Zum Inhalt springen

Dumpster Diving

0,00 

Ihr Müll interessiert niemanden?

Machen Sie die Rechnung nicht ohne den Hacker…

Unter Dumpster Diving versteht man die Suche im Müll einer Unternehmens nach verwertbaren Informationen. Was zunächst ein wenig nach Spionagethriller klingt, kann eine vergleichsweise einfache Möglichkeit sein, an sensible Informationen zu gelangen, da sich viele Unternehmen dieses Angriffsvektors nicht bewusst sind. Entsprechend kommt es dann auch des öfteren vor, dass sensible Daten ungeschreddert oder funktionsfähige Datenträger im Müll landen.

Warum sollte ich einen Dumpster Diving Test durchführen?

Dumpster Diving erfordert im Prinzip keine besonderen Fähigkeiten (höchstens die Bereitschaft sich die Hände schmutzig zu machen) und ist daher für viele Angreifer möglich. Gleichzeitig können die so gefundenen Informationen aber überaus sensibel sein (siehe nächster Abschnitt). Zudem ist bei vielen Informationen auch kein Bewusstsein dafür vorhanden, dass sich auch im Müll wichtige Daten befinden können, die nicht in falsche Hände geraten sollten. Diese Kombination macht den Angriff für einen Hacker interessant: Dumpster Diving ist einfach möglich, kann überaus ertragreich sein und die Wahrscheinlichkeit erwischt zu werden, ist doch eher gering.

Welche Arten von Informationen kann man per Dumpster Diving finden?

Potenziell sensible Informationen die man per Dumpster Diving finden kann sind beispielsweise:

  • Lieferscheine mit Kundennummern, Kundennamen oder Bestellnummern
  • Persönliche Informationen von Kunden oder Mitarbeitern
  • Finanzielle Informationen
  • Entsorgte Datenträger oder Hardware die möglicherweise Unmengen an sensiblen Informationen enthalten (im Extremfall auch mal Anleitungen für einen Raketenwerfer)

Diese Informationen können von einem Angreifer auf vielfältige Weise genutzt werden:

  • Erstellung von Phishingmails: wer Name, Kundennummer und die einzelnen Posten einer Rechnung kennt, kann damit sehr detailgetreue Phishingmails erstellen
  • Für Vishing Anrufe: wer persönliche Informationen eines Mitarbeiters kennt, kann beispielsweise bei der Personalabteilung anfragen und dort weitere Informationen erfragen
  • Industriespionage: wenn Konstruktionszeichnungen, Kundenlisten oder ähnlich sensible Daten einfach im Müll landen, freut sich mitunter die Konkurrenz
  • Verhandlungen: Informationen über die finanzielle Situation Ihres Unternehmens können beispielsweise von Kunden, Lieferanten etc. im Rahmen von Verhandlungen verwendet werden

Kurz und gut: sensible Informationen sollten nie einfach so im Müll landen!

Was erhalte ich im Anschluss an den Test?

Im Anschluss an den Test erhalten Sie einen detaillierten Report mit unseren Ergebnissen. Darin ist folgendes enthalten:

  • Welche Informationen durch uns gefunden wurden (unter Umständen ergeben Information auch nur in einer bestimmten Kombination Sinn)
  • Wie diese Informationen genutzt werden können (zu diesem Zweck erstellen wir für Sie individuelle Angriffsszenarien)
  • Welche Maßnahmen Sie ergreifen sollten um diese Informationen in Zukunft sicher unbrauchbar zu machen

Selbstverständlich sind die entsprechenden Funde auch fotografisch dokumentiert.