Warum OPSEC für alle ist, nicht nur für Menschen, die etwas zu verbergen haben

OPSEC (Operational Security) ist ein Begriff, der vom US-Militär abgeleitet wurde und ein Analyseprozess ist, der verwendet wird, um gegnerische Informationen zu verweigern, welche die Geheimhaltung und Betriebssicherheit einer Mission gefährden könnten. Der eigentliche Prozess der Durchführung von OPSEC vor einem Angreifer spielt nicht nur in offensiven und defensiven Sicherheitsstrategien, sondern auch im täglichen Leben eine sehr wichtige Rolle.
Beispiele für OPSEC, die sich auf diesen Artikel beziehen, sind der Schutz der tatsächlichen Identität einer Person, die sich ein Pseudonym erstellt haben, die Black Hat- und White Hat-Hacker am häufigsten online durchführen. Das Verfahren, mit dem sichergestellt wird, dass kritische Informationen wie IP-Adressen, ihre verwendete Sprache, ihre Schreibweisen, ihre E-Mail-Konten, ihre persönliche Merkmale usw. nicht dazu verwendet werden können ihre tatsächliche Identität zu entlarven, ist ein ständiger Prozess.
Es gibt viele Gründe, warum eine gesunde Besessenheit von OPSEC wichtig ist. Eine der größten Aufgaben besteht darin, sich vor Cyberkriminellen, Hackern und Regierungen vor dem Abrufen von Daten zu schützen, mit denen vertrauliche Informationen über Sie offengelegt werden können. Dabei handelt es sich um den häufigsten Angriff, mit dem Schwachstellen in OPSEC aufgedeckt werden.

Warum ist OPSEC wichtig und warum sollten Sie sich darum kümmern?

Es gibt ein Sprichwort, das besagt: "Wenn Sie nichts zu verbergen haben, haben Sie nichts zu befürchten." Die Realität ist, dass jeder etwas hat, das er vor der Öffentlichkeit verbergen möchte. Der Schlüssel besteht darin, festzustellen, in welcher Form diese Informationen vorliegen, wie gut sie geschützt sind und wie sich die persönlichen / beruflichen Auswirkungen bei einer Gefährdung auswirken würden.
Angreifer profilieren ständig Ziele auf der Suche nach potenziellen Schwachstellen in OPSEC. Aus eigener Erfahrung kann es unter Verwendung manueller und automatisierter Open Source Intelligence-Techniken (OSINT) weniger als vier Stunden dauern, bis sie genügend Informationen zu einem Ziel gesammelt haben, um Folgendes zu erfahren:

  • Vollständiger Name
  • Ort
  • Sozialversicherungsnummer
  • Geburtsdatum
  • E-Mail-Konten und Passwörter
  • Mädchenname der Mutter
  • Online Digital Footprint
  • Beschäftigungsinformationen
  • Finanzinformation
  • Handynummern/geschäftliche Telefonnummern
  • Social Media Informationen/Beiträge
  • Familie/Freunde/Kollegen

Mit den oben genannten Informationen kann ein motivierter Angreifer schwerwiegenden Schaden anrichten, insbesondere wenn Sie Kennwörter wiederverwenden, dieselbe E-Mail-Adresse als Login für mehrere Web-Apps verwenden oder eine E-Mail/einen Benutzernamen verwenden, die/der etwas über Sie aussagt. Diese grundlegenden Fehler werden fast monatlich in den Medien gemeldet, einschließlich zahlreicher Beispiele dafür, wo kriminelle Operationen abgebaut wurden, indem eine ganze Menge Informationen hinterlassen wurden, die eine reale Person mit ihren Pseudonymen verknüpfen.
Der Administrator eines der größten Darkweb Märkte wurde kürzlich von einer gemeinsamen Operation festgenommen, die von Interpol, dem FBI, der NCA und anderen Strafverfolgungsbehörden geleitet wurde, um illegale Marktplätze zu bekämpfen.
IT-Experten konnten aus kleinen OPSEC-Fehlern Informationen über ihr Ziel zusammenstellen. Beispielsweise enthielten frühere Begrüßungs-E-Mails von der Website des admin mydomini_89@hotmail.com Informationen über Dominik, einschließlich seines Geburtsjahres und Informationen, die zur Identifizierung seiner nationalen Identität verwendet werden könnten.
Er kassierte auch mit einem Bitcoin-Konto, das an seinen Namen gebunden war, und sein Bankkonto gehört zu den OPSEC-Sünden, die er begangen hat und die letztendlich zu seiner Verhaftung geführt haben.
Die Realität ist, dass ein Angreifer, der Schwachstellen in OPSEC ausnutzt, einem Tod von tausend Einschnitten gleicht. Es ist nicht eine kleines Stück von Informationen, der den Schaden verursacht. Es sind die im Laufe der Zeit gesammelten Daten, die dem Angreifer den Todesstoß versetzen. Es ist von entscheidender Bedeutung, stets über die Informationen informiert zu sein, die Sie mit Einzelpersonen, Dritten, Online-Unternehmen und Arbeitgebern teilen, ganz zu schweigen davon, inwieweit dies Sie gefährdet, wenn Sie in der heutigen ständigen Informationsschlacht auf Nummer sicher gehen möchten.
Um mehr über OPSEC zu erfahren, besuchen Sie meinen Kurs zum Vorzugspreis OpSec für Hacker, IT Profis, Ethical Hacker,Devs & Firmen

Reduzierung der Exposition durch OPSEC

Der Vorwand dieses Artikels mag für den Durchschnittsmenschen, der nichts zu verbergen hat, etwas extrem erscheinen. Unabhängig davon, ob Sie in den Bereichen IT, DevOps, Infosec oder Führung tätig sind, ist der Schutz Ihrer eigenen und der kritischen Vermögenswerte Ihres Unternehmens von entscheidender Bedeutung.
Hier sind die drei wichtigsten Dinge, die Sie derzeit tun können, um Ihre OPSEC drastisch zu verbessern:

1. ÜBERLEGEN SIE, BEVOR SIE TEILEN

Wie bereits erwähnt, ist es die Ansammlung von Informationen, die auf einem Ziel gesammelt werden können, das die größere Bedrohung darstellt. Ein häufiges Beispiel sind Programmierer auf Websites wie GitHub. Sie sind eine Goldgrube an Informationen für Angreifer und vermitteln normalerweise eine Vorstellung von Entwicklungsstilen und Fehlern, die in Unternehmensumgebungen nachgebildet werden könnten - ganz zu schweigen von schönen Profilbildern.
Bevor Sie Kommentare veröffentlichen oder Inhalte in Support-Foren, sozialen Medien usw. freigeben, denken Sie: Gibt dies einem Angreifer Informationen, die er zum Erstellen eines Profils (oder zum weiteren Erstellen) für Sie oder Ihr Unternehmen verwenden kann?

2. ERSTELLEN SIE EINZELNE FÄCHER

Es ist unerlässlich, dass Sie nicht dasselbe Kennwort für alle Konten verwenden, um es so dem Angreifer zu erschweren, alles über Sie zu erfahren. Nicht die selben Benutzer Passwörter (oder Variationen davon) wiederzuverwenden, gilt auch für Benutzernamen und E-Mail-Adressen.
Begrenzen Sie die Offenlegung der Informationen über Sie, machen Sie E-Mail-Adressen fast zufällig und weisen Sie jeder eine bestimmte Verwendung zu. Erstellen Sie beispielsweise eine separate E-Mail-Adresse für Finanzen oder vertrauliche Informationen, eine andere für soziale Medien und eine andere für die allgemeine Verwendung.
Verbessern Sie den Schutz, indem Sie einen Passwort-Manager verwenden , um sichere Passphrasen für jedes Konto/jeden Onlinedienst zu generieren. So stellen Sie sicher, dass jedes Konto/jeder Onlinedienst ein eindeutiges Passwort hat. Aus Gründen des zusätzlichen Schutzes wird dringend empfohlen, die Zwei-Faktor-Authentifizierung für alle Elemente zu aktivieren.

3. FÜHREN SIE PERSÖNLICHE RISIKOBEWERTUNGEN DURCH

Ebenso wichtig für Unternehmen regelmäßige Risikobewertungen oder Unternehmen Verträglichkeitsprüfungen durchzuführen, ist es auch wichtig regelmäßig eine persönliche Risikobewertung für sich selbst durchzuführen, um die Gefährdung durch bestimmte Bedrohungsszenarien zu verstehen. 
Diese Risikobewertung sollte sich jedoch nicht auf externe Bedrohungen konzentrieren, sondern auf die wichtigsten Informationen, mit denen Sie verhindern möchten, dass ihre Daten gestohlen, kompromittiert, offengelegt usw. werden. Zu den Fragen, die Sie sich stellen sollten, gehören:

  • Was ist diese Information?
  • In welcher Form sind diese Informationen?
  • Weiß ich genau, wo das alles ist?
    • Wenn nicht, wie schnell kann ich alles finden?
  • Werden meine Daten bei einem Dritten gespeichert?
    • Kann ich das Risiko übernehmen, wenn der Datenschutz verletzt wird?
  • Sind meine Daten verschlüsselt? Ist es sicher?
  • Wer kennt meine sensiblen Daten?
    • Wer hat Zugang?
    • Wer hat darauf zugegriffen?
    • Wann wurde zuletzt darauf zugegriffen?
  • Welche Auswirkungen hat es, wenn die Daten öffentlich bekannt gegeben / gestohlen werden? Kann ich das Risiko übernehmen?

Wenn Sie die oben genannten drei Schritte ausführen, können Sie Ihre Betriebssicherheit erheblich verbessern, indem Sie die für Sie wichtigsten Informationen schützen und nicht nur das Risiko einer persönlichen Gefährdung eingehen, sondern auch ein schwaches Glied in der gesamten Betriebssicherheitskette des Unternehmens darstellen.
Um mehr über OPSEC zu erfahren, besuchen Sie meinen Kurs zum Vorzugspreis OpSec für Hacker, IT Profis, Ethical Hacker,Devs & Firmen
Copyright by Rene Fürst - Photo by David Sinclair on Unsplash

DER NEWSLETTER FÜR IT-BEGEISTERTE

Trag dich ein für den Newsletter und bleib auf dem Laufenden über alle neuesten Aktionen und IT-News!

Wir senden keinen Spam! Erfahre mehr in unserer Datenschutzerklärung.