2016, Blog

Dumpster Diving

Letztens sortiere ich eine Menge Papiere aus. Ich lege sie auf die erste Stufe der Treppe, damit die erste Person, die das Haus verlässt, das Papier in die Papiertonne werfen kann. Auf die zweite Stufe lege ich Bücher, die ich später noch benötige und wegstellen wollte. Nach kurzer Zeit ist alles weg. Verdammt. Erste Anlaufstelle für den Mann: Die Ehefrau.

“Hast du das Papier weggeworfen?”

 “Ja!”

“Auch die Bücher auf der zweiten Stufe?”

“Alles was Papier war und auf der Treppe lag, habe ich weggeworfen!”

“Verdammte Gründlichkeit!”

Also blieb nichts anderes übrig als das Haus zu verlassen und in der eigenen Papiermülltonne zu wühlen. Einige Nachbarn schauten auch merkwürdig aus dem Fenster. Was macht der denn da? Er suchte etwas. Aber natürlich kam mir gleich ein Gedanke: Dumpster diving.

Oft unterschätzt, definitiv nicht ausgestorben. Dumpster diving im Hackingbereich ist das Durchwühlen von Müll auf der Suche nach Informationen über eine Zielperson, im Wirtschaftsbereich entsprechend über Firmen.

Dumpster diving gehört in die Phase der Informationsbeschaffung. Mit dem Durchwühlen von Müll erhofft man sich Informationen zu folgenden zwei Punkten beschaffen zu können.

  1. Auf Papier geschrieben Informationen wie Passwörter oder PINs.
  2. Informationen auf Papier über Meetings, Kundeninformationen, Daten von Mitarbeitern, vielleicht sogar heisse Daten des Zielunternehmens selbst.

Ersteres kann genutzt werden, um direkt in die Systeme einzubrechen. Zweite Möglichkeit bietet Stoff für ausgeklügelte Social-Engineering-Angriffe.

Deshalb gehört das Thema Müll definitiv zum Bereich Datensicherheit (Datenschutz, Informationssicherheit).

Firmen benötigen einen Plan im Umgang mit Papier und Müll. Trennung gehört nicht nur aus ökologischen Gründen dazu, sondern auch aus Gründen zum beschriebenen Szenario. Alles an Papier, ob bedruckt oder beschrieben, sollte in entsprechenden Containern gesammelt und später nachweislich vernichtet werden. Es gibt Anbieter, die die Vernichtung übernehmen.

Einige Firmen geben sich Regeln, die die Nutzer auffordern Dokumente und Papiere selbst einzustufen und dann entsprechend zu behandeln. Bspw.: Nutzer sollen vertrauliche Dokumente in dafür vorgesehene Container werfen. Seien wir ehrlich: Unsinn. Es ist sicherer jeden Papiermüll gleich zu behandeln. Ihr schreibt Euch sicher auch mal eben manchmal eine Notiz auf ein Stück Papier das gerade greifbar ist. Es landet sicher nicht immer in derartigen Containern. Hier wäre Konsequenz angebracht.

Auch für Privatleute sollte es nicht weniger wichtig sein auf die Daten zu achten, die man der Papiertonne anvertraut. Kontoauszüge? Briefe? Rechnungen? Papier in Streifen zu schreddern, würde helfen. Wobei Partikelshredder die bessere Alternative sind.

Für Privathaushalte teuer. Für Unternehmen sind Dienstleister aber auch meist günstiger.

Trotzdem: Einplanen!

Tagged , , , , , , ,