Startseite > Portfolio > Unsere Standardprodukte > Spionage Penetrationstest > Fallbeispiel
Fallbeispiel

Problem & Ausgangssituation

Der IT-Verantwortliche einer großen Anwaltskanzlei, mit deutschlandweit mehr als 40 Standorten, wurde von einem Rechtsanwalt informiert, dass über gezielte Anrufe bei seiner Sekretärin versucht wurde, an vertrauliche Informationen zu einem laufenden Verfahren zu gelangen. Die Rechtsanwaltskanzlei betreut internationale Firmenkunden bei großen Mergers und hat daher sämtliche relevanten strategischen Informationen ihrer Klienten auf eigenen Servern gespeichert.

Der IT-Leiter beauftragte Corporate Trust mit einem Spionage Penetrationstest, um durch eine umfassende Vorgehensweise überprüfen zu lassen, ob es Lücken im System gibt bzw. ob die Anwaltskanzlei gegen professionelle Spionage-Angriffe geschützt ist.

Analyse & Feststellung

Die Abklärung der aktuellen Sicherheitsvorkehrungen in der Sozietät zeigte schnell, dass die Mitarbeiter nur unzureichend über die aktuellen Angriffsformen bei Industriespionage informiert waren. Aufgrund dieser fehlenden Sensibilisierung waren sie nicht auf sog. „Social Engineering“ Angriffe vorbereitet, bei denen die Täter z.B. am Telefon versuchen, unter Vorspiegelung falscher Tatsachen vertrauliche Informationen zu erfragen. Der IT-Leiter wollte prüfen, ob ohne vorherige Kenntnis der Infrastruktur oder Insider Know-how über die IT-Systeme in das Unternehmen eingedrungen werden kann, um vertrauliche Daten zu besorgen. Dabei sollten alle Maßnahmen eng mit ihm abgestimmt werden, so dass eine Schädigung der Systeme oder Störung des Betriebs vermieden werden konnte.

Handlung & Erfolg

Analog dem Vorgehen bei Industriespionage, bei dem die Täter alle Möglichkeiten (technisch, organisatorisch, personell) zur Informationsgewinnung nutzen, wurden zuerst durch die Ermittlungs-Spezialisten von Corporate Trust verschiedene Mitarbeiter der Anwaltskanzlei unter einer Legende angerufen. Mit den erhaltenen Informationen zur Netzwerk-Infrastruktur, einigen verwendeten Applikationen, zwei Namen von IT-Administratoren und deren Kernarbeitszeiten wurde gezielt eine Sekretärin kontaktiert. Unter dem Vorwand, sie hätte sich beim Surfen im Internet einen Trojaner eingefangen, wurde durch geschickte Gesprächsführung ihr Passwort erfragt. Daraufhin war es für die IT-Securty Spezialisten von Corporate Trust viel einfacher, einen klassischen Penetrationstest durchzuführen und sich in die Systeme der Kanzlei einzuhacken, um an die vertraulichen Kundendaten zu gelangen.

Interessantes