Login

Blog

  • Woran erkenne ich, ob Daten von meinem Unternehmen im Darknet gelandet sind?

    Woran erkenne ich, ob Daten von meinem Unternehmen im Darknet gelandet sind?

    Viele Unternehmen unterschätzen das Risiko, dass im verborgenen Teil des Internets Informationen über sie kursieren. Das Darknet ist kein mystischer Ort, sondern ein abgeschotteter Bereich, der nur über spezielle Software zugänglich ist und häufig als Umschlagplatz für gestohlene Daten und illegale Dienstleistungen dient. Wenn Firmen dort auftauchen, erfahren sie es oft erst dann, wenn bereits ein Schaden entstanden ist. Doch es gibt klare Möglichkeiten, den Überblick zu behalten und frühzeitig zu erkennen, ob das eigene Unternehmen betroffen ist.

    Um herauszufinden, ob das eigene Unternehmen erwähnt wird, setzen viele Firmen spezialisierte Monitoringdienste ein. Diese scannen Teile des Darknets automatisiert nach Unternehmensnamen, E-Mail Adressen oder anderen eindeutigen Identifikatoren. Da das Darknet nicht wie das übliche Internet indexiert ist, kann ein solches Monitoring keine vollständige Abdeckung garantieren. Dennoch liefert es wertvolle Hinweise auf potenzielle Risiken. Wird ein Treffer entdeckt, erfolgt eine Benachrichtigung, bevor die veröffentlichten Informationen für Angriffe genutzt werden können.

    Zwar kann eine Recherche im Darknet auch manuell durch das eigene Unternehmen erfolgen, oft sind diese Recherchen aber nicht so umfangreich wie die Recherchen, die kommerzielle Anbieter leisten können.

    Hürden bei der Recherche

    Für eine Recherche im Darknet benötigen Sie Quellen. In diesem Fall die Orte, an denen sich die Cyberkriminellen auch gerne rumtreiben. Mit ein wenig Online-Recherche finden sich relativ schnell verschiedene Foren, Marktplätze, Leak-Blogs von Ransomware-Gruppen, Chatgruppen und weitere Webseiten im Darknet.

    Die nächste Hürde stellt allerdings der Zugang zu diesen Plattformen dar. Verständlicherweise möchten die Kriminellen nicht, dass sich jeder auf ihren Seiten umschauen kann. Häufig sind diese Seiten daher zugangsbeschränkt. Das sieht dann konkret so aus, dass man für den Zugang zu einem Forum vielleicht erst nachweisen muss, dass man schon seit mehreren Jahren einen Account in einem anderen Forum hat. Als Alternative wird häufig angeboten, eine einmalige „Aufnahmegebühr“ in einer Kryptowährung zu bezahlen. Ob der Zugang danach allerdings wirklich gewährt wird, ist sicherlich von Fall zu Fall unterschiedlich. Eine Garantie dafür gibt es jedenfalls nicht – Sie sollten jederzeit vor Augen haben, dass Sie es mit Kriminellen zu tun haben.

    Wenn Sie die Hürde der Zutrittsbeschränkungen gemeistert haben, müssen Sie als nächstes wissen, wonach Sie überhaupt suchen sollen. Je nach Art der Website führen Kriminelle unterschiedliche Bezeichnungen, Schreibweisen oder Umschreibungen. So kann es sein, dass bspw. Zugangsdaten zu einer konkreten Domain (bspw. „vpn.example.org“) zum Kauf angeboten werden. Manchmal finden sich in Leak-Blogs, auf denen gestohlene Unternehmensdaten aus Ransomware-Angriffen veröffentlicht werden, auch der vollständige Unternehmensname oder Teile davon oder auch Abkürzungen der Firma. In Foren im Darknet wird manchmal auch nur umschrieben, um welches Unternehmen es sich handelt. So wird dann bspw. ein Zugang zu einem produzierenden Gewerbe aus Deutschland mit 85 Mio. Euro Jahresumsatz angeboten. Das erschwert die Suche nach dem eigenen Unternehmen.

    Klare Prozesse für die Behandlung von Darknet-Funden

    Damit die Erkenntnisse aus Darknet-Recherchen einen echten Mehrwert bringen, muss das Unternehmen außerdem auch klare Prozesse für den Ernstfall haben. Sobald ein Hinweis auftaucht, sollte festgelegt sein, wer informiert wird, welche Maßnahmen eingeleitet werden und wie weitreichend die internen Analysen gehen müssen. Von der Änderung kompromittierter Passwörter über die Prüfung betroffener Systeme bis hin zur Vorbereitung einer öffentlichen Kommunikation muss alles sorgfältig geplant sein. Eine schnelle und koordinierte Reaktion ist entscheidend, um Schäden zu begrenzen.

  • Welche Unternehmensdaten werden im Darknet geleakt?

    Welche Unternehmensdaten werden im Darknet geleakt?

    In den Medien heißt es immer wieder „Cyberkriminelle greifen Unternehmen an und veröffentlichen gestohlene Daten im Darknet“. Doch um welche Daten handelt es sich dabei genau? Wieso stellt das eine Bedrohung für Unternehmen dar?

    Haben Cyberkriminelle es erst einmal in ein Unternehmensnetzwerk geschafft, versuchen sie von dort möglichst viele Informationen zu stehlen. Dazu breiten sie sich zunächst (nach erfolgreichem initialen Zugriff) weiter im Netzwerk aus, um möglichst an besonders sensible Daten zu gelangen.

    Sobald der Zugriff auf Netzwerk-Shares, Fileserver oder auch SharePoint-Ordner da ist, werden von dort möglichst viele Daten gestohlen (also an die Angreifer übermittelt).

    Diese Daten können dann alles umfassen, was das Unternehmen abgespeichert hat.

    Da die Aussage aber etwas vage ist, haben wir hier einige Beispiele aufgeführt:

    Leaked correnspondence on the dark web

    Jeglicher Schriftverkehr, der abgespeichert wurde, kann durch einen Cyberangriff offengelegt werden. In diesem Beispiel finden sich in diesem Schriftverkehr nicht nur die Adressdaten eines Kunden, sondern auch gleich noch Zugangsdaten zu einem Administrator-Konto.

    Leaked ID cards from employees on the dark web

    Häufig werden auch Personalausweiskopien und Geburtsurkunden im Darknet veröffentlicht. Diese stammen beispielsweise aus einem Bewerbungsverfahren oder wurden aufgrund einer Heirat oder Kindesgeburt eingereicht.

    A file list showing leaked data on the dark web

    Auch bei den eingesetzten Dienstleistern (aller Art) kann es zu Datenlecks kommen, die das eigene Unternehmen betreffen. Der Screenshot aus einem Datenleck eines Dienstleisters zur Lohnabrechnung zeigt das eindrucksvoll. Hier sind plötzlich die Gehaltsinformationen der Mitarbeiter frei einsehbar.

    Das stellt nur einen kleinen Auszug der Daten dar, die sich im Darknet finden. Letztlich kann dort alles geleakt werden, was Unternehmen und deren Mitarbeiter abspeichern.

    Für Unternehmen wird das zur Bedrohung, wenn sensible Daten, die nicht für die Öffentlichkeit bestimmt waren, im Darknet landen. Nicht nur die eigenen Mitarbeiter, deren Personalausweiskopien nun von Kriminellen missbraucht werden können, sind verärgert. Auch kann das Unternehmen ggf. rechtlich belangt werden, wenn rauskommt, dass die Daten nicht ausreichend vor unbefugtem Zugriff geschützt waren. Und die Konkurrenz, die nun detaillierte Einblicke in die Vorgänge des Unternehmens hat, kann diese Informationen nun auch zu ihrem Vorteil nutzen.

  • Warum ist das Darknet so interessant für Cyberkriminelle?

    Warum ist das Darknet so interessant für Cyberkriminelle?

    Cybercrime und Darknet, das steht für viele in direktem Zusammenhang. Aber warum nutzen Cyberkriminelle das Darknet so gerne?

    „Das eine Darknet“ gibt es nicht. Häufig ist das Tor-Netzwerk gemeint, wenn von „dem Darknet“ gesprochen wird. So auch in diesem Beitrag.

    Die Geschichte des Tor-Netzwerks

    Um zu verstehen, wieso das Tor-Netzwerk heute (unter anderem) von Kriminellen genutzt wird, lohnt sich ein Blick in die Vergangenheit.

    Im Jahr 1995 arbeiteten David Goldschlag, Mike Reed und Paul Syverson am U.S. Naval Research Lab (NRL) an ersten Prototypen eines „Onion Routing“. An der grundsätzlichen Idee hat sich bis heute nichts geändert: Das Internet sollte mit möglichst viel Privatsphäre zugänglich sein und dafür sollte der Netzwerkverkehr über mehrere Server geleitet und zwischen diesen jeweils verschlüsselt werden.

    Anfang der 2000er Jahre arbeiteten dann Roger Dingledine und Paul Syverson am NRL an einem „Onion Routing“ Project. Um sich von anderen Forschungsprojekten mit dem gleichen Ziel abzugrenzen, nannten sie das Projekt „TOR“, was damals für „The Onion Routing“ stand. Später trat auch noch Nick Mathewson dem Projekt bei.

    Von Anfang an war es notwendig, dass sich genügend Freiwillige finden, die einen „Node“ (Knoten) für das Tor-Netzwerk betreiben. Seit dem Release der Software ist daher der Code für alle unter einen freien Software-Lizenz einsehbar.

    Die Verbreitung – So wurde das Darknet für jedermann zugänglich

    Bereits im Jahr 2003 gab es circa ein Dutzend Tor-Knoten, die meisten davon in den USA und einen auch bereits in Deutschland.

    Einige Jahre mussten noch vergehen bevor im Jahr 2008 der Tor-Browser entwickelt wurde. Damit war das Darknet nun auch für weniger Technikbegeisterte zugänglich – es brauchte nur noch den Download dieses Browsers und schon war man drin.

    Dadurch waren dann auch Teile des Internets für Personen zugänglich, die in einem Land leben, in denen das Internet (zumindest zeitweise) zensiert wird.

    Kriminalität im Darknet

    Erhöhte Anonymität zieht leider auch Kriminelle an. Genauso wie heute kaum ein Räuber unmaskiert zur Tat schreiten wird, versuchen auch Cyberkriminelle sich zu tarnen. Ein Ort, an dem das möglich ist, und der aber auch trotzdem leicht zugänglich ist, ist das Tor-Netzwerk.

    Letzteres ist wichtig, denn die Kriminellen wollen tatsächlich (bis zu einem gewissen Grad) gefunden werden. Wenn bspw. niemand die geleakten Daten aus einem Ransomware-Vorfall finden kann, dann ist der Schaden für das betroffene Unternehmen deutlich geringer und die Bereitschaft das Lösegeld zu bezahlen demnach auch.

    Aber das Darknet wurde doch „geknackt“, oder?

    Auch wenn wir heute wissen, dass die Strafverfolgungsbehörden Wege gefunden haben, um unter erheblichem technischen Aufwand und einigen Voraussetzungen doch Nutzer von Tor zu deanonymisieren, ist das Darknet weiter interessant für Cyberkriminelle. Von Anfang an war sowieso immer die Rede davon, die Privatsphäre zu erhöhen und nicht vollständig anonym zu werden. Viele professionelle Cyberkriminelle sind nicht erst seit diesem Bericht auf die Idee gekommen, Ihre Identität weiter zu schützen.

    So wird sich heute wohl kaum ein Berufskrimineller direkt über seinen Internetanschluss zuhause mit dem Tor-Netzwerk verbinden, wenn er dort kriminelle Dinge vor hat. Stattdessen werden andere Wege genutzt, um die Verschleierungsschichten auf eigene Faust zu erweitern und eine Deanonymisierung somit deutlich zu erschweren.

  • Was passiert im Darknet? Wie relevant ist es für die IT-Sicherheit?

    Was passiert im Darknet? Wie relevant ist es für die IT-Sicherheit?

    Im Darknet findet man Cyberkriminalität, Drogen und gestohlene Kreditkarten. Immer wieder hört man aber auch, dass es legitime Einsatzzwecke für das Darknet gibt. Was passiert im Darknet wirklich?

    Datenlecks aus Ransomware-Vorfällen

    Eine der größten Sorgen für Unternehmen: Cyberkriminelle stehlen Unternehmensdaten, verschlüsseln die Server und drohen mit der Veröffentlichung der Daten. Wenn das geschädigte Unternehmen das Lösegeld nicht zahlt, passiert das auch tatsächlich. Im Darknet finden sich Dutzende „Leak-Blogs“ von Ransomware-Akteuren.

    Auf den Leak-Blogs sind i.d.R. in einer Art „Hall of Shame“ die angegriffenen Unternehmen mit Firmenlogo und Kurzbeschreibung aufgelistet. Ist man als Konsument dieser Websites im Darknet an den Daten interessiert, reicht häufig ein Klick auf „Read more“ und man kann sich teilweise Terabyte Unternehmensdaten herunterladen. Legal ist das natürlich auch als Konsument dieser Daten nicht (Dies ist keine Rechtsberatung).

    Welche Daten werden im Darknet geleakt?

    Alle Daten, mit denen man auch tagtäglich im Unternehmensalltag zu tun hat. Zum Beispiel finden sich auf den Leak-Blogs gestohlene Personalausweiskopien, die bspw. aus einem Bewerbungsverfahren stammen. Auch interner Schriftverkehr, Rechnungen und Konstruktionspläne finden sich dort häufig.

    Gestohlene Kreditkartendaten

    Auch gestohlene Kreditkartendaten werden weiterhin im Darknet zum Kauf angeboten. Durch die Sicherheitsmaßnahmen (Zweistufige Verifizierung bspw. über eine App) der Kreditinstitute sind diese heute ein wenig uninteressanter als noch vor einigen Jahren. Dennoch gibt es auch bis heute Webseiten, auf denen noch ohne diese Sicherheitsmaßnahmen Ware bestellt werden kann. Und je nach Art der angebotenen Kreditkartendaten ist es weiterhin möglich, diese auf eine Blanko-Karte zu übertragen und damit „offline“ auf Kosten der Besitzer einzukaufen.

    Legitime Einsatzzwecke

    Es gibt Staaten, in denen der Zugang zum Internet massiv eingeschränkt und/oder überwacht wird. Dadurch ist der Zugang zu Informationen teilweise massiv erschwert. Internationale Nachrichtenportale sind in diesen Ländern teilweise nicht erreichbar. Da kann das Darknet Abhilfe schaffen.

    Beispielsweise ist die Website der BBC auch im Darknet erreichbar (Mitteilung). Die Website der DW (Mitteilung), New York Times (Mitteilung), The Guardian (Mitteilung) ziehen, neben einigen weiteren, auch mit.

    Auch für die Arbeit der Journalisten, die aus solchen Ländern berichten, ist das Darknet eine Möglichkeit, um mit ihren Kolleginnen und Kollegen aus anderen Ländern zu kommunizieren.

  • Darknet – Was ist das Clearweb, Deepweb und Dark Web?

    Darknet – Was ist das Clearweb, Deepweb und Dark Web?

    Von dem „Darknet“ haben viele schon einmal gehört, doch was genau hat es damit auf sich? Ist es die schmuddelige Ecke des Internets, in der sich nur Kriminelle rumtreiben? In diesem Beitrag erfährst du die wichtigsten Grundlagen über das Darknet und was du brauchst, um dich mit dem Darknet zu verbinden.

    Clearweb, Deepweb, Darknet und Dark Web

    Das Clearweb ist vereinfacht gesagt der Teil des Internets, den unsere Eltern aufrufen können. Es ist der Teil des Internets, der ohne besondere Zugangsbeschränkungen mit gängiger Hard- und Software erreicht werden kann. Hier finden sich bspw. Nachrichten- und Streamingportale, Webmail-Anbieter, Foren und auch dieser Blog.

    Das Deepweb ist der Teil des Internets, der nicht im Suchmaschinenindex (z.B. bei Google, DuckDuckGo, und co.) auffindbar ist. Hier finden sich also bspw. schon Underground-Hacking-Foren, aber auch so etwas wie der Online-Speicher einer Universität, wo Nutzer sich erst anmelden müssen, um auf die neusten wissenschaftlichen Veröffentlichungen zugreifen zu können.

    Um in das Darknet zu gelangen braucht es eine spezielle Zugangssoftware. Durch diese zusätzliche Hürde wird häufig auch von „versteckten Diensten“ bzw. „hidden services“ (englisch) gesprochen. Teilweise findet sich auch die Bezeichnung „onion services“ in Anlehnung an die Domain, die im Tor-Netzwerk auffindbar ist.

    Unterschied Darknet und Tor-Netzwerk

    Gemäß der Definition gibt es nicht bloß das eine Darknet. Am häufigsten verbreitet ist heute allerdings das sogenannte „Tor-Netzwerk“. Tor, früher noch in Großbuchstaben TOR geschrieben, stand ursprünglich für „The Onion Router“. Neben dem Tor-Netzwerk, das vom „Tor-Project“ verwaltet wird, existieren aber auch weitere „Darknets“, wie z.B. das „Freenet Project“.

    Theoretisch könntest du dich auch mit deinen Freunden zusammentun, deine eigene Zugangssoftware programmieren und ihr habt euer eigenes „Darknet“.

    Wenn heute in den Medien oder auch umgangssprachlich von „dem Darknet“ gesprochen wird, ist damit in der Regel das Tor-Netzwerk gemeint. Dieses ist das bekannteste und weit verbreitetste „versteckte“ Netzwerk.

    Gibt es einen Unterschied zwischen Darknet und Dark Web?

    Darknet und Dark Web unterscheiden sich tatsächlich. Mit dem Darknet ist das gesamte Netzwerk gemeint, welches durch die spezielle Zugangssoftware erreichbar ist. Damit sind neben dem Webbrowsen auch weitere vorwiegend TCP-basierte Dienste gemeint, wie bpsw. SSH (Secure Shell), Instant Messaging oder VNC.

    Durch die Nutzung des Tor-Netzwerks kannst du beispielsweise (nach vorheriger Konfiguration) auf Geräte in deinem Heimnetzwerk zugreifen, obwohl du dich an einem anderen Ort auf der Welt befindest.

    Ist das Dark Web illegal?

    Die Nutzung des Tor-Netzwerks ist nicht illegal, solange du dort nichts illegales tust.

    Genießt du also nur die zusätzliche Anonymität und schaust dir legale Dinge im Darknet an, bist du völlig legal unterwegs.

    Sobald du allerdings illegales tust – und davon findet sich dort einiges – ist das natürlich genauso strafbar, wie im Clearweb. Beispiele für die illegale Nutzung sind Hasskommentare, Drogenbestellungen und jegliche Form von Cyberkriminalität.

    Wie verbinde ich mich mit dem Tor-Netzwerk?

    Die Verbindung zum Darknet ist erstaunlich einfach. Lade dir den sogenannten „Tor-Browser“ von der offiziellen Website (und bitte ausschließlich von da!) herunter. Suche auf der offiziellen Website torproject.org nach dem „Download“-Button und lade den Tor-Browser für dein Betriebssystem (z.B. Windows oder macOS) herunter.