Mitternachtshacking

Die Federation of American Scientists hat hier (PDF; 2,4 MB) unter dem Titel „Technology Collection Trends in the U.S. Defense Industry“ einen sehr interessanten Bericht über die Social Engineering Angriffe gegen amerikanische Wissenschaftler und Militärangehörige zusammengestellt.

Der generelle Trend ist steigend, von 37 identifizierten spionierenden Ländern im Jahr 1997 über 63 Länder im Jahr 2000 auf 106 Länder im Jahr 2005. Für das Jahr 2005 werden 971 Einzelvorfälle erfaßt. Die spionierenden Länder sind nicht einzeln aufgeführt, es gibt lediglich eine geographische Zusammenstellung der Vorfälle in der Ostasien mit 31% vor dem Nahen Osten mit 23%, Eurasien mit 19% und Südasien mit 13% führt. Afrika kann mit weniger als 3 % vernachlässigt werden. Dabei wird jedoch nicht zwischen Westeuropa und Russland (Eurasien) unterschieden und in Ostasien wird China zusammen mit Japan und Australien in einen Topf geworfen.

Die Hauptziele der Spionage waren (in dieser Reihenfolge):

1. Informations- und Datenverarbeitungssysteme
2. Laser und Optik
3. Flug- und Luftfahrttechnologie
4. Sensortechnik
5. Rüstungs- und Wehrtechnik
6. Elektronik
7. Raumfahrttechnologie
8. Marine und Schiffahrt
9. Materialforschung und Herstellungstechnik
10. Radartechnik

Die Teilbereiche sind dann noch aufgeschlüsselt in wichtige Themengebiete. Soweit so uninteressant. Spannend wird es wieder im Anhang, wenn die gängigsten Social Engineering Verfahren und typische Gegenmaßnahmen analysiert werden. Dabei werden folgende Bereiche unterschieden:

• Request for Information (RFI)
• Acquisition of Technology
• Solicitation and Marketing of Services
• Exploitation of Foreign Visit
• Targeting at Exhibits, Conventions, and Seminars
• Exploitation: Relationships
• Suspicious Internet Activity
• Targeting of U.S. Personnel Abroad

Zur allgemeinen Erheiterung sind auch ein paar konkrete Beispiele angegeben, z.B. dieses hier:

„A female foreign national seduced an American male translator to give her his password in order to log on to his unclassified network. Upon discovery of this security breach, a computer audit revealed foreign intelligence service viruses throughout the system.“

Hach ja, Mata Hari.

Auf jeden Fall gibt es für alle Bereiche eine Liste von mögliche Erkennungsmaßnahmen, beispielsweise für den Bereich Informationssammlung:

• Technologie unterliegt ITAR Exportbeschränkungen
• Der Vertragspartner des Verteidigungsministeriums hat keine normale Geschäftsbeziehung mit einem ausländischen Anfrager
• Die Anfrage kommt von einer Embargonation oder einer nicht-identifizierbarten Firma
• Die Anfrage erfolgt unaufgefordert und ist unerwünscht
• Der Anfragende behauptet von einer Regierungsstelle zu kommen, vermeidet jedoch offizielle Kommunikationskanäle
• Die Anfrage richtet sich an einen Mitarbeiter der den Absender nicht kennt und nicht in Vertrieb oder Marketing beschäftigt ist
• […]

Und natürlich eine Reihe von Gegenmaßnahmen, darunter an erster Stelle:

• Information und Schulung der Mitarbeiter bezüglich der Gefährdungen

Oder auf neudeutsch: Awareness!

Womit wir beim eigentlich Thema wären. Spionage kann jeden treffen. Angefangen von Informationen zu neuen Produkten und Dienstleistungen über Beziehungen zu Geschäftspartnern bis hin zu trivialen Sachen wie Gehälter oder private Daten. Es ist deshalb unerläßlich, alle Mitarbeiter auf mögliche Gefahren und Risiken hinzuweisen und bezüglicher der Social Engineering Thematik zu sensibilisieren. Und nur durch ein Awarenessprogramm, das die Gefahren regelmäßig immer wieder aufgreift ist ein dauerhaft hohes Sicherheitsniveau gewährleistet.

Ich bin neulich mit dem Auto durch Hessen gefahren und habe in den US Militärsender American Forces Network reingehört. Dort im Radio wurde das Thema alle 30 Minuten aufgegriffen!