Christian Koch über das Ausspionieren von Firmen
- 12.01.2010
- Specials
„Herr K. klaute Konstruktionspläne und wir halfen ihm dabei, ohne es zu wissen…“
– Compliance-Experte Christian Koch berichtet über das Ausspionieren von Firmen, das Überwinden von Sicherheitsmaßnahmen und den Diebstahl interner Daten.
Der Kampf um Kunden, Marktanteile, Umsatz und Gewinn wird kontinuierlich schärfer. Eine Möglichkeit im Wettbewerb zu bestehen, ist es, dem Kunden Innovation und Qualität zu einem günstigen Preis zu offerieren. Scheinbar unermesslich sind die Anstrengungen, diese Kundenzufriedenheit zu erreichen. Motivierte und kreative Mitarbeiter zu finden, die bahnbrechende Ideen besitzen und diese praktisch umsetzen, ist die eine Herausforderung. Die andere Herausforderung ist, dieses Wissen zu schützen. Wie z. B. technische Baupläne, Designentwürfe, Werbemittel, Preiskalkulationen, Geschäftsstrategien, die in Papierform auf Schreibtischen herumliegen oder auf Laufwerken, die jedem zugänglich sind. Befinden sich diese Unterlagen im Besitz von Wettbewerbern, ist der Kampf um die Gewinnmarge entschieden. Fragen werden laut. Wie ist der Konkurrent an die Betriebsgeheimnisse gelangt und wie kann ein zukünftiger Wissensverlust verhindert werden?
Betroffene Unternehmen erklären die Situation oft mit Racheaktionen entlassener Mitarbeiter oder bestochener Kollegen oder Schadsoftware. Allerdings scheint die Zahl von ausspionierten Betrieben zu wachsen, die von sogenannten Social Engineers durchgepflügt wurden. Die Übeltäter sind sympathische und offene Menschen, die gezielt ein Unternehmen betreten, um Betriebsgeheimnisse zu stehlen. Ihre Vorgehensweise ist selten zu durchschauen, da sie Informationsbruchstücke zusammenfügen, um Mitarbeiter im Unternehmen zu täuschen und dadurch zusätzliche Informationen erhalten.
Folgendes Szenario kann sich ereignen: Mitarbeiter tragen ihre Sicherheitsausweise offen an ihrer Kleidung. Aus einem Fahrzeug werden mit einem hochauflösenden Objektiv die Ausweise fotografiert. Der Social Engineer kennt nun die Elemente des Firmenausweises und kann sich diesen selbst herstellen. Im Internet kann er die dazu erforderlichen Gerätschaften bestellen. Als nächstes passt er sich dem Dresscode der Firma an. Mit Anzug und Krawatte tritt er selbstbewusst an die Sicherheitsschleuse. Alarm leuchtet auf, da sein Ausweis nicht codiert ist. Im Gespräch mit dem Pförter teilt er mit, dass dies jetzt schon wiederholt passiert sei und seine Sekretärin Abhilfe versprach, die offenkundig noch nicht eintraf. Zudem müsse er in ein wichtiges Meeting. Und natürlich lässt der Pförtner ihn passieren. Der Social Engineer kann nun ein Feuerwerk von Täuschungsmanövern abbrennen. In einem Konferenzraum liegt eine Telefonliste mit den Durchwahlnummern von Kollegen, ggf. sogar ihre Abteilungsbezeichnung. Ein Anruf mit dem Hinweis, dass ein Softwareupdate vorgenommen werden muss kann reichen, dass der angerufene Mitarbeiter sein Paßwort und seinen Benutzernamen verrät. Jetzt hat der Social Engineer Zugriff auf die relevanten Ordnerstrukturen. Er kann aber auch durch das Unternehmen schlendern. Gerade in der Mittagszeit oder abends sind die Büros leer und er kann Kopien von Verträgen ziehen, Konstruktionszeichnungen fotografieren und die Dokumente auf dem Schreibtisch der Entwicklungsabteilung begutachten. Die Hand locker zum Gruß erhoben, wünscht er dem Pförtner noch einen schönen Tag.
Eine Abwehrmöglichkeit ist die Implementierung von geeigneten Sicherheitsmaßnahmen, oder auch die Schulung und Sensibilisierung der Mitarbeiter.