Tiger Teams

Nachdem ich im vorangegangenen Kapitel kurz auf die Arbeitsweise von Tiger Teams eingegangen bin, soll an dieser Stelle noch eine weitere Variante der Informationsbeschaffung durch Zutritt zu Firmenräumen aufgezeigt werden.

Auch in diesem Fall ging es dem Unternehmen darum zu überprüfen wie gut ihre Sicherheitsmaßnahmen waren. Da in diesem Fall aus Kostengründen nicht soviel Zeit zur Verfügung stand (ein sehr gutes Tiger Team kostet zwischen 15 000 DM und 30 000 DM pro Tag, je nach Auftrag und Anzahl der Mitgleider), die Firmenleitung gab uns eine Woche Zeit für die Planung und Durchführung, mußte mit den Informationen ausgekommen werden die bei der Unternehmensanalyse binnen eines Tages gewonnen werden konnte.

Wie viele andere Firmen auch beauftragte dieses Unternehmen eine Reinigungsfirma damit, nach Arbeitsschluß die Firmenräume zu säubern. Welches Unternehmen den Auftrag gegenwärtig hatte konnte mit einem einfachen Telefonanruf geklärt werden. Einer meiner Mitarbeiter gab sich als Redakteur einer Zeitschrift für Facility Management aus und gab an ein Interview mit einem für das Facility Management Verantwortlichen führen zu wollen. Der Hausmeister gab auf alle noch so unsinnigen Fragen entsprechende Antworten, auch auf die Frage nach der Reinigungsfirma.

Nachdem die Reinigungsfirma identifiziert war bewarb ich mich dort noch am gleichen Tag mit dem Hinweis, das Arbeitsamt würde mich schicken. Am nächsten Tag hatte ich ein Vorstellungsgespräch und konnte dank der Personalknappheit noch am gleichen Tag anfangen. Dabei sollte ich als zukünftiger Putzkolonnenführer von einem Kollegen eingewiesen werden. Da wir an diesem Abend mehrere Unternehmen mit der Putzkolonne besuchten, hatte ich Glück und konnte auch das Unternehmen meines Auftraggebers das erste Mal betreten.

Dabei hatte ich Gelegenheit mich in allen Büros umzusehen. Schreibtische wie auch Schränke waren unverschlossen, für alle Räumlichkeiten hatten wir von der Reinigungsfirma Schlüssel bekommen. Ich erhielt so innerhalb kürzester Zeit Zugang zum Archiv in welchem sich die Ordner mit der Bilanzbuchhaltung befanden, zum Serverraum in dem ich aktuelle Backup-Bänder auf dem Schreibtisch fand, aber die interessantesten Räume waren die der Firmenleitung. Hier gab es ungesicherte Notebooks mit entsprechend wichtigen Daten auf der Festplatte, frei umherliegende Datenträger, wichtige Unterlagen zuhauf inkl. dem Marketingplan für das Jahr 2000 auf einem großen WhiteBoard.

Nachdem ich mich an diesem ersten Tag mit den Räumlichkeiten vertraut gemacht hatte, kam ich am nächsten Tag im Rahmen meiner Arbeit als Putzkolonnenführer wieder in das Unternehmen. Damit ich gegenüber der Firmenleitung auch den Beweis erbringen konnte, uneingeschränkten Zugang zu den Räumlichkeiten gehabt zu haben, hatte ich 4 Post-It-Blöcke mit dem Auftdruck "Gotcha!" dabei. Wo immer ich auch Zugang hatte, ob Räume, Schränke, Schubladen, Aktenordner oder auch Computer und Datenträger, überall klebte ich einen Gotcha!-Aufkleber drauf. In knapp drei Stunden meiner Putzkolonnentätigkeit verteilte ich fast alle Aufkleber. Doch damit nicht genug. Wie sich bereits am Vortag herausstellte entstand ein nicht unerheblicher Papierabfall im Verwaltungsbereich des Unternehmens. Mit einem großen Müllsack bewaffnet leerte ich in allen wichtigen Büros und Abteilungen die Papierkörbe aus. Das Ergebnis dieser Müllaktion waren u.a 40 selbstgebrannte CD-ROMs mit allen möglichen internen Informationen, Dokumenten und Konstruktionsdateien des Unternehmens, darüber hinaus die gesamten handschriftlichen Entwürfe für den Marketingplan 2000 und den Produktentwicklungsplan 2001 sowie noch andere Notizen von seiten der Geschäftsführung und der Finanzbuchhaltung.

Am nächsten Tag war das erfolgreiche Ergebnis meines Tuns für viele Mitarbeiter im Unternehmen unmittelbar erkennbar, jeder der davon betroffen war fragte sich, was diese gelben Gotcha!-Aufkleber an den unmöglichsten Stellen zu suchen hatten. Noch viele Wochen später wurden die Aufkleber in der Firma gefunden. Darüber hinaus konnte am nächsten morgen auch das Ergebnis der Müllaktion der Unternehmensleitung vorgelegt und erläutert werden.

Schadenstechnische Bewertung

Da es sich hier um eine Präventivmaßnahme des Unternehmens gehandelt hat, kann kein unmittelbarer Schaden geltend gemacht werden. Was aber hätte passieren können, wenn ein Angreifer über den hier beschriebenen Weg über einen längeren Zeitraum das Unternehmen ausspioniert hätte ist kaum absehbar. Wahrscheinlich hätte das zum Bankrott des Unternehmens binnen eines Jahres führen können.

Sicherheitstechnische Bewertung

Das Unternehmen hat zwei schwerwiegende Sicherheitslücken aufzuweisen die durch einfache organisatorische Maßnahmen hätten vermieden werden können.

Zum einen wurde im Rahmen der Unternehmenssicherheit kein Gedanke an den Reinigungsdienst verschwendet, der mit täglich wechselnden Besetzungen vollen Zugang zu allen Unternehmensräumlichkeiten hatte und darüber hinaus während seiner Tätigkeit von niemandem aus dem Unternehmen kontrolliert wurde. Zum anderen wurden unternehmenssensible Informationen in den Räumlichkeiten nicht ordnungsgemäß nach Arbeitsschluß in Schränke oder Tresore weggeschlossen. Das erlaubte erst den möglichen Zugriff auf Informationen durch die Tarnung als Leiter einer Putzkolonne.

Was das Poblem mit den Informationen und Datenträgern im Abfall anbelangt muß hier im Unternhemen eine Richtlinie eingeführt und konsequent durchgesetzt werden, wonach wichtiger Papierabfall vor dem Entsorgen zu schreddern ist und defekte bzw. Nicht mehr benötigte Datenträger zentral bei der DV-Abteilung zur Vernichtung abzugeben sind.

Best regards,

Howard