Die Federation of American Scientists hat hier (PDF; 2,4 MB) unter dem Titel „Technology Collection Trends in the U.S. Defense Industry“ einen sehr interessanten Bericht über die Social Engineering Angriffe gegen amerikanische Wissenschaftler und Militärangehörige zusammengestellt.
Der generelle Trend ist steigend, von 37 identifizierten spionierenden Ländern im Jahr 1997 über 63 Länder im Jahr 2000 auf 106 Länder im Jahr 2005. Für das Jahr 2005 werden 971 Einzelvorfälle erfaßt. Die spionierenden Länder sind nicht einzeln aufgeführt, es gibt lediglich eine geographische Zusammenstellung der Vorfälle in der Ostasien mit 31% vor dem Nahen Osten mit 23%, Eurasien mit 19% und Südasien mit 13% führt. Afrika kann mit weniger als 3 % vernachlässigt werden. Dabei wird jedoch nicht zwischen Westeuropa und Russland (Eurasien) unterschieden und in Ostasien wird China zusammen mit Japan und Australien in einen Topf geworfen.
Die Hauptziele der Spionage waren (in dieser Reihenfolge):
- Informations- und Datenverarbeitungssysteme
- Laser und Optik
- Flug- und Luftfahrttechnologie
- Sensortechnik
- Rüstungs- und Wehrtechnik
- Elektronik
- Raumfahrttechnologie
- Marine und Schiffahrt
- Materialforschung und Herstellungstechnik
- Radartechnik
Die Teilbereiche sind dann noch aufgeschlüsselt in wichtige Themengebiete. Soweit so uninteressant. Spannend wird es wieder im Anhang, wenn die gängigsten Social Engineering Verfahren und typische Gegenmaßnahmen analysiert werden. Dabei werden folgende Bereiche unterschieden:
- Request for Information (RFI)
- Acquisition of Technology
- Solicitation and Marketing of Services
- Exploitation of Foreign Visit
- Targeting at Exhibits, Conventions, and Seminars
- Exploitation: Relationships
- Suspicious Internet Activity
- Targeting of U.S. Personnel Abroad
Zur allgemeinen Erheiterung sind auch ein paar konkrete Beispiele angegeben, z.B. dieses hier:
- „A female foreign national seduced an American male translator to give her his password in order to log on to his unclassified network. Upon discovery of this security breach, a computer audit revealed foreign intelligence service viruses throughout the system.“
Hach ja, Mata Hari.
Auf jeden Fall gibt es für alle Bereiche eine Liste von mögliche Erkennungsmaßnahmen, beispielsweise für den Bereich Informationssammlung:
- Technologie unterliegt ITAR Exportbeschränkungen
- Der Vertragspartner des Verteidigungsministeriums hat keine normale Geschäftsbeziehung mit einem ausländischen Anfrager
- Die Anfrage kommt von einer Embargonation oder einer nicht-identifizierbarten Firma
- Die Anfrage erfolgt unaufgefordert und ist unerwünscht
- Der Anfragende behauptet von einer Regierungsstelle zu kommen, vermeidet jedoch offizielle Kommunikationskanäle
- Die Anfrage richtet sich an einen Mitarbeiter der den Absender nicht kennt und nicht in Vertrieb oder Marketing beschäftigt ist
- […]
Und natürlich eine Reihe von Gegenmaßnahmen, darunter an erster Stelle:
- Information und Schulung der Mitarbeiter bezüglich der Gefährdungen
Oder auf neudeutsch: Awareness!
Womit wir beim eigentlich Thema wären. Spionage kann jeden treffen. Angefangen von Informationen zu neuen Produkten und Dienstleistungen über Beziehungen zu Geschäftspartnern bis hin zu trivialen Sachen wie Gehälter oder private Daten. Es ist deshalb unerläßlich, alle Mitarbeiter auf mögliche Gefahren und Risiken hinzuweisen und bezüglicher der Social Engineering Thematik zu sensibilisieren. Und nur durch ein Awarenessprogramm, das die Gefahren regelmäßig immer wieder aufgreift ist ein dauerhaft hohes Sicherheitsniveau gewährleistet.
Ich bin neulich mit dem Auto durch Hessen gefahren und habe in den US Militärsender American Forces Network reingehört. Dort im Radio wurde das Thema alle 30 Minuten aufgegriffen!
Halte das für eine Sonderheit der jeweiligen Kultur: In den USA hat die Awareness längst globalneurotische Züge. In der Bundesrepublik glaubt man bei allgemeiner Friede, Freude Eierkuchen Mentalität im Volke noch an den Weihnachtsmann.
Comment by Benniy Goodman — 10. Juli 2007 @ 09:43
Ich glaube, die Awareness zieht bei uns auch schon ganz massiv ein. Einige Firmen sind recht aktiv, was Awarenessprogramme angeht und selbst Regierungsbehörden haben das Thema entdeckt. Beispielsweise gibt es vom Verfassungsschutz eine ganz interessante und brauchbare Broschüre mit dem Titel:
„Ihre Verantwortung – unsere Sicherheit, über den Umgang mit vertraulichen Informationen“
Die gibt es entweder gedruckt oder digital als PDF zum Download (PDF, 967 KB). Darum geht es im Prinzip um genau die gleichen Themen, Fahrlässigkeit, Verratsmotive und wie Spionage heute aussieht.
Comment by Christian — 10. Juli 2007 @ 14:10
Kommentare gesperrt wegen Spam
Comment by Christian — 20. September 2008 @ 19:07