Social Engineering - Bundesamt für Verfassungsschutz
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
N° 1 | 2021/2022
Wirtschaft und Wissenschaft schützen
Social
Engineering
Einblicke in moderne Wirtschaftsspionage
Der Verfassungsschutz
Aufgaben, Verantwortungen, Kontrolle
Chinas neue Wege der Spionage
Vor welchen Herausforderungen westliche Sicher-
heitsbehörden und Unternehmen jetzt stehen
Liebe Leserinnen, Liebe Leser,
die Pandemie hat wie ein Brennglas auf viele relevante Themen unseres Landes gewirkt. Insbesondere
die Wirtschaft musste sich rasch auf Entwicklungen und neue Verfahrensweisen einstellen. Für das
Bundesamt für Verfassungsschutz (BfV) waren die Themen Wirtschaftsspionage und Sabotage von
besonderer Dringlichkeit. Denn für einen resilienten Wirtschafts- und Wissenschaftsstandort
Deutschland müssen wir vor allem Sicherheitskonzepte und -strukturen fortwährend anpassen.
Mit dem neuen SPOC-Magazin des BfV geben wir Ihnen Einblick in unsere Spionageabwehr und
beleuchten ausgewählte Aspekte: So haben wir während der Pandemie eine erhebliche Anzahl von
Social Engineering-Kampagnen beobachtet. Ob als Spear-Phishing-Angriff oder Deepfake, niemand
ist vor geschickter Täuschung sicher. Darüber hinaus fragen wir nach konkreten Bedrohungen für
Unternehmen durch moderne Spionage und Sabotage und mit welchen Maßnahmen sich
Unternehmen schützen können.
Bei Ihrer persönlichen Gefahreneinschätzung möchten wir Sie mit dem SPOC-Magazin unterstützen.
Als Single Point of Contact (SPOC) ist das Team vom Wirtschaftsschutz des BfV bei konkreten Sicher-
heitsanfragen und Verdachtsfällen Ihr vertraulicher Ansprechpartner.
Ich wünsche Ihnen eine spannende Lektüre.
Thomas Haldenwang
Präsident Bundesamt für Verfassungsschutz
Single Point of Contact – Der Bereich, der mit Standorten in Köln Zudem ist er als Single Point of Contact
SPOC
und Berlin vertreten ist, bereitet die jederzeit bei konkreten Verdachtsfällen
Erkenntnisse und Analysen des Hauses und Sicherheitsanfragen für Unterneh-
bedarfsgerecht für seine Zielgruppen men, Wissenschafts- und Forschungs-
auf und trägt so dazu bei, dass sich einrichtungen sowie Politik und Verwal-
Dieses Heft wird vom Bereich Präven- diese eigenverantwortlich und effektiv tung ansprechbar:
tion in Wirtschaft, Wissenschaft, Politik gegen gewaltbereiten Extremismus,
und Verwaltung des Bundesamts für Terrorismus, Spionage und Sabotage wirtschaftsschutz@bfv.bund.de
Verfassungsschutz herausgegeben. durch fremde Mächte schützen können. +49 (0)30 18 792 3322
Impressum:
Herausgeber Mitwirkende Herstellung
Bundesamt für Verfassungsschutz Katrein Baumeister | agentur-sheila.com Spreedruck
Sean Dunn | agentur-sheila.com
Redaktionsleitung
Dr. Dan Bastian Trapp und Philip Kornberger Korrektorat
Katrein Baumeister | agentur-sheila.com
Art Direktion und Gestaltung
Sonnenstaub, Berlin | sonnenstaub.com
Inhalt
04
Radar
Wichtiges auf einen Blick
06
Die Gefahr von
Social Engineering
Steht die soziale Manipulation
erst am Anfang ihrer (technischen)
Bundesamt
Möglichkeiten?
für Verfassungsschutz
Aufgaben,
Verantwortungen,
12
Kontrolle
Sicher ins digitale
Zeitalter
Interview mit Dirk Fleischer, CSO
& CISO der Dürr AG sowie Autor
des Buches „Wirtschaftsspionage“
15
Der Verfassungs-
schutz
Partner des Vertrauens
27
Albtraum
statt Traumjob
Die Social Engineering-Methoden
der Hackergruppe Lazarus
30
Chinas neue Wege
der Spionage
Vor welchen Herausforderungen
westliche Sicherheitsbehörden
und Unternehmen jetzt stehen
35
Deepfake
Auf dem Weg zum Social
Engineering 2.0?
4
Radar
Bitkom-Untersuchung:
Zunehmende Attacken auf Unternehmen
Die vom Bundesverband Informationswirtschaft, Telekommunikation
und neue Medien e. V. (Bitkom) veröffentlichte Studie „Wirtschafts-
schutz 2021“ zeigt einen deutlichen Anstieg digitaler wie analoger An-
griffe auf deutsche Unternehmen im vergangenen Jahr. Insbesondere
Social Engineering-Attacken wurden vermehrt registriert. So gaben
27% der befragten Unternehmen an, am Telefon angesprochen worden
zu sein, 10% der Ansprachen fanden im privaten Umfeld statt.
Rund 1.000 Geschäftsführerinnen und Geschäftsführer sowie Sicher-
heitsverantwortliche quer durch alle Branchen wurden für die Studie
befragt. 88% gaben an, im Zeitraum der letzten 12 Monate von Dieb-
stahl, Industriespionage oder Sabotage vermutlich betroffen gewe-
sen zu sein. Im Vorjahreszeitraum waren es lediglich 75%. Insgesamt
verursachen Datendiebstahl, Industriespionage und Sabotage jährlich
einen Schaden von über 223,5 Milliarden Euro.
www.bitkom.org
Innentäter
Wie die aktuelle Bitkom-Umfrage (2021) zeigt,
stecken hinter 61% der Fälle von Datendieb-
stahl, Industriespionage oder Sabotage aktu-
elle oder ehemalige Beschäftigte. Unterneh-
men können dem Phänomen „Innentäter“
begegnen, indem sie in ihren Sicherheitskon-
zepten entsprechende präventive Maßnahmen
verankern.
Die aktuelle Broschüre „Informationsabfluss aus Von Katzen, Bären
Foto: istockphoto.com/portfolio/da-kuk; Illustration: Sonnenstaub
Unternehmen – Innentäterschaft als unter-
schätztes Massenphänomen“ vermittelt anhand und Pandas
verschiedener Beispiele und Checklisten pra-
xisorientierte Umsetzungshilfen für Prävention,
Detektion und Reaktion. Die Broschüre können Eine Gruppierung, die Cyberangriffe verübt, kann mitunter zahl-
Sie auf der Internetseite www.wirtschafts - reiche verschiedene Namen tragen. So führen beispielsweise
schutz.info kostenfrei herunterladen. unterschiedliche IT-Sicherheitsunternehmen ein und dieselbe
Gruppierung unter einem ganz anderen Namen (z. B. Karma Pan-
da, Tonto Team, Cactus Pete). Typisch ist jedoch am Ende des
Gruppennamens eine tierische Metapher: So werden Pandas
der VR China zugeordnet, Bären der Russischen Föderation und
Kätzchen dem Iran.
Übrigens hat die Cyberabwehr hierzu ein Cyberkartenspiel
entwickelt, welches wir bei verschiedenen Gelegenheiten he-
rausgeben.
5
Radar
IT-NOTFALL- Deutsche
KARTE nutzen
nach wie vor
unsichere
Was tun, wenn’s brennt? Im Ernst-
fall können die Alarmpläne „Verhal-
Passwörter
ten im Brandfall“, die oft in öffentli-
chen Gebäuden aushängen, Leben
retten. Kurz und übersichtlich fin-
den sich dort die wichtigsten Ver-
haltensweisen in chronologischer Das Hasso-Plattner-Institut (HPI) veröffentlicht jedes Jahr die häufigsten Pass-
Reihenfolge abgebildet. Auch bei wörter der Deutschen. Ein Blick auf die Top Twenty 2019 zeigt, dass sich immer
IT-Störungen, wie zum Beispiel bei noch zu viele Internetnutzerinnen und Internetnutzer auf simple Zahlenreihen
einem Hackerangriff, ist schnelles wie „123456“, Tastenkombinationen wie „qwertz“ oder Wörter wie „password“
und besonnenes Handeln unerläss- verlassen, die keinen wirksamen Schutz vor Cyberangreifern bieten.
lich. Um dies zu unterstützen, hat
der Bundesverband Informations- Das HPI greift dabei auf 67 Millionen Zugangsdaten zurück, die auf E-Mail-
wirtschaft, Telekommunikation und Adressen mit .de-Domain registriert sind und 2019 im Netz geleakt wurden.
neue Medien e. V. eine IT-Notfallkar- Ob man selbst Opfer eines Datendiebstahls geworden ist, lässt sich mit dem
te herausgegeben. Wie die Alarm- „Identity Leak Checker“ des HPI unter https://sec.hpi.de/ilc prüfen.
pläne sollte die IT-Notfallkarte zum
Sicherheitsstandard in Unterneh-
men gehören. Tipps zum Erstellen sicherer Passwörter bieten u. a. das
Bundesamt für Sicherheit in der Informationstechnik (BSI)
oder die Verbraucherzentralen:
www.bsi-fuer-buerger.de
www.verbraucherzentrale.de
25%
der deutschen Unternehmen,
v. a. Kleinunternehmen, erlitten
durch Cyberangriffe nahezu
existenzbedrohende Schäden
89%
55%
der Befragten
der Bitkom-
Studie von
2020 sehen
mehr Cyberattacken als im Vorjahr
der in der Bitkom-Studie befragten Führungs- Im Vergleich zum Vorjahr steigen Er-
kräfte wurden Opfer von Social Engineering pressungsvorfälle, mit einem Ausfall
von Informations- und Produktions-
systemen sowie der Störung von
9 10
Betriebsabläufen, um
von Unternehmen
sind durch Cyberangriffe betroffen
Quellen: bsi.de, bitkom.org
358%
6
Social Engineering
Die Gefahr von
SOCIAL
ENGINEERING
Redaktion: Wirtschaftsschutz BfV Illustration: Sonja Marterner
7
Social Engineering
Den Besten wie Alethe Denis reichen zwanzig Minuten. Wäh-
rend sie vom Publikum mit tosendem Applaus gefeiert wird,
dürfte ihr Gegenüber wohl am liebsten im Erdboden versinken
wollen.1 In simulierten Angriffen werden beim Wettbewerb
Social Engineering Capture the Flag (SECTF) auf der jährlich
in Las Vegas stattfindenden Hackerkonferenz DEFCON, die
Gefahren, die von Social Engineering für Unternehmen aus-
gehen, eindrücklich aufgezeigt.
Alethe Denis, die Siegerin von 2019, brachte während mationsgewinnung aus frei für jedermann
des Wettbewerbs einen Angestellten ihres Zielunter- verfügbaren Quellen. Dabei kann es sich um
nehmens nicht nur dazu am Telefon detaillierte analoge oder digitale Medien, Webseiten und
Angaben über seine IT-Ausstattung und installierte soziale Netzwerke oder auch schlicht um ganz
Software zu machen, sondern sie konnte ihr Opfer alltägliche Gesprächssituationen handeln.
sogar dazu bewegen, auf seinem Rechner zwei Inter-
netadressen aufzurufen, die sie ihm diktierte. Um das Der zweite Teil des Rankings wird beim Live-Auf-
Vertrauen ihrer Zielperson zu gewinnen, musste sie tritt vor Publikum im Rahmen der Konferenz
sich lediglich als Kollegin aus der IT ausgeben, die ermittelt. In einer schalldichten Kabine sitzend,
sich um einen angeblich anstehenden Rechneraus- haben die Teilnehmerinnen und Teilnehmer zwan-
tausch kümmert. zig Minuten Zeit, am Telefon mit einer oder einem
Angestellten des Zielunternehmens erneut zuvor
Das Zielunternehmen wurde Denis vom Veranstal- erhaltene Flags abzuarbeiten und schließlich an
ter des Wettbewerbs bereits drei Wochen vor dem vertrauliche Informationen zu kommen.
Angriff auf der Live-Bühne der DEFCON zugewiesen.
In diesen hatte sie Zeit, einen Bericht über das Ziel- Der Schaden, den Denis bei einem realen Angriff
unternehmen anzufertigen, in dem sie bestimmte hätte anrichten können, wäre immens gewesen. Mit
„Flags“ abarbeitet – spezifische Informationen über hinter den genannten Internetadressen versteckter
das Ziel, die vorab in einem Katalog festgelegt wur- Malware hätte sie nicht nur Zugriff auf den infizier-
den und die sich ein tatsächlicher Social Enginee- ten Rechner, sondern darüber auch auf das gesamte
ring-Angreifer zunutze machen könnte: Persönliche Firmennetzwerk erhalten können. Der simulierte
Angaben zu Angestellten, Adressdaten, Namen von Angriff zeigt auf drastische Weise, dass selbst noch so
Ehepartnerinnen und Ehepartnern, Kindern oder ausgefeilte technische Schutzmaßnahmen umgangen
Hobbys bis hin zu Details zu Hard- und Software, werden können, wenn Angreifer gezielt den Men-
die im Unternehmen genutzt wird. schen und sein Verhalten ins Visier nehmen. Mittels
gezielter Ausnutzung menschlicher Eigenschaften
Dabei ist in dieser ersten Phase des Wettkampfs der wie Hilfsbereitschaft, Vertrauen, Angst, Respekt vor
direkte Kontakt per E-Mail oder Telefon ausdrück- Autorität oder schlichtweg Neugier, werden beim
lich untersagt. Lediglich öffentlich zugängliche Quel- Social Engineering Personen in ihrem Verhalten ma-
len wie die Unternehmenswebseite, Medienberichte, nipuliert. Ein Opfer, das auf die Täuschung hereinfällt,
Suchmaschinen wie Google, soziale Netzwerke wie handelt im Glauben, das Richtige zu tun. Tatsächlich
LinkedIn oder Xing dürfen für die Erstellung des Be- spielt es jedoch dem Motiv des Täters in die Hände.2
richts hinzugezogen werden.
Social Engineering an sich ist nichts Neues. Seit
Open Source Intelligence (OSINT): OSINT ist Menschengedenken dient soziale Manipulation als
ein Begriff aus dem nachrichtendienstlichen Grundlage für unterschiedlichste Betrugsmaschen.
Sprachgebrauch. Er bezeichnet die Infor- Ein klassisches Beispiel ist der „Enkeltrick“, bei dem
1
https://www.spiegel.de/netzwelt/web/social-engineering-die-besten-tricks-der-menschen-hacker-a- 1281453.html
2
https://www.bsi-fuer- buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_
node.html
8
Social Engineering
(Spear-)Phishing: Unter dem Begriff Phishing
versteht man Versuche, mittels gefälschter Web-
seiten, E-Mails oder Kurznachrichten an per-
sönliche Daten von Internetnutzerinnen und
Internetnutzern, insbesondere Login-Infor-
mationen, zu gelangen. Sobald der Angreifer es
gezielt auf bestimmte Personen, Unternehmen
oder Organisationen abgesehen hat, spricht
man von Spear-Phishing.
Neben den klassischen Phishing-E-Mails via Mas
senversand an einen beliebigen Empfängerkreis
lässt sich zunehmend eine gezieltere Variante
dieser Methode beobachten, das „Spear-Phishing“.
Beim Spear-Phishing werden die E-Mails mit vorab
recherchierten Inhalten, nicht selten Insiderwissen,
auf ausgewählte Personengruppen oder einzelne
Mitarbeiterinnen und Mitarbeiter maßgeschnei-
dert. Eine Methode, welche die Erfolgschancen des
Angreifers signifikant erhöht.
Ähnlich ist die Herangehensweise bei der Angriffs
strategie „Watering-Holes“. Bei dieser suchen An-
greifer gezielt nach Webseiten, die regelmäßig von
Mitarbeiterinnen und Mitarbeitern des eigent-
sich Trickbetrüger – meist telefonisch – gegenüber lichen Zielunternehmens frequentiert werden:
älteren Personen als nahe Verwandte ausgeben, um wie die Webseite von der Pizzeria oder Reinigung
unter Vorspiegelung falscher Tatsachen an Bargeld um die Ecke oder dem Kurierdienst, mit dem das
oder Wertgegenstände zu gelangen. Im Zeitalter der Unternehmen regelmäßig zusammenarbeitet.
digitalen Kommunikation ergeben sich zudem neue, Webseiten, die in der Regel weniger geschützt sind
äußerst effektive Möglichkeiten für Social Enginee- als die des Zielunternehmens und sich besser für
ring und die zunehmende Vernetzung sorgt dafür, die Einschleusung von Malware eignen. Bestellen
dass die Zahl potentieller Opfer rasant steigt. Studien Beschäftigte nun online über die infizierte Webseite
belegen, wie groß das Problem für die Wirtschaft der Pizzeria, holen sie sich auch den Schadcode frei
bereits ist. So hat der Digitalverband Bitkom zuletzt Haus dazu.
ermittelt, dass in den Jahren 2020 bis 2021 etwa
41 Prozent aller Unternehmen von digitalem Social Watering-Holes: Bei Watering-Holes handelt es
Engineering betroffen waren. Am höchsten war sich um legitime Webseiten, die mit Schadsoft-
dabei der Anteil von telefonischen Angriffen. Dieser ware infiziert wurden. Die Infizierung ist meist
lag bei ungefähr 27 Prozent.3 durch unbekannte Sicherheitslücken, soge-
nannte Zero-Day-Exploits, möglich. Watering-
Die bekannteste Form des digitalen Social Enginee Holes können als Attacke gegen Unternehmen
ring ist das „Phishing“. Dabei handelt es sich um oder Institutionen verwendet werden, indem
E-Mails, die von einem auf den ersten Blick vertrau gezielt häufig genutzte Webseiten der betref-
enswürdigen Absender stammen und auf eine vom fenden Opfer infiziert werden. Der Begriff
Angreifer (nach)gebaute Webseite verlinken. Der stammt aus der Tierwelt der afrikanischen
E-Mail-Text erläutert, dass auf besagter Webseite drin- Savanne, wo sich zu bestimmten Zeiten diverse
gend Daten aktualisiert werden müssen oder wichtige Arten, die ansonsten Fressfeinde sind, zum
Informationen bereitstehen und verleitet so Emp- Trinken am selben Wasserloch einfinden.
fängerinnen und Empfänger zum Klick auf den Link.
Infolgedessen infiziert sich das Opfer dann mit Mal- Da der Kosten-Nutzen-Aufwand vergleichsweise
ware oder aber wird zur Eingabe persönlicher Daten höher ist, sind die Hintermänner beim Spear-Phishing
animiert, die der Angreifer wiederum „abfischen“ und oder bei Watering-Holes in der Regel nicht unter den
für seine eigenen Zwecke missbrauchen kann. Hackern zu finden, die willkürlich Daten abgreifen.
3
https://www.bitkom.org/sites/default/files/2021-08/bitkom-slides-wirtschaftsschutz-cybercrime-05-08-2021.pdf
9
Social Engineering
Stattdessen handelt es sich hier um Social Enginee- im internationalen Wettbewerb zu verschaffen. Die
ring-Profis. Dazu zählen auch staatliche Akteure, allen Angriffskampagnen betreiben dafür einen erheb-
voran ausländische Nachrichtendienste. Insbesondere lichen Aufwand und setzen auf eine breite Palette an
die Dienste aus China, Russland und dem Iran tun sich Methoden, darunter auch ständig neue Ansätze von
hier mit entsprechenden APT-Kampagnen hervor. Social Engineering.
Advanced Persistent Threat (APT): Unter APT Wie systematisch Nachrichtendienste potentielle
versteht man einen komplexen, zielgerichteten Angriffsziele bereits im Vorfeld mittels Social Engi-
und effektiven Angriff auf vor allem an- neering ausforschen, illustriert eine Kampagne, über
spruchsvolle Ziele. APTs erfolgen nach langer die der Verfassungsschutz erstmalig 2017 und erneut
Vorbereitung und Anpassung an das Opfer. 2019 die Öffentlichkeit informierte. So waren chine-
Das Ziel ist, sich möglichst lange unentdeckt sische Nachrichtendienste dabei beobachtet worden,
im Opfersystem zu bewegen, um möglichst wie sie über LinkedIn und andere soziale Netzwerke
viele Daten abzugreifen. versuchten, für sie interessante Kontakte anzubahnen.
Die Nachrichtendienstler traten dabei getarnt als An-
Sie interessieren sich nicht nur für die deutsche gestellte von Think Tanks, Wissenschaftlerinnen oder
Politik und deren Akteure, sondern auch für die Wissenschaftler oder Angehörige chinesischer Be
hiesige Wirtschaft und Wissenschaft. Das Ziel: hörden auf. Manchmal gaben sie sich auch als Head-
strategische Informationen sowie Unternehmens- hunterinnen und Headhunter oder Führungskräfte
und Forschungs-Know-how abzuschöpfen, um von Consulting-Firmen aus.
damit dem eigenen Land einen illegitimen Vorteil
Die zunehmende
Vernetzung und
Kommunikation
über digitale
Kanäle sorgen
dafür, dass die
Zahl der Opfer
rasant steigt.
10
Social Engineering
Beispiele für die Nutzung von
Social Engineering durch APT
APT:
• Seit 2015 tritt die mutmaßlich staat Angriffs standen die beruflichen E-Mail-
lich gesteuerte iranische Cyberangriffs- Adressen der an der Tagung teilnehmen-
gruppierung Mabna Institute weltweit mit den Personen sowie von Personen aus
umfangreichen Spear-Phishing-Kam - deren beruflichen Umfeld. Im Oktober
pagnen in Erscheinung. Diese richten 2016 wurde bekannt, dass die Kampagne
sich in erster Linie gegen akademische Charming Kitten (auch bekannt als News
Einrichtungen. Das Ziel der Kampagnen caster oder Ajax Hacking Team), deren
scheint der Zugang zu wissenschaftli- Ursprung im Iran vermutet wird, gezielt
chen Publikationen sowie Anmeldedaten Unternehmen aus der Energiebranche ins
für Lernplattformen von Universitäten zu Visier nahm. Hierzu empfand die Gruppier
sein. Die Spear-Phishing-Mails sind sehr ung Domains von echten Jobportalen
professionell gestaltet und animieren die für den Öl- und Gassektor nach. Parallel
Empfängerinnen und Empfänger einen wurden (Word-)Dokumente mit Links zu
Link anzuklicken, über den angeblich der angeblichen Stellenangeboten produziert,
Zugang zu der jeweiligen Lernplattform die mit Malware versehen wurden.
entsperrt wird. Der Link führt jedoch auf
eine hochwertige Kopie der legitimen • Seit Ende 2016 richtet die mutmaß-
Anmeldeseite der Lernplattform. Erst lich chinesische Kampagne APT 10 (auch
nach Eingabe der Zugangsdaten erfolgt bekannt als Menu Pass Team oder Sto-
eine Weiterleitung auf die tatsächliche ne Panda) ihr Augenmerk verstärkt auf
Seite der jeweiligen Institution. Die so Unternehmen in Europa. Ausgangspunkt
erbeuteten Informationen werden ent- der Angriffe sind in der Regel Spear-
weder auf akademischen Portalen im Phishing-E-Mails, die thematisch auf die
Iran zum Verkauf angeboten oder für den jeweiligen Empfängerinnen und Emp-
Download von Inhalten auf den Plattfor- fänger zugeschnitten sind und maliziöse
men genutzt.4 (Word-)Dokumente enthalten.
• Aus wahrscheinlich Südasien stammt • Vermutlich zwischen August 2017 und
eine umfassende Spear-Phishing-Kam - Juni 2018 gab es eine besonders hoch -
pagne, die im Sommer 2020 von legitim wertige Spear-Phishing-Angriffswelle
erscheinenden E-Mail-Adressen ver- u. a. gegen deutsche Medienunterneh -
sendet wurde. Ein staatlich gesteuerter men. Die versandten E-Mails enthielten
Cyberakteur gab sich als ausrichtende im Anhang ein maliziöses (Word-)Doku-
Organisation für Tagungen aus, die sich ment. Beim Öffnen des Dokuments er-
mit sicherheitspolitischen Themen be - schien der Hinweis, die Ausführung so-
nachbarter Staaten beschäftigen. Die genannter Makros zu erlauben. Dabei han-
gefälschten E-Mails kündigten inhaltlich delt es sich um Abfolgen von Befehlen
eine kurzfristige Programmänderung ei- und Anweisungen, die zusammengefasst
ner zeitnah anstehenden Tagung an. Der werden, um damit eine Automatisierung
Cyberakteur wollte hierdurch einen be - häufig ausgeführter Aufgaben zu ermög-
sonders hohen Reaktionsdruck bei den lichen. Wurde die Ausführung erlaubt,
empfangsberechtigten Personen aus- führte das zur Installation von Schadcode,
lösen, da der E-Mail-Versand nur wenige welcher dem Angreifer letztlich bestimm-
Stunden vor dem Veranstaltungsbeginn te administrative Befehlsrechte einräum -
erfolgte. Das vorgeblich aktualisierte te. Die Kampagne wird der staatlich
Tagungsprogramm war nur durch Öffnen gesteuerten APT-Gruppierung Sand -
des der E-Mail beigefügten maliziösen worm (auch bekannt als Quedagh oder
Word-Dokuments zu sehen. Im Fokus des Black Energy) zugerechnet.
4
https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/2018/nachrichtendienstlich-gesteuerte-cyberangriffe.html11
Social Engineering
Unter dem Vorwand sich für die Arbeit der jeweili- dieser Analyse können nun entsprechende Schutz-
gen Zielperson zu interessieren, erkundigten sie sich maßnahmen abgeleitet werden. Die Grundlage effek-
nach Möglichkeiten eines fachlichen Austauschs und tiver Schutzmaßnahmen bildet dabei ein Klassifi-
verwiesen auf „wichtige Kunden“, die an westlicher zierungssystem, in dem die identifizierten Schutz-
Expertise interessiert seien. Im nächsten Schritt güter bestimmten Schutzstufen zugeordnet werden.
wurden Betroffene um Übermittlung eines Lebens-
laufs und einer – vergüteten – Probearbeit gebeten. Ziel der zweiten Phase eines Social Engineering-An-
Fiel diese zur Zufriedenheit aus, folgte eine Einla- griffs ist es, möglichst viele Informationen über das
dung nach China, um sich dort mit dem „wichtigen Angriffsziel zu erlangen: Organisationsaufbau, rele-
Kunden“ zu treffen. Die Kosten des Aufenthaltes vante Personen, Kontaktdaten, verwendete Hard-
wurden übernommen. Tatsächlich trat der wichtige und Software, Geschäftsbeziehungen etc. Diese In-
Kunde jedoch niemals in Erscheinung und wurde formationsbeschaffung erfolgt über Onlinerecher-
auch nie namentlich benannt. Im weiteren Verlauf chen, durch technische Verfahren oder auch durch
wurden Betroffene regelmäßig aufgefordert, wiede- direkte Aufklärung vor Ort oder persönliche Kon-
rum gegen entsprechende Vergütung, Berichte zu taktaufnahme. Mit verschiedenen Maßnahmen kann
verfassen oder interne, sensible Informationen aus Angreifern die Informationssuche erschwert werden:
ihrem jeweiligen Arbeitsbereich weiterzugeben.
• Mit Berechtigungskonzepten zur Informa-
Obwohl Social Media-Plattformen wie LinkedIn tionssicherheit
immer wieder aktiv gegen auffällige Fake-Profile • Bereinigung der Webseite von sensiblen Infor-
vorgehen, beobachtet der Verfassungsschutz auch mationen
weiterhin entsprechende Anbahnungsversuche. • Richtlinien für den Umgang mit Organisa-
tionsdaten auf Social Media-Plattformen
• Der Verwendung sicherer Passwörter
• Stets aktualisierter Software
Was können Sicherheits- • Regelmäßigen Schulungen aller Beschäftigten,
verantwortliche in Wirtschaft insbesondere Personen an sicherheitssensiblen
und Wissenschaft tun, um Stellen
dem zu begegnen?
Insbesondere die stetige Sensibilisierung der Be-
Je stärker die Vernetzung von Unternehmen oder schäftigten für Social Engineering-Methoden und
Forschungseinrichtungen mit Zulieferern oder das Einstudieren von Handlungsroutinen über
Dienstleistungsunternehmen, desto größer ist auch Rollenspiele und praktisches Ausprobieren ist ein
die Gefahr, Opfer von Social Engineering zu werden. wichtiger Baustein in einer effektiven Sicherheits-
So nutzen Angreifer immer wieder die vermeintlich architektur. Gut geschultes Personal wird dann auch
schlecht gesicherten Unternehmen innerhalb einer im Falle eines tatsächlichen Angriffs diesen schneller
Lieferkette, um sich Zugang zum eigentlichen Ziel- erkennen, kann besser reagieren und so das Unter-
unternehmen zu verschaffen. nehmen vor größerem Schaden bewahren.
Eine typische Social Engineering-Attacke lässt sich
in vier Phasen unterteilen: Planung, Aufklärung und
Informationsbeschaffung sowie Entwicklung eines
Szenarios und Durchführung. Für das Aufsetzen ge-
eigneter Sicherheitsstrategien hilft es, sich an diesen
Phasen zu orientieren.
In einem ersten Schritt sollten mittels einer Risi-
koanalyse mögliche Angriffsziele, das heißt sensible
Unternehmensdaten und -informationen, sowie
eventuelle Angriffspfade identifiziert werden. Dabei
muss auch die Möglichkeit eines gewollten oder
versehentlichen Informationsabflusses durch eigene
Beschäftigte berücksichtigt werden. Aufbauend auf12
Interview
SICHER
ins digitale Zeitalter
Interview mit Dirk Fleischer von der Dürr Group
Mit rund 16.500 Beschäftigten ist die von Paul Dürr 1896 gegründete Dürr Group eines der Schwerge-
wichte des deutschen Mittelstands. Bereits seit Jahren treibt die Organisation die Digitalisierung voran
und unterstützt unter anderem das von der Dürr AG mitgegründete IoT-Netzwerk Adamos, um die digita-
le Transformation im deutschen Maschinen- und Anlagenbau voranzutreiben.
Mit Dirk Fleischer, Corporate Security Officer und Corporate Information Security Officer bei Dürr sowie
Autor des Buches „Wirtschaftsspionage“, sprach das SPOC-Magazin darüber, wie Dürr der Umstieg in
das digitale Zeitalter in Bezug auf Sicherheit gelingt, über generelle Herausforderungen für mittelstän-
dische Unternehmen im Bereich Sicherheit und wie die Gefahren von Social Engineering in der Praxis
einzuordnen sind.13
Interview
Herr Fleischer, bei Dürr bauen Sie seit ein- müssen von allen berücksichtigt werden. „Soll-
einhalb Jahren eine Sicherheitsarchitektur Vorschriften“ sind abgewogene Empfehlungen. Mit
auf. Wie haben Sie die Beschäftigten für das „Kann-Vorschriften“ geben wir Hilfestellung, wie
Thema Sicherheit motivieren können? man beim Thema Sicherheit einen Schritt weiter ge-
hen kann. So schaffen wir einen globalen Standard,
Wir haben von Beginn an deutlich gemacht, dass der für jeden nachvollziehbar ist. Handhabbarkeit
Sicherheit nicht Selbstzweck, sondern zukunftssi- steht bei unserer Arbeit an oberster Stelle.
cherndes Element ist, dass ein gelebter Wirtschafts-
schutz unternehmerische Aktivitäten ermöglicht Laut der aktuellen Bitkom-Studie sind rund
und nicht blockiert. Beispielsweise bekommen jene 55% der befragten Unternehmen von Social
Unternehmen ein besseres Rating bei Nachhaltig- Engineering betroffen. Haben Sie selbst
keitsindizes, welche ein schlüssiges Sicherheitskon- bereits Erfahrungen mit diesem Thema ge-
zept haben. Wir versuchen also immer mit zu macht?
identifizieren, wo es Handlungsoptionen für das
Unternehmen gibt, die durch ein ausgewogenes Erst kürzlich haben wir eine größere Social Engi
und gutes Sicherheitsdenken begünstigt werden neering-Kampagne erlebt, auf die wir schnell mit
und positionieren uns so als wirtschaftlicher einer Sensibilisierungskampagne nach innen
Faktor im Unternehmen. reagieren mussten. Im konkreten Fall haben in
erheblichem Umfang Personen
Was sind aus Ihrer Sicht
die wesentlichen Sicher-
» angerufen, die sich nach den
Funktionsträgerinnen und
heitsgefahren für deutsche
Unternehmen?
Wir müssen Funktionsträgern in einer be-
stimmten Abteilung erkundigt
Know-how-Abfluss durch In-
den Mitarbei haben. Es war recht eindeutig,
dass ein Teilbereich, der insbe-
dustriespionage, Cyberkrimi-
nalität im engeren Sinne – ins-
terinnen und sondere beim Know-how-Schutz
eine zentrale Rolle spielt, gezielt
besondere im Hinblick auf die
Fortführung von Geschäftspro-
Mitarbeitern ausgeforscht wurde. Das half uns
bei der Einordnung ungemein.
zessen; das Phänomen Ransom-
ware macht uns, glaube ich, in den Rücken Dabei ist es unwahrscheinlich
wichtig, die Person, die durch
stärken.
allen Unternehmen große Sorgen. Social Engineering angesprochen
Das dritte Thema sind „Allgemei- wird, nicht zum „Mittäter“ zu
ne Kriminalitätsformen“, wie machen. Wer so eine Reaktion
Wirtschaftsstraftaten, Eigentums-
delikte ebenso wie Cyberkrimina-
« befürchten muss, wird seine
Bereitschaft, sich an die Unter-
lität im weiteren Sinne. Die Digitalisierung sämtli- nehmenssicherheit zu wenden, reduzieren.
cher Bereiche katalysiert vor allem Cybergefahren.
Können Sie uns ein paar Tipps geben, zum
Als weltweit agierendes Unternehmen sind Schutz vor Social Engineering?
Sie auf globale Vernetzung angewiesen. Wie
schaffen Sie es, mit Ihrer Sicherheitsarchi- Wenn Sie angerufen werden, lassen Sie sich die
tektur die Balance zwischen Sicherheit und Nummer der anrufenden Person geben und rufen
Offenheit zu halten? Sie zurück. Wichtig ist dann, das Gespräch selbst
zu führen und sich nicht führen zu lassen. Dafür
Das Thema Sicherheit darf keine Wirtschaftspro müssen wir wiederum den Firmenangehörigen
zesse hemmen. Deswegen setzen wir bei Dürr das Rüstzeug an die Hand geben, um selbstbewusst
sehr stark auf Awareness, Sensibilisierung und reagieren zu können, auch wenn auf der anderen
Enabling, denken also immer auch inhaltskritisch Seite Druck aufgebaut wird, beispielsweise wenn
darüber nach, ob es eine verhältnismäßige Maß- sich der Angreifer auf höher gestellte Personen be-
nahme ist, die wir treffen. ruft. Der Klassiker ist und bleibt: am Telefon nicht
mit jedem über alles sprechen.
Wie sieht das konkret aus?
Foto: Dürr AG
Trotz der verstärkten Aufklärung und
Wir arbeiten in unseren Konzepten stark mit „Muss-, Prävention in diesem Bereich – wie schätzen
Soll- und Kann-Vorschriften“. „Muss-Vorschriften“ Sie die Entwicklung dieses Phänomens ein?14
Interview
Mit zunehmender Technologisierung und Digita- Welche drei Ratschläge geben Sie anderen
lisierung – Stichwort Deepfakes – wird die Gefahr, Unternehmen zum Thema Sicherheit?
die von Social Engineering ausgeht, nicht nur deut-
lich wachsen, sondern sich auch neue Formen des Pragamatismus, Risikobasiertheit und Koopera-
Social Engineering entwickeln. Durch die Schaf- tion.
fung virtueller Umgebungen potenziert sich bei- Das Thema Sicherheit sollte immer passend zum
spielsweise die Gefahr virtueller Scheinwelten. Unternehmen behandelt werden. Sich über für
das Unternehmen relevante Sicherheitsthemen
Welche Unternehmenssicht zum Thema Gedanken zu machen, ist der erste Schritt.
Sicherheit müsste im politischen Raum prä- Mit Risikobasiertheit meine ich, dass Sicherheit
senter sein? immer auch ein Teil des Risk-Managements ist.
Die Reduzierung von wirtschaftlichen Risiken
Dass ein guter und aktiv gelebter Wirtschafts- findet in Unternehmen seit Jahren statt. Auch
schutz ein wesentlicher Standortfaktor ist. Einer, Sicherheitsrisiken müssen dabei berücksichtigt
der das Überleben der Wirtschaft genauso sichert werden. Es macht keinen Sinn über Supply Chain
wie günstige Kredite. Security nachzudenken, wenn das Unternehmen
keine Lieferketten ins Ausland hat.
Welche Unterstützung wünschen Sie sich Zuletzt sollte eine Sicherheitsabteilung immer als
dabei von deutschen Sicherheitsbehörden? Teil des Unternehmens aufgebaut und verstanden
werden und nicht als ausgelagerte Organisations
Ich wünsche mir einen pragmatisch-fördern- einheit innerhalb eines Unternehmens. Das
den und kooperativen Wirtschaftsschutz. Die Furchtbarste ist, als Unternehmenssicherheit wie
amerikanische Regierung hat zum Beispiel eine ein Fremdkörper platziert zu sein, der nur über
Ransomware-Taskforce eingerichtet und Ran- Governance und Regeln arbeitet. Das funktio -
somware-Angriffe auf die Stufe terroristischer niert heutzutage eigentlich nirgendwo mehr.
Attacken gestellt. Hierdurch werden Ermitt-
lungsmöglichkeiten verbessert und gleich- Herr Fleischer, vielen Dank für das Gespräch!
zeitig bekommen Unternehmen ganz konkrete
Foto: Dürr AG
Hinweise und Ansprechstellen. Das ist für mich
priorisierend und zugleich maßnahmenfokus-
siert, pragmatisch.Bundesamt
für Verfassungsschutz
PARTNER
DES
VERTRAUENS
Bundesamt für Verfassungsschutz
Aufgaben, Verantwortungen, Kontrolle16 Broschüre Die Verfassung der Bundesrepublik Deutschland entwirft eine wehrhafte Demokratie . Dies umfasst alle rechts- staatlichen Maßnahmen, mittels derer die Demokratie aktiv verteidigt wird. Auch die Freiheit des Einzelnen, die selbst durch Freiheitsrechte und poli- tische Teilhaberechte im Grundgesetz verankert ist, darf nicht zum Zweck instrumentalisiert werden, die frei- heitliche demokratische Grundord- nung abzuschaffen oder auszuhöhlen. Der Auftrag des Bundesamts für Ver- fassungsschutz ist es, alle Anstren- gungen, von außen und von innen, abzuwenden, die unser Land und die freiheitliche demokratische Grund- ordnung schädigen sollen.
17
Broschüre
It’s all about
information
Das Bundesamt für Verfassungsschutz ist einer der drei analysiert der Verfassungsschutz – in enger Zusammen-
Nachrichtendienste des Bundes. Als Inlandsnachrichten- arbeit mit den Landesämtern für Verfassungsschutz – In-
dienst ist der Verfassungsschutz ein wichtiger Bestandteil formationen. Diese werden zu einem großen Teil aus öf-
der deutschen Sicherheitsarchitektur. Als Frühwarnsys- fentlich zugänglichen Quellen bezogen, aber auch – unter
tem hat er zuvorderst die Aufgabe, die absoluten und un- Wahrung der engen gesetzlichen Voraussetzungen – mit
abänderlichen Werteprinzipien zu schützen, die unseren nachrichtendienstlichen Mitteln.
demokratischen Rechtsstaat ausmachen: die freiheitliche
demokratische Grundordnung. Um die Sicherheit der So sollen Bestrebungen gegen die freiheitliche demokra-
Bundesrepublik Deutschland vor Bestrebungen gegen tische Grundordnung frühzeitig erkannt und der Bundes-
diese Werteprinzipien durch Terrorismus und politischen regierung eine präzise Gefahrenanalyse ermöglicht werden.
wie religiösen Extremismus zu schützen, sammelt und
Die freiheitliche demokratische Grundordnung beschreibt die unabänderlichen
obersten Werteprinzipien — die Menschenwürde, das Demokratieprinzip und die
Rechtstaatlichkeit — als Kernbestand der Demokratie. Sie bestimmen die Gesetz-
gebung des Bundes und der Länder.
Bestrebungen gegen die freiheitliche demokratische Grundordnung sind politisch be-
stimmte, ziel- und zweckgerichtete Verhaltensweisen in einem oder für einen Perso-
nenzusammenschluss, die darauf gerichtet sind, einen der Verfassungsgrundsätze zu
beseitigen oder außer Geltung zu setzen.18
Broschüre
Spionage- und
Proliferationsabwehr
In und gegen Deutschland sind fremde Nachrichtendiens-
te mit zum Teil geheimen Mitteln und Methoden aktiv. Die
Aktivitäten dieser Nachrichtendienste und die Herausfor-
derungen, die sich daraus für die Spionageabwehr ergeben,
sind vielfältig. Das primäre Ziel ausländischer Staaten ist es,
sensible Informationen zu erlangen, z. B. aus den Bereichen
Politik, Militär sowie Wirtschaft und Wissenschaft. Aber
ausländische Dienste unterwandern auch Parteien oder flussnahme und Desinformation. Auch machen Staaten
Personen wie Oppositionelle oder Exilantinnen und Exi- vor Beschaffung und Diebstahl von Komponenten und
lanten, werden staatsterroristisch tätig und betreiben Ein- Technologien für Massenvernichtungswaffen (Proliferati-
on) nicht Halt.
Die Spionage fremder Staaten beeinträchtigt die nationale
Souveränität Deutschlands. Daher gehört es seit der Grün-
dung des BfV am 7. November 1950 zu den zentralen Auf-
gaben des Dienstes, Spionageaktivitäten aufzudecken und
zu verhindern.
Spionage & Konkurrenzausspähung
Wirtschaftsspionage wird von fremden Staaten unter Einsatz nachrichtendienstlicher
Methoden betrieben.
Konkurrenz- oder Industriespionage bezeichnet die Ausspähung von Unternehmen
durch andere Unternehmen. Oft tarnen fremde Staaten jedoch ihre Wirtschaftsspi-
onage durch halbstaatliche oder private Unternehmen: die Grenzen zwischen Wirt-
schaft und Staat verlaufen hier fließend.19
Broschüre
Wirtschafts- und
Wissenschaftsschutz
In der Präventionsarbeit des BfV geht es insbesondere darum,
1. Gefahren z. B. durch Spionage besser verständlich zu ma-
chen und über die beteiligten Akteure und über die ange-
wandten Methoden zu informieren,
2. realistische Bedrohungsszenarien für ein effektives Risi-
komanagement zur Verfügung zu stellen
3. sowie Rückmeldungen und Erfahrungswissen aus Wirt-
Wirtschaft und Wissenschaft in Deutschland sind auf- schaft und Wissenschaft in den analytischen Prozess des
grund ihrer herausragenden Stellung Ziel vielfältiger Be- Verfassungsschutzes einzubeziehen.
drohungen. Neben Terrorismus und gewaltbereitem Extre-
mismus stellen insbesondere die Spionage und Sabotage
durch staatliche Akteure aus dem Ausland ernst zu neh-
mende Gefahren für deutsche Unternehmen und For-
schungseinrichtungen dar. Der Schutz der deutschen Wirt-
schaft und Wissenschaft ist Teil des gesetzlichen
Präventionsauftrags des Verfassungsschutzes. Im Rahmen
seiner Präventionsmaßnahmen informiert das BfV über
eigene Erkenntnisse und Analysen, welche die Wirtschaft
und Wissenschaft dabei unterstützen, sich eigenständig
und effektiv vor den Gefahren von Ausspähung, Sabotage
aber auch Bedrohungen durch Extremismus und Terroris-
mus schützen zu können.
Wesentliche Erkenntnisse, die das BfV im Rahmen seines gesetzlichen Auftrags zu-
sammen mit den Landesbehörden für Verfassungsschutz gewonnen hat, werden im
jährlichen Verfassungsschutzbericht auch der Öffentlichkeit zugängig gemacht.
Die Berichte sind online unter www.verfassungsschutz.de einsehbar.20
Broschüre
Wirtschafts- und
Wissenschaftsschutz –
Single Point of Contact
Das BfV verfügt über umfangreiche Erkenntnisse zu mög- (Wirtschafts- und Wissenschaftsschutz) innerhalb des BfV
lichen Angreifern, ihren Zielen und Methoden und unter- ist dabei zentraler Ansprechpartner für Unternehmen und
stützt Wirtschaft und Wissenschaft mit zielgruppengerech- Forschungseinrichtungen.
ten Sensibilisierungsangeboten. Der Bereich Prävention
FRAGEN AN …
Dr. Dan Bastian Trapp, Leiter des Referats Prävention in Wirtschaft,
Wissenschaft, Politik und Verwaltung
Wo lauern aktuell die größten Gefahren für Angreifenden nicht unnötig leicht zu machen und
Unternehmen und Forschungseinrichtungen? sicherzustellen, dass ich Vorfälle rechtzeitig de-
tektieren kann. Dazu müssen
Deutsche Unternehmen und die sensible Informationen identi-
Sicherheitsbehörden rechnen fiziert werden und sämtliche
mit einer weiter anwachsenden Unternehmensprozesse unter
Bedrohung durch Cyberangriffe Sicherheitsgesichtspunkten
und Spionage. Laut aktuellen analysiert werden, um prakti-
Schätzungen liegt der Scha- kable Lösungen zu finden.
den bei mittlerweile über 200
Milliarden Euro. Aktuelle Welche Rolle spielt dabei
Zahlen belegen: Eine große das Personal?
Gefahr geht dabei von Social
Engineering aus, über 45% der Eine absolut zentrale Rolle! Die
Unternehmen waren wissent- eigenen Beschäftigten sollten
lich davon betroffen. sowohl bei der Analyse als auch
bei der Maßnahmenentwick-
Wie können sich Unter- lung unbedingt mit einbezogen
nehmen und For- werden. Sie sollen die Maßnah-
schungseinrichtungen men ja später auch umsetzen.
schützen? Auch eine sicherheitssensible
Führungskultur und eine hohe Mitarbeiterzu-
Angriffe – egal ob analog oder digital – lassen friedenheit sind entscheidende Punkte, z. B. beim
sich nicht verhindern. Das Ziel muss sein, es den Schutz vor Innentäterschaft.21
Broschüre
Geheim-
und Sabota-
geschutz Die vom BfV durchgeführte Sicherheitsüberprüfung ist ein
zentrales Instrument des Sabotageschutzes im Bereich der
Kritischen Infrastruktur (KRITIS). Zweck ist es, Einrichtun-
gen, die für das Gemeinwesen unverzichtbar sind, wie die
Sicherheit der Energieversorgung oder Telekommunikati-
Eine bedeutsame, jedoch in der Öffentlichkeit weniger be- on, vor potentiellen Innentätern zu schützen. Die Überprü-
kannte Aufgabe des BfV ist der Geheim- und Sabotage- fung soll sicherstellen, dass an besonders sicherheitsrele-
schutz. Bestimmte sensible staatliche Informationen müs- vanten Stellen keine Personen beschäftigt sind, bei denen
sen vor einer Kenntnisnahme durch nicht befugte Personen Sicherheitsrisiken vorliegen.
geschützt werden. Dabei kommen sowohl personelle als
auch materielle (organisatorische, bauliche und techni-
sche) Maßnahmen zum Einsatz, wie z. B. Sicherheitsüber-
prüfungen oder die Klassifizierung von Verschlusssachen.
Klassifizierungen von Verschlusssachen
Die Kenntnisnahme durch Unbefugte kann:
→ STRENG GEHEIM
den Bestand oder lebenswichtige Interessen der Bundesrepublik Deutschland
oder eines ihrer Länder gefährden.
→ GEHEIM
die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährden
oder ihren Interessen schweren Schaden zufügen.
→ VS-VERTRAULICH
für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder
schädlich sein.
→ VS-NUR FÜR DEN DIENSTGEBRAUCH
für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder
nachteilig sein.22
Broschüre
Die Sicherheits-
überprüfung
Ziel einer Sicherheitsüberprüfung ist es, festzustellen, ob heitsüberprüfungsgesetz. Dieses sieht eine Überprüfung
Personen sorgsam mit Informationen umgehen und kein nur dann vor, wenn:
Sicherheitsrisiko darstellen. Voraussetzung für eine Si- • das Unternehmen geheimschutzbetreut ist und im
cherheitsüberprüfung ist immer die Zustimmung der zu Rahmen eines staatlichen Auftrags mit Verschluss
überprüfenden Person. sachen arbeitet
• oder es sich um Schlüsselstellen in Unternehmen der
Die Sicherheitsüberprüfung von Beschäftigten in Unter- Kritischen Infrastruktur handelt.
nehmen oder Behörden richtet sich nach dem Sicher-23
Broschüre
Arten von Sicherheitsüberprüfungen
Einfache Sicherheitsüberprüfung
Die einfache Sicherheitsüberprüfung wird bei Personen
durchgeführt, die Zugang zu „VS-VERTRAULICH“ einge-
stuften Verschlusssachen haben oder ihn sich verschaffen
können oder Tätigkeiten in einer Nationalen Sicherheitsbe-
hörde wahrnehmen sollen.
Erweiterte Sicherheitsüberprüfung
Die erweiterte Sicherheitsprüfung wird bei Personen
durchgeführt, die Zugang zu „GEHEIM“ eingestuften oder
einer hohen Anzahl von „VS-VERTRAULICH“ eingestuften
Verschlusssachen haben oder ihn sich verschaffen können
sowie bei Personen, die in einer lebens- und verteidigungs-
wichtigen Einrichtung oder im Bundesverteidigungsminis-
terium tätig werden sollen.
Erweiterte Sicherheitsüberprüfung mit Sicherheitser- Folgende Feststellungen können einem Einsatz in sicher-
mittlungen heitsempfindlicher Tätigkeit entgegenstehen:
Diese Art der Sicherheitsüberprüfung wird bei Personen
durchgeführt, die Zugang zu „STRENG GEHEIM“ eingestuf- • Zweifel an der persönlichen Zuverlässigkeit (z. B. wegen
ten oder einer hohen Anzahl von „GEHEIM“ eingestuften begangener Straftaten oder Drogenmissbrauchs)
Verschlusssachen haben oder ihn sich verschaffen können
sowie bei Personen, die bei einem Nachrichtendienst des • Eine besondere Gefährdung der betroffenen Person, ins-
Bundes oder einer vergleichbaren Einrichtung Tätigkeiten besondere die Besorgnis der Erpressbarkeit bei mögli-
wahrnehmen sollen. chen Anbahnungs- oder Werbungsversuchen durch aus-
ländische Nachrichtendienste, kriminelle, extremistische
oder terroristische Organisationen (Überschuldung ist
bspw. ein geeigneter Ansatz, die betroffene Person gegen
Bezahlung zu einem Geheimnisverrat zu bewegen)
• Zweifel am Bekenntnis zur freiheitlichen demokratischen
Grundordnung (z. B. bei extremistischer Betätigung)
Für Unternehmen und Forschungseinrichtungen, die nicht unter einen Anwendungs-
fall des Sicherheitsüberprüfungsgesetzes fallen, ist für kritische Positionen die
Durchführung von geeigneten Pre-Employment-Screenings anzuraten.
Oft helfen schon Plausibilitätsprüfungen des Lebenslaufes, Hinweise auf Unregel-
mäßigkeiten zu detektieren.24
Broschüre
Verfassungsschutz –
stark im Verbund
Die Bundesrepublik Deutschland ist ein föderaler Bun- Auch im Bereich des präventiven Wirtschaftsschutzes ar-
desstaat. Diesem Prinzip folgend, verfügt jedes der 16 beiten die zuständigen Landesbehörden vernetzt und ste-
Bundesländer über eine eigene Verfassung und auch über hen im regelmäßigen Austausch. Auf diese Weise entsteht
eine eigene Landesbehörde für Verfassungsschutz. Diese ein starkes Netzwerk bis zu den Unternehmen vor Ort.
sind zuverlässige Partner im Bereich der inneren Sicher- Unser Tipp: Nehmen Sie unabhängig von einem konkre-
heit vor Ort. Gemeinsam mit dem BfV bilden sie den Ver- ten Verdachtsfall schon einmal Kontakt zum Wirtschafts-
fassungsschutzverbund, in dem das BfV die Zentralstel- schutzbereich ihres Landesamtes für Verfassungsschutz
lenfunktion übernimmt. auf. Wenn die Kommunikationswege etabliert sind, kann
der Kontakt im Notfall schneller hergestellt werden.
Eine Übersicht über die einzelnen Verfassungsschutzbehörden gibt es
unter www.wirtschaftsschutz.info.
Jederzeit ansprechbar ist auch der Bereich Wirtschaftsschutz
des BfV unter wirtschaftsschutz@bfv.bund.de oder
+49 (0)30 18 792 33 22.25
Broschüre
Kontrolle
An die Arbeit des BfV werden strenge rechtsstaatliche schließlich im Rahmen seiner Befugnisse und Kompe-
Maßstäbe gelegt. Neben der Verwaltungskontrolle sollen tenzen arbeitet. Das Schaubild zeigt die unterschiedlichen
die parlamentarische, die gerichtliche und die öffentliche Kontrollmechanismen. Nähere Informationen finden Sie
Kontrolle sicherstellen, dass der Verfassungsschutz aus- auch auf www.verfassungsschutz.de
Allgemeine Kontrolle Besondere Kontrolle G 10-Kontrolle
G 10-Kommission
• Debatten im Bundestag • Parlamentarisches
• Kleine und Große Kontrollgremium (PKGr) • Entscheidung über
Anfragen • Regelmäßige Berichte, Maßnahmen zur Be-
• Regelmäßige Berichte ggf. Untersuchungs- schränkung des Brief-,
von Innen- und Haushalts- ausschuss Post- und Fernmelde-
ausschuss, ggf. Untersu- • Petitionen geheimnisses
chungsausschuss • Vier Mitglieder vom PKGr
• Petitionen bestellt
Bundesamt für Verfassungsschutz
Verwaltungskontrolle Öffentliche Kontrolle Gerichtliche Kontrolle
• Bundesministerium • Bürgerinnen und Bürger • Klagen gegen
des Innern, für Bau und (Eingaben, Anfragen, Maßnahmen des
Heimat (BMI - Dienst- Auskunftsrecht) Verfassungsschutzes
und Fachaufsicht) • Presse (Berichte,
• Bundesbeauftragter für Anfragen)
den Datenschutz und die
InformationsfreiheitBildcredits
S. 15 Bundesamt
Bundesamt für
für Verfassungsschutz,
Verfassungsschutz,S.S.17
17Unsplash/@theasophie,
Unsplash/@theasophie,S.S.1818Markus
MarkusWinkler,
Winkler,
S. 20 Bundesamt
Bundesamt fürfür Verfassungsschutz,
Verfassungsschutz,S.
S.2121Brian
BrianA.
A.Jackson,
Jackson,S.
S.22
22izusek/istockphoto,
izusek/istockphoto,S.
2424
S. Clay Banks,
Clay S. 26
Banks, Bundesamt
S. 26 fürfür
Bundesamt Verfassungsschutz
Verfassungsschutz27
Albtraum statt Traumjob
ALBTR AUM
statt Traumjob
Case Study am Beispiel der
APT-Gruppierung Lazarus
Redaktion: Cyberabwehr Illustration: Sonja Marterner
Schon lange treibt die Hackergruppe Lazarus ihr Unwesen. In einer
groß angelegten Spionagekampagne gegen die Rüstungsindustrie,
die nun schon seit Herbst 2019 andauert, erbeutet Lazarus geschütz-
te Informationen und akquiriert im Einzelfall sogar finanzielle Mittel.
Auch deutsche Konzerne stehen dabei im Fokus der
Hacker. Gesteuert wird die Gruppierung vermutlich
durch nordkoreanische Nachrichtendienste.28
Albtraum statt Traumjob
In der Frühphase ihrer Aktivitäten fiel Lazarus Jobangebote und erlangen so ihr Vertrauen. Um
insbesondere durch Vergeltungsaktionen auf, zum die Kommunikation auf Messenger-Dienste um-
Beispiel mit dem „Sony Pictures Hack“ in 2014 als zulenken, verlangen die Angreifer schließlich
Reaktion auf den Nordkorea-kritischen Film „The nach weiteren Kontaktdaten. Letztendlich erfolg-
Interview“ sowie durch finanziell motivierte An- te die Ansprache in be-
griffe auf Banken und Kryptowährungsbörsen. Doch sagter Kampa-
zunehmend zeichnet sich bei der APT-Gruppierung gne mitunter
(u.a. auch bekannt als Labyrinth Chollima, Andariel über mehrere
oder APT38) eine wachsende Professionalisierung Social Media- und
ab, die eine entsprechend umfangreiche personelle Karrierenetzwerke
und finanzielle Ausstattung vermuten lässt. 2015 be- gleichzeitig. Diese Form
zifferte Reuters den Schaden auf bis zu 100 Millionen der maßgeschneiderten,
Dollar.1 direkten Ansprache dürfte sich
durch eine weitaus höhere Erfolgs-
quote als klassische Spear-Phishing-
Advanced Persistent Threat (APT): Unter APT E-Mails auszeichnen.
versteht man einen komplexen, zielgerichteten
und effektiven Angriff auf vor allem (Spear-)Phishing: Unter dem Begriff
anspruchsvolle Ziele. APTs erfolgen nach Phishing versteht man Versuche, mittels
langer Vorbereitung und Anpassung an das gefälschter Webseiten,
Opfer. Das Ziel ist, sich möglichst lange E-Mails oder Kurznachrichten an persönliche
unentdeckt im Opfersystem zu bewegen, um Daten von Internetnutzerinnen und Internet-
möglichst viele Daten abzugreifen. nutzern, insbesondere Login-Informationen,
zu gelangen. Sobald der Angreifer es gezielt
So widmete sich Lazarus in jüngerer Vergangen- auf bestimmte Personen, Unternehmen oder
heit vermehrt der „klassischen“ Cyberspionage Organisationen abgesehen hat, spricht man
zu Themen von strategischer und wirtschaftli- von Spear-Phishing.
cher Bedeutung für das nordkoreanische Regime.
Im Verlauf der Covid-19-Pandemie hat sich der
Fokus der Hacker zudem erweitert und Lazarus Das Übersenden des Köder-
nimmt nun auch Organisationen der Pharma- dokuments
und Gesundheitsbranche ins Visier, insbesondere
Unternehmen und Forschungseinrichtungen, die Nach erfolgreicher Anbahnung wird den ange-
einen Bezug oder Informationen zu Corona-Impf- sprochenen Angestellten ein Dokument – im Cor-
stoffen haben. porate Design des vorgeblichen Arbeitgebers – mit
In ihrem Vorgehen setzt Lazarus auf ausgefeilte vermeintlichen Details zum Jobangebot gesendet.
Social Engineering-Methoden, die im Folgenden Dabei handelt es sich um PDFs mit beigefügtem
skizziert werden. maliziösem PDF-Reader oder um Word-Dokumen-
te mit versteckter Schadfunktion.
Eine Reaktion auf das Stellenangebot einfor-
Die Anbahnung dernd, werden die Opfer von den Angreifern zum
Öffnen der schadhaften Anhänge gedrängt. Eine
Zur Annäherung an ihre Opfer legen die Angreifer Fehlermeldung erklärt, dass das Dokument nicht
zunächst Fake-Profile in Karrierenetzwerken an, ordnungsgemäß geöffnet werden kann und die
in denen sie sich als Headhunterinnen und Head- angesprochenen Personen werden verleitet, das
hunter oder Beschäftigte der Personalabteilung Dokument auf unterschiedliche Rechner oder
namhafter Unternehmen ausgeben. Selbst die Mobilgeräte zu übertragen und die Ausführung
Profile realer Personen wurden zu diesem Zweck von Makros zu erlauben. Mitunter enhalten die
von Lazarus gefälscht. genutzten Microsoft Office-Köderdokumente
Um den Profilen Legitimität zu verleihen, vernet- selbst gar keine schadhaften Inhalte, verweisen
zen sich die Angreifer zusätzlich mit Angestellten jedoch auf eine externe Ressource. Über diese wird
des vermeintlichen Arbeitgebers. Über die Fake- Microsoft Office veranlasst, eine Dokumentenvor-
Profile schreiben sie schließlich Zielpersonen in lage-Datei mit maliziösem Makro aus dem Internet
den Unternehmen an, schicken diesen gefälschte nachzuladen und auszuführen: eine sogenannte
1
https://www.manager-magazin.de/digitales/it/sony-filmstudio-hackerschaden-ist-von-versicherung-gedeckt-a-1012169.htmlSie können auch lesen
