie das Beispiel bereits aufgezeigt hat, ist es in der Tat anhand von umfangreichen Einträgen in Social-Network-Diensten (SND) möglich, Informationen über den Aufbau und die Struktur von Unternehmen im Allgemeinen, von Organigrammen und Mitarbeiterprofilen im Speziellen, ohne erheblichen Aufwand, zu erstellen. Das Ausspähen von Mitarbeitern, Unternehmens- und Organisationsstrukturen ist aber lediglich eine Seite der Medaille. Die Kehrseite besteht in der Verfügbarkeit von Informationen über ehemalige Mitarbeiter und externer Dienstleister. Der Datensammelnde hat nicht nur Einblick in das Innenleben von Unternehmen, sondern erkennt auch die äußeren Zusammenhänge und Problemlagen und kann somit ganz gezielt vorgehen.

Zu in einem Planspiel zusammenfassbaren Angriffsszenarien zählen (siehe nächste Seite)…

Planspiele zur IT-Sabotage

“Xing” oder “LinkedIn” helfen der Industriespionage

Zu in einem Planspiel zusammenfassbaren Angriffsszenarien nach Erkundung durch die Social Networking-Dienste zählen:

* Spam-Lawine gegen das Unternehmen lostreten (Mail-Nomenklatur ist bekannt und auch einige Mail-Adressen)

* Sammeln von gezielten System-Informationen durch Social Engineering (Topologie ist bekannt, weitere Informationen lassen sich sammeln oder logisch herleiten) und als Konsequenz technische Attacken gegen die Infrastruktur

* Social Engineering ehemaliger Mitarbeiter (vielleicht im Unfrieden auseinander gegangen bedeutet Einstieg in weitere brisante Informationen)

* Gezieltes Ausspähen und Profiling externer Dienstleister (welche Projekte wurden miteinander durchgeführt? Wo bestehen Probleme?)

* Ausspähen von Mitarbeitern zu Abwerbezwecken

* Identitätsmissbrauch (in beide Richtungen), um weitere sensitive Informationen wie Netzwerkpläne zu erlangen

* Identitätsmissbrauch, um einer der beiden Seiten konkreten Schaden zuzufügen

Der Autor

“Xing” oder “LinkedIn” helfen der Industriespionage

“Th3 3vil Osc4r “ist das Pseudonym eines IT-Sicherheitsbeauftragten in einem großen deutschen Unternehmen. Da er die Analyse für sein Unternehmen durchgeführt hat, möchte er im Sinne seiner Firma anonym bleiben.