Geh@ckt: Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet (German Edition)

Mitarbeiter täglich zu Mittag essen oder sich nach der Arbeit auf ein Bier treffen?
    Führen diese Nachforschungen vom Zielobjekt zu Zielpersonen, müssen diese wiederum genau zugeordnet werden: Wo im Unternehmen sind sie tätig? Für was sind sie verantwortlich, und an welchen Projekten arbeiteten sie gerade? Anschließend wären so viele personenbezogene Informationen wie möglich zu sammeln, um beurteilen zu können, ob sich eine «Anbahnungsoperation» überhaupt lohnt oder nicht. Ist die Zielperson ansprechbar, ist sie belastbar, wie sind ihre genauen Zugänge, kann man sie regelmäßig treffen, steht sie eventuell im Fokus einer gegnerischen Sicherheitsabteilung? Wird sie vielleicht sogar überwacht? Fragen über Fragen.
    Wir hielten es also für angebracht, zunächst einen Fragenkatalog zu erstellen. Im nächsten Schritt ging der Spaß aber erst richtig los. Wie sollte man an so eine Zielperson überhaupt herankommen? Über ein sogenanntes Kennverhältnis? Und wenn ja, woher hätte man dieses. Eine Kontaktperson? Im Urlaub vielleicht? Oder auf einem Kongress? Auf einer Geschäftsreise, abends, scheinbar zufällig an der Bar? Oder gab man sich selbst als Journalist oder Firmeninhaber eines Mitbewerbers aus? Wie würde man das Vertrauen der Person gewinnen können? Oder vielleicht doch ganz offen und direkt ansprechen? In Nachrichtendienstkreisen nennt man das Klaransprache.
    Und was dann? Würde die Person einer Mitarbeit überhaupt zustimmen, oder würde sie zu ihrem Arbeitgeber laufen und sich offenbaren? Und wenn sie zustimmt, was, wenn sie eines Tages enttarnt würde? Wie gefährlich konnte es für denjenigen oder dessen Familie werden? Würde es das Risiko überhaupt wert sein? Und welche Konsequenzen hätte eine Enttarnung für die Bundesrepublik?
    Was ich zeigen will, ist, wie viel Aufwand hinter jeder einzelnen Anbahnungsoperation steckt. Oft dauert es Tage, Wochen oder Monate, bis man genügend Mosaiksteinchen zusammenhat, um überhaupt starten zu können. Da liegt es nahe, die brisanten Informationen, wenn sie denn auf Computern gespeichert sind, dort kopieren zu wollen.
    Was für eine unglaubliche Abkürzung! Man könnte ohne die ganzen Unwägbarkeiten unmittelbar an die Informationen gelangen – fast wie ein Wurmloch in der Astrophysik. Und aufgrund schlechter Softwareprodukte, mangelnder Sicherheit und des laxen Umgangs mit Computern wäre das quasi ein Kinderspiel. Mit dem Einzug digitaler Systeme ins Privatleben und in den Berufsalltag konnte man plötzlich das Wissen der Geheimnis- und Entscheidungsträger anzapfen, ohne dass sie davon etwas erfuhren.
    Die weiteren Vorteile liegen natürlich auf der Hand. Die Informationen, die Geheimdienste durch diese Operationen erhalten, sind unverfälscht und original. Sie müssen nicht weiter interpretiert werden. Die Zielperson muss nicht gefragt werden, ob sie einer «Zusammenarbeit» zustimmt. Und wird eine Cyber-Operation enttarnt, kann man sich entspannt zurücklehnen und behaupten, man sei es nicht gewesen.
    Sollte man dennoch eine reine HUMINT -Operation anstreben, bietet das digitale Zeitalter auch hierfür einige Vorzüge. Das geht los mit der Vorbereitung. Allein die Bereitschaft vieler Menschen, unzählige Informationen über sich ins Netz zu stellen, ist für Nachrichtendienste eine Quelle ewiger Freude. Was früher oft nur durch monatelange Recherchen, Befragungen, Observationen und Tipps von anderen Quellen herauszufinden war, ist heute mit etwas Glück mit nur wenigen Mausklicks zusammentragbar. Viele dieser persönlichen Informationen über Arbeitgeber, Projekte, Freunde, Urlaubs- und Geschäftsreisen werden von Menschen bereitwillig in sozialen Netzwerken preisgegeben, insbesondere wenn das Netzwerk dazu gedacht ist, anderen Mitgliedern ein möglichst genaues Bild über die eigene Person zu liefern. Die Krux liegt darin, dass der Mehrwert für den Nutzer eben genau durch die Preisgabe dieser Informationen gesteigert wird.
    Würde man beispielsweise einen Systemadministrator in Erfurt suchen, erhielte man mit der Google-Eingabe
site:xing.com inurl:profile intext:Systemadministrator
AND Erfurt
in 0 , 12  Sekunden immerhin etwa achtzig Treffer. Es suchen aber nicht nur mögliche Arbeitgeber nach diesen Informationen. Im Rahmen einer Evaluation der Hochschule Augsburg im Jahr 2012 zum Awareness-Grad von Mitarbeitern in Unternehmen konnte durch die Verknüpfung verschiedener Inhalte von sozialen Netzwerken herausgefunden werden, wo eine