Netzwerk-Angriffe erkennen

Intelligence Tools geben Überblick

 

Als ehemaliger Kriminalhauptkommissar und Gründer der corma GmbH unterstützt Jörn Weber Unternehmen bei der Prävention und Aufklärung von wirtschaftskriminellen Angriffen wie Produkt- und Markenpiraterie, Betrug und Diebstahl. Seine Fachgebiete: Intelligence Analysen, IT- und Dokumentenforensik, Cyber Investigations und  operative Ermittlungen.

Greifen Kriminelle Unternehmen übers Internet an, agieren sie oft über ein Netz aus Scheinidentitäten. Zum Aufspüren dienen Intelligence-Lösungen.

Unternehmen leiden zunehmend unter größeren kriminellen Angriffen übers Web, oft ohne diese zu erkennen. Meist sind es systematische, auf Wiederholung ausgelegte und komplexe Angriffsmuster. Über lange Zeiträume werden Daten und Dokumente missbraucht oder verfälscht und so Leistungen, Produkte oder Informationen erschlichen.

Mit erstellten Scheinidentitäten verschleiern Angreifer im Netz professionell ihre wahre Identität.
Mit erstellten Scheinidentitäten verschleiern Angreifer im Netz professionell ihre wahre Identität.
Foto: IIra2studio - shutterstock.com


Um die Taten zu verbergen, greift der Täter oder die Tätergruppe zu zahlreichen Scheinidentitäten, seien es erfundene Personen, Unternehmen, Adressen oder Webseiten. Typische Aktionen solcher Netzwerke: Mehrere untereinander augenscheinlich nicht vernetzte Webseiten vertreiben neben authentischen Produkten auch Fälschungen. Auf Auktionsmarktplätzen bieten offenbar unterschiedliche Verkäufer auffallend günstige Artikel an.

Solche kriminellen Netzwerke können sich wie Spinnenweben um das Unternehmen legen und es, lange unbemerkt, nachhaltig schädigen. Die angegriffenen Unternehmen haben nur eine Chance, diese zu identifizieren, sofern sie deren Strukturen durchschauen und nicht von Einzeltaten ausgehen.

Betroffen sind in erster Linie internationale Konzerne. Durch ihre verzweigte Unternehmensstruktur über viele Landesgrenzen hinweg bieten sie zahlreiche Angriffspunkte. Besonders Unternehmen aus der Versicherungswirtschaft, aus IT und Hightech, der Pharmaindustrie und Markenhersteller der Textilbranche sind geeignete Opfer. Sie bieten wertvolle und schwer nachzuahmende Produkte beziehungsweise Leistungen an, die sich gut transportieren und global verkaufen lassen. Aber auch größere Mittelständler werden zunehmend zum Opfer krimineller Netzwerke, zum Beispiel branchenführende Zulieferer für die Autoindustrie. Denn auch solche "Hidden Champions" bieten sehr gefragte und schützenswerte Waren an.

Erster Schritt: Die Gefahr richtig einstufen

Wie können Unternehmen diese Netzwerke erkennen? Wichtig für eine angemessene Reaktion ist es zunächst, die Gefahr richtig einzustufen. Wenn sich bei einem Vorfall alle Recherchen lediglich auf die Einzeltat beziehen, ohne einen Netzwerk-Angriff zu erwägen, werden auch verhältnismäßig geringe Ressourcen für diesen Fall bereitgestellt.

Ganz anders werden Unternehmen reagieren, die in der Lage sind, den einzelnen Vorfall aufgrund ihres Wissens mit anderen in Beziehung zu setzen. Sie werden den Fall völlig anders priorisieren, weil die vermuteten Verluste für das Unternehmen ungleich höher angesetzt werden. Ebenso wichtig ist es, die entstehenden Kosten für Ermittlungen richtig zu kanalisieren und die Mittel zielgerichtet einzusetzen. Von Bedeutung ist das Erkennen eines Netzwerkes auch, weil die Strafverfolgung aufgrund der höheren Relevanz des Falls konsequenter sein wird als bei einer Einzeltat.

Der Aufwand: Daten zentral sammeln und pflegen

Um ein mögliches Netzwerk zu entdecken, sollten alle unternehmensweit relevanten Informationen zentral erfasst und gespeichert werden. In einer Datenbank können - unter Berücksichtigung der Anforderungen des Datenschutzes - alle fragwürdigen Vorfälle, Personen und Unternehmen sowie deren Beziehungen untereinander gesammelt werden. Oft existieren in Großkonzernen solche Datensammlungen in Sicherheits-, Markenschutz- oder Rechtsabteilungen, überwiegend dezentral. Sofern diese Informationen aktuell und abteilungsübergreifend gepflegt werden, können neue Angriffe bereits bekannten zugeordnet und mögliche Netzwerke schnell erkannt werden.

Beispielsweise lassen sich Zusammenhänge zwischen Identitäten ermitteln: Verschiedene Webseiten, die zum Beispiel mit "whois privacy" geschützt sind, können mittels eines "Website-Fingerprint" miteinander in Verbindung gebracht werden. Auch eine einfache forensische Analyse der gesicherten öffentlichen Website-Daten und Dateien wie beispielsweise Fotos mit GPS und anderen Metadaten und andere Informationen kann bisher unbekannte Zusammenhänge zu vorhandenen Informationen hervorbringen.

Diese konsequente und vollständige Datenerfassung verdächtiger Personen, Vorfälle und Unternehmen ist unter umsetzbarer Berücksichtigung des Datenschutzes nicht nur erlaubt, sondern eine Pflicht. Es gibt zwar keine eindeutige gesetzliche Verpflichtung, aber die Ausstrahlungswirkung von AktG, GmbHG, HGB, KonTraG und so weiter sowie den für viele Unternehmen ja auch relevanten internationalen Bestimmungen wie FCPA, UK Bribary Act ist deutlich genug. Demnach ist die Geschäftsleitung dafür verantwortlich, dass erforderliche, zumutbare und angemessene Maßnahmen ergriffen werden, um drohende Schäden frühzeitig zu erkennen und abzuwenden.

Schnittstellen zwischen Internet und realer Welt prüfen

Wenn ein Angriff durch eine Linkanalyse als möglicher Teil eines Netzwerkes eingestuft wurde, gilt es, in einer sehr detaillierten Analyse alle Zusammenhänge herauszufinden und alle "losen Enden" zusammenzufügen, bis sich das Bild des Netzwerkes vervollständigt hat. Besonderes Augenmerk sollte auf alle Schnittstellen gelegt werden, an denen die Internetwelt in die reale übergeht. Beispielweise sind im Netz angegebene Firmendaten wie Adressen und Telefonnummern oder die Betreiber von Internetangeboten durch Recherchen vor Ort zu überprüfen. Die relevanten Informationen müssen dann in der Datenbank erfasst und analysiert werden.

Wichtig ist, dass die Analysen schnell vorgenommen und Beweise rechtssicher gesammelt werden, denn oftmals existieren fragwürdige Verkaufsangebote im Internet nur für wenige Tage oder Stunden. Vorgetäuschte Identitäten werden kurz nach dem Vorfall wieder aufgelöst.

Informationen aus unterschiedlichen Quellen erfassen und auswerten

Die Menge der heute öffentlich zugängigen Informationen ist dank des Internet so groß, dass eine einzelne Suche bereits oft schon zu einer Masse an Informationen führt. Um diese unstrukturierten Daten möglichst zielorientiert nutzen und auch Abgleiche mit vorherigen Analysen oder vorhandenen Fallinformationen erstellen zu können, sollten sie in eine zentrale Intelligence-Plattform einfließen. Beispiele sind hierfür die IBM-Lösung i2 oder die Palantir-Plattform. Mit einer solchen Intelligence-Plattform lassen sich nach der Datenerfassung beziehungsweise dem Import sehr große Datenmengen aus vielfältigen Quellen sehr schnell analysieren. Auch komplexe Suchanfragen können gespeichert und jederzeit und automatisch wieder ausgeführt werden.

Hieraus können unterschiedliche Analysen erstellt werden, wie zum Beispiel zu Domains und Websites, Linkanalysen zur Identifizierung von Schlüsselpersonen und -Organisationen oder Investigative Due Diligence zu Firmen und Personen. Die Analyse-Ergebnisse lassen sich vielfältig verwenden, etwa bei zivil- und strafrechtlichen Auseinandersetzungen. Eine durchdachte Investition in eine solche Lösung unterstützt damit die Konzernsicherheit direkt beim Schutz der Unternehmenswerte. Wichtig ist aber eine maßgeschneiderte Lösung, die die Bedürfnisse des Unternehmens passgenau erfüllt und keine "out-of-the box" Lösung. (bw)