Competitive Intelligence Blog

Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch “Aushorchen” zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Mitarbeiter so manipuliert werden, dass sie unzulässig handeln. Ein typischer Fall von Angriffen mit Hilfe von Social Engineering ist das Manipulieren von Mitarbeitern per Telefonanruf, bei dem sich der Angreifer z. B. ausgibt als:

• Vorzimmerkraft, deren Vorgesetzter schnell noch etwas erledigen will, aber sein Passwort vergessen hat und es jetzt dringend braucht,
• Administrator, der wegen eines Systemfehlers anruft, da er zur Fehlerbehebung noch das Passwort des Benutzers benötigt,
• Telefonentstörer, der einige technische Details wissen will, z. B. unter welcher Rufnummer ein Modem angeschlossen ist und welche Einstellungen es hat,
• Externer, der gerne Herrn X sprechen möchte, der aber nicht erreichbar ist. Die Information, dass Herr X drei Tage abwesend ist, sagt ihm auch gleichzeitig, dass der Account von Herrn X in dieser Zeit nicht benutzt wird, also unbeobachtet ist.

Wenn kritische Rückfragen kommen, ist der Neugierige angeblich “nur eine Aushilfe” oder eine “wichtige” Persönlichkeit.

Eine weitere Strategie beim systematischen Social Engineering ist der Aufbau einer längeren Beziehung zum Opfer. Durch viele unwichtige Telefonate im Vorfeld kann der Angreifer Wissen sammeln und Vertrauen aufbauen, das er später ausnutzen kann.

Solche Angriffe können auch mehrstufig sein, indem in weiteren Schritten auf Wissen und Techniken aufgebaut wird, die in vorhergehenden Stufen erworben wurden.

http://www.bsi.de/gshb/deutsch/g/g05042.htm

SIGINT gemäss NSA. Richtigerweise folgert die NSA “Knowledge is Power”.

perception management perception management— Actions to convey and/or deny selected information and indicators to foreign audiences to influence their emotions, motives, and objective reasoning as well as to intelligence systems and leaders at all levels to influence official estimates, ultimately resulting in foreign behaviors and official actions favorable to the originator’s objectives. In various ways, perception management combines truth projection, operations security, cover and deception, and psychological operations (Department of Defence, Dictionary of Military and Associated Terms J1-02, 12. April 2001/13. June 2007, p 407).

Die meisten Competitive Intelligence Konzepte greifen zu kurz. Dies gilt insbesondere auch für die Definition der Society of Competitive Intelligence Professionals (SCIP):”CI is a necessary, ethical business discipline for decision making based on understanding the competitive environment.” Diese Konzepte die sich schwergewichtig im Marketing und Business Developement bewegen, verkennen den Stellenwert der Information im heutigen Marktumfeld. Ein aktualitätsbezogenes und zukunftsgerichtes Konzept ist:

„Strategisches Informationsmanagement“ ist offensives und defensives Management von Information:

• Es ist die Gesamtheit aller koordinierten Aktionen und Massnahmen der Beschaffung, Analyse, Verbreitung und des Schutzes von legal zugänglicher Information zur Generierung von Erkenntnissen.
• Vernetzung verschiedener Disziplinen, um taktische und strategische Ziele der Unternehmung zu unterstützen.
• fokussiert auf Bewusstsein der Bedrohung und fördert „Culture de combat“.
• Verbindung zwischen dem Handeln und der Kenntnisse einer Unternehmung
• verschafft einer Organisation notwendige Erkenntnisse und Handlungsmittel, um vor neuen Gefahren zu schützen und neue Chancen wahrzunehmen.