Mitternachtshacking

Mich hat folgende Anfrage erreicht:

Ich bin dabei eine Seminararbeit zum Thema Methoden und Konzepte zur Mitarbeitersensibilisierung schreiben. Nun meine Frage: Gibt es hierzu einschlägige und gute Literatur?

Ich tue mir da ein wenig schwer. Viel Material das ich verwende habe ich mir selbst ausgedacht oder ist im Rahmen von Projektarbeiten entstanden. Aktuell arbeite ich gerade wieder für und mit einem Kunden an mehreren Filmen, Fotostories und einer Plakatakation zur Mitarbeitersensibilisierung.

Mir fiel so spontan deshalb gar nicht viel ein (Reihenfolge ohne Wertung):

• Bücher
  • Der Klassiker: Das Buch “Die Kunst der Täuschung” von Kevin Mitnick
• Broschüren und Artikel
  • Die secure-it in NRW Broschüre: Mitarbeitersensibilisierung (PDF)
  • Die LanLine hat ein paar Artikel online
• Webseiten
  • MindfulSecurity.com - The Awareness Resource
  • Microsoft Security TechCenter - Security Awareness
  • Die Security Awareness Toolbox der Information Warfare Site (UK)
  • Das SANS Reading Room Security Awareness
• Öffentliche Dokumente
  • Der Baustein B 1.13 Sensibilisierung und Schulung im BSI Grundschutz
  • Die ENISA-Anleitung “A Users’ Guide: How to raise information security awareness” der EU
  • Der NIST-Standard SP800-50 “Building an Information Technology Security Awareness and Training Program” (PDF)

Das sind im großen und ganzen die Sachen die ich gelesen haben. Über Ergänzung in den Kommentaren würde ich mich freuen.

Voraussetzung zur Aufnahme in diese Liste ist natürlich, daß es sich um öffentliche, frei zugängliche und zitierfähige Dokumente sind. Irgendwelche Pressemitteilungen und Werbeflyer von Firmen helfen nicht weiter. Reine Firmenwerbung ohne Inhalte in den Kommentaren wird von mir deshalb auch nach Gutdünken gelöscht.

… zumindest wenn man sich an Salesforce wendet. Da hat ein Mitarbeiter doch tatsächlich eine Kundendatenbank rausgegeben.

“Salesforce management said it has been re-educating its staff to the dangers of phishing.”

Das kursive finde ich jetzt nett. Awareness ist halt alles.

Aber meine Rede ist ja schon die ganze Zeit, man gibt keine solchen Daten extern. Egal ob es sich um ein Blog oder sonstige Daten handelt. Ich könnte wetten, auch in den Salesforce-AGB steht drin, daß die Daten eh Salesforce gehört haben und Kunden halt Pech hatten.

Was für eine Ãœberraschung … ISACA hat festgestellt, daß viele Mitarbeiter in den Unternehmen die Policies und Regelungen zur IT-Sicherheit schlicht ignorieren.

“More than 63 per cent were don’t really care about the security of their information while at work.”

Bin ich jetzt der einzige, den das nicht überrascht? Ich muß vielleicht doch mal einen größeren Abschnitt zu Awareness hier einstellen

(mehr hier oder hier)

Die Federation of American Scientists hat hier (PDF; 2,4 MB) unter dem Titel “Technology Collection Trends in the U.S. Defense Industry” einen sehr interessanten Bericht über die Social Engineering Angriffe gegen amerikanische Wissenschaftler und Militärangehörige zusammengestellt.

Der generelle Trend ist steigend, von 37 identifizierten spionierenden Ländern im Jahr 1997 über 63 Länder im Jahr 2000 auf 106 Länder im Jahr 2005. Für das Jahr 2005 werden 971 Einzelvorfälle erfaßt. Die spionierenden Länder sind nicht einzeln aufgeführt, es gibt lediglich eine geographische Zusammenstellung der Vorfälle in der Ostasien mit 31% vor dem Nahen Osten mit 23%, Eurasien mit 19% und Südasien mit 13% führt. Afrika kann mit weniger als 3 % vernachlässigt werden. Dabei wird jedoch nicht zwischen Westeuropa und Russland (Eurasien) unterschieden und in Ostasien wird China zusammen mit Japan und Australien in einen Topf geworfen.

Die Hauptziele der Spionage waren (in dieser Reihenfolge):

1. Informations- und Datenverarbeitungssysteme
2. Laser und Optik
3. Flug- und Luftfahrttechnologie
4. Sensortechnik
5. Rüstungs- und Wehrtechnik
6. Elektronik
7. Raumfahrttechnologie
8. Marine und Schiffahrt
9. Materialforschung und Herstellungstechnik
10. Radartechnik

Die Teilbereiche sind dann noch aufgeschlüsselt in wichtige Themengebiete. Soweit so uninteressant. Spannend wird es wieder im Anhang, wenn die gängigsten Social Engineering Verfahren und typische Gegenmaßnahmen analysiert werden. Dabei werden folgende Bereiche unterschieden:

• Request for Information (RFI)
• Acquisition of Technology
• Solicitation and Marketing of Services
• Exploitation of Foreign Visit
• Targeting at Exhibits, Conventions, and Seminars
• Exploitation: Relationships
• Suspicious Internet Activity
• Targeting of U.S. Personnel Abroad

Zur allgemeinen Erheiterung sind auch ein paar konkrete Beispiele angegeben, z.B. dieses hier:

“A female foreign national seduced an American male translator to give her his password in order to log on to his unclassified network. Upon discovery of this security breach, a computer audit revealed foreign intelligence service viruses throughout the system.”

Hach ja, Mata Hari.

Auf jeden Fall gibt es für alle Bereiche eine Liste von mögliche Erkennungsmaßnahmen, beispielsweise für den Bereich Informationssammlung:

• Technologie unterliegt ITAR Exportbeschränkungen
• Der Vertragspartner des Verteidigungsministeriums hat keine normale Geschäftsbeziehung mit einem ausländischen Anfrager
• Die Anfrage kommt von einer Embargonation oder einer nicht-identifizierbarten Firma
• Die Anfrage erfolgt unaufgefordert und ist unerwünscht
• Der Anfragende behauptet von einer Regierungsstelle zu kommen, vermeidet jedoch offizielle Kommunikationskanäle
• Die Anfrage richtet sich an einen Mitarbeiter der den Absender nicht kennt und nicht in Vertrieb oder Marketing beschäftigt ist
• […]

Und natürlich eine Reihe von Gegenmaßnahmen, darunter an erster Stelle:

• Information und Schulung der Mitarbeiter bezüglich der Gefährdungen

Oder auf neudeutsch: Awareness!

Womit wir beim eigentlich Thema wären. Spionage kann jeden treffen. Angefangen von Informationen zu neuen Produkten und Dienstleistungen über Beziehungen zu Geschäftspartnern bis hin zu trivialen Sachen wie Gehälter oder private Daten. Es ist deshalb unerläßlich, alle Mitarbeiter auf mögliche Gefahren und Risiken hinzuweisen und bezüglicher der Social Engineering Thematik zu sensibilisieren. Und nur durch ein Awarenessprogramm, das die Gefahren regelmäßig immer wieder aufgreift ist ein dauerhaft hohes Sicherheitsniveau gewährleistet.

Ich bin neulich mit dem Auto durch Hessen gefahren und habe in den US Militärsender American Forces Network reingehört. Dort im Radio wurde das Thema alle 30 Minuten aufgegriffen!

Ich erstelle aktuell mit Hilfe der SecureAware Software von Neupart eine komplexe Security Policy für einen Kunden. Dabei sind alle Schikanen enthalten, d.h. die Policy muß verschiedene Geschäftsbereiche mit komplett unterschiedlichen Sicherheitsanforderungen abdecken, es gibt Nutzer die unterschiedliche Bereiche der Policy sehen dürfen, andere Bereiche jedoch wieder nicht, wichtige Teile sind mit Betriebsvereinbarungen abgedeckt, Handlungsanweisungen sollen mit der Policy verknüpft werden … also das ganze Programm.

SecureAware erlaubt es, die Policy modular aus vielen kleinen Bausteinen aufzubauen und unterschiedliche Sichtweisen auf das Konzept zu erhalten. Beispielsweise gibt es mehrere Bereiche der Policy, die sich mit Passwort-Regelungen beschäftigen. Diese Bereiche befinden sich unangenehmerweise auch noch in verschiedenen Kapiteln. Wenn man da eine konsistente Policy erhalten will, muß man schon viel blättern. In SecureAware kann man nun die ganzen Bausteine, die sich mit Passwörtern beschäftigen, mit der Inhaltskategorie “Passwortpolicy” verknüpfen und dann auf einen Blick alle Bausteine sehen, die sich mit Passwörtern beschäftigen. Selbstverständlich können Bausteine und Inhaltskategorien dabei frei erstellt und definiert werden.

Ein zweiter Vorteil ist, daß man einzelne Bausteine für unterschiedliche Benutzergruppen sichtbar oder unsichtbar machen kann. So gibt es jetzt eine Regelung für Benutzerpasswörter und eine Regelung für Administratorpasswörter. Die Regelung für die Administratorpasswörter bekommen normale Nutzer aber gar nicht angezeigt. Dadurch bleibt die Policy für diese Gruppe sehr klein und effizient, was wiederum die Chance erhöht, daß sie tatsächlich gelesen und verstanden wird.

Die in SecureAware enthaltenen Texte, überwiegendÜbersetzungen bzw. Anpassungen des ISO 27001 Standards helfen oft nur in einfachen Sicherheitskonzepten wirklich weiter. Entscheidend für mich ist jedoch die Fähigkeit von SecureAware, ein an die Anforderungen von Sicherheitskonzepten angepasstes Content Management System bereitzustellen. Die Möglichkeiten die sich geben sind wirklich gigantisch, weil man jeden Baustein einer Sicherheitskategorie, einer Inhaltskategorie und einer Zielgruppe zuordnen kann. Die vordefinierten Texte und Kategorien geben jedoch einen sehr guten Überblick der Fähigkeiten von SecureAware.

Zu den anderen Fähigkeiten von SecureAware, z.B. im Bereich Mitarbeiter-Awareness, Risikobewertung und Compliance demnächst mehr.

Fazit: Für die effiziente Erstellung und Verwaltung von Sicherheitskonzepten ist nach meiner Meinung SecureAware von Neupart die beste, aktuell auf dem Markt verfügbare Software, wenn man nicht selbst an die Programmierung Hand anlegen will.

Falls sich jemand für SecureAware und die Möglichkeiten (und Preise) interessiert, einfach eine kurze Mail schicken