Wie Profis Industriespionage betreiben, Teil 1
Das Prinzip der Lückensuche
"Datensicherheit? Das heißt doch Firewall, Virenscanner, Security-Patches, vielleicht auch noch Spyware-Detektor und Intrusion Detection …" Wer so denkt, sollte in Ira Winklers Buch "Spies Among Us" hineinschauen, denn der ehemalige NSA-Angestellte geht darin ganz anders an den Schutz von Informationen heran - und überaus praxisnah.
Industriespionage ist eine Grauzone. Meistens bleiben die Angriffe unbemerkt, und erkannte
erfolgreiche Angriffe werden – wenn möglich – aus Imagegründen geheim gehalten. Vermutlich ist das
Ausmaß real betriebener Spionage weit größer, als selbst Pessimisten ahnen. Besonders bedenklich
ist dabei, dass Sicherheit seitens des "Guten" ganz anders aussieht als seitens des "Bösen": Das
potenzielle Opfer überlegt sich anhand der bekannt gewordenen negativen Erfahrungen anderer, wo
Informati-onen entweichen könnten. Es arbeitet eher methodenorientiert: Absicherung von
Datenübertragungen, Zugriffsschutz lokaler Datenbestände, Personenkontrollen und so weiter – also
alles im Rahmen des Bekannten.
Angreifer arbeiten ergebnisorientiert
Der Angreifer hingegen arbeitet ergebnisorientiert: Er sucht zielgerichtet nach den Lücken, und
davon gibt es leider mehr, als man sich vorstellt. Es spielt für ihn zum Beispiel keine Rolle, ob
seine Methoden verallgemeinerungsfähig sind oder nicht: Hauptsache, sie führen schnell zum Erfolg.
Diese Denkweise sollte sich ein potenzielles Opfer aneignen, doch das ist einfacher gesagt als
getan.
Ira Winklers Buch "Spies among us" [1] kann dabei eine wertvolle Hilfe sein, denn der Autor ist
ein ehemaliger NSA-Mitarbeiter und wird von Firmen angeheuert, um mit Methoden professioneller
Industriespione Schwachstellen aller Art zu finden. Einer seiner spektakulärsten Erfolge war,
binnen eines halben Tags strategische Konstruktionsunterlagen für Kernreaktoren zu stehlen (mehr
dazu später). Er selbst war von seinen Erfolgen weniger überrascht, denn dazu kennt er die Praxis
zu gut. Doch was ihn erstaunte: In etwa 40 Prozent aller untersuchten Fälle fand er Spuren früherer
Einbrüche, von denen niemand etwas geahnt hatte. Dies gibt zu denken und bestätigt seine These: Ein
guter Spion lässt sich nicht erwischen, und seine Aktivität wird selbst im Nachhinein nicht
bemerkt.
Die ersten dreißig Seiten von Winklers Buch könnten Pflichtlektüre für Sicherheitsmanager sein,
denn dort erklärt der Autor, wie ein Geheimdienst arbeitet. Das ist wesentlich pragmatischer und "
langweiliger" als jeder beliebige Film zu diesem Thema. Es geht darum, Informationen möglichst
billig zu gewinnen, also mit niedrigem Aufwand und niedrigem Risiko. Kasten 1 gibt hierzu einige
Anregungen. Dieser Pragmatismus unterscheidet Spione von Hackern, für die oft das Eindringen in
fremde Computer Selbstzweck ist. Einem professionellen Spion ist es egal, woher er Informationen
bezieht: aus unverschlüsselten E-Mails, zufällig mitgehörten Gesprächen, Marketing-Veranstaltungen
oder aus Abfallcontainer: "Information is information", schreibt Winkler. Ein Spion greift an der
schwächsten Stelle an, er hat keine sportlichen Motive.
Informationsgewinnung in einem Geheimdienst ist ein Zyklus (S.12ff):
Zuerst muss klar sein, welche Art von Information überhaupt interessiert
(Formulierung der Anforderungen).
Im nächsten Schritt versucht man, an diese Information heranzukommen (Daten zu
sammeln).
Danach werden gewonnene Erkenntnisse aus verschiedenen Quellen zusammengefügt
und analysiert.
Abschließend bewertet man, wie weit die Ergebnisse den ursprünglichen
Anforderungen genügen, und modifiziert gegebenenfalls diese Anforderungen: Der Zyklus beginnt dann
von neuem.
Gemeinhin wird nur der zweite Schritt mit dem Stichwort "Spionage" verknüpft, die meisten Teile
des Zyklus bleiben im Hintergrund. Doch nur wer die Strategie der Gegenseite versteht, ist
überhaupt in der Lage, sich effektiv zu schützen: Wertvolle Daten werden vielleicht aus vielen
kleinen Stückchen zusammengesetzt, und diese Stückchen können aus verschiedensten Sicherheitslücken
stammen oder sogar aus öffentlich zugängigen Informationen ("Tod durch 1000 Schnitte" nennt es
Winkler in Kapitel 3). Und vor allem wird ein Spion an der schwächsten Stelle ansetzen. Die ist
eben nicht das Knacken eines 512-Bit-RSA-Schlüssels (wie Diskussionen in Foren manchmal glauben
machen wollen), sondern das vom Hersteller voreingestellte Passwort des Administrators. Oder der
demotivierte Wachmann. Oder auch die ungesicherte Tür in der Tiefgarage.
Unerwartetes Vorgehen
Vor allem das Angreifen des schwächsten Punktes demonstrierte Winkler sehr deutlich bei seinem
spektakulärsten Fall, dem bereits erwähnten Diebstahl von Konstruktionsunterlagen von
Kernreaktoren, also aus einem Hochsicherheitsbereich. Es ging um eine große Firma mit vielen
Niederlassungen. Daher suchten er und sein auf Hacking spezialisierter Assistent zunächst eine
Außenstelle auf und dort wiederum nach einem Restaurant, in dem Mitarbeiter oft verkehren. Es fand
sich darin ein Gefäß, wo man seine Visitenkarte einwerfen konnte, um ein kostenloses Essen zu
gewinnen. Sie griffen sich unbemerkt eine und fuhren damit zum Eingang der Zentrale. Als der
Wächter nach dem Ausweis fragte, meinte Winkler: "Ich habe ihn vergessen, hier ist meine
Visitenkarte." Das reichte, um hineinzukommen (der Beifahrer wurde nicht kontrolliert). Im nächsten
Schritt fuhren sie zur Tiefgarage und gelangten über eine Tür zusammen mit anderen Mitarbeitern in
das Hauptgebäude. Da sie nun von innen kamen, schöpfte niemand Verdacht, als sie fragten, wo man
hier einen Ausweis beantragen könne. Noch eine Unterschriftenfälschung, und schon wurden sie
scheinbar legale Betriebsangehörige.
Mit einfachen Mitteln zu vertraulichen Informationen
Mit den frisch ergaunerten Ausweisen flogen sie zum Hauptwerk, wo sie diese zu ihrer
Überraschung gar nicht benötigten, denn auf der Überholspur kontrollierte im morgendlichen Gedränge
niemand (wohl aber mussten sich ihre Auftraggeber gegenüber der eigenen Firma ausweisen). Der
nächste unerwartete Schritt von Winkler war nun, nach der Grafikabteilung zu fragen, denn dort
vermutete er Rechner, auf denen Angebote gespeichert werden – mit leckeren technischen Details. Er
gab sich als Angehöriger der Firmenleitung aus und stellte rein technische Fragen, zum Beispiel
nach der verwendeten Textverarbeitung (damit erfuhr er das Format einiger Dokumente), und wo die
Angebote gespeichert werden. Zur Prüfung bat er, eine Zeile eintippen zu dürfen. Das ahnungslose
Opfer gewährte es ihm; er gab "cat /etc/hosts" ein. Damit konnte er sich bereits Name und
IP-Adresse des Servers mit den Angeboten aufschreiben. So primitiv sieht der Netzwerkangriff eines
Profis aus!
Die Geschichte wird noch abenteuerlicher. Ein Systemadministrator des Hochsicherheitsbereiches
zeigte ihm bereitwillig den Serverraum, und er notierte sich weitere Namen und IP-Adressen, die
freundlicherweise zusammen auf die Racks aufgeklebt waren. Das Eindringen in die Systeme war für
seinen Assistenten kein Problem, insbesondere wo keine oder Standardpasswörter verwendet wurden. So
kamen sie binnen eines halben Tages an hochsensible Unterlagen heran, an denen auch die Konkurrenz
heftig interessiert war. Und offenbar mit Erfolg, denn in den Logfiles fanden sich zahlreiche
Logins aus Indien. "Wir haben Partner in Indien, die könnten die Ursache sein." – "Besitzen die
etwa Administratorrechte?" – "Nein!!" Damit war der für auf eine Woche veranschlagte Einbruch
bereits nach einem halben Tag vorbei, und man hatte obendrein noch Spuren echter Einbrüche
gefunden.
Quellen der Gefahr
Sicherlich gehören Routine, Phantasie und Unverfrorenheit zu solch einem Angriff. Doch nicht nur
Geheimdienste arbeiten professionell, auch Konkurrenten können es, wie das Beispiel des "indischen
Adminstrators" recht deutlich zeigt. Besonders gefährlich wird es, wenn Geheimdienste mit der
Wirtschaft kooperieren. Nach Winklers Einschätzung ist das vor allem bei China und Frankreich der
Fall. Der französische Dienst DGSE soll über hochentwickelte Einbruchstechniken in Computer
verfügen und sie französischen Hackern zukommen lassen, damit nur diese im Fall der Rückverfolgung
als Täter bloßgestellt werden. China verfügt über ein Heer von Auslandsstudenten und Angestellten,
die weltweit tätig sind, aber finanziell und/oder familiär mit ihrem Heimatland eng verbunden sind.
Winkler betrachtet alle US-Niederlassungen in China als kompromittiert. Auch China-Restaurants
spielen hier eine Rolle, die sich in der Nähe wichtiger Firmen ansiedeln und Betriebsfeiern an sich
ziehen. So machte ein Kollege Winkler auf viel zu billige schwarze Enteneier in einem China
Restaurant bei Los Angeles aufmerksam: Dies sei ein sicheres Indiz für Industriespionage, hier
wolle man Besucher anlocken und aushorchen..
Geheimdienste im Wettbewerb
Als gefährlichsten Gegner schätzt er jedoch Russland ein, denn dort stehen einzelne
Geheimdienste in Konkurrenz und sind wirtschaftlich an ihren Erfolgen beteiligt. Ihre
Hackerfähigkeiten sollen denen der USA ebenbürtig sein (vor allem beim Dienst GRU). Überflüssig zu
sagen, dass die USA solche Fähigkeiten selbstverständlich niemals missbrauchen und ihre
Geheimdienste nicht mit der Wirtschaft zusammenarbeiten! So schreibt es jedenfalls Winkler – ein
ehemaliger NSA-Angestellter. Dafür bekommen Israel, Japan, Indien, natürlich auch Iran und Kuba und
selbst der BND ihr Fett ab.
Spionage ist jedoch nicht an Geheimdienste gebunden, denn wie schon oben erwähnt haben
Konkurrenten (nicht selten weltweit) oder einfach unzufriedene oder entlassene Mitarbeiter ebenso
Motive, an sensible Daten heranzukommen. Kapitel 4 listet eine große Zahl derartiger
Gefahrenquellen. Einen konkreten Fall schildert er in Kapitel 9, wo der Angestellte Afshin Bavand
geradezu "tonnenweise" Technologie von Ericsson an den KGB verkaufte. Bavand war kein cleverer
Spion, doch er kam noch nach seiner Entlassung problemlos an wichtige Daten heran, später dann über
ehemalige Kollegen. Sein Motiv war simpel: Geld.
Auch Kunden und Zulieferer können von der Konkurrenz abgeschöpft werden oder sogar in ihrem
Auftrag arbeiten. Um die Situation noch komplizierter zu machen: Die Zahl der potenziell
gefährlichen Insider nimmt zu, denn immer häufiger werden Teilaufträge von Kontraktoren übernommen,
die nicht selten die gleichen Zugriffsmöglichkeiten wie Angestellte haben (einer der Auftraggeber
des Autors dieses Artikels hatte 2000 Angestellte und 3000 Kontraktoren). Rechnernetzwerke sind
kaum gegen Insider geschützt, und für den physischen Schutz gilt oft das Gleiche. Der perfekte
Industriespion ist kein Schlapphut, sondern beispielsweise ein hochqualifizierter, hilfsbereiter
Gast, der von Kollegen viel gefragt wird und dabei viel erfährt. Allerdings ist eben auch nicht
jeder hochqualifizierte und hilfsbereite Gast geich ein Spion.
Hacker schätzt Winkler sehr gering und rückt sie eher in die Nähe von Kriminellen, wie sich an
mehreren Stellen in seinem Buch zeigt. Darüber kann man streiten. Man muss ihm jedoch Recht geben,
dass Hacking längst kein reiner Sport mehr ist, sondern auch bewusst oder unbewusst im Auftrag
organisierter Krimineller betrieben wird, die Bot-Netze für Spam oder Erpressungen nutzen oder mit
ausgespähten Kreditkartendaten auf Einkaufstour gehen. Terroristen werden nach seiner Ansicht nicht
das Netz angreifen, da es ihnen selbst nützt.
Damit hat sich auch der Begriff "Cyberterrorismus" ad absurdum geführt. Das Legen von Bomben
oder vielleicht auch das Versenden weißen Pulvers in Briefumschlägen ist doch viel einfacher und
erzeugt viel effektiver Panik.
Teildienste zapfen Informationen aus verschiedensten Quellen an:
HUMINT: human intelligence, "Arbeit vor Ort": verdeckte Befragung, heimliches Kopieren,
zufälliges Mithören in Verkehrsmitteln oder Gaststätten, Anbringen von Wanzen und so weiter.
SIGINT: Signal intelligence, Analyse von Nachrichtenkanälen (E-Mails, Telefongespräche,
Netzwerkverkehr aller Art, Hacken von Rechnern, Funkverkehr). Nicht immer interessiert man sich für
den Inhalt, oft reicht schon die "Traffic Analysis" aus: Wer hat wann wem eine Nachricht gesendet?
Die NSA wird vorwiegend mit dieser Art Datengewinnung in Zusammenhang gebracht, doch das ist nur
ein Teil ihrer Arbeit!
IMINT: Image intelligence, Auswerten von Bildmaterial
OSINT: Open source intelligence, Auswerten öffentlich zugänglicher Daten (Postings in Foren,
Mailing-Listen, Webseiten, gedrucktes Material, nicht als sensitiv klassifizierte Daten: Wenn der
Pizzalieferant einer Armeebasis 22:00 Uhr ungewöhnlich viel liefert, wird ein Einsatz vorbereitet).
Es wird vermutet, dass die NSA zu 80 Prozent OSINT betreibt.
TRASHINT: Auswerten von Abfall: Rückseiten von Manuskripten oder Schmierzetteln
(Kreditkartenquittungen), Abfallcontainer und so weiter.
Der "Spion" im klassischen Sinn ist der "Special Agent" (inoffizieller Mitarbeiter), der meist
nicht weiß, welches Risiko er eingeht. Seine Motive sind finanziell, ideologisch, Geltungsbedarf –
aber auch Erpressung spielt eine Rolle. Angeleitet und ausgenutzt werden sie von "Operatives"
(Führungsoffizieren), die kaum ein Risiko eingehen.
Ein Großteil der Geheimdienstmitarbeiter ("agents") dürfte allerdings am Schreibtisch sitzen und
mit der Planung der Datengewinnung und Auswertung von Informationen beschäftigt sein.
Vergleiche mit der Stasi sind erlaubt: Auch sie war "nur" ein Geheimdienst mit ähnlichen
Methoden, allerdings mit totalitärem Hintergrund.
Lesen Sie mehr zum Thema
