Sonntag, 27. November 2016

Operations security

OPSEC im Selfie Zeitalter

Die meisten Missionen werden kompromitiert und die meisten Straftaten führen zu Verurteilungen, weil einzelne Personen die daran beteiligt sind und waren ihr dummes Maul nicht halten können.

Jede Organisationsform, egal ob militärisch, kommerziell oder kriminell, braucht ein Mindestmaß an Sicherheitsmaßnahmen um Konkurrenten und Gegnern den Zugang zu kritischen Informationen zu verwehren. Dazu muss man zuerst die eigene Anfälligkeit analysieren und die eigenen Informationen nach ihrer Wichtigkeit bewerten können.


1. Bestimmung von Informationswert interner Vorgänge
Woran wird gearbeitet was einen kritischen Informationswert darstellt. (Forschungsprojekte, Produkte, Spionage, Kriminalität)

2. Gefahrenanalyse von Außen
Wer stellt eine Gefahr dar und welche Mittel und Wege können diese anwenden.
Welche Konsequenzen kann die Verletzung der OpSec nach sich ziehen.
(Firmenspionage, Diebstahl, Sabotage, strafrechtliche Ermittlungen, Erpressung.) 

3. Analyse der eigenen Anfälligkeit
Welche Kommunikationswege und Mittel müssen für die eigenen Zwecke verwendet werden und für was sind diese anfällig und gefährdet.

4. Risikoabwägung
Welche Risiken lassen sich vermeiden oder zumindest vermindern und welche gar nicht verhindern.
5. Einrichtung von OPSEC Maßnahmen und Gegenmaßnahmen
Unterdrücken von Informationsausfluss, Abschirmung kompromitierter Faktoren, Desinformation nach außen.


Personal
The thing to do with a spy is to let him breathe, encyst him with loyal comrades, and feed him harmless information to please his employers. These creatures will be taken into our organization. Don't be shocked; they will be in very special cells. 'Cages' is a better word. But it would be the greatest waste to eliminate them--not only would each spy be replaced with someone new but also killing these traitors would tell the Warden that we have penetrated his secrets.
- The Moon is a harsh Mistress

Personal lässt sich nach folgenden Kriterien bewerten:

° Signatur - Identifizierbare Merkmale und Eigenheiten die im Umfeld dieser Person wahrgenommen werden und die gesellschaftliche Stellung bestimmen.

° Verbindungen - Das soziale Umfeld einer Person kann eine Person kompromitieren oder bietet ein gutes Spiegelbild für die persönlichen Prioritäten eben dieser.

° Profil - Die Summe dieser Faktoren ergibt das Profil einer Person und dessen Tauglichkeit oder Untauglichkeit eine bestimmte Sicherheitsfreigabe innerhalb einer Organisation zu erlangen.


Es ist für jede Organisation ratsam einzelne Mitglieder verschiedene Phasen durchlaufen zu lassen und diese dabei genau zu beobachten. Hier können bereits leicht Leute ausgefiltert werden, die nur Teil einer Organisation werden aus therapeutischen Motiven und/oder sich gegenüber anderen zu profilieren. Wer sich gegenüber Außenstehenden, oder auch generell, profiliert, dessen Charakter ist schlecht und anfällig, weshalb man diese Leute mehr und mehr abschirmen und am Ende aussondern muss. Die Tat der Profilierung selbst zeigt auch oft einen Realitätsverlust die auf Reaktionen setzt, die bei rationaler Betrachtung absurd sind. Wenn Männer bspw. versuchen ihre Partnerin vom eigenen Prepperastentum zu überzeugen, sie vollmüllen mit der eigenen Negativität um sich vor dieser aufgebauten Kulisse des Weltunterganges als rettender Hafen zu präsentieren, oder wenn sie ihrem Umfeld Seiten wie diese hier zeigen wollen um damit Tugend zu signalisieren von was sie sich einbilden ein Teil einer Art Bewegung zu sein, dann haben diese bereits keinen Bezug mehr zur Realität und eine derartiger Mentalität ist komplett im Eimer.

Bei neugierigen Journalisten genau so wie bei Strafermittlern gehört es zur Vorgehensweise an den Narzissmus genau solcher Leute zu appelieren um an Informationen zu kommen. Der Verdächtige will sich dann eben profilieren und/oder rechtfertigen und fängt an Informationen preis zu geben, die diese Person an erster Stelle überhaupt nicht haben sollte.

Es ist immer schwierig hier vertrauenseelige Leute zu finden, gerade weil die demografische Situation eben so ist wie sie ist und geeignete Leute nie geboren wurden. Wer junge Leute rekrutiert, der riskiert ohne den entsprechenden Aufbau einer übergeordneten Drohkulisse die Profilierung dieser jungen Menschen gegenüber den etwas älteren Leuten in deren Freundeskreis. Ältere Leute kommen generell nicht in Frage außerhalb der Logistikstruktur, da sie eben Ressourcen geben sollen und Mitwisserschaft überflüßig ist. Eine ältere Person die keine Ressourcen anzubieten hat aber sich außerhalb kommerzieller Strukturen verschwören will, die kann man als Versager abtun die sich nach Außen damit profilieren werden mit ihrer Mitwisserschaft um in ihrem eigenen Umfeld nicht länger als diese Versager angesehen zu werden. Wenn man möchte kann diese Leute allerdings auf sicheren Abstellgleisen parken, Ressourcen generieren und sie mit Schwachsinn füttern. Ab einer gewissen Größe hat jede Organisation ihren Pool von Mitläufern, die eben Mitgliedsbeiträge zahlen um sich dann als Teil von was ganz großem aufspielen zu können.

Und unter keinen Umständen involviert irgendwelche Weiber, auch nicht eure eigene Frau.


Kompromitierung von Innen

http://www.cbsnews.com/news/the-phishing-email-that-hacked-the-account-of-john-podesta/
Die meisten Sicherheitsverletzungen geschehen von Innen heraus und nicht durch Eindringen von Außen. Das kann sich hier um reine Blödheit und Leichtsinnigkeit handeln, oder durch absichtliche herausgabe von Informationen.

https://www.youtube.com/watch?v=2zssIFN2mso

Prominente Beispiele dafür sind die russischen Selfie Soldiers in der Ostukraine und der Selfie Perverse demokratische Politiker Anthony Weiner, der nicht nur dreist genug war wiederholt entblösende Fotos an Minderjährige zu schicken, sondern dies auch noch mit dem eigenen Kleinkind im Hintergrund vom Laptop seiner Frau aus, die Clinton Vertraute Huma Abedin. Die Beschlagnahmung dieses Laptops im Rahmen der Ermittlungen gegen Weiner spielt in die Ermittlungen gegen Hillary Clintons privaten E-Mail Server mit ein, wobei man sich eigentlich einen besseren Plot nicht hätte ausdenken können. Am Ende bringt ein perverser Jude und seine Saudi Muslimbruderschaft Agentenfrau die Clintons unabsichtlich hinter Gitter und retten Amerika für einen weiteren Tag, weil sie zu geizig sind sich einen zweiten Laptop anzuschaffen.

https://www.google.com/search?q=anthony+weiner&hl=de&biw=1600&bih=767&site=webhp&source=lnms&tbm=isch&sa=X&sqi=2&ved=0ahUKEwi6pLyVncnQAhXIOSwKHaBvARgQ_AUIBigB#hl=de&tbm=isch&q=anthony+weiner+new+york+post&imgrc=_


Blue on Blue Spionage
Während des Konfliktes in Südvietnam gelang es den Kommunisten fast den gesamten Südvietnamesischen Geheimdienst- und Militäraparat zu unterwandern, weil der CIA Station Chief für Südvietnam William Colby aus moralischen Gründen es abgelehnt hatte "Freunde" auszuspionieren. Das Ergebnis war eine weitläufige Korrumpierung der südvietnamesischen Institutionen.


< Fortsetzung folgt >


Siehe auch:
Joint Publication 3-13.3 - Operations Security
Social Media




1 Kommentar:

  1. Zu den Punkten 1-4 kann ich Threat Modelling mit Attack Trees (https://www.schneier.com/academic/archives/1999/12/attack_trees.html) empfehlen. Stammt eigentlich aus der Infosec, lässt sich aber mit etwas Grips auch auf jeden anderen Bereich, insbesondere Opsec, übertragen. Ich mache das regelmäßig (im Bereich Infosec) und wenn man beim Bewerten der Risiken nicht völlig abdreht (Zombieinvasion, etc.), kann man hier einen guten und halbwegs ökonomischen Weg finden, Risiken zu bewerten.

    AntwortenLöschen