Eine Doktrin zum Schutz militärischer Geheimnisse kann für Ihre Organisation von unschätzbarem Wert sein. Wir geben Ihnen einen Überblick über das Thema. [...]
Definition opsec
Operations Security – oder kurz: opsec – ist ein Prozess, mit dem Unternehmen öffentliche Daten über sich selbst bewerten und schützen, die, wenn sie von einem geschickten Konkurrenten richtig analysiert und mit anderen Daten in Verbindung gebracht werden, ein größeres Bild ergeben könnten, das besser verborgen bleiben sollte. Es ist eine Disziplin militärischen Ursprungs, die im Computerzeitalter für Regierungen und private Organisationen gleichermaßen wichtig geworden ist – und jeder CSO sollte darüber nachdenken, welche Schritte er unternehmen kann, um die Sicherheitslage seines Unternehmens zu verbessern.
Der Begriff Operations Security wurde erstmals während des Vietnamkrieges in Verwendung durch das US-Militär geprägt, als Ergebnis der Bemühungen eines Teams namens Purple Dragon. Dieses Team bemerkte, dass Amerikas Gegner in der Lage zu sein schienen, ihre Strategien und Taktiken vorherzusagen. Es war bekannt, dass Nordvietnam und der Vietcong nicht in der Lage gewesen waren, die US-Kommunikation zu entschlüsseln, und dass es keine Geheimdienste gab, die Daten von innen hätten sammeln können. Die Schlussfolgerung war also, dass die US-Streitkräfte versehentlich wichtige Informationen an den Feind weitergegeben haben mussten. Purple Dragon prägte damit die erste militärische opsec-Definition: „Die Fähigkeit, das Wissen über unsere Stärken und Schwächen von feindlichen Kräften fernzuhalten.“
Im Laufe der Zeit breitete sich das Konzept vom Militär auf andere US-Regierungsstellen und die Privatindustrie aus und wurde noch detaillierter entwickelt. Das Energieministerium, das für das US-Nukleararsenal zuständig ist, hat seine eigene Definition für opsec: „Die Betriebssicherheit umfasst einen Prozess zur Ermittlung nicht klassifizierter oder kontrollierter kritischer Informationen, die ein Indikator oder Weg zu diesen geheimen Informationen sein können, die geschützt werden müssen, unabhängig davon, ob für eine begrenzte oder längere Zeit … Der Zweck von opsec besteht darin, vertrauliche, nicht klassifizierte Informationen zu einer Mission, Operation oder Aktivität zu identifizieren, zu kontrollieren und zu schützen und die Fähigkeit eines Gegners, diese Mission, Operation oder Aktivität zu gefährden, zu leugnen oder zu mindern.“
Wo opsec versagt hat
Soweit ist das alles ziemlich abstrakt. Eine der besten Methoden zu verstehen, was opsec in der Praxis beinhaltet, ist die Betrachtung einiger bekannter opsec-Fehler – Fälle, in denen die Menschen in der Lage waren, öffentliche Informationen zu einem Gesamtbild zusammenzufassen, das der von den Informationen Betroffene eigentlich geheim halten wollte.
Wir beginnen mit einem hochkarätigen Fall von jemandem, der es hätte besser wissen müssen. Im März 2017, als James Comey noch FBI-Direktor war, konnte der Gizmodo-Autorin Ashley Feinberg seine Instagram- und Twitter-Konten mit nur wenigen öffentlich verfügbaren Daten ausfindig machen. Diese Geschichte bietet ein Paradebeispiel für die Verfolgung von Hinweisen in sozialen Medien. Sie wusste, dass Comeys Sohn Brien ein Athlet am Kenyon College war, und sie fand auf dem Instagram-Account des Kenyon Athletics Department ein Video von ihm, in dem jemand in den Kommentaren Briens eigenes privates Instagram getaggt hatte. Sie verwendete einen Burner Account, um eine Folgeanfrage an Brien zu schicken, in dem Wissen, dass Instagram auf solche Anfragen reagiert, indem es weitere Accountvorschläge für den Account anbietet, dem Sie gerade gefolgt sind. In Feinbergs Fall beinhaltete dies einen gesperrten Account namens „reinholdniebuhr“, benannt nach einem Theologen, über den James Comey seine Abschlussarbeit geschrieben hatte; das, nahm sie an, war Comeys Account. Es gab nur wenige Twitter-Accounts, die Variationen von „niebuhr“ verwendeten – darunter einen mit dem Handle „@projectexile7“, der anscheinend nach einem Programm zur Reduzierung von Waffengewalt benannt war, bei dem Comey in den 90er-Jahren mitgeholfen hatte. @projectexile7 hatte einen einzigen Follower, den Blogger Benjamin Wittes, der auch Comeys persönlicher Freund war. Im Oktober war klar, dass Feinberg so die richtigen IDs ermittelt hatte.
Dies ist ein fantastisches Beispiel für die Art von Social-Media-Information, von denen sich selbst die Sicherheitsspezialisten nicht immer bewusst sind, dass sie ein Risiko darstellen. In der Tat können Facebook und andere Social-Media-Webseiten Spuren hinterlassen, die im militärischen Kontext sogar noch schädlicher sein können. Zum Beispiel haben sich russische Soldaten trotz der offiziellen Aussage der russischen Regierung, wonach der pro-russische Aufstand in der Ostukraine vorort entstanden und nicht vom russischen Militär befeuert worden sei, wiederholt auf sozialen Medien verraten und haben dabei manchmal sogar versehentlich ihre Instagram-Fotos – versehen mit einem Geotag – von der ukrainischen Seite der Grenze gepostet. In einem nicht unähnlichen Fall veröffentlichte Strava, der Hersteller eines beliebten Fitness-Trackers, der Daten in der Cloud speichert, eine detaillierte weltweite Karte der Laufrouten seiner Benutzer – und enthüllte dabei aufgrund der Beliebtheit des Produkts bei amerikanischen Soldaten eine Reihe von Geheimnissen der US-Militärstützpunkte.
Opsec-Ausfälle auf Unternehmensebene gefährden möglicherweise nicht die nationale Sicherheit, sind jedoch für die beteiligten Unternehmen potenziell katastrophal. Eine Reihe von OPSEC-Profis teilten Probleme mit, die sie im DataInsider-Blog von Digital Guardian gesehen hatten. Der Unternehmer Shy Bredewold erklärt, wie Unternehmensdetails durchsickern können: „Ein übereifriger Mitarbeiter markiert sich in einem Beitrag, der eine ansonsten der Öffentlichkeit unbekannte Schulungseinrichtung enthüllt. Ein Gespräch mit Ihrem Ehepartner endet in einem Forum, in dem er oder sie erklärt, wie sehr sein Ehepartner gestresst ist von der Veröffentlichung des neuen konzeptionellen Produkts im nächsten Monat.“ Ein weiterer möglicher Grund ist das bescheidene Passwort: Da es immer häufiger zu Verstößen gegen das Website-Passwort kommt, sind viele Kombinationen aus Benutzername und Passwort öffentlich bekannt, und Hacker versuchen gerne, diese Identitäten den Arbeitgebern zuzuordnen und festzustellen, ob sie wiederverwendete Passwörter finden, die sie ausnutzen können.
Opsec-Vorgehen
Das US-Militär hat ein fünfstufiges Verfahren eingerichtet, mit dem Unternehmen ihre Daten und Infrastrukturen bewerten und einen Plan zu ihrem Schutz aufstellen können. Der SecurityTrails-Blog bietet eine besonders gut lesbare Erklärung, hier aber ist eine kurze Zusammenfassung:
- Beurteilen Sie nach opsec kritische Informationen. Zunächst müssen Sie festlegen, welche Daten Ihrem Unternehmen Schaden zufügen könnten, wenn sie von einem Gegner erfasst werden oder darauf zugegriffen werden würde. Diese Daten können von Kundeninformationen über Finanzunterlagen bis hin zu geistigem Eigentum reichen.
- Bestimmen Sie die Arten von opsec-Bedrohungen. Die nächste Frage, die Sie sich stellen müssen, lautet: Wer sind unsere Gegner? Diese können von kriminellen Hackern bis hin zu Geschäftskonkurrenten reichen. Beachten Sie, dass verschiedene Feinde unterschiedliche Daten als Ziel haben können.
- Opsec-Analyse von Schwachstellen. Dies ist ein Schritt, der für die Sicherheit eines jeden Unternehmens von zentraler Bedeutung sein sollte: das Durchführen einer vollständigen Sicherheitsüberprüfung, um die Schwachstellen in Ihrer Infrastruktur aufzudecken.
- Opsec-Risikoeinschätzung. In diesem Schritt werden Ihre Bedrohungsstufen bestimmt, indem ermittelt wird, wie die in Schritt 3 aufgedeckten Sicherheitsanfälligkeiten die in Schritt 1 identifizierten kritischen Daten den in Schritt 2 identifizierten Bedrohungsakteuren zugänglich machen. Sie müssen herausfinden, wie viel Schaden jemand verursachen kann, der eine externe Schwachstelle in Ihrer Sicherheit ausnutzt, und wie wahrscheinlich ein solcher Angriff wäre.
- Einen opsec-Plan machen. Mit all diesen Informationen müssen Sie im nächsten Schritt einen Plan erstellen, um Ihre Sicherheitsanfälligkeiten abzusichern und Ihre Daten zu schützen.
Maßnahmen zur Betriebssicherheit
Auch das ist alles ein bisschen abstrakt. Welche spezifischen Sicherheitsmaßnahmen können Sie ergreifen, um Ihren opsec-Plan umzusetzen? HackerCombat beschreibt eine Reihe von Best Practices, darunter:
- Implementierung der Änderungsmanagementverarbeitung
- Beschränken des Zugriffs auf Netzwerkgeräte nach Bedarf
- Den Mitarbeitern den erforderlichen Mindestzugang gewähren und das Prinzip der geringsten Privilegien anwenden
- Aufgaben automatisieren, um menschliche Schwachstellen zu beseitigen
- Planung für die Reaktion und Wiederherstellung von Vorfällen
SecurityTrails gliedert die Bereiche auf, auf die sich die opsec-Planung konzentrieren sollte. Natürlich sollten Sie dabei alle sensiblen personenbezogenen Daten, einschließlich Namen, IP-Adressen, Sprachen, E-Mails und dergleichen, genau kennen. Sie müssen sich aber auch mit Menschen auseinandersetzen – insbesondere mit Ihren eigenen Leuten, für die eine sichere Denkweise zur zweiten Natur werden muss. Sie müssen in einer Reihe von Praktiken geschult werden, darunter das Verschlüsseln von Daten und Geräten, das Überwachen der Datenübertragung und das Einschränken des Zugriffs auf bestimmte Daten. Sie müssen auch auf alle möglichen Arten von Fehlern aufmerksam gemacht werden, die wir zuvor besprochen haben, insbesondere in Bezug auf soziale Medien. „Loose Lips Sink Ships“ war ein Proto-opsec-Slogan für den Zweiten Weltkrieg, aber er gilt auch für Ihr Unternehmen (und gilt auch für Facebook-Posts).
Wer hat die Aufsicht über das opsec-Programm?
Die letzte Frage, über die Sie sich möglicherweise Gedanken machen, ist, wer genau in Ihrem Unternehmen für opsec zuständig sein sollte. Die Wahrheit ist, dass dies ein Bereich ist, der sich noch im Wandel befindet, und oft ist der beste Kandidat die Person mit dem größten Interesse und den besten Fähigkeiten in Ihrem Unternehmen, unabhängig davon, wo sie im Organigramm sitzt.
Die Operations Security Professional’s Association ist eine gemeinnützige Berufsorganisation, die sich der Unterstützung von opsec-Profis widmet. In ihrer Reihe „What works in opsec“ stellen sie eine Reihe von Menschen vor, die in diesem Bereich arbeiten. Dies bietet eine großartige Gelegenheit, den Karriereweg einzusehen, den viele eingeschlagen haben, um dorthin zu gelangen, sowie die Aufgaben, die sie übernehmen. Einige konzentrieren ihre ganze Energie auf opsec, während es für andere nur eine Aufgabe unter vielen ist. Sie müssen festlegen, wie Sie opsec-Konzepte am besten in Ihrem eigenen Unternehmen implementieren können.
*Josh Fruhlinger ist Redakteur bei CSO.com
Be the first to comment