Ich möchte ein "Red Teaming"
Michael Schneider
Geheimnisse. Jeder hat sie. Betriebe erzählen keinem, wer ihre Kunden sind. Armeen sagen keinem, wohin sie ihre Truppen verschieben. Menschen wollen nicht, dass jeder weiss, was sie zu bestimmten Zeiten getan haben. Geheimnisse sind in unserer Gesellschaft in jeder Schicht vorhanden. Sogar Tiere haben Geheimnisse. Eichhörnchen, zum Beispiel, verstecken Nüsse so, dass andere Eichhörnchen sie nicht finden können und andere Tiere stellen sicher, dass ihre Nester vor Jägern versteckt sind.
Geheimnisse zu haben, ist einfach. Diese geheim zu halten stellt sich mit dem Fortschritt der Technologie als immer schwieriger heraus. Damit Geheimnisse geheim bleiben, müssen die Aktionen, oder Operationen, rund um das Geheimnis abgesichert sein. Das ist ein Prozess, der Operations Security – kurz OPSEC – genannt wird. Der Begriff wurde vom Militär im frühen 20. Jahrhundert geprägt, doch das Konzept dahinter ist so alt wie es Geheimnisse sind.
Geheimnisse bringen immer Macht mit sich. Wenn eine Armee weiss, wohin ihr Feind seine Truppen verschiebt, dann kann sie einen Hinterhalt vorbereiten und sich so einen Vorteil verschaffen. Wenn ein Erpresser ein Geheimnis einer Person kennt, dann kann er Geld oder andere Dienste verlangen, damit er im Gegenzug das Geheimnis geheim hält.
Zum ersten Mal werden Geheimnisse als Konzept wohl bei den alten Griechen erwähnt. Die Griechen assoziieren Geheimnisse mit der Rose. Denn der Legende nach gab die Göttin Aphrodite ihrem Sohn Eros einer Rose, der sie an Harpokrates – dem Gott des Schweigens – weitergab, damit dieser sicherstellt, dass Aphrodites Indiskretionen geheim blieben. Einige Versionen der Legende sprechen auch von den Indiskretionen aller Götter, die Harpokrates geheim halten sollte. So wurde die Rose zum Symbol des Geheimnisses.
Das Christentum kennt Gespräche sub rosa, also unter der Rose, was heisst, dass geheime Informationen ausgetauscht werden und dass alle im Gespräch Involvierten zu einem engen Kreis der Vertrauten gehören. Beichten sind auch sub rosa, weshalb manch ein Beichtstuhl mit Rosen- oder Blumenbildnissen verziert ist.
Unter den ersten Menschen der jüngeren Zeit, die sich dem abstrakten Konstrukt eines Geheimnisses annahmen, war der deutsche Soziologe, Philosoph und Kritiker Georg Simmel. In seinen Propositionen beschreibt er den Aufbau eines Geheimnisses und was es mit den Vertrauten anstellt. Er schliesst, dass, je mehr Geheimnisse organisiert und geteilt werden, eine zentrale Befehlsstruktur sich etablieren kann oder etabliert wird.
Weil der Bedarf einer Kontrollinstanz gegeben ist, sind Geheimnisse und ihre Wahrung für die Militärs aus aller Welt von enormer Wichtigkeit und grossem Vorteil. Dies wird in der Regel mit dem Need-to-Know-Prinzip, der Denkweise, dass nur die über Wissen verfügen, die es wirklich brauchen. Es ist selten, dass alle Mitglieder einer Einheit alle Informationen zu einer Mission haben. Sie vertrauen ihren Oberen, die mehr Informationen haben, dass sie das Privileg des Geheimnisses nicht missbrauchen.
Hier kommt die strategische Operations Security, das was im frühen 21. Jahrhundert als OPSEC bekannt ist, ins Spiel.
OPSEC, obwohl zweifelsohne schon früher betrieben, wurde im zweiten Weltkrieg zum Element des öffentlichen Bewusstseins. Es gibt aus dieser Zeit eine Unzahl Poster, Pamphlete und Geschichten, die alle zum Ziel haben, dass Menschen still sind weil sie nicht sicher sein konnten, ob der Feind zuhört. Das wohl berühmteste Poster trägt den Titel Loose Lips Sink Ships – lockere Lippen versenken Schiffe – und soll Menschen daran erinnern, dass sie unter Umständen in der Lage hätten sein können, dem Feind Flottenpositionen und -bewegungen mitteilen zu können. Das Poster stammt von den Amerikanern.
Aber sie sind nicht die einzigen, die OPSEC-Poster veröffentlicht haben.
Das Ausspionieren des Feindes und von Menschen im Alltag erreichte während des kalten Krieges seinen Höhepunkt, aber der Bedarf an OPSEC ging verloren. Das Zeitalter des Internets begann in den frühen 1990er-Jahren nur kurz nach dem Ende des kalten Krieges. Spätestens dann wurde OPSEC von etwas, das die Interessen eines Staates schützen sollte, zu einer wichtigen Überlebensfähigkeit im Alltag.
Im frühen 21. Jahrhundert ist die Gesellschaft an einem Punkt, an dem Geheimnisse zum Fall von Unternehmen oder zu öffentlicher Blamage einer Person führen können. Selbst wenn die Folgen eines OPSEC-Fehlers nicht katastrophal sind, können sie doch sehr lästig sein und zu Imageverlust oder Belästigung führen.
Ein junges Beispiel hierfür sind die Snowden Cat Facts. Ein anonymer Hacker hat einen Bot programmiert, der öffentliche Twitter-Nachrichten nach Telefonnummern durchsucht. Wenn er eine Telefonnummer findet, dann schickt er ihr unnütze Fakten über Katzen per SMS. Es gibt nur einen Weg, die Katzenfakten wieder abzustellen: Ein Tweet an NSA-Whistleblower Edward Snowden mit folgendem Inhalt:
@Snowden Meow, I <3 catfacts
Edward Snowden selbst hat anscheinend nichts mit den Katzenfakten per SMS zu tun. Fakten wie Etwa 40000 Menschen in den USA werden pro Jahr von Katzen gebissen sind zwischen amüsant und nervtötend anzusiedeln, zeigen aber auf, dass viele moderne Menschen an OPSEC scheitern, da sie ihre Telefonnummer für jeden zugänglich öffentlich gemacht haben.
Bevor das soziale Netzwerk Facebook die Nennung des echten, vollen Namens akzeptabel und zum Standard gemacht hat, war die Angabe des eigenen Namens eine Verletzung von OPSEC. War es einst höchst ungewöhnlich, dass jemand im Chat oder in einem Forum seinen echten Namen und sein echtes Foto verwendet hat – Nicknames und Avatare waren in den frühen Tagen des Netzes ein grosses Thema -, so ist es heute gang und gäbe, auch übelste Inhalte wie rassistische Äusserungen oder sexistische Kommentare mit Klarnamen und echtem Foto zu posten. Menschen haben keine Bedenken mehr, sich unter ihrem echten Namen und mit Bild im Internet zu zeigen. Diese entspannte Haltung gegenüber Privatsphäre schlägt sich nicht nur in Unternehmen nieder, wo Geheimhaltung Pflicht ist, sondern ist auch zum Problem im Alltag geworden. Im Leben von Privaten werden Fragen zur informationellen Selbstbestimmung, der Hoheit über die Veröffentlichung der eigenen persönlichen Daten, laut, da Freunde auf Facebook und anderen sozialen Medien gerne eigene und fremde Daten preisgeben und Marketingfirmen untereinander Datensätze austauschen und damit handeln.
Naturgemäss sind OPSEC-Prozesse und -methoden ebenfalls geheim. Denn wenn ein Angreifer die OPSEC-Massnahmen seines Ziels kennt, dann kann er oder sie diese umgehen und dennoch zu geheimem Wissen kommen. Zum Beispiel: Wenn ein Unternehmen Codenamen verwendet, um Klienten zu benennen, kann ein Angreifer herausfinden, wer die Klienten sind, wenn er das System der Namensgebung kennt.
Daher beschäftigen sich viele Unternehmen mit OPSEC-Prozessen, trainieren ihre Angestellten , sich daran zu halten und überarbeiten die Prozesse immer und immer wieder. Denn OPSEC ist ein Prozess und kein Status. Damit eine solide Basis für OPSEC entstehen kann, bedarf es einem Framework. Um dieses zu erarbeiten können Fragen aus dem Journalismus hinzugezogen werden um festzustellen, was wann wo wie und weshalb vor wem geschützt werden muss.
Das sind recht generische Fragen, aber sie haben sich als funktional herausgestellt und liefern die wichtigsten Antworten. Aus ihnen kann abgelesen werden, was wirklich wichtig ist. Sie liefern aber nicht die Antworten auf alles und führen nicht unmittelbar zu OPSEC-Massnahmen. Die Beantwortung der Fragen ist vielmehr nur der Anfang des Prozesses. Nach diesen grundlegenden Fragen können die konkreten Massnahmen angegangen werden.
Der Grund liegt nicht darin, dass die Fragen ungenügend sind, sondern sie sollen nur der Faktenfindung dienen. Denn die Antworten geben eine Richtung vor oder zeigen einen Hinweis auf eine Richtung, nicht aber den Weg dahin.
Es gibt drei Stossrichtungen oder Herangehensweisen an OPSEC, jede mit ihren eigenen Vor-und Nachteilen. Der Hauptunterschied dieser Herangehensweisen liegt im Ausgangspunkt des Denkprozesses, selbst wenn die endlich eingeführten Massnahmen dieselben sind, wie wenn eine andere Herangehensweise gewählt wurde.
Jede dieser Herangehensweisen wird nach der abstrakten Erklärung mit einem sehr einfachen theoretischen Business Use Case illustriert. Im Beispiel wird ein Automobilhersteller verwendet, der ein revolutionäres Auto vor der Markteinführung geheim halten will.
Die Herangehensweise Der Feind zuerst basiert auf realistischer und fundierter Einschätzung des Feindes. Die wichtigste Frage, die absolut beantwortet und klar beantwortet werden muss, ist Wer möchte an meine Daten? Sollte diese Frage nicht fundiert und klar beantwortet werden, dann sollte diese Herangehensweise wohl nicht gewählt werden. Die Frage nach dem Wer setzt intimes oder zumindest fundiertes Wissen über den Gegner und seine Fähigkeiten voraus.
Bei der sachlichen Einschätzung von Gegnern scheint es zunächst sinnvoll, alles und jeden einzuschliessen, darunter die chinesische Regierung, Betrüger aus Nigeria, die NSA, Konkurrenzfirmen und die Nachbarn. Aber diese Denkweise, wenn auch auf den ersten Blick sinnvoll, wird die Kosten für die Verteidigung ins Astronomische steigen lassen. Daher zahlt es sich aus realistisch zu bleiben. Vielleicht ist weder die chinesische Regierung noch die NSA am Unternehmen interessiert. Vielleicht kann der Nachbar nicht einmal einen Computer jenseits von Internet Explorer verwenden. Die Nigerianer sind dafür bekannt, einfache Ziele auszunehmen und werten meist Quantität höher als Qualität, weshalb sie auch wegfallen.
Es bleiben Konkurrenten. Die Konkurrenz ist natürlich daran interessiert, Geheimnisse zu erfahren, aber das sollen sie nicht, weil das den für den Wettbewerb notwendigen Vorteil eliminieren würde. Doch mit dem Wissen, dass die Konkurrenz der Feind ist, können Massnahmen ergriffen werden. Es ist aber schwierig, etwas auf unbestätigten oder veralteten Fakten zu basieren, da auch die Konkurrenz kein Interesse daran hat, dass jemand ihre Geheimnisse kennt. Wenn das Assessment der Konkurrenz dennoch auf solidem Wissen und nüchterner Einschätzung basieren, können die daraus erarbeiteten Verteidigungsmassnahmen sehr effektiv sein.
Beispiel: Das neue Auto muss vor Industriespionen geschützt werden. Das sind in erster Linie chinesische Grossindustrielle, die hinter den Bauplänen her sind. Sollten diese oder ein fertiges Auto ihnen in die Hände fallen, so würde die Marktposition des Autos gefährdet. Daher ist es wenig ratsam, das neue Auto in China oder einem chinafreundlichen Land herzustellen.
Die Herangehensweise Projekt zuerst entscheidet über OPSEC-Massnahmen basierend auf den Eigenschaften des geheimen Projekts. Sie ist wohl die umfangreichste und am schwierigsten einzuhaltende Herangehensweise, da die Herangehensweise nicht das gesamte Spektrum der vom Betrieb ausgeführten Aktivitäten abdeckt, sondern granular auf einzelne Teilprojekte angewendet wird. Aber im Gegenzug liefert sie, wenn gut durchdacht und umgesetzt, ein hohes Mass an Sicherheit, da jede Operation und jedes Projekt in einem Unternehmen oder im Privatleben massgeschneiderte Sicherheit erhält. Die Herangehensweise kann auch zu einer soliden aber bewusst vage definierten Grundlage für Sicherheitsvorkehrungen führen und somit einen Massnahmenkatalog, zumindest im Abstrakten, definieren, der künftige Projekte vereinfacht.
Projekt zuerst analysiert jedes Projekt als eigenständiges Konstrukt und stellt echte und potentielle OPSEC-Lücken fest, zeigt auf, wo Informationen abfliessen könnten und – im schlimmsten Falle – zum kompletten Scheitern des Projekts führen können. Wenn diese Herangehensweise gewählt wird, zahlt es sich aus, auf der Seite der Vorsicht zu schreiten und scheinbar harmlose OPSEC-Lücken überzubewerten.
Ein Projekt unter Projekt zuerst kann alles sein, von einer Business-Operation zu einer gefälschten Identität, die ohne Kompromittierung existieren soll. Das kann sogar ein IT Security Audit in einer Firma sein, in der externe Auditoren undercover agieren müssen, damit Angestellte nichts von den stetig stärker werdenden Angriffswellen mitbekommen.
Die journalistischen Fragen können dabei helfen eine Liste von Wörtern und Begriffen zu finden, die Tabu sind. Sie sollen nicht ausgesprochen werden. Personal, die in die Operation eingebunden sind, sind nicht beim Namen zu nennen, die Assets des Projekts sind unter Codenamen zu nennen, Ort und Zeit des Projekts könnten dazu führen, dass ein Angreifer die Art des Projekts ermitteln kann.
Unter Projekt zuerst ist es von grosser Wichtigkeit, dass die über die aktuelle Sicherheit Entscheidenden nicht nur Vertraute sind sondern auch bewusst objektiv bis kritisch an die Definition der Massnahmen herangehen. Auch ist es notwendig, dass C-Level und andere den Definierenden Vorstehenden in der Lage sind, Dinge zu hören, die ihnen nicht gefallen werden, wenn es um Sicherheitslücken geht. In den frühen Phasen des Projektes sehr kritisch zu sein und auf gegenseitiges Schulterklopfen und Schmeicheln zu verzichten, zahlt sich mittel- bis langfristig aus, wenn das Projekt in die operative Phase übergeht.
Beispiel: Die Markteinführung des neuen Autos steht an. Damit diese möglichst geheim bleibt und nur Fachpresse, aber nicht den Industriespionen zugänglich ist, werden Einladungen gezielt verschickt und die Halle, in der das Auto vorgestellt wird unter falschem Namen gemietet. Catering und anderen Diensten wird erzählt, dass es sich um ein Investorentreffen handelt. Zudem werden alle Anwesenden mit einem Non-Disclosure Agreement belegt. Die Fenster der Halle werden abgedeckt.
Die dritte Herangehensweise, Assets zuerst, ist die defensivste Herangehensweise und diejenige, die sich am engsten an Fakten und bestätigtes Wissen hält. Es handelt sich hierbei um die Inversion von Feind zuerst. Sollte diese Herangehensweise gewählt werden, werden Daten, Personal und alles Schützenswerte detailliert analysiert und die Hochrisiko-Assets definiert. Diese sind die kritischen Assets, die, wenn sie in die falschen Hände fallen, zu grossem Schaden oder dem totalen Scheitern der Operation führt.
Verteidigungsmassnahmen für diese Hochrisiko-Assets können Zugriffsrestriktion, Codenamen, Aufteilung von Wissen und die Nutzung von Non-Disclosure Agreements (NDA) sein. In der Implementationsphase dieser Massnahmen ist es wichtig, den in der Operation involvierten die Wichtigkeit ihrer Aufgaben bewusst zu machen. NDAs sind zwar effektiv aber nicht der Weisheit letzter Schluss.
Ferner sollte das Wissen vermittelt werden, dass OPSEC nur einmal scheitern muss bevor grosser Schaden entstehen kann.
Beispiel: Das grösste Asset des Autoherstellers ist das neue Modell. Daher muss das Auto vor der Markteinführung um jeden Preis geschützt werden. Nicht einmal der CEO der Firma kennt alle Geheimnisse des Fahrzeugs. Ausserhalb der Firma wird nicht über das neue Auto gesprochen und auch in-house wird nur mit einem Codenamen über das neue Auto gesprochen. Sogar der Motor und die neue Auspufftechnologie werden mit Codenamen versehen. Externe Berater und Fachkräfte sind mit NDA belegt und haben keinen externen Zugriff auf Mails.
Die richtige Wahl über die Herangehensweise zu treffen ist, genau wie die Wahl der endlich implementierten Massnahmen, ein Diskussionsthema zwischen Entscheidungsträgern und Experten im Unternehmen oder im Kern des Geheimnisses. Die journalistischen Fragen zu beantworten kann auf eine Tendenz hinweisen, die eine Herangehensweise anbietet, aber auch diese Tendenz sollte hinterfragt werden.
Es lohnt sich, dass zumindest eine der im Geheimnis involvierten Parteien die stetige Rolle des Angreifers einnimmt, Löcher in Argumente, Pläne und Ideen bohrt. In diesem Prozess könnte es auch lohnenswert sein, externe Experten hinzuzuziehen, abhängig davon, wie gross und umfangreich die geheime Operation ausfällt. Denn solange die fiktiven Angreifer auf der Seite des Geheimnisses stehen und Sicherheitslücken feststellen, dann können diese vor der operativen Phase behoben werden und ein echter Angreifer seine Arbeit beginnen kann.
Geheimnisse sind so alt wie das Leben. Geheimnisse zu wahren ist schwieriger denn je. Daher hat sich das militärische Konzept der OPSEC an die Existenz moderner Privatpersonen und Unternehmen angepasst und betrifft nun alle Aspekte des Lebens. Es gibt eine Vielzahl der Herangehensweisen, damit die Operational Security verbessert werden kann. Nur wenige davon sind technologischer Natur. Die Massnahmen sind bewusst low-tech und verlassen sich auf theoretische Konzepte, da die praktischen Aspekte einem längeren Überlegungsprozess folgen, der keine technologischen Aspekte hat.
Es ist wichtig, zu wissen, dass OPSEC nur einmal scheitern muss bevor der Schaden permanent entstanden ist. Mit diesem Wissen im Hinterkopf zahlt es sich aus, jede vorgeschlagene Sicherheitsmassnahme und jeden Aspekt der geheimen Operation zu hinterfragen. Ebenso wichtig ist das Wissen, dass alle Personen im Zentrum des Geheimnisses zum vertrauten Zirkel gehören und das selbe Ziel haben. Ihre Kritik ist kein persönlicher Angriff, sondern eine Massnahme zur Erreichung des selben Ziels.
Unsere Spezialisten kontaktieren Sie gern!
Michael Schneider
Marisa Tschopp
Michèle Trebo
Andrea Covello
Unsere Spezialisten kontaktieren Sie gern!