Die Nützlichkeit der Konkurrenzspionage Marc Ruef | 11.09.2006 Mittwoch, 13:30 Uhr. Nach rund einstündiger Fahrt treffen Simon und ich bei einem Kunden, ein Versicherungsunternehmen im Westen der Schweiz, ein. In der initialen Sitzung sollen die technischen Modalitäten für eine Sicherheitsüberprüfung der neuen Telefonie-Umgebung (Voice-over-IP) besprochen werden. Ein typisches Meeting, wie es einem jeden Penetration Test vorangestellt wird. Im letzten Drittel des Gesprächs wird über die Ziele der Arbeiten diskutiert. Da der Kunde keinerlei interne Definition des Grundschutzes, eigene Bedrohungsanalysen oder gar Asset-Definitionen vorzuweisen hat, stelle ich entsprechend Fragen: "Ab wann gilt ihre Telefonie-Umgebung als kompromittiert? Wie sieht das Worst Case Szenario eines erfolgreichen Angriffs aus?" Der Kunde tut sich ein bisschen schwer mit konkreten Antworten. Ich konnte jedoch herausspüren, dass ihm die Verfügbarkeit des Netzes sehr wichtig ist und er deshalb das Risiko einer Denial of Service-Attacke am meisten fürchtet. Als Ergänzung fragte ich, ob diese Bedrohung höher gewichtet werden würde, weder wenn eine interne Person die Telefonkommunikation eines Mitarbeiters belauschen könnte. Die Antwort war klar formuliert: "Nein, von Lauschangriffen geht für uns keine Gefahr aus." Sehr viele Unternehmen unterschätzen die Gefahren der Wirtschaftsspionage. Das Spionagegeschäft (http://www.computec.ch/news.php?item.124) basiert auf dem Einholen und Auswerten von Informationen, ob deren die jeweiligen Parteien eingeschätzt, sich auf diese eingestellt oder diese gar manipulieren werden können. Eine jede Information, die das Verhalten des Zielobjekts verstehen lässt, ist in dieser Hinsicht sehr wertvoll. Dabei geht es also nicht zwingend immer nur um Kerninformationen wie Pläne für technische Prototypen oder eine Liste sämtlicher Kundendaten. Auch eher belanglose Daten wie das Surfverhalten der Mitarbeiter können sehr wertvoll sein. Unser Unternehmen (http://www.scip.ch) pflegt eine umfassende Informationssammlung vor einem jeden Projekt durchzuführen. Durch klassische und moderne Footprinting-Techniken werden alle möglichen Daten zu einem Kunden, Partner oder Projekt zusammengetragen. Diese Informationen sollen dabei helfen, eine bestmögliche Einschätzung der Gegebenheiten machen und damit ein Höchstmass an Qualität erreichen zu können. Ist nun im Rahmen einer Konkurrenzsspionage ein Mitbewerber in der Lage herauszufinden, welche Webseiten ich mit meinem Webbrowser ansteuere, weiss er schon sehr viel über mich, die laufenden Projekte und die Firma. Schon nur die Liste der letzten 100 bei Google eingegebenen Suchbegriffe wird verraten, welche Kunden ich als letztes betreut habe. Auch dass ich primär auf Google setzte, lässt den einen oder anderen Schluss zu... Ein Konkurrent mit diesem Wissen könnte nun darum bemüht sein, ebenso diese Kunden anzugehen. Schliesslich weiss er, dass sich die entsprechende Organisation für eine der angebotenen Dienstleistungen erwärmen kann. Vielleicht sind aus den ausgewerteten Suchabfragen ebenfalls die bestehenden Projekte ableitbar (z.B. deutet das Aufsuchen des Session Initiation Protocol Eintrags bei WikiPedia auf ein Voice-over-IP Projekt hin). Und vielleicht ist aus dem Auftreten des belauschten Mitbewerbers gar möglich, den vom Kunden gewünschten Stil (z.B. sehr technisch oder eher strategisches Consulting) zu erahnen. Derartige Informationen sind bei einer Aquisation eines Kunden unendlich Wertvoll. Und zum Schluss bleibt natürlich auch noch die Möglichkeit, mit schmutzigen Mitteln einen Vorteil aus der Situation zu ziehen. Man könnte dem angegangenen Kunden beiläufig und eher subtil mitteilen, dass man wisse, dass Mitbewerber X momentan eingespannt ist. So manches Unternehmen, vor allem im Finanzbereich, sieht es gar nicht gerne, wenn die herangezogenen Partner bekannt sind. Ist der Name eines solchen bekannt, deutet dies eventuell auf eine unerlaubte Weiterverwendung als Referenz hin. Jenachdem kann einem dies ein Mandat kosten. Dieses Beispiel zeigt, wie theoretisch aus der einfachen Auswertung von Suchabfragen einem Mitbewerber eine bestehende Kundenbeziehung zerstört und damit übernommen werden kann. Selbstverständlich sind die Erfolgsaussichten eines solchen Vorgehens nicht zwingend mit 100 % zu deklarieren. Eine Vielzahl an Umständen muss mitspielen, um sich durchsetzen zu können. Die eigenen Chancen auf Erfolg lassen sich damit aber vervielfachen. Das Mithören von Telefongesprächen stellt eine kapitale Gefahr dar. Auch wenn die Mehrheit der Brüger behauptet, dass sie sowieso nichts zu verbergen hätten, unterschätzen sie die Möglichkeiten. Kann das Telefonverhalten eines Verkäufers eines Unternehmens mitverfolgt werden, lassen sich noch viel extremere Angriffsvektoren ausmachen. Spätestens die Diskussion zu Budgetierungen von Projekten (Kostendach/Stundenansätze) kann beim Einreichen von Konkurrenzofferten von grösstem Nutzen sein. Denn nicht selten entscheidet - vor allem bei gleichwertigen Diensten - der Preis über den Zuschlag. Gerade Verkäufer, deren Kernkompetenz nicht unbedingt im technischen Verständnis liegt, sind deshalb ein beliebtes und erfolgsversprechendes Angriffsziel. Ein eingeschleuster Trojaner auf dem Laptop, ein überwachtes Mobiltelefon und eine Auswertung der getätigten Telefonanrufe vom Büro sind mit einem relativ geringen Risiko verbunden und versprechen viel. Dass das Zielobjekt den Zugriff selber entdeckt oder einschränken kann, ist aufgrund des technischen Verständnisses eher unwahrscheinlich. Es ist deshalb die Aufgabe des Managements und der Sicherheitsabteilungen eines Unternehmens, dass Sicherheit für alle Beteiligten gewährleistet werden kann - Organisatorische und technische Regelungen schützen vor der Blauäugigkeit so manchen Mitarbeiters. Dabei geht es um denn allgemeinen Schutz von Informationen, die anderen Leuten einen unerwünschten Vorteil und damit sich selber einen Nachteil verschaffen könnte. Und auch wenn Verkäufer keine Zugriffe auf geheime Details von Prototypen haben, repräsentieren sie doch in einem ersten Schritt das Unternehmen nach Aussen.