Social Engineering - Verfassungsschutz
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
N° 1 | 2021/2022
Wirtschaft und Wissenschaft schützen
Social
Engineering
Einblicke in moderne Wirtschaftsspionage
Der Verfassungsschutz
Aufgaben, Verantwortungen, Kontrolle
Chinas neue Wege der Spionage
Vor welchen Herausforderungen westliche Sicher-
heitsbehörden und Unternehmen jetzt stehen
Inhalt
04
Radar
Wichtiges auf einen Blick
06
Liebe Leserinnen, Liebe Leser,
Die Gefahr von
die Pandemie hat wie ein Brennglas auf viele relevante Themen unseres Landes gewirkt. Insbesondere Social Engineering
Steht die soziale Manipulation
die Wirtschaft musste sich rasch auf Entwicklungen und neue Verfahrensweisen einstellen. Für das
erst am Anfang ihrer (technischen)
Bundesamt für Verfassungsschutz (BfV) waren die Themen Wirtschaftsspionage und Sabotage von Bundesamt
Möglichkeiten?
besonderer Dringlichkeit. Denn für einen resilienten Wirtschafts- und Wissenschaftsstandort für Verfassungsschutz
Deutschland müssen wir vor allem Sicherheitskonzepte und -strukturen fortwährend anpassen.
Aufgaben,
Verantwortungen,
12
Mit dem neuen SPOC-Magazin des BfV geben wir Ihnen Einblick in unsere Spionageabwehr und Kontrolle
Sicher ins digitale
beleuchten ausgewählte Aspekte: So haben wir während der Pandemie eine erhebliche Anzahl von Zeitalter
Social Engineering-Kampagnen beobachtet. Ob als Spear-Phishing-Angriff oder Deepfake, niemand Interview mit Dirk Fleischer, CSO
ist vor geschickter Täuschung sicher. Darüber hinaus fragen wir nach konkreten Bedrohungen für & CISO der Dürr AG sowie Autor
Unternehmen durch moderne Spionage und Sabotage und mit welchen Maßnahmen sich des Buches „Wirtschaftsspionage“
Unternehmen schützen können.
Bei Ihrer persönlichen Gefahreneinschätzung möchten wir Sie mit dem SPOC-Magazin unterstützen.
15
Als Single Point of Contact (SPOC) ist das Team vom Wirtschaftsschutz des BfV bei konkreten Sicher- Der Verfassungs-
heitsanfragen und Verdachtsfällen Ihr vertraulicher Ansprechpartner. schutz
Ich wünsche Ihnen eine spannende Lektüre. Partner des Vertrauens
Thomas Haldenwang
Präsident Bundesamt für Verfassungsschutz
27
Albtraum
statt Traumjob
Die Social Engineering-Methoden
Single Point of Contact – Der Bereich, der mit Standorten in Köln Zudem ist er als Single Point of Contact der Hackergruppe Lazarus
SPOC
und Berlin vertreten ist, bereitet die jederzeit bei konkreten Verdachtsfällen
Erkenntnisse und Analysen des Hauses und Sicherheitsanfragen für Unterneh-
bedarfsgerecht für seine Zielgruppen men, Wissenschafts- und Forschungs- 30
auf und trägt so dazu bei, dass sich einrichtungen sowie Politik und Verwal-
Dieses Heft wird vom Bereich Präven- diese eigenverantwortlich und effektiv tung ansprechbar: Chinas neue Wege
tion in Wirtschaft, Wissenschaft, Politik gegen gewaltbereiten Extremismus, der Spionage
und Verwaltung des Bundesamts für Terrorismus, Spionage und Sabotage wirtschaftsschutz@bfv.bund.de
Vor welchen Herausforderungen
Verfassungsschutz herausgegeben. durch fremde Mächte schützen können. +49 (0)30 18 792 3322
westliche Sicherheitsbehörden
und Unternehmen jetzt stehen
Impressum:
Herausgeber
Bundesamt für Verfassungsschutz
Mitwirkende
Katrein Baumeister | agentur-sheila.com
Herstellung
Spreedruck
35
Sean Dunn | agentur-sheila.com
Redaktionsleitung Deepfake
Dr. Dan Bastian Trapp und Philip Kornberger Korrektorat Auf dem Weg zum Social
Katrein Baumeister | agentur-sheila.com
Engineering 2.0?
Art Direktion und Gestaltung
Sonnenstaub, Berlin | sonnenstaub.com
4 5
Radar Radar
Bitkom-Untersuchung: IT-NOTFALL- Deutsche
Zunehmende Attacken auf Unternehmen KARTE nutzen
nach wie vor
unsichere
Die vom Bundesverband Informationswirtschaft, Telekommunikation Was tun, wenn’s brennt? Im Ernst-
und neue Medien e. V. (Bitkom) veröffentlichte Studie „Wirtschafts- fall können die Alarmpläne „Verhal-
Passwörter
schutz 2021“ zeigt einen deutlichen Anstieg digitaler wie analoger An- ten im Brandfall“, die oft in öffentli-
griffe auf deutsche Unternehmen im vergangenen Jahr. Insbesondere chen Gebäuden aushängen, Leben
Social Engineering-Attacken wurden vermehrt registriert. So gaben retten. Kurz und übersichtlich fin-
27% der befragten Unternehmen an, am Telefon angesprochen worden den sich dort die wichtigsten Ver-
zu sein, 10% der Ansprachen fanden im privaten Umfeld statt. haltensweisen in chronologischer Das Hasso-Plattner-Institut (HPI) veröffentlicht jedes Jahr die häufigsten Pass-
Reihenfolge abgebildet. Auch bei wörter der Deutschen. Ein Blick auf die Top Twenty 2019 zeigt, dass sich immer
Rund 1.000 Geschäftsführerinnen und Geschäftsführer sowie Sicher- IT-Störungen, wie zum Beispiel bei noch zu viele Internetnutzerinnen und Internetnutzer auf simple Zahlenreihen
heitsverantwortliche quer durch alle Branchen wurden für die Studie einem Hackerangriff, ist schnelles wie „123456“, Tastenkombinationen wie „qwertz“ oder Wörter wie „password“
befragt. 88% gaben an, im Zeitraum der letzten 12 Monate von Dieb- und besonnenes Handeln unerläss- verlassen, die keinen wirksamen Schutz vor Cyberangreifern bieten.
stahl, Industriespionage oder Sabotage vermutlich betroffen gewe- lich. Um dies zu unterstützen, hat
sen zu sein. Im Vorjahreszeitraum waren es lediglich 75%. Insgesamt der Bundesverband Informations- Das HPI greift dabei auf 67 Millionen Zugangsdaten zurück, die auf E-Mail-
verursachen Datendiebstahl, Industriespionage und Sabotage jährlich wirtschaft, Telekommunikation und Adressen mit .de-Domain registriert sind und 2019 im Netz geleakt wurden.
einen Schaden von über 223,5 Milliarden Euro. neue Medien e. V. eine IT-Notfallkar- Ob man selbst Opfer eines Datendiebstahls geworden ist, lässt sich mit dem
te herausgegeben. Wie die Alarm- „Identity Leak Checker“ des HPI unter https://sec.hpi.de/ilc prüfen.
www.bitkom.org pläne sollte die IT-Notfallkarte zum
Sicherheitsstandard in Unterneh-
men gehören. Tipps zum Erstellen sicherer Passwörter bieten u. a. das
Bundesamt für Sicherheit in der Informationstechnik (BSI)
oder die Verbraucherzentralen:
Innentäter www.bsi-fuer-buerger.de
www.verbraucherzentrale.de
Wie die aktuelle Bitkom-Umfrage (2021) zeigt,
stecken hinter 61% der Fälle von Datendieb-
stahl, Industriespionage oder Sabotage aktu-
25%
elle oder ehemalige Beschäftigte. Unterneh-
men können dem Phänomen „Innentäter“ der deutschen Unternehmen,
begegnen, indem sie in ihren Sicherheitskon- v. a. Kleinunternehmen, erlitten
zepten entsprechende präventive Maßnahmen durch Cyberangriffe nahezu
verankern. existenzbedrohende Schäden
89%
55%
Die aktuelle Broschüre „Informationsabfluss aus Von Katzen, Bären der Befragten
Foto: istockphoto.com/portfolio/da-kuk; Illustration: Sonnenstaub
Foto: istockphoto.com/portfolio/da-kuk; Illustration: Sonnenstaub
der Bitkom-
Unternehmen – Innentäterschaft als unter-
schätztes Massenphänomen“ vermittelt anhand und Pandas Studie von
2020 sehen
verschiedener Beispiele und Checklisten pra- mehr Cyberattacken als im Vorjahr
xisorientierte Umsetzungshilfen für Prävention,
Detektion und Reaktion. Die Broschüre können Eine Gruppierung, die Cyberangriffe verübt, kann mitunter zahl-
Sie auf der Internetseite www.wirtschafts- reiche verschiedene Namen tragen. So führen beispielsweise
der in der Bitkom-Studie befragten Führungs- Im Vergleich zum Vorjahr steigen Er-
schutz.info kostenfrei herunterladen. unterschiedliche IT-Sicherheitsunternehmen ein und dieselbe
kräfte wurden Opfer von Social Engineering pressungsvorfälle, mit einem Ausfall
Gruppierung unter einem ganz anderen Namen (z. B. Karma Pan-
von Informations- und Produktions-
da, Tonto Team, Cactus Pete). Typisch ist jedoch am Ende des
systemen sowie der Störung von
Gruppennamens eine tierische Metapher: So werden Pandas
9 10
Betriebsabläufen, um
358%
der VR China zugeordnet, Bären der Russischen Föderation und
Kätzchen dem Iran.
von Unternehmen
Übrigens hat die Cyberabwehr hierzu ein Cyberkartenspiel sind durch Cyberangriffe betroffen
entwickelt, welches wir bei verschiedenen Gelegenheiten he-
rausgeben. Quellen: bsi.de, bitkom.org
6 7
Social Engineering Social Engineering
Den Besten wie Alethe Denis reichen zwanzig Minuten. Wäh-
rend sie vom Publikum mit tosendem Applaus gefeiert wird,
dürfte ihr Gegenüber wohl am liebsten im Erdboden versinken
wollen.1 In simulierten Angriffen werden beim Wettbewerb
Social Engineering Capture the Flag (SECTF) auf der jährlich
in Las Vegas stattfindenden Hackerkonferenz DEFCON, die
Gefahren, die von Social Engineering für Unternehmen aus-
gehen, eindrücklich aufgezeigt.
Alethe Denis, die Siegerin von 2019, brachte während mationsgewinnung aus frei für jedermann
des Wettbewerbs einen Angestellten ihres Zielunter- verfügbaren Quellen. Dabei kann es sich um
nehmens nicht nur dazu am Telefon detaillierte analoge oder digitale Medien, Webseiten und
Angaben über seine IT-Ausstattung und installierte soziale Netzwerke oder auch schlicht um ganz
Software zu machen, sondern sie konnte ihr Opfer alltägliche Gesprächssituationen handeln.
sogar dazu bewegen, auf seinem Rechner zwei Inter-
netadressen aufzurufen, die sie ihm diktierte. Um das Der zweite Teil des Rankings wird beim Live-Auf-
Vertrauen ihrer Zielperson zu gewinnen, musste sie tritt vor Publikum im Rahmen der Konferenz
sich lediglich als Kollegin aus der IT ausgeben, die ermittelt. In einer schalldichten Kabine sitzend,
sich um einen angeblich anstehenden Rechneraus- haben die Teilnehmerinnen und Teilnehmer zwan-
tausch kümmert. zig Minuten Zeit, am Telefon mit einer oder einem
Angestellten des Zielunternehmens erneut zuvor
Das Zielunternehmen wurde Denis vom Veranstal- erhaltene Flags abzuarbeiten und schließlich an
ter des Wettbewerbs bereits drei Wochen vor dem vertrauliche Informationen zu kommen.
Angriff auf der Live-Bühne der DEFCON zugewiesen.
In diesen hatte sie Zeit, einen Bericht über das Ziel- Der Schaden, den Denis bei einem realen Angriff
unternehmen anzufertigen, in dem sie bestimmte hätte anrichten können, wäre immens gewesen. Mit
„Flags“ abarbeitet – spezifische Informationen über hinter den genannten Internetadressen versteckter
das Ziel, die vorab in einem Katalog festgelegt wur- Malware hätte sie nicht nur Zugriff auf den infizier-
den und die sich ein tatsächlicher Social Enginee- ten Rechner, sondern darüber auch auf das gesamte
ring-Angreifer zunutze machen könnte: Persönliche Firmennetzwerk erhalten können. Der simulierte
Angaben zu Angestellten, Adressdaten, Namen von Angriff zeigt auf drastische Weise, dass selbst noch so
Ehepartnerinnen und Ehepartnern, Kindern oder ausgefeilte technische Schutzmaßnahmen umgangen
Die Gefahr von
Hobbys bis hin zu Details zu Hard- und Software, werden können, wenn Angreifer gezielt den Men-
die im Unternehmen genutzt wird. schen und sein Verhalten ins Visier nehmen. Mittels
gezielter Ausnutzung menschlicher Eigenschaften
Dabei ist in dieser ersten Phase des Wettkampfs der wie Hilfsbereitschaft, Vertrauen, Angst, Respekt vor
SOCIAL
direkte Kontakt per E-Mail oder Telefon ausdrück- Autorität oder schlichtweg Neugier, werden beim
lich untersagt. Lediglich öffentlich zugängliche Quel- Social Engineering Personen in ihrem Verhalten ma-
len wie die Unternehmenswebseite, Medienberichte, nipuliert. Ein Opfer, das auf die Täuschung hereinfällt,
Suchmaschinen wie Google, soziale Netzwerke wie handelt im Glauben, das Richtige zu tun. Tatsächlich
ENGINEERING
LinkedIn oder Xing dürfen für die Erstellung des Be- spielt es jedoch dem Motiv des Täters in die Hände.2
richts hinzugezogen werden.
Social Engineering an sich ist nichts Neues. Seit
Open Source Intelligence (OSINT): OSINT ist Menschengedenken dient soziale Manipulation als
ein Begriff aus dem nachrichtendienstlichen Grundlage für unterschiedlichste Betrugsmaschen.
Sprachgebrauch. Er bezeichnet die Infor- Ein klassisches Beispiel ist der „Enkeltrick“, bei dem
Redaktion: Wirtschaftsschutz BfV Illustration: Sonja Marterner
1
https://www.spiegel.de/netzwelt/web/social-engineering-die-besten-tricks-der-menschen-hacker-a- 1281453.html
2
https://www.bsi-fuer- buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_
node.html
8 9
Social Engineering Social Engineering
(Spear-)Phishing: Unter dem Begriff Phishing Stattdessen handelt es sich hier um Social Enginee- im internationalen Wettbewerb zu verschaffen. Die
versteht man Versuche, mittels gefälschter Web- ring-Profis. Dazu zählen auch staatliche Akteure, allen Angriffskampagnen betreiben dafür einen erheb-
seiten, E-Mails oder Kurznachrichten an per- voran ausländische Nachrichtendienste. Insbesondere lichen Aufwand und setzen auf eine breite Palette an
sönliche Daten von Internetnutzerinnen und die Dienste aus China, Russland und dem Iran tun sich Methoden, darunter auch ständig neue Ansätze von
Internetnutzern, insbesondere Login-Infor- hier mit entsprechenden APT-Kampagnen hervor. Social Engineering.
mationen, zu gelangen. Sobald der Angreifer es
gezielt auf bestimmte Personen, Unternehmen Advanced Persistent Threat (APT): Unter APT Wie systematisch Nachrichtendienste potentielle
oder Organisationen abgesehen hat, spricht versteht man einen komplexen, zielgerichteten Angriffsziele bereits im Vorfeld mittels Social Engi-
man von Spear-Phishing. und effektiven Angriff auf vor allem an- neering ausforschen, illustriert eine Kampagne, über
spruchsvolle Ziele. APTs erfolgen nach langer die der Verfassungsschutz erstmalig 2017 und erneut
Neben den klassischen Phishing-E-Mails via Mas- Vorbereitung und Anpassung an das Opfer. 2019 die Öffentlichkeit informierte. So waren chine-
senversand an einen beliebigen Empfängerkreis Das Ziel ist, sich möglichst lange unentdeckt sische Nachrichtendienste dabei beobachtet worden,
lässt sich zunehmend eine gezieltere Variante im Opfersystem zu bewegen, um möglichst wie sie über LinkedIn und andere soziale Netzwerke
dieser Methode beobachten, das „Spear-Phishing“. viele Daten abzugreifen. versuchten, für sie interessante Kontakte anzubahnen.
Beim Spear-Phishing werden die E-Mails mit vorab Die Nachrichtendienstler traten dabei getarnt als An-
recherchierten Inhalten, nicht selten Insiderwissen, Sie interessieren sich nicht nur für die deutsche gestellte von Think Tanks, Wissenschaftlerinnen oder
auf ausgewählte Personengruppen oder einzelne Politik und deren Akteure, sondern auch für die Wissenschaftler oder Angehörige chinesischer Be-
Mitarbeiterinnen und Mitarbeiter maßgeschnei- hiesige Wirtschaft und Wissenschaft. Das Ziel: hörden auf. Manchmal gaben sie sich auch als Head-
dert. Eine Methode, welche die Erfolgschancen des strategische Informationen sowie Unternehmens- hunterinnen und Headhunter oder Führungskräfte
Angreifers signifikant erhöht. und Forschungs-Know-how abzuschöpfen, um von Consulting-Firmen aus.
damit dem eigenen Land einen illegitimen Vorteil
Ähnlich ist die Herangehensweise bei der Angriffs-
strategie „Watering-Holes“. Bei dieser suchen An-
greifer gezielt nach Webseiten, die regelmäßig von
Mitarbeiterinnen und Mitarbeitern des eigent-
sich Trickbetrüger – meist telefonisch – gegenüber lichen Zielunternehmens frequentiert werden:
älteren Personen als nahe Verwandte ausgeben, um wie die Webseite von der Pizzeria oder Reinigung
Die zunehmende
unter Vorspiegelung falscher Tatsachen an Bargeld um die Ecke oder dem Kurierdienst, mit dem das
oder Wertgegenstände zu gelangen. Im Zeitalter der Unternehmen regelmäßig zusammenarbeitet.
Vernetzung und
digitalen Kommunikation ergeben sich zudem neue, Webseiten, die in der Regel weniger geschützt sind
äußerst effektive Möglichkeiten für Social Enginee- als die des Zielunternehmens und sich besser für
Kommunikation
ring und die zunehmende Vernetzung sorgt dafür, die Einschleusung von Malware eignen. Bestellen
dass die Zahl potentieller Opfer rasant steigt. Studien Beschäftigte nun online über die infizierte Webseite
über digitale
belegen, wie groß das Problem für die Wirtschaft der Pizzeria, holen sie sich auch den Schadcode frei
bereits ist. So hat der Digitalverband Bitkom zuletzt Haus dazu.
Kanäle sorgen
ermittelt, dass in den Jahren 2020 bis 2021 etwa
41 Prozent aller Unternehmen von digitalem Social Watering-Holes: Bei Watering-Holes handelt es
dafür, dass die
Engineering betroffen waren. Am höchsten war sich um legitime Webseiten, die mit Schadsoft-
dabei der Anteil von telefonischen Angriffen. Dieser ware infiziert wurden. Die Infizierung ist meist
Zahl der Opfer
lag bei ungefähr 27 Prozent.3 durch unbekannte Sicherheitslücken, soge-
nannte Zero-Day-Exploits, möglich. Watering-
rasant steigt.
Die bekannteste Form des digitalen Social Enginee- Holes können als Attacke gegen Unternehmen
ring ist das „Phishing“. Dabei handelt es sich um oder Institutionen verwendet werden, indem
E-Mails, die von einem auf den ersten Blick vertrau- gezielt häufig genutzte Webseiten der betref-
enswürdigen Absender stammen und auf eine vom fenden Opfer infiziert werden. Der Begriff
Angreifer (nach)gebaute Webseite verlinken. Der stammt aus der Tierwelt der afrikanischen
E-Mail-Text erläutert, dass auf besagter Webseite drin- Savanne, wo sich zu bestimmten Zeiten diverse
gend Daten aktualisiert werden müssen oder wichtige Arten, die ansonsten Fressfeinde sind, zum
Informationen bereitstehen und verleitet so Emp- Trinken am selben Wasserloch einfinden.
fängerinnen und Empfänger zum Klick auf den Link.
Infolgedessen infiziert sich das Opfer dann mit Mal- Da der Kosten-Nutzen-Aufwand vergleichsweise
ware oder aber wird zur Eingabe persönlicher Daten höher ist, sind die Hintermänner beim Spear-Phishing
animiert, die der Angreifer wiederum „abfischen“ und oder bei Watering-Holes in der Regel nicht unter den
für seine eigenen Zwecke missbrauchen kann. Hackern zu finden, die willkürlich Daten abgreifen.
3
https://www.bitkom.org/sites/default/files/2021-08/bitkom-slides-wirtschaftsschutz-cybercrime-05-08-2021.pdf
10 11
Social Engineering Social Engineering
Beispiele für die Nutzung von Unter dem Vorwand sich für die Arbeit der jeweili- dieser Analyse können nun entsprechende Schutz-
Social Engineering durch APT:
gen Zielperson zu interessieren, erkundigten sie sich maßnahmen abgeleitet werden. Die Grundlage effek-
nach Möglichkeiten eines fachlichen Austauschs und tiver Schutzmaßnahmen bildet dabei ein Klassifi-
verwiesen auf „wichtige Kunden“, die an westlicher zierungssystem, in dem die identifizierten Schutz-
Expertise interessiert seien. Im nächsten Schritt güter bestimmten Schutzstufen zugeordnet werden.
• Seit 2015 tritt die mutmaßlich staat- Angriffs standen die beruflichen E-Mail- wurden Betroffene um Übermittlung eines Lebens-
lich gesteuerte iranische Cyberangriffs- Adressen der an der Tagung teilnehmen- laufs und einer – vergüteten – Probearbeit gebeten. Ziel der zweiten Phase eines Social Engineering-An-
gruppierung Mabna Institute weltweit mit den Personen sowie von Personen aus Fiel diese zur Zufriedenheit aus, folgte eine Einla- griffs ist es, möglichst viele Informationen über das
umfangreichen Spear-Phishing-Kam- deren beruflichen Umfeld. Im Oktober dung nach China, um sich dort mit dem „wichtigen Angriffsziel zu erlangen: Organisationsaufbau, rele-
pagnen in Erscheinung. Diese richten 2016 wurde bekannt, dass die Kampagne Kunden“ zu treffen. Die Kosten des Aufenthaltes vante Personen, Kontaktdaten, verwendete Hard-
sich in erster Linie gegen akademische Charming Kitten (auch bekannt als News- wurden übernommen. Tatsächlich trat der wichtige und Software, Geschäftsbeziehungen etc. Diese In-
Einrichtungen. Das Ziel der Kampagnen caster oder Ajax Hacking Team), deren Kunde jedoch niemals in Erscheinung und wurde formationsbeschaffung erfolgt über Onlinerecher-
scheint der Zugang zu wissenschaftli- Ursprung im Iran vermutet wird, gezielt auch nie namentlich benannt. Im weiteren Verlauf chen, durch technische Verfahren oder auch durch
chen Publikationen sowie Anmeldedaten Unternehmen aus der Energiebranche ins wurden Betroffene regelmäßig aufgefordert, wiede- direkte Aufklärung vor Ort oder persönliche Kon-
für Lernplattformen von Universitäten zu Visier nahm. Hierzu empfand die Gruppier- rum gegen entsprechende Vergütung, Berichte zu taktaufnahme. Mit verschiedenen Maßnahmen kann
sein. Die Spear-Phishing-Mails sind sehr ung Domains von echten Jobportalen verfassen oder interne, sensible Informationen aus Angreifern die Informationssuche erschwert werden:
professionell gestaltet und animieren die für den Öl- und Gassektor nach. Parallel ihrem jeweiligen Arbeitsbereich weiterzugeben.
Empfängerinnen und Empfänger einen wurden (Word-)Dokumente mit Links zu • Mit Berechtigungskonzepten zur Informa-
Link anzuklicken, über den angeblich der angeblichen Stellenangeboten produziert, Obwohl Social Media-Plattformen wie LinkedIn tionssicherheit
Zugang zu der jeweiligen Lernplattform die mit Malware versehen wurden. immer wieder aktiv gegen auffällige Fake-Profile • Bereinigung der Webseite von sensiblen Infor-
entsperrt wird. Der Link führt jedoch auf vorgehen, beobachtet der Verfassungsschutz auch mationen
eine hochwertige Kopie der legitimen • Seit Ende 2016 richtet die mutmaß- weiterhin entsprechende Anbahnungsversuche. • Richtlinien für den Umgang mit Organisa-
Anmeldeseite der Lernplattform. Erst lich chinesische Kampagne APT 10 (auch tionsdaten auf Social Media-Plattformen
nach Eingabe der Zugangsdaten erfolgt bekannt als Menu Pass Team oder Sto- • Der Verwendung sicherer Passwörter
eine Weiterleitung auf die tatsächliche ne Panda) ihr Augenmerk verstärkt auf • Stets aktualisierter Software
Seite der jeweiligen Institution. Die so Unternehmen in Europa. Ausgangspunkt Was können Sicherheits- • Regelmäßigen Schulungen aller Beschäftigten,
erbeuteten Informationen werden ent- der Angriffe sind in der Regel Spear- verantwortliche in Wirtschaft insbesondere Personen an sicherheitssensiblen
weder auf akademischen Portalen im Phishing-E-Mails, die thematisch auf die und Wissenschaft tun, um Stellen
Iran zum Verkauf angeboten oder für den jeweiligen Empfängerinnen und Emp- dem zu begegnen?
Download von Inhalten auf den Plattfor- fänger zugeschnitten sind und maliziöse Insbesondere die stetige Sensibilisierung der Be-
men genutzt.4 (Word-)Dokumente enthalten. Je stärker die Vernetzung von Unternehmen oder schäftigten für Social Engineering-Methoden und
Forschungseinrichtungen mit Zulieferern oder das Einstudieren von Handlungsroutinen über
• Aus wahrscheinlich Südasien stammt • Vermutlich zwischen August 2017 und Dienstleistungsunternehmen, desto größer ist auch Rollenspiele und praktisches Ausprobieren ist ein
eine umfassende Spear-Phishing-Kam- Juni 2018 gab es eine besonders hoch- die Gefahr, Opfer von Social Engineering zu werden. wichtiger Baustein in einer effektiven Sicherheits-
pagne, die im Sommer 2020 von legitim wertige Spear-Phishing-Angriffswelle So nutzen Angreifer immer wieder die vermeintlich architektur. Gut geschultes Personal wird dann auch
erscheinenden E-Mail-Adressen ver- u. a. gegen deutsche Medienunterneh- schlecht gesicherten Unternehmen innerhalb einer im Falle eines tatsächlichen Angriffs diesen schneller
sendet wurde. Ein staatlich gesteuerter men. Die versandten E-Mails enthielten Lieferkette, um sich Zugang zum eigentlichen Ziel- erkennen, kann besser reagieren und so das Unter-
Cyberakteur gab sich als ausrichtende im Anhang ein maliziöses (Word-)Doku- unternehmen zu verschaffen. nehmen vor größerem Schaden bewahren.
Organisation für Tagungen aus, die sich ment. Beim Öffnen des Dokuments er-
mit sicherheitspolitischen Themen be- schien der Hinweis, die Ausführung so- Eine typische Social Engineering-Attacke lässt sich
nachbarter Staaten beschäftigen. Die genannter Makros zu erlauben. Dabei han- in vier Phasen unterteilen: Planung, Aufklärung und
gefälschten E-Mails kündigten inhaltlich delt es sich um Abfolgen von Befehlen Informationsbeschaffung sowie Entwicklung eines
eine kurzfristige Programmänderung ei- und Anweisungen, die zusammengefasst Szenarios und Durchführung. Für das Aufsetzen ge-
ner zeitnah anstehenden Tagung an. Der werden, um damit eine Automatisierung eigneter Sicherheitsstrategien hilft es, sich an diesen
Cyberakteur wollte hierdurch einen be- häufig ausgeführter Aufgaben zu ermög- Phasen zu orientieren.
sonders hohen Reaktionsdruck bei den lichen. Wurde die Ausführung erlaubt,
empfangsberechtigten Personen aus- führte das zur Installation von Schadcode, In einem ersten Schritt sollten mittels einer Risi-
lösen, da der E-Mail-Versand nur wenige welcher dem Angreifer letztlich bestimm- koanalyse mögliche Angriffsziele, das heißt sensible
Stunden vor dem Veranstaltungsbeginn te administrative Befehlsrechte einräum- Unternehmensdaten und -informationen, sowie
erfolgte. Das vorgeblich aktualisierte te. Die Kampagne wird der staatlich eventuelle Angriffspfade identifiziert werden. Dabei
Tagungsprogramm war nur durch Öffnen gesteuerten APT-Gruppierung Sand- muss auch die Möglichkeit eines gewollten oder
des der E-Mail beigefügten maliziösen worm (auch bekannt als Quedagh oder versehentlichen Informationsabflusses durch eigene
Word-Dokuments zu sehen. Im Fokus des Black Energy) zugerechnet. Beschäftigte berücksichtigt werden. Aufbauend auf
4
https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/2018/nachrichtendienstlich-gesteuerte-cyberangriffe.html
12 13
Interview Interview
Herr Fleischer, bei Dürr bauen Sie seit ein- müssen von allen berücksichtigt werden. „Soll-
einhalb Jahren eine Sicherheitsarchitektur Vorschriften“ sind abgewogene Empfehlungen. Mit
auf. Wie haben Sie die Beschäftigten für das „Kann-Vorschriften“ geben wir Hilfestellung, wie
Thema Sicherheit motivieren können? man beim Thema Sicherheit einen Schritt weiter ge-
hen kann. So schaffen wir einen globalen Standard,
Wir haben von Beginn an deutlich gemacht, dass der für jeden nachvollziehbar ist. Handhabbarkeit
Sicherheit nicht Selbstzweck, sondern zukunftssi- steht bei unserer Arbeit an oberster Stelle.
cherndes Element ist, dass ein gelebter Wirtschafts-
schutz unternehmerische Aktivitäten ermöglicht Laut der aktuellen Bitkom-Studie sind rund
und nicht blockiert. Beispielsweise bekommen jene 55% der befragten Unternehmen von Social
Unternehmen ein besseres Rating bei Nachhaltig- Engineering betroffen. Haben Sie selbst
keitsindizes, welche ein schlüssiges Sicherheitskon- bereits Erfahrungen mit diesem Thema ge-
zept haben. Wir versuchen also immer mit zu macht?
identifizieren, wo es Handlungsoptionen für das
Unternehmen gibt, die durch ein ausgewogenes Erst kürzlich haben wir eine größere Social Engi-
und gutes Sicherheitsdenken begünstigt werden neering-Kampagne erlebt, auf die wir schnell mit
und positionieren uns so als wirtschaftlicher einer Sensibilisierungskampagne nach innen
Faktor im Unternehmen. reagieren mussten. Im konkreten Fall haben in
erheblichem Umfang Personen
Was sind aus Ihrer Sicht
die wesentlichen Sicher-
» angerufen, die sich nach den
Funktionsträgerinnen und
heitsgefahren für deutsche
Unternehmen?
Wir müssen Funktionsträgern in einer be-
stimmten Abteilung erkundigt
Know-how-Abfluss durch In-
den Mitarbei haben. Es war recht eindeutig,
dass ein Teilbereich, der insbe-
dustriespionage, Cyberkrimi-
nalität im engeren Sinne – ins-
terinnen und sondere beim Know-how-Schutz
eine zentrale Rolle spielt, gezielt
besondere im Hinblick auf die
Fortführung von Geschäftspro-
Mitarbeitern ausgeforscht wurde. Das half uns
bei der Einordnung ungemein.
zessen; das Phänomen Ransom-
ware macht uns, glaube ich, in den Rücken Dabei ist es unwahrscheinlich
wichtig, die Person, die durch
stärken.
allen Unternehmen große Sorgen. Social Engineering angesprochen
Das dritte Thema sind „Allgemei- wird, nicht zum „Mittäter“ zu
SICHER
ne Kriminalitätsfor men“, wie machen. Wer so eine Reaktion
Wirtschaftsstraftaten, Eigentums-
delikte ebenso wie Cyberkrimina-
« befürchten muss, wird seine
Bereitschaft, sich an die Unter-
lität im weiteren Sinne. Die Digitalisierung sämtli- nehmenssicherheit zu wenden, reduzieren.
cher Bereiche katalysiert vor allem Cybergefahren.
Können Sie uns ein paar Tipps geben, zum
ins digitale Zeitalter
Als weltweit agierendes Unternehmen sind Schutz vor Social Engineering?
Sie auf globale Vernetzung angewiesen. Wie
schaffen Sie es, mit Ihrer Sicherheitsarchi- Wenn Sie angerufen werden, lassen Sie sich die
tektur die Balance zwischen Sicherheit und Nummer der anrufenden Person geben und rufen
Offenheit zu halten? Sie zurück. Wichtig ist dann, das Gespräch selbst
Interview mit Dirk Fleischer von der Dürr Group zu führen und sich nicht führen zu lassen. Dafür
Das Thema Sicherheit darf keine Wirtschaftspro- müssen wir wiederum den Firmenangehörigen
zesse hemmen. Deswegen setzen wir bei Dürr das Rüstzeug an die Hand geben, um selbstbewusst
Mit rund 16.500 Beschäftigten ist die von Paul Dürr 1896 gegründete Dürr Group eines der Schwerge- sehr stark auf Awareness, Sensibilisierung und reagieren zu können, auch wenn auf der anderen
wichte des deutschen Mittelstands. Bereits seit Jahren treibt die Organisation die Digitalisierung voran Enabling, denken also immer auch inhaltskritisch Seite Druck aufgebaut wird, beispielsweise wenn
und unterstützt unter anderem das von der Dürr AG mitgegründete IoT-Netzwerk Adamos, um die digita- darüber nach, ob es eine verhältnismäßige Maß- sich der Angreifer auf höher gestellte Personen be-
le Transformation im deutschen Maschinen- und Anlagenbau voranzutreiben. nahme ist, die wir treffen. ruft. Der Klassiker ist und bleibt: am Telefon nicht
Mit Dirk Fleischer, Corporate Security Officer und Corporate Information Security Officer bei Dürr sowie mit jedem über alles sprechen.
Autor des Buches „Wirtschaftsspionage“, sprach das SPOC-Magazin darüber, wie Dürr der Umstieg in Wie sieht das konkret aus?
Foto: Dürr AG
das digitale Zeitalter in Bezug auf Sicherheit gelingt, über generelle Herausforderungen für mittelstän- Trotz der verstärkten Aufklärung und
dische Unternehmen im Bereich Sicherheit und wie die Gefahren von Social Engineering in der Praxis Wir arbeiten in unseren Konzepten stark mit „Muss-, Prävention in diesem Bereich – wie schätzen
einzuordnen sind. Soll- und Kann-Vorschriften“. „Muss-Vorschriften“ Sie die Entwicklung dieses Phänomens ein?
14
Interview
Mit zunehmender Technologisierung und Digita- Welche drei Ratschläge geben Sie anderen
lisierung – Stichwort Deepfakes – wird die Gefahr, Unternehmen zum Thema Sicherheit?
die von Social Engineering ausgeht, nicht nur deut-
lich wachsen, sondern sich auch neue Formen des Pragamatismus, Risikobasiertheit und Koopera-
Social Engineering entwickeln. Durch die Schaf- tion.
fung virtueller Umgebungen potenziert sich bei- Das Thema Sicherheit sollte immer passend zum
spielsweise die Gefahr virtueller Scheinwelten. Unternehmen behandelt werden. Sich über für Bundesamt
das Unternehmen relevante Sicherheitsthemen für Verfassungsschutz
Welche Unternehmenssicht zum Thema Gedanken zu machen, ist der erste Schritt.
Sicherheit müsste im politischen Raum prä- Mit Risikobasiertheit meine ich, dass Sicherheit
senter sein? immer auch ein Teil des Risk-Managements ist.
Die Reduzierung von wirtschaftlichen Risiken
Dass ein guter und aktiv gelebter Wirtschafts- findet in Unternehmen seit Jahren statt. Auch
schutz ein wesentlicher Standortfaktor ist. Einer, Sicherheitsrisiken müssen dabei berücksichtigt
der das Überleben der Wirtschaft genauso sichert werden. Es macht keinen Sinn über Supply Chain
wie günstige Kredite. Security nachzudenken, wenn das Unternehmen
PARTNER
keine Lieferketten ins Ausland hat.
Welche Unterstützung wünschen Sie sich Zuletzt sollte eine Sicherheitsabteilung immer als
dabei von deutschen Sicherheitsbehörden? Teil des Unternehmens aufgebaut und verstanden
werden und nicht als ausgelagerte Organisations-
Ich wünsche mir einen pragmatisch-fördern- einheit innerhalb eines Unternehmens. Das
DES
den und kooperativen Wirtschaftsschutz. Die Furcht barste ist, als Unternehmenssicherheit wie
amerikanische Regierung hat zum Beispiel eine ein Fremdkörper platziert zu sein, der nur über
Ransomware-Taskforce eingerichtet und Ran- Governance und Regeln arbeitet. Das funktio-
somware-Angriffe auf die Stufe terroristischer niert heutzutage eigentlich nirgendwo mehr.
Attacken gestellt. Hierdurch werden Ermitt-
VERTRAUENS
lungsmöglichkeiten verbessert und gleich- Herr Fleischer, vielen Dank für das Gespräch!
zeitig bekommen Unternehmen ganz konkrete
Foto: Dürr AG
Hinweise und Ansprechstellen. Das ist für mich
priorisierend und zugleich maßnahmenfokus-
siert, pragmatisch.
Bundesamt für Verfassungsschutz
Aufgaben, Verantwortungen, Kontrolle
16 17
Broschüre
Broschüre
Die Verfassung der Bundesrepublik
Deutschland entwirft eine wehrhafte
Demokratie . Dies umfasst alle rechts-
staatlichen Maßnahmen, mittels derer
die Demokratie aktiv verteidigt wird.
Auch die Freiheit des Einzelnen, die It’s all about
selbst durch Freiheitsrechte und poli-
tische Teilhaberechte im Grundgesetz
information
verankert ist, darf nicht zum Zweck Das Bundesamt für Verfassungsschutz ist einer der drei analysiert der Verfassungsschutz – in enger Zusammen-
Nachrichtendienste des Bundes. Als Inlandsnachrichten- arbeit mit den Landesämtern für Verfassungsschutz – In-
instrumentalisiert werden, die frei- dienst ist der Verfassungsschutz ein wichtiger Bestandteil
der deutschen Sicherheitsarchitektur. Als Frühwarnsys-
formationen. Diese werden zu einem großen Teil aus öf-
fentlich zugänglichen Quellen bezogen, aber auch – unter
tem hat er zuvorderst die Aufgabe, die absoluten und un- Wahrung der engen gesetzlichen Voraussetzungen – mit
heitliche demokratische Grundord- abänderlichen Werteprinzipien zu schützen, die unseren
demokratischen Rechtsstaat ausmachen: die freiheitliche
nachrichtendienstlichen Mitteln.
nung abzuschaffen oder auszuhöhlen. demokratische Grundordnung. Um die Sicherheit der
Bundesrepublik Deutschland vor Bestrebungen gegen
So sollen Bestrebungen gegen die freiheitliche demokra-
tische Grundordnung frühzeitig erkannt und der Bundes-
diese Werteprinzipien durch Terrorismus und politischen regierung eine präzise Gefahrenanalyse ermöglicht werden.
wie religiösen Extremismus zu schützen, sammelt und
Der Auftrag des Bundesamts für Ver-
fassungsschutz ist es, alle Anstren-
gungen, von außen und von innen, Die freiheitliche demokratische Grundordnung beschreibt die unabänderlichen
obersten Werteprinzipien — die Menschenwürde, das Demokratieprinzip und die
abzuwenden, die unser Land und die Rechtstaatlichkeit — als Kernbestand der Demokratie. Sie bestimmen die Gesetz-
gebung des Bundes und der Länder.
freiheitliche demokratische Grund- Bestrebungen gegen die freiheitliche demokratische Grundordnung sind politisch be-
stimmte, ziel- und zweckgerichtete Verhaltensweisen in einem oder für einen Perso-
ordnung schädigen sollen.
nenzusammenschluss, die darauf gerichtet sind, einen der Verfassungsgrundsätze zu
beseitigen oder außer Geltung zu setzen.
18 19
Broschüre Broschüre
Wirtschafts- und
Wissenschaftsschutz
Spionage- und In der Präventionsarbeit des BfV geht es insbesondere darum,
Proliferationsabwehr
1. Gefahren z. B. durch Spionage besser verständlich zu ma-
chen und über die beteiligten Akteure und über die ange-
wandten Methoden zu informieren,
2. realistische Bedrohungsszenarien für ein effektives Risi-
komanagement zur Verfügung zu stellen
In und gegen Deutschland sind fremde Nachrichtendiens-
te mit zum Teil geheimen Mitteln und Methoden aktiv. Die 3. sowie Rückmeldungen und Erfahrungswissen aus Wirt-
Aktivitäten dieser Nachrichtendienste und die Herausfor- Wirtschaft und Wissenschaft in Deutschland sind auf- schaft und Wissenschaft in den analytischen Prozess des
derungen, die sich daraus für die Spionageabwehr ergeben, grund ihrer herausragenden Stellung Ziel vielfältiger Be- Verfassungsschutzes einzubeziehen.
sind vielfältig. Das primäre Ziel ausländischer Staaten ist es, drohungen. Neben Terrorismus und gewaltbereitem Extre-
sensible Informationen zu erlangen, z. B. aus den Bereichen mismus stellen insbesondere die Spionage und Sabotage
Politik, Militär sowie Wirtschaft und Wissenschaft. Aber durch staatliche Akteure aus dem Ausland ernst zu neh-
ausländische Dienste unterwandern auch Parteien oder flussnahme und Desinformation. Auch machen Staaten mende Gefahren für deutsche Unternehmen und For-
Personen wie Oppositionelle oder Exilantinnen und Exi- vor Beschaffung und Diebstahl von Komponenten und schungseinrichtungen dar. Der Schutz der deutschen Wirt-
lanten, werden staatsterroristisch tätig und betreiben Ein- Technologien für Massenvernichtungswaffen (Proliferati- schaft und Wissenschaft ist Teil des gesetzlichen
on) nicht Halt. Präventionsauftrags des Verfassungsschutzes. Im Rahmen Ziel- Sensi-
seiner Präventionsmaßnahmen informiert das BfV über analyse bilisie-
Die Spionage fremder Staaten beeinträchtigt die nationale eigene Erkenntnisse und Analysen, welche die Wirtschaft rung
Souveränität Deutschlands. Daher gehört es seit der Grün- und Wissenschaft dabei unterstützen, sich eigenständig
dung des BfV am 7. November 1950 zu den zentralen Auf- und effektiv vor den Gefahren von Ausspähung, Sabotage
gaben des Dienstes, Spionageaktivitäten aufzudecken und aber auch Bedrohungen durch Extremismus und Terroris-
Austausch
zu verhindern. mus schützen zu können.
Spionage & Konkurrenzausspähung
Wirtschaftsspionage wird von fremden Staaten unter Einsatz nachrichtendienstlicher
Methoden betrieben.
Wesentliche Erkenntnisse, die das BfV im Rahmen seines gesetzlichen Auftrags zu-
Konkurrenz- oder Industriespionage bezeichnet die Ausspähung von Unternehmen sammen mit den Landesbehörden für Verfassungsschutz gewonnen hat, werden im
durch andere Unternehmen. Oft tarnen fremde Staaten jedoch ihre Wirtschaftsspi- jährlichen Verfassungsschutzbericht auch der Öffentlichkeit zugängig gemacht.
onage durch halbstaatliche oder private Unternehmen: die Grenzen zwischen Wirt-
schaft und Staat verlaufen hier fließend. Die Berichte sind online unter www.verfassungsschutz.de einsehbar.20 21
Broschüre Broschüre
Wirtschafts- und
Wissenschaftsschutz –
Single Point of Contact Geheim-
Das BfV verfügt über umfangreiche Erkenntnisse zu mög- (Wirtschafts- und Wissenschaftsschutz) innerhalb des BfV und Sabota-
geschutz
lichen Angreifern, ihren Zielen und Methoden und unter- ist dabei zentraler Ansprechpartner für Unternehmen und
stützt Wirtschaft und Wissenschaft mit zielgruppengerech- Forschungseinrichtungen. Die vom BfV durchgeführte Sicherheitsüberprüfung ist ein
ten Sensibilisierungsangeboten. Der Bereich Prävention zentrales Instrument des Sabotageschutzes im Bereich der
Kritischen Infrastruktur (KRITIS). Zweck ist es, Einrichtun-
gen, die für das Gemeinwesen unverzichtbar sind, wie die
Sicherheit der Energieversorgung oder Telekommunikati-
Eine bedeutsame, jedoch in der Öffentlichkeit weniger be- on, vor potentiellen Innentätern zu schützen. Die Überprü-
FRAGEN AN … kannte Aufgabe des BfV ist der Geheim- und Sabotage- fung soll sicherstellen, dass an besonders sicherheitsrele-
schutz. Bestimmte sensible staatliche Informationen müs- vanten Stellen keine Personen beschäftigt sind, bei denen
Dr. Dan Bastian Trapp, Leiter des Referats Prävention in Wirtschaft, sen vor einer Kenntnisnahme durch nicht befugte Personen Sicherheitsrisiken vorliegen.
Wissenschaft, Politik und Verwaltung geschützt werden. Dabei kommen sowohl personelle als
auch materielle (organisatorische, bauliche und techni-
sche) Maßnahmen zum Einsatz, wie z. B. Sicherheitsüber-
Wo lauern aktuell die größten Gefahren für Angreifenden nicht unnötig leicht zu machen und prüfungen oder die Klassifizierung von Verschlusssachen.
Unternehmen und Forschungseinrichtungen? sicherzustellen, dass ich Vorfälle rechtzeitig de-
tektieren kann. Dazu müssen
Deutsche Unternehmen und die sensible Informationen identi-
Sicherheitsbehörden rechnen fiziert werden und sämtliche
mit einer weiter anwachsenden Unternehmensprozesse unter Klassifizierungen von Verschlusssachen
Bedrohung durch Cyberangriffe Sicherheitsgesichtspunkten
und Spionage. Laut aktuellen analysiert werden, um prakti- Die Kenntnisnahme durch Unbefugte kann:
Schätzungen liegt der Scha- kable Lösungen zu finden.
den bei mittlerweile über 200 → STRENG GEHEIM
Milliarden Euro. Aktuelle Welche Rolle spielt dabei den Bestand oder lebenswichtige Interessen der Bundesrepublik Deutschland
Zahlen belegen: Eine große das Personal? oder eines ihrer Länder gefährden.
Gefahr geht dabei von Social
Engineering aus, über 45% der Eine absolut zentrale Rolle! Die → GEHEIM
Unternehmen waren wissent- eigenen Beschäftigten sollten die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährden
lich davon betroffen. sowohl bei der Analyse als auch oder ihren Interessen schweren Schaden zufügen.
bei der Maßnahmenentwick-
Wie können sich Unter- lung unbedingt mit einbezogen → VS-VERTRAULICH
nehmen und For- werden. Sie sollen die Maßnah- für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder
schungseinrichtungen men ja später auch umsetzen. schädlich sein.
schützen? Auch eine sicherheitssensible
Führungskultur und eine hohe Mitarbeiterzu- → VS-NUR FÜR DEN DIENSTGEBRAUCH
Angriffe – egal ob analog oder digital – lassen friedenheit sind entscheidende Punkte, z. B. beim für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder
sich nicht verhindern. Das Ziel muss sein, es den Schutz vor Innentäterschaft. nachteilig sein.22 23
Broschüre Broschüre
Die Sicherheits- Arten von Sicherheitsüberprüfungen
überprüfung Einfache Sicherheitsüberprüfung
Die einfache Sicherheitsüberprüfung wird bei Personen
durchgeführt, die Zugang zu „VS-VERTRAULICH“ einge-
stuften Verschlusssachen haben oder ihn sich verschaffen
können oder Tätigkeiten in einer Nationalen Sicherheitsbe-
Ziel einer Sicherheitsüberprüfung ist es, festzustellen, ob heitsüberprüfungsgesetz. Dieses sieht eine Überprüfung hörde wahrnehmen sollen.
Personen sorgsam mit Informationen umgehen und kein nur dann vor, wenn:
Sicherheitsrisiko darstellen. Voraussetzung für eine Si- • das Unternehmen geheimschutzbetreut ist und im Erweiterte Sicherheitsüberprüfung
cherheitsüberprüfung ist immer die Zustimmung der zu Rahmen eines staatlichen Auftrags mit Verschluss- Die erweiterte Sicherheitsprüfung wird bei Personen
überprüfenden Person. sachen arbeitet durchgeführt, die Zugang zu „GEHEIM“ eingestuften oder
• oder es sich um Schlüsselstellen in Unternehmen der einer hohen Anzahl von „VS-VERTRAULICH“ eingestuften
Die Sicherheitsüberprüfung von Beschäftigten in Unter- Kritischen Infrastruktur handelt. Verschlusssachen haben oder ihn sich verschaffen können
nehmen oder Behörden richtet sich nach dem Sicher- sowie bei Personen, die in einer lebens- und verteidigungs-
wichtigen Einrichtung oder im Bundesverteidigungsminis-
terium tätig werden sollen.
Erweiterte Sicherheitsüberprüfung mit Sicherheitser- Folgende Feststellungen können einem Einsatz in sicher-
mittlungen heitsempfindlicher Tätigkeit entgegenstehen:
Diese Art der Sicherheitsüberprüfung wird bei Personen
durchgeführt, die Zugang zu „STRENG GEHEIM“ eingestuf- • Zweifel an der persönlichen Zuverlässigkeit (z. B. wegen
ten oder einer hohen Anzahl von „GEHEIM“ eingestuften begangener Straftaten oder Drogenmissbrauchs)
Verschlusssachen haben oder ihn sich verschaffen können
sowie bei Personen, die bei einem Nachrichtendienst des • Eine besondere Gefährdung der betroffenen Person, ins-
Bundes oder einer vergleichbaren Einrichtung Tätigkeiten besondere die Besorgnis der Erpressbarkeit bei mögli-
wahrnehmen sollen. chen Anbahnungs- oder Werbungsversuchen durch aus-
ländische Nachrichtendienste, kriminelle, extremistische
oder terroristische Organisationen (Überschuldung ist
bspw. ein geeigneter Ansatz, die betroffene Person gegen
Bezahlung zu einem Geheimnisverrat zu bewegen)
• Zweifel am Bekenntnis zur freiheitlichen demokratischen
Grundordnung (z. B. bei extremistischer Betätigung)
Für Unternehmen und Forschungseinrichtungen, die nicht unter einen Anwendungs-
fall des Sicherheitsüberprüfungsgesetzes fallen, ist für kritische Positionen die
Durchführung von geeigneten Pre-Employment-Screenings anzuraten.
Oft helfen schon Plausibilitätsprüfungen des Lebenslaufes, Hinweise auf Unregel-
mäßigkeiten zu detektieren.24 25
Broschüre Broschüre
Verfassungsschutz – Kontrolle
stark im Verbund
An die Arbeit des BfV werden strenge rechtsstaatliche schließlich im Rahmen seiner Befugnisse und Kompe-
Maßstäbe gelegt. Neben der Verwaltungskontrolle sollen tenzen arbeitet. Das Schaubild zeigt die unterschiedlichen
die parlamentarische, die gerichtliche und die öffentliche Kontrollmechanismen. Nähere Informationen finden Sie
Kontrolle sicherstellen, dass der Verfassungsschutz aus- auch auf www.verfassungsschutz.de
Allgemeine Kontrolle Besondere Kontrolle G 10-Kontrolle
G 10-Kommission
• Debatten im Bundestag • Parlamentarisches
• Kleine und Große Kontrollgremium (PKGr) • Entscheidung über
Anfragen • Regelmäßige Berichte, Maßnahmen zur Be-
• Regelmäßige Berichte ggf. Untersuchungs- schränkung des Brief-,
von Innen- und Haushalts- ausschuss Post- und Fernmelde-
ausschuss, ggf. Untersu- • Petitionen geheimnisses
chungsausschuss • Vier Mitglieder vom PKGr
• Petitionen bestellt
Die Bundesrepublik Deutschland ist ein föderaler Bun- Auch im Bereich des präventiven Wirtschaftsschutzes ar-
desstaat. Diesem Prinzip folgend, verfügt jedes der 16 beiten die zuständigen Landesbehörden vernetzt und ste-
Bundesländer über eine eigene Verfassung und auch über hen im regelmäßigen Austausch. Auf diese Weise entsteht
eine eigene Landesbehörde für Verfassungsschutz. Diese ein starkes Netzwerk bis zu den Unternehmen vor Ort.
Bundesamt für Verfassungsschutz
sind zuverlässige Partner im Bereich der inneren Sicher- Unser Tipp: Nehmen Sie unabhängig von einem konkre-
heit vor Ort. Gemeinsam mit dem BfV bilden sie den Ver- ten Verdachtsfall schon einmal Kontakt zum Wirtschafts-
fassungsschutzverbund, in dem das BfV die Zentralstel- schutzbereich ihres Landesamtes für Verfassungsschutz
lenfunktion übernimmt. auf. Wenn die Kommunikationswege etabliert sind, kann
der Kontakt im Notfall schneller hergestellt werden. Verwaltungskontrolle Öffentliche Kontrolle Gerichtliche Kontrolle
• Bundesministerium • Bürgerinnen und Bürger • Klagen gegen
des Innern, für Bau und (Eingaben, Anfragen, Maßnahmen des
Heimat (BMI - Dienst- Auskunftsrecht) Verfassungsschutzes
und Fachaufsicht) • Presse (Berichte,
Eine Übersicht über die einzelnen Verfassungsschutzbehörden gibt es • Bundesbeauftragter für Anfragen)
unter www.wirtschaftsschutz.info. den Datenschutz und die
Informationsfreiheit
Jederzeit ansprechbar ist auch der Bereich Wirtschaftsschutz
des BfV unter wirtschaftsschutz@bfv.bund.de oder
+49 (0)30 18 792 33 22.27
Albtraum statt Traumjob
ALBTR AUM
statt Traumjob
Case Study am Beispiel der
APT-Gruppierung Lazarus
Redaktion: Cyberabwehr Illustration: Sonja Marterner
Bildcredits
Schon lange treibt die Hackergruppe Lazarus ihr Unwesen. In einer
S. 15 Bundesamt für Verfassungsschutz, S. 17 Unsplash/@theasophie, S. 18 Markus Winkler, groß angelegten Spionagekampagne gegen die Rüstungsindustrie,
S. 20 Bundesamt für Verfassungsschutz, S. 21 Brian A. Jackson, S. 22 izusek/istockphoto, die nun schon seit Herbst 2019 andauert, erbeutet Lazarus geschütz-
S. 24 Clay Banks, S. 26 Bundesamt für Verfassungsschutz
te Informationen und akquiriert im Einzelfall sogar finanzielle Mittel.
Auch deutsche Konzerne stehen dabei im Fokus der
Hacker. Gesteuert wird die Gruppierung vermutlich
durch nordkoreanische Nachrichtendienste.28
Albtraum statt Traumjob
In der Frühphase ihrer Aktivitäten fiel Lazarus Jobangebote und erlangen so ihr Vertrauen. Um
insbesondere durch Vergeltungsaktionen auf, zum die Kommunikation auf Messenger-Dienste um-
Beispiel mit dem „Sony Pictures Hack“ in 2014 als zulenken, verlangen die Angreifer schließlich
Reaktion auf den Nordkorea-kritischen Film „The nach weiteren Kontaktdaten. Letztendlich erfolg-
Interview“ sowie durch finanziell motivierte An- te die Ansprache in be-
griffe auf Banken und Kryptowährungsbörsen. Doch sagter Kampa-
zunehmend zeichnet sich bei der APT-Gruppierung gne mitunter
(u.a. auch bekannt als Labyrinth Chollima, Andariel über mehrere
oder APT38) eine wachsende Professionalisierung Social Media- und
ab, die eine entsprechend umfangreiche personelle Karrierenetzwerke
und finanzielle Ausstattung vermuten lässt. 2015 be- gleichzeitig. Diese Form
zifferte Reuters den Schaden auf bis zu 100 Millionen der maßgeschneiderten,
Dollar.1 direkten Ansprache dürfte sich
durch eine weitaus höhere Erfolgs-
quote als klassische Spear-Phishing-
Advanced Persistent Threat (APT): Unter APT E-Mails auszeichnen.
versteht man einen komplexen, zielgerichteten
und effektiven Angriff auf vor allem (Spear-)Phishing: Unter dem Begriff
anspruchs volle Ziele. APTs erfolgen nach Phishing versteht man Versuche, mittels
langer Vorbereitung und Anpassung an das gefälschter Webseiten,
Opfer. Das Ziel ist, sich möglichst lange E-Mails oder Kurznachrichten an persönliche
unentdeckt im Opfersystem zu bewegen, um Daten von Internetnutzerinnen und Internet-
möglichst viele Daten abzugreifen. nutzern, insbesondere Login-Informationen,
zu gelangen. Sobald der Angreifer es gezielt
So widmete sich Lazarus in jüngerer Vergangen- auf bestimmte Personen, Unternehmen oder
heit vermehrt der „klassischen“ Cyberspionage Organisationen abgesehen hat, spricht man
zu Themen von strategischer und wirtschaftli- von Spear-Phishing.
cher Bedeutung für das nordkoreanische Regime.
Im Verlauf der Covid-19-Pandemie hat sich der
Fokus der Hacker zudem erweitert und Lazarus Das Übersenden des Köder-
nimmt nun auch Organisationen der Pharma- dokuments
und Gesundheitsbranche ins Visier, insbesondere
Unternehmen und Forschungseinrichtungen, die Nach erfolgreicher Anbahnung wird den ange-
einen Bezug oder Informationen zu Corona-Impf- sprochenen Angestellten ein Dokument – im Cor-
stoffen haben. porate Design des vorgeblichen Arbeitgebers – mit
In ihrem Vorgehen setzt Lazarus auf ausgefeilte vermeintlichen Details zum Jobangebot gesendet. „Remote Template Injection“. Nachdem die externe Ausleitungsknoten übermittelt. Die Cyberspione
Social Engineering-Methoden, die im Folgenden Dabei handelt es sich um PDFs mit beigefügtem Ressource geladen ist, erscheint ein Schutzdia- haben ihr Ziel erreicht.
skizziert werden. maliziösem PDF-Reader oder um Word-Dokumen- log von Microsoft Office, der vor dem Ausführen
te mit versteckter Schadfunktion. von Makros warnt. Da das Köderdokument einen
Eine Reaktion auf das Stellenangebot einfor- legitim erscheinenden Inhalt aufweist, wird die
Die Anbahnung dernd, werden die Opfer von den Angreifern zum Ausführung der Makros von den jeweils betroffe- Ausblick
Öffnen der schadhaften Anhänge gedrängt. Eine nen Personen in der Regel erlaubt.
Zur Annäherung an ihre Opfer legen die Angreifer Fehlermeldung erklärt, dass das Dokument nicht Die zusammengefasste Kampagne macht die stete
zunächst Fake-Profile in Karrierenetzwerken an, ordnungsgemäß geöffnet werden kann und die Die Infektion Weiterentwicklung der Methoden der APT-Grup-
in denen sie sich als Headhunterinnen und Head- angesprochenen Personen werden verleitet, das pierung Lazarus deutlich. Charakteristisch sind
hunter oder Beschäftigte der Personalabteilung Dokument auf unterschiedliche Rechner oder Haben die Angreifer so Zugriff auf das der erhebliche Aufwand und zeitliche Vorlauf,
namhafter Unternehmen ausgeben. Selbst die Mobilgeräte zu übertragen und die Ausführung System erlangt, kundschaften sie zunächst mittels derer das eigentliche Kompromittieren
Profile realer Personen wurden zu diesem Zweck von Makros zu erlauben. Mitunter enhalten die das weitere Unternehmensnetzwerk aus durch professionelles Social Engineering vorbe-
von Lazarus gefälscht. genutzten Microsoft Office-Köderdokumente und suchen nach Sicherheitslücken, reitet wird. Es verdichtet sich die Vermutung einer
Um den Profilen Legitimität zu verleihen, vernet- selbst gar keine schadhaften Inhalte, verweisen beispielsweise aufgrund unterbliebener professionellen und schlagkräftigen Cyberspionage-
zen sich die Angreifer zusätzlich mit Angestellten jedoch auf eine externe Ressource. Über diese wird Updates. Nach erfolgreichem Kompro- Gruppierung mit weltweitem Operationsradius.
des vermeintlichen Arbeitgebers. Über die Fake- Microsoft Office veranlasst, eine Dokumentenvor- mittieren des Netzwerks werden Es ist davon auszugehen, dass in Zukunft auch
Profile schreiben sie schließlich Zielpersonen in lage-Datei mit maliziösem Makro aus dem Internet ausgewählte Dokumente oder Dateien in Archi- Unternehmen und Einrichtungen mit zeitgemäßer
den Unternehmen an, schicken diesen gefälschte nachzuladen und auszuführen: eine sogenannte ven, beispielsweise im .zip und .cab-Format, IT-Sicherheitsarchitektur Ziele derlei Spionage-
zusammengezogen und verschlüsselt innerhalb aktivitäten mittels immer aufwändigerem Social
1
https://www.manager-magazin.de/digitales/it/sony-filmstudio-hackerschaden-ist-von-versicherung-gedeckt-a-1012169.html des Netzwerks zu sorgfältig ausgewählten Engineering werden.Sie können auch lesen
