© complexium GmbH

Digitale Munition gegen Unternehmen und Personen ist da, verfügbar und wachsend

Ein Lagebild

Von Professor Dr. Martin Grothe

Digitalisierung ist alternativlos, gerade jetzt. Aber ohne Berücksichtigung der „dunklen Seite“ ist sie fahrlässig. Dies gilt auch für den Unternehmens- und Personenschutz.
Insbesondere in Zeiten sozialer Distanzierung und digitaler Fokussierung nehmen Datenspuren im Netz zu, böswillige Energie auch.
Angriffe gegen Schutzpersonen und Unternehmen sind vielfach möglich. Die notwendigen Daten sind für Dritte verfügbar. Der notwendige Recherche-Aufwand sinkt durch gehackte Daten aus „dunklen Foren“ (Data-Breaches) auf Stunden und der Angreifer muss seine Comfort Zone nicht einmal verlassen.

Folglich macht es auch für die Verantwortlichen für Personenschutz und Unternehmenssicherheit sehr viel Sinn, die sich in dunklen Foren ansammelnde Munition für böswillige Dritte zu identifizieren, zu bewerten und rechtzeitig mit Gegenmaßnahmen zu versehen.
Schutz- und Abwehrmaßnahmen verbinden Digital Listening mit Sensibilisierung. Geboten ist ein profundes Verständnis dieser neuen Bedrohung.

Die dunkle Seite der Digitalisierung

Gut ein Jahr, nachdem selbst die Tagesschau über die gerade bekannt gewordene Collection #1 berichtete, haben die wenigsten Unternehmen reagiert. Kontinuierlich aber bieten Hacker erbeutete Datenbestände an: Daten, die oftmals gegen Unternehmen eingesetzt werden können. Nur sehr langsam erkennen Sicherheitsverantwortliche, dass im digitalen Raum wirkmächtige Bedrohungen gegen Unternehmen und Schutzpersonen erwachsen: Neben aktivistischen Ankündigungen, unerwünschten Einblicken und Information Leaks sind dies Data-Breaches, die eine aktive Verteidigung begrenzen sollte.

Wie kommt es zu dieser Bedrohung?

  1. Mitarbeiter (und Schutzpersonen) nutzen externe digitale Services und melden sich an diversen Plattformen an.
  2. Anmeldedaten mit der Unternehmens-Email-Domain werden auf dritten Plattformen von Hackern gestohlen.
  3. Diese Datensätze werden gesammelt in Compilations (umfassende Zusammenstellungen, die i.d.R. das Klartext-Passwort, aber keine Quelle enthalten) und einzeln für die gehackten Seiten in anonymen Internetforen angeboten.
  4. Böswillige Dritte – auch ohne IT-Kenntnisse – finden diese Hackerfiles und können diese für ihre Machenschaften nutzen.

Data-Breaches bedrohen die Sicherheit von Unternehmen, exponierten Persönlichkeiten und Mitarbeitern. Sie können für kriminelle oder aktivistische Motive genutzt werden:

  • Erpressung oder Reputationsschädigung ← Kompromate etwa durch Flirt-/Seitensprung-Portale.
    Der Verweis auf die Nutzung etwa Badoo, Fling, Zoosk kann als Kompromat zur Erpressung eingesetzt werden.
  • Identitätsübernahmen ← gehackte Profile mit Passwörtern.
    Von Hackern bereitgestellte Netzwerkidentitäten erlauben böswilligen Dritten Identitätsmissbrauch. Durch die Übernahme eines Profils entsteht Zugriff auf die Kontakte und das Nachrichtenpostfach.
  • Social Engineering, Spear-Phishing ← Vielzahl einzelner Puzzlesteine: Attribute und Präferenzen.
    Data-Breaches liefern Detaildaten, wenn sie Bezüge zu spezifischen Plattformen offenbaren: Attribute und Präferenzen für gezielte Ansprachen, Social Engineering und Spear-Phishing.

Mit der möglichen Folge von Informationsabfluss und der Vorbereitung von Cyber-Angriffen. Data-Breaches sind nicht nur Munition für böswillige Dritte und Kriminelle, sondern erleichtern auch Cyber-Angriffe. Die jeweilige Sicherheitslage kann in fünf Dimensionen beurteilt werden:

  • Anzahl Treffer (in der Gesamtheit der Hackerfiles)
  • Anzahl Data-Breaches ( = relevante Hackerdaten-Files) – Präsenz in dunklen Foren
  • Anzahl Mitarbeiter ( = unterschiedliche Email-Adressen) – Durchdringung der Organisation, Awareness-Grad
  • Anzahl Kompromate ( = Treffer mit Erpressungspotenzial) – besonders schwerer Bedrohungsgrad
  • Trend – Veränderung im Zeitablauf.

Aktuelle Fallstudien

Um die konkrete Präsenz dieser Bedrohung zu verdeutlichen, hat das complexium-Team einige Konstellationen in der Tiefe untersucht. Hierzu wurde ein Verzeichnis von etwa 15.000 Hackerdaten-Files mit mehr als 3 Milliarden unterschiedlichen Adressen nach den jeweiligen Treffern durchsucht und dann weiter ausgewertet und bewertet.

Einige Befunde werden im Folgenden skizziert

Berlin vs. Hamburg: Hohe Data-Breach-Exposure von Städte-Domains.
Die Städte-Domains für Hamburg und Berlin bilden mit ihren jeweiligen Sub-Domains einen guten Teil der Behördenstruktur dieser zwei größten deutschen Metropolen ab. Auch die digitalen Aktivitäten der Beschäftigten in diesen Strukturen werden durch Hacking kompromittiert. Insgesamt lassen sich in Data-Breach-Files knapp 9.000 Treffer für Hamburg.de und über 10.000 für Berlin.de finden.

Die hohe Anzahl betroffener Sub-Domains zeigt die umfassende Durchdringung dieser Bedrohung:

  • Für Hamburg.de:
    114 Sub-Domains, z.B. HPA, BSU, BSB, FB, BWA, BSG, Wandsbek, …
  • Für Berlin.de:
    90 Sub-Domains, z.B. Senbwf, SenStadt, Senatskanzlei, Lageso, …

Email-Adressen zu den Domains Berlin.de und Hamburg.de finden sich in hunderten Data-Breaches: Teilweise in großen Adresssammlungen (Compilations, zumeist mit Passwort), teilweise in Data-Breaches einzelner Webseiten. Nicht jeder dieser Treffer ist bedrohlich, gleichwohl finden sich hunderte Kompromate durch die Nutzung der dienstlichen Email-Adressen für Flirt-/Seitensprungportale. Email-Adressen werden nicht immer achtsam bzw. in Einklang mit den Compliance-Regeln eingesetzt.

Bund.de: Weder Ausnahme, noch Vorbild

Eine Untersuchung der Email-Domain Bund.de gibt folgendes Bild:

  • Treffer: 2.956
  • Verschiedene Adressen: 1.701
  • Betroffene Sub-Domains: 93, darunter alle Ministerien, aber auch polizei.bund.de und bka.bund.de
  • Relevante Breaches: 266, darunter auch verschiedene Flirt-/Seitensprungportale.

MDAX: Hohe Data-Breach-Exposure

Für zwei Branchen im MDAX mit jeweils 5 bis 6 Unternehmen wurde die Betroffenheit durch Data-Breaches untersucht:

  • Chemie & BioTech
  • Banken & Versicherungen

Im Mittel sind 5% der Mitarbeiter betroffen. Die Anzahl der Vorkommnisse pro betroffener Adresse liegt recht stabil bei 1,74. Beide Größen können zur Abschätzung der eigenen Bedrohung herangezogen werden. Aber: Die Anzahl der Kompromate schwankt zwischen 0 und 122, d.h. Achtsamkeit ist möglich!

Sicherheitswirtschaft: Überwiegend achtsamer Umgang mit der Email-Adresse

In Summe haben die untersuchten zehn Sicherheitsunternehmen mehr als 55.700 Mitarbeiter. Insgesamt tauchen nur 380 Treffer dieser Unternehmen in Data-Breaches auf. Betroffen sind 243 verschiedene Email-Adressen.

Die Fallzahlen sind also sehr gering: Die Werte sprechen für einen disziplinierten Umgang mit der betrieblichen Email-Adresse. Bedrohlich sind aber mögliche Kompromate durch Flirt-/Seitensprung-Portale.

Der Unternehmenssplit zeigt, dass die Belegschaften der Unternehmen durchaus unterschiedlich achtsam mit den betrieblichen Email-Adressen umgehen. Die untersuchten Sicherheitsunternehmen haben nur wenige Hausaufgaben zu tun. Andere Unternehmen sind deutlich stärker betroffen.

Landesbanken: 4% der Treffer sind Kompromate

In einem untersuchten Testfeld aus fünf Landesbanken sind ungefähr 4% der Treffer dem Kompromat-Bereich zuzuordnen, wobei sogar jedes Institut betroffen ist.

Hochschulen vs. Auto-Konzern: Überschaubare, aber unnötige Einblicke

In einem Testfeld aus zwei kleineren Hochschulen und einem Automobilhersteller ergeben sich zahlreiche Treffer. Hierbei sind auch Fakultätsmitglieder und ein Dekan betroffen, was in Prüfungssituationen o.ä. ausgenutzt werden könnte. Gleichwohl ist die Betroffenheit bei dem DAX-Konzern (11.670 Treffer verglichen mit 234 und 1.442 Treffern), davon mehr als 800 Kompromate) zahlenmäßig vielfach präsenter.

Champions League: Exponierte Vereine spielen teilweise sehr anfällig.

Auf nur wenige andere Bereiche fokussiert sich ein vergleichbares Ausmaß an breiter Emotion, regelmäßiger Begeisterung oder Enttäuschung wie auf die Top-Vereine im europäischen Fußball. Zudem ist das Vereins- und Spielgeschehen eng mit Investorengeldern, Wetteinsätzen, Sponsoring und Produktverkäufen verbunden.
Integrität ist für die Clubs ein wichtiger Wert: Für zehn Top-Clubs aus fünf Ligen wurde die Data-Breach-Betroffenheit untersucht. Die Achtsamkeit ist sehr unterschiedlich ausgeprägt. Es gibt sogar Spieler, die in verschiedenen Clubs das jeweils gleiche Kompromat aufgebaut haben.

Die Treffer liegen zwischen 11 und 309, betroffen sind 3 bis 201 Personen pro Club.
Die Quote aus Kompromaten pro Person weist zwei Cluster auf: Die in dieser Disziplin besten sechs Clubs liegen zwischen 0 und 12%, die nicht so achtsamen allerdings zwischen 31 und 79%. Eine Korrelation mit dem fußballerischen Erfolg kann aber rein zufällig sein.

Mittelstand Hamburg: Der digitale Deich ist derzeit leider ein Sieb.

Für ein Set aus 100 Unternehmen mit Sitz in Hamburg wurden kleine, große und mittlere Unternehmen einbezogen und ein breiter Branchenmix abgebildet: Für die allermeisten der Unternehmen konnten Email-Adressen in Data-Breaches gefunden werden. Dies betrifft in vielen Fällen auch Kompromate. Es wird böswilligen Dritten leicht gemacht: Die Bedrohung ist da, relevant und wachsend.
Notwendig ist

  • zum einen ein deutlich höheres Maß an Achtsamkeit jedes Einzelnen und
  • zum anderen eine digitale Früherkennung für die Unternehmen, um das Risiko von Angriffen auf die Reputation und Integrität sukzessive einzudämmen und möglichstfrühzeitig erkennen zu können.

Die Top 25 Unternehmen aus dem Set kommen jeweils auf beachtliche Größenordnungen in Bezug auf Treffer und betroffene Mitarbeiter. Für 40% der untersuchten Unternehmen wurden 10 und mehr unterschiedliche Email-Adressen detektiert. In etwa 15% ergaben sich zwischen 100 und 1.000 Zugänge. Die Anzahl der betroffenen Data-Breaches schwankt zwischen 14 und 173.

Präzise Ansprachen möglich, ggf. Erpressbarkeit

Die Nutzung von Flirt-/Seitensprung-Portalen soll in der Regel weder betrieblich, noch ehelich bekannt werden. Mehrere Hundert Mitarbeiter tauchen mit ihrer Emailadresse in Data-Breaches entsprechender Angebote auf. Für die untersuchten 5 Unternehmen mit der größten Trefferzahl gilt: Gut 4 % der Treffer sind grundsätzlich als Kompromat geeignet.

In vielen Unternehmen sind es wohl nur Einzelphänomene – wenngleich jeder einzelne unnötige Zugang vermieden werden sollte.
Besorgniserregend ist der deutliche Zuwachs in einer Zweimonatsperiode. Sollten bereits Sensibilisierungsmaßnahmen bestehen, so scheinen diese keine Wirkung zu zeigen.

Ableitungen und Empfehlungen

Diese punktuellen Einblicke, die durch hier nicht aufgeführte unternehmensspezifische Analysen ergänzt werden, offenbaren eine durchgehende Schwäche, ggf. sogar einen blinden Fleck im Sicherheits-Lagebild. Es bedarf einer ergänzenden Aufstellung: The Next Line of Defense! Digitaler Unternehmens- und Personenschutz wird weder von Behörden, noch von Software-Tools gewährleistet. Es ist Ihre Aufgabe!

So fordert die Sicherheit von Unternehmen und den exponierten Persönlichkeiten durch die digitale Sichtbarkeit fundamental neue Sicherheitsstrategien und -lösungen: Gegnerschaften nutzen den digitalen Raum bereits versiert zur Datengewinnung, Koordination, Durchführung und Beschreibung von aktivistischen oder kriminellen Vorhaben. Neue Sicherheitsbausteine vermindern durch Digital Listening die bedrohliche Asymmetrie:

  1. Früherkennung von Aktivismus, Produktproblemen, Desinformation
    Digitale Früherkennung erkennt Bedrohungen, die im Internet auftauchen, z.B. Protestaufrufe zur Hauptversammlung, Blockade-Planungen, zunehmende Kritik an Produkten, Angebot von Produktfälschungen.
    Sie können hierzu eine Vielzahl von Open Source Intelligence-Tools nutzen (z.B. www.OSINTFramework.com) und/oder einen Spezialisten wie complexium hinzuziehen, der Algorithmen und eigene Analysten für ein qualifiziertes Alerting einsetzt: Die erkannten Threats werden strukturiert und bewertet, um Ihnen ein klares Lagebild zu schaffen. Betrachtet werden der öffentliche digitale Raum sowie Data-Breaches.
  2. Digitaler Personenschutz: Sichtbarkeitsanalysen für Inhaber und Vorstände
    Der Schutz für diese Personen muss gewährleisten, dass diese frei von äußerer Gefahr, böswilligem Druck oder krimineller Einwirkung Entscheidungen treffen können. Die Möglichkeiten, durch unerwünschte digitale Einblicke eine Annäherung an die Schutzpersonen und ihre Familien zu erreichen, werden durch Sichtbarkeitsanalysen untersucht. Mit einem systematischen Prozess der investigativen Recherche wird überprüft, welche sicherheitsrelevanten Informationen zur Schutzperson/-familie sich aus digitalen Quellen und identifizierten Data-Breaches ermitteln lassen. Es wird aufgezeigt, welches Lagebild sich ein böswilliger Dritter aufbauen kann: Wohnorte, Ehepartner, Kinder, Schulwege, Freizeitroutinen, Passworte etc. Wichtige und praktikable Anpassungen des eigenen digitalen Verhaltens lassen sich aufzeigen und einüben.
  3. Data-Breach-Inspection: Schutz von Reputation und Integrität
    Detektions- und Sensibilisierungsprozess
    Die regelmäßige Prüfung der eigenen Data-Breach-Betroffenheit ist ein wichtiger Sicherheitsbaustein. Zur Prüfung einzelner Adressen wird häufig die private Seite eines australischen Microsoft-Managers empfohlen: https://haveibeenpwned.com/
    Sicherheitsrelevant sind jedoch auch komplette Email-Domains oder besondere Suchlogiken. complexium hat ein eigenes Verzeichnis aufgebaut, das stetig ergänzt wird. Mit dem Analysesystem kann auf 3 Ebenen detektiert werden:
    1. Email-Adressen
      z.B. Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! → Data-Breach-Trefferliste
    2. Personen-Namen
      z.B. „Karl König“, insb. für Schutzpersonen → Data-Breach-Trefferliste zu möglichen (!) Adressen
    3. komplette Domains
      z.B. @UnternehmenX.de, inklusive Sub-Domains → Liste betroffener Email-Adressen sowie Liste relevanter Data-Breaches

Aus den Ergebnissen dieser drei Module ergeben sich Ableitungen für die Unternehmenssicherheit, den Personenschutz, die Informationssicherheit und die (präventive) Krisenkommunikation. Früherkennung und Analyse relevanter Internetbereiche reduzieren sicherheitsbezogene Überraschungen und ihre Auswirkungen. Unternehmen gewinnen Vorwarnzeit und Entscheidungssicherheit. Schutz- und Abwehrmaßnahmen verbinden Digital Listening mit Sensibilisierung. Dies gilt für jeden Einzelnen genauso wie für das Unternehmen insgesamt. Achtsames Digitalverhalten reduziert die für böswillige Dritte verfügbare Munition.

 

Über den Autor
Prof. Dr. Martin Grothe
Autor: Prof. Dr. Martin Grothe
Prof. Dr. Martin Grothe, ist Gründer und Geschäftsführer der complexium GmbH, Berlin. Er ist Honorarprofessor an der Universität der Künste UdK Berlin im Bereich „Leadership in digitaler Kommunikation“. Alma mater ist die WHU.