Darknet Überwachung: Wenn Hacker Ihnen unfreiwillig helfen, Ihre IT-Sicherheit zu verbessern
Wenn persönliche Informationen, interne Dokumente, Zugangsdaten oder ganze Kundenlisten im Darknet auftauchen, ist das nicht nur ein Ärgernis, das nicht mehr zu ändern ist. Es ist ein direktes Risiko für Ihr Geschäft. Denn sobald Informationen einer Organisation in dunklen Ecken des Internets zirkulieren, ist es nur eine Frage der Zeit, bis daraus handfeste Bedrohungen entstehen.
Unternehmen stehen daher vor der Herausforderung, ihre digitale Angriffsfläche nicht nur technisch zu härten, sondern auch Informationen außerhalb ihrer eigenen Systeme zu überwachen. Dark Web Monitoring oder Darknet Überwachung ermöglicht genau das – und entwickelt sich zunehmend zum unverzichtbaren Bestandteil moderner Sicherheitsstrategien.
Was ist Darknet Überwachung?
Der Bereich des Internets, den Sie über traditionelle Suchmaschinen oder Links auf Webseiten erreichen können (das „Surface Web“), umfasst nur einen sehr kleinen Teil der tatsächlich vorhandenen Webinhalte. Mehr als 90 Prozent davon liegen im „Deep Web“: Sie sind nicht ohne Weiteres sichtbar, nicht indiziert und oft durch Zugriffsbeschränkungen gesichert. Innerhalb des Deep Web liegt das „Dark Web“: diverse Netze („Darknets“), die besondere Technologien für Verschlüsselung und Anonymisierung nutzen, um die darin ablaufende Kommunikation zu schützen. Das bekannteste Darknet ist das Tor-Netzwerk, andere sind etwa das Invisible Internet Project (I2P), Hyphanet oder kleine private Peer-to-Peer-Netzwerke. In diesem Darknet tummeln sich neben legalen Angeboten wie ProPublica, Facebook oder der BBC auch jede Menge illegale, insbesondere kriminelle Marktplätze und Hackerforen.
Dark Web Monitoring ist die systematische Beobachtung und Analyse von solchen dunklen Bereichen des Internets, in denen Daten und Informationen mit Bezug zu Unternehmen und Organisationen gehandelt oder ausgetauscht werden. Spezialisierte Dienstleister durchforsten automatisiert Foren, Marktplätze, Chat-Gruppen und andere Plattformen nach bestimmten Schlüsselwörtern oder Risikoindikatoren. Ziel ist es, frühzeitig Hinweise auf potenzielle Sicherheitslücken, bereits erbeutete Informationen oder geplante Angriffe zu erhalten und rechtzeitig präventive Maßnahmen einzuleiten.
Welche Daten im Darknet auftauchen können
Organisationen müssen sensible und geschäftskritische Daten schützen – von Kundendaten und Finanzinformationen bis hin zu Betriebsgeheimnissen und Forschungsdaten. Doch im Darknet findet man eine Vielzahl solcher Daten, die meist durch Malware oder erfolgreiche Hackerangriffe auf die Organisation selbst, auf Zulieferer oder Service-Provider dorthin gelangt sind, nicht selten auch durch Insider-Leaks.
- 1. Zugangsdaten (Credentials)
- Häufig geraten gestohlene Zugangsdaten ins Darknet – für den Zugriff auf E-Mail-Konten, aber auch auf interne Systeme, Cloud-Services oder Entwicklungsplattformen wie GitHub. Cyberkriminelle verwenden sie, um unerkannt in firmeneigene Netzwerke und Dienste einzudringen. Beispiele sind „Collection #1“ aus 2019 mit mehr als 770 Millionen E-Mail-Adressen und 21 Millionen Passwörtern (später gefolgt von weiteren „Collections“) oder RockYou2024, ein Upload mit angeblich 10 Milliarden gestohlenen Credentials.
- 2. Persönliche Informationen von Mitarbeitern oder Kunden
- Dazu zählen Namen, Adressen, Telefonnummern, Sozialversicherungsnummern, Geburtsdaten etc. Die Kombinationsmöglichkeiten solcher Daten mit anderen Informationen ermöglichen eine gezielte Identitätsübernahme oder Social-Engineering-Angriffe. Kriminelle kommen auf verschiedene Weise an solche Infos – durch Betrug und Social Engineering, durch die automatisierte Suche auf öffentlich zugänglichen Websites („Scraping“) oder auch Sicherheitslücken von Plattformen – wie 2015 bei der Seitensprung-Website Ashley Madison (Daten von mehr als 2.500 Kunden inkl. Kreditkartentransaktionen) oder 2020 bei der Sex-Cam-Website CAM4 (Millionen Kundendatensätze mit sensiblen Informationen inkl. sexueller Orientierung).
- 3. Finanzdaten
- Kreditkarteninformationen, Bankverbindungen oder Buchhaltungsunterlagen können im Dark Web in großem Stil gehandelt werden. Damit lassen sich nicht nur Transaktionen durchführen, sondern auch gezielte Betrugsschemata erstellen.
- 4. Geschäftsgeheimnisse und Forschungsdaten
- Forschungs- und Entwicklungsdaten, etwa vertrauliche Projektdaten, Pläne, Patentanmeldungen oder ähnliches, können im Darknet auftauchen, wenn Mitarbeiter versehentlich Dokumente leaken, Angreifer gezielt in Netzwerke eindringen, um solche zu stehlen, oder wenn Daten veröffentlicht werden, weil Ransomware-Opfer nicht zahlen wollen.
- 5. Sourcecode
- Viele Entwickler nutzen GitHub und ähnliche Plattformen für ihre Arbeit – manchmal ohne ihre Repositories ausreichend zu schützen. Die Offenlegung von Quellcode kann nicht nur geistiges Eigentum gefährden, sondern Hackern auch Informationen über mögliche Sicherheitslücken liefern.
- 6. Interne E-Mails und Kommunikation
- Interne Korrespondenz kann organisatorische Schwachstellen oder vertrauliche Inhalte preisgeben. Auch Social-Engineering-Angriffe lassen sich damit durchführen. Hacker gelangen an solche Daten über geleakte Zugangsdaten oder kompromittierte Server.
So nutzen Hacker Informationen aus dem Darknet
Für Cyberkriminelle sind solche Daten bares Geld wert. Umfangreiche Sammlungen von Zugangsdaten nutzen sie für Angriffe auf Benutzerkonten (gezielte Wörterbuchangriffe, Password-Spraying, Credential-Stuffing). Ist erst einmal ein E-Mail-Postfach oder eine Datenbank kompromittiert, gelangen sie ohne große Hürden an zusätzliche interne Informationen. Damit können sie Angriffe genau auf die Struktur und das Sicherheitsniveau eines Opfer-Unternehmens zuschneiden.
Eine Möglichkeit ist geschicktes Social Engineering (Stichwort Spear Fishing): Personen in verantwortlichen Positionen werden etwa dazu verleitet, kritische Informationen oder Login-Daten preiszugeben, Zahlungen zu autorisieren oder Malware auszuführen. Das häufigste Ziel der Hacker sind Ransomware-Angriffe: Wichtige Daten werden erst gestohlen und dann verschlüsselt (Double Extortion), um Lösegeld zu fordern. Dank Informationen aus dem Darknet wissen die Hacker häufig genau, wo und wie sie an wertvolle Daten gelangen.
Sehr häufig werden im Darknet gepostete oder verkaufte Daten auch mehrfach von verschiedenen Bedrohungsakteuren verwendet, für Angriffe wie die eben genannten, aber auch für Kreditkartenbetrug, Identitätsdiebstahl oder für Initial-Access-Broker-Angebote.
Darknet Überwachung zeigt aktuelle Cyber-Risiken
Na gut, werden Sie vielleicht sagen, ich weiß schon, dass Daten meines Unternehmens mit hoher Sicherheit im Netz stehen und missbraucht werden können. Welchen zusätzlichen Nutzen habe ich davon, dieses Wissen durch Darknet Überwachung zu bestätigen? So oder so muss ich mein Netzwerk gründlich absichern! Diese Sichtweise greift jedoch zu kurz.
Neue Systeme, neue Benutzerkonten und täglich neue Schwachstellen – die Cyber-Angriffsfläche von Organisationen wächst kontinuierlich. Auch die Bedrohungslage ändert sich ständig, mit immer besser organisierten Akteuren und raffinierteren Angriffsmethoden. Da wird die gründliche Absicherung des Netzwerkes schnell zur Mammutaufgabe – oft fehlen zudem das nötige Personal und Know-how. Der einzige Ausweg aus diesem Dilemma ist ein systematisches Cyber-Risikomanagement, bei dem Schwachstellen und Bedrohungen permanent nach ihrem Gefährdungsgrad priorisiert werden. Und genau hier spielt Darknet Überwachung eine wichtige Rolle.
Denn um bestehende Cyber-Risiken verlässlich zu bewerten, benötigen Sie Informationen über Ihre Schwächen und über aktuelle Bedrohungen. Für beides ist Darknet Überwachung eine wichtige Quelle.
Proaktiv Angriffe verhindern
Darknet Überwachung hilft dabei, bestehende Schwachstellen zu erkennen sowie bevorstehende oder bereits laufende Cyberangriffe frühzeitig zu identifizieren. Es liefert die nötigen Detail- und Kontextinformationen für das Security-Team: Welche Daten genau sind kompromittiert? Wie aktuell? Werden sie aktiv gehandelt? Welche konkreten aktuellen Bedrohungen ergeben sich daraus? Und was passiert darüber hinaus im Cyber-Untergrund? Diskussionen über das Unternehmen, Anleitungen für Angriffe auf bestimmte Technologien, geplante Kampagnen – all das sind wertvolle Informationen für eine vorausschauende Verteidigung.
Tauchen etwa kompromittierte Zugangsdaten auf, werden die betroffenen Konten umgehend gesichert. Wird im Darknet über eine Schwachstelle diskutiert, die auch eigene Systeme betrifft, kann die IT sofort patchen oder bei Zerodays einen Workaround implementieren, ohne auf Updates der Hersteller warten zu müssen. Und wenn ein Monitoring-System Hinweise darauf entdeckt, dass das eigene Unternehmen als Ziel von Angriffen thematisiert wird (etwa Zugangsdaten verkauft oder Schwächen beschrieben werden), können Sie zielgerichtet und schnell reagieren.
Wertvolle Erkenntnisse zu Schwachstellen
Zusätzlich zur externen Bedrohungslage liefert Darknet Überwachung Ihnen wertvolle Informationen über mögliche Schwachpunkte im Unternehmen. Finden Sie im Web brisante Informationen, Dokumente oder Quellcode, die offenbar von Mitarbeitern ohne Genehmigung ins Netz gestellt wurden, können Sie das Leck ermitteln und gezielt Aufklärung und Sensibilisierung verbessern, Sicherheitsrichtlinien verschärfen oder auch Disziplinarmaßnahmen einleiten.
Manchmal zeigen Monitoring-Ergebnisse auch, dass ein Angriff bereits stattgefunden hat. Wenn etwa Zugangsdaten, Desktop-Screenshots, Cookies oder Auto-Fill-Daten aus Browsern im Netz landen, ist das ein Indikator für Infostealer-Malware. Die IT-Abteilung kann dann umgehend die betroffenen Systeme identifizieren, untersuchen und bereinigen. Tauchen nach einem Angriff brandaktuelle Leaks mit sensiblen Datensätzen auf, lässt sich der Vorfall besser analysieren und sein Schaden einschätzen – ein häufiges Problem beim Incident Response ist die Klärung, ob tatsächlich Daten entwendet wurden.
Relevanter Teil einer umfassenden Sicherheitsstrategie
Darknet Überwachung liefert einer Organisation wertvolle Einblicke in die Cyberrisiken, denen die eigenen Systeme aktuell ausgesetzt sind. Es hilft Unternehmen, frühzeitig Gefahren zu erkennen und gezielt Maßnahmen zu ergreifen. So haben Sie die Chance, Bedrohungen aktiv zuvorzukommen oder zumindest schneller und gezielter auf Vorfälle zu reagieren und damit Schäden zu minimieren.
Es ist aber wichtig, die Grenzen von Darknet Überwachung im Blick zu behalten: Hacker nutzen zunehmend auch andere Kanäle wie verschlüsselte Messenger-Dienste oder private Chat-Gruppen. Dritte haben keinen Zugriff auf diese Kanäle, sodass Angriffe unter Umständen unerkannt bleiben. Darknet Überwachung ist daher als ein wichtiger Baustein eines umfassenden Digital Risk Management-Ansatzes zu betrachten – und deshalb auch Bestandteil von CompassDRP von Outpost24, mit der Sie ein wirksames, proactives und risikobasiertes Schutzkonzept für Ihre IT-Infrastruktur realisieren können.