Im Dunkeln fischen : Die Tiefen des Darknets bergen auch Ansätze für eine umfassende Informationssicherheit durch „Früherkennung“ kompromittierter Informationen
Der Modebegriff „Darknet“ wird regelmäßig mit der Häufung krimineller Aktivitäten in Verbindung gebracht. Doch wie lässt sich in Erfahrung bringen, ob Informationen der eigenen Organisationen im Darknet aufzufinden sind? Mit dem entsprechenden Hintergrundwissen können bekannte und dem Stand der Technik entsprechende präventive Maßnahmen das Risiko verringern, dass eigene Daten dort in falsche Hände gelangen.
Die Begrifflichkeiten Darknet, Dark Web und Deep Web werden häufig genutzt, um bestimmte Teile vom „normalen“ Internet (Clear Web) abzugrenzen – ihre Definitionen gehen dabei fließend ineinander über. Oft dient ein Eisberg zur Visualisierung, der darstellen soll, dass das Darknet noch deutlich größer wäre als das Clear Web (vgl. Abb. 1) – wirklich bestätigen oder widerlegen lässt sich das jedoch nicht so einfach, denn beides wächst stetig weiter und viele Inhalte im Darknet verstecken sich nicht nur hinter generierten .onion-Adressen, sondern zusätzlich hinter Login-Masken und Paywalls.
Der sichtbare Teil des Eisbergs über der Wasseroberfläche repräsentiert dabei das sogenannte „Clear Web“ – vereinfacht gesagt „das Internet“, wie es heute die meisten Menschen kennen. Direkt unter der Wasseroberfläche liegt das „Deep Web“: Inhalte, die nicht im Suchmaschinenindex (bei Google, Bing, DuckDuckGo & Co.) landen. Hier findet man bereits Underground-Hacking- Foren, aber genauso etwa auch eine Universitätsbibliothek, bei der zunächst ein Login erforderlich ist, um auf die neusten wissenschaftlichen Veröffentlichungen zugreifen zu dürfen.
Deutlich tiefer liegt das eigentliche „Darknet“: Um auf diesen geschützten Teil des Internets zugreifen zu können, braucht man spezielle Zugangssoftware. Durch diese zusätzliche Hürde ist dann häufig die Rede von „Hidden Services“ (versteckten Diensten), die gelegentlich auch in Anlehnung an die Top-Level-Domain des Tor-Netzwerks (vgl. [1]) als „Onion-Services“ bezeichnet werden.
Streng nach dieser Definition gibt es nicht nur ein Darknet: Beispielsweise existiert auch das „Freenet Project“, genauso wie es denkbar wäre, dass sich ehemalige Studienfreunde ihre eigene Zugangssoftware programmiert haben, um auf ihren ganz privaten Teil des Internets zugreifen zu können. Weit verbreitet und bekannt ist allerdings das „Tor Project“ (www.torproject.org), das daher umgangssprachlich heute oft auch als „das Darknet“ bezeichnet wird, beispielsweise in diversen Medienberichten.
Eine nennenswerte Unterscheidung gibt es jedoch noch: zwischen dem Darknet und dem „Dark Web“. Im deutschen Sprachgebrauch stößt man eher auf „Darknet“, während international der Begriff „Dark Web“ sträker dominiert. Tatsächlich sind das jedoch keine Synonyme: Das „Dark Web“ ist eigentlich nur ein Teil des Darknets – nämlich der, in dem sich alle Web-Inhalte verbergen, die über einen mit Tor-Proxy konfigurierten Webbrowser aufrufbar sind. Das „Darknet“ ist hingegen weiter gefasst und bezeichnet jegliche (beispielsweise TCP-basierten) Dienste, die über das Tor-Netzwerk zugänglich sein sollen – es lässt sich also auch für SSH Verbindungen, Remotedesktop, VNC und weitere Dienste nutzen.
Übrigens ist das Darknet auch ein Weg, um Network-Address-Translation (NAT) und sogar Carrier-Grade-NAT (CGNAT) zu umgehen und sein Netzwerk trotzdem von außerhalb erreichen zu können: Sollte ein Internetprovider keine öffentliche IP-Adresse mehr bereitstellen können (oder wollen), besteht mit entsprechender Konfiguration über das Darknet weiterhin die Möglichkeit, einen externen Zugriff auf die eigene Netzinfrastruktur zu realisieren. Um dies zu unterbinden, verhindern Institutionen häufig aus präventiven Erwägungen oder einer individuellen Risikoeinschätzung heraus den Zugriff aus dem Tor-Netzwerk.
Geschäftsmodelle im Darknet
In Teilen wird das Darknet durchaus für gute Zwecke genutzt: etwa die unbehinderte Arbeit von Journalisten* oder den Zugang zu unabhängigen Nachrichtenportalen aus Ländern mit beschränktem Zugang zum Internet. Andererseits findet man dort aber auch viele illegale Inhalte (vgl. etwa [2]). Was häufig als Erstes mit dem Darknet in Verbindung gebracht wird, sind gestohlene Kreditkartendaten. Diese sind dort auch tatsächlich käuflich zu erwerben – häufig mit einer Anleitung, wie diese noch Verwendung finden können, ohne an der Multi-Faktor-Verifikation der Finanzinstitute zu scheitern.
Deutlich bedrohlicher sind jedoch für Institutionen der Verkauf oder die Veröffentlichung ihrer internen Daten im Darknet: Das reicht von Personalausweiskopien und Zeugnissen aus Bewerbungsverfahren über allgemeinen Schriftverkehr bis hin zu geheimen Konstruktionsplänen – im Grundsatz alles, was jemals elektronisch verarbeitet, gespeichert oder archiviert wurde. Häufig stammen diese Daten aus Ransomware-Angriffen, erfolgreichen Phishing-Versuchen oder der Ausnutzung technischer Schwachstellen. Dahinter steckt jedoch in den wenigsten Fällen ein Einzeltäter, sondern in der Regel hochgradig arbeitsteilig organisierte Cyberkriminalität – hierbei handelt es sich um wirtschaftlich arbeitende Strukturen mit klarem Business-Case.
Veranschaulichen lässt sich das wie in einem Organigramm eines mittelständischen Dienstleisters: Es gibt einen oder mehrere Geschäftsführer (das „Ransomware-Kern-Team“), die für die Organisation zuständig sind – darunter gibt es verschiedene Abteilungen. Nichtskalierbare Dienstleistungen und Tätigkeiten werden sogar im Rahmen von Outsourcing an Dritte weitergegeben.
Zu den üblichen „Abteilungen“ zählen beispielsweise Entwicklung, Geldwäsche oder Kundenservice: Wenn eine Institution – entgegen allen Empfehlungen – bereit ist, ein Lösegeld zu bezahlen, möchte sie häufig über die Höhe des Lösegelds verhandeln oder braucht vielleicht Tipps, wie sie schnell an große Mengen Bitcoins kommt. Hierzu gibt es heute tatsächlich Beratung.
Dann gibt es noch die sogenannten Affiliates, also externe Cyberkriminelle (Outsourcing), die sich an der bestehenden Infrastruktur bedienen. Die Ransomware-Kern-Teams werben in verschiedenen Cybercrime-Foren für Affiliates, indem sie sich gegenseitig mit ihren Konditionen überbieten oder etwa eine besonders schnelle und unentdeckte Verschlüsselung anpreisen. Kommt es zum Deal zwischen Affiliate und Ransomware Kern-Team, gelten in der Regel Konditionen wie die Aufteilung 80/20 bei Zahlung des Lösegelds des Opfers. Den größeren Anteil bekommt dabei der Affiliate, also der Externe, der die Schadsoftware beim Opfer einbringt.
Affiliates bedienen sich bei ihren Tätigkeiten wiederum häufig an bereits kompromittierten Zugängen zu Unternehmensnetzwerken. Solche Zugänge stammen entweder direkt von Mitarbeitern einer betroffenen Organisation oder wurden bei externen Dienstleistern oder Lieferanten gestohlen. Die Zugangsdaten werden dann auf Darknet-Plattformen oder in Telegram-Kanälen durch sogenannte „Initial-Access-Broker“ zum Kauf angeboten.
Der Name solcher Marktplätze, Foren oder anderen Plattformen, auf denen Zugangsdaten zu Online-Accounts zum Kauf angeboten werden, leitet sich davon ab, dass solche Accounts oft als erstmaliger („initialer“) Zugang beispielsweise zu einem Unternehmensnetzwerk dienen – anschließend breiten sich die Kriminellen weiter im Netzwerk aus (Lateral Movement). Cyberkriminelle interessieren sich dabei nicht nur für Unternehmens-Accounts, sondern kaufen und verkaufen dort auch häufig Accounts zu Online-Gaming-Diensten wie Steam, wodurch sie dann Zugriff auf digitale Kopien von Videospielen erhalten.
Der Ursprung dieser Zugangsdaten erfolgt häufig über Phishing oder Schadsoftware-Infektionen mit „Infostealern“: Solche Malware prüft nach erfolgreicher Computer- oder Smartphone-Infektion einige gängige Verzeichnisse auf dem infizierten Gerät. Nutzt das Opfer
etwa einen unsicheren Passwort-Manager oder speichert seine Passwörter im Webbrowser, liegen diese häufig unzureichend verschlüsselt immer an den gleichen Stellen auf dem System. Um gespeicherte Passwörter, Cookies und den Browserverlauf gängiger Webbrowser auszulesen, finden sich auch im Clear Web auf der Codesharing-Plattform GitHub, öffentlich zugänglich, mehrere Proof-of-Concept-(PoC)-Codebeispiele, die gespeicherte Passwörter extrahieren können.
Daten aus einer Infektion mit Infostealer-Schadsoftware werden häufig als ZIP-Archive im Darknet oder in Telegram-Gruppen zum Kauf angeboten. Enthalten sind in der Regel umfangreiche Informationen über den infizierten Computer (Standort, IP-Adresse, Anzahl CPU-Kerne, verfügbares RAM etc.) sowie gespeicherte Passwörter, Cookies und der Verlauf installierter Webbrowser (vgl. Abb. 2).
Analyse-Ansätze im Darknet
Die Plattformen im Darknet und in Chatgruppen zu finden, in denen solche Daten zum Kauf angeboten werden, ist vergleichsweise einfach – wenige Stunden Internetrecherche sollten für einen ersten Überblick ausreichen. Ein Teil des Darknets ist leicht zugänglich und kann auch durch gut geschulte Mitarbeiter regelmäßig manuell durchsucht werden.
Deutlich schwieriger ist es jedoch, Zugang zu teilweise geschlossenen Foren, Chats und Marktplätzen zu erhalten – Kriminelle möchten schließlich nicht, dass Strafverfolger sich einfach Einblicke in diese Gemeinschaft verschaff en können. Außerdem sollten bei einer eigenen Recherche in diesem Umfeld umfangreiche rechtliche Kenntnisse vorhanden sein, denn ein Klick zu viel kann bereits dazu führen, dass man sich strafbar macht. Datenhehlerei ist dabei nur ein zu berücksichtigendes Thema.
Mittlerweile gibt es auch verschiedene kommerzielle Anbieter, die einen „Darknet-Scan“ anbieten. Ein Vergleich lohnt sich hierbei, denn der Umfang variiert erheblich: Einen vollständigen Scan des gesamten Darknets (inkl. aller Webseiten mit vorgeschaltetem Login) kann kein seriöser Anbieter präsentieren.
Manche Anbieter verstehen unter einem Darknet-Scan allerdings auch nur eine Recherche öffentlich bekannt gewordenen Leaks, wie es beispielsweise auch kostenlos via HaveIBeenPwned (https://haveibeenpwned.com) oder mittels Leak-Checker aus dem akademischen Umfeld möglich ist (z. B. https://leakchecker.uni-bonn.de oder https://sec.hpi.de/ilc/ – siehe auch [3]). Angebote von Initial-Access-Brokern und weiteren Foren sowie Marktplätzen im Darknet sind darin nicht enthalten. Den Umfang der Leistung vor Auswahl eines Anbieters zu ergründen, ist also obligatorisch.
Wirksame Darknet-Scans analysieren aktuelle Datenlecks aus Darknet-Foren, -Marktplätzen (Initial-Access-Brokern) und Chatgruppen. Mit solchen Scans konnten durch die Autoren in diversen Fällen gestohlene Zugangsdaten zu verschiedenartigen Institutionen entdeckt werden, die teilweise sogar von deren eigenen Mitarbeitern entwendet wurden.
Teils lassen sich als Ursprung solcher Zugangsdaten auch IT-Dienstleister (bzw. unzureichende Schutzmechanismen) ermitteln, die etwa im Rahmen der Leistungserbringung einen Management-Zugang zur Firewall einer Institution erhalten haben. Solche Daten sind für Cyberkriminelle naturgemäß besonders interessant, denn häufig haben Accounts für IT-Dienstleister weitreichende Rechte.
Durch ein frühes Aufdecken von Verkaufsangeboten im Darknet ist es oft möglich, noch rechtzeitig Maßnahmen zu ergreifen – etwa Passwörter oder Online-Sitzungen der betroffenen Accounts zurückzusetzen oder derartige Accounts zu deaktivieren.
Prävention, Detektion und Reaktion
Um sich vor Bedrohungen aus dem Darknet und den dort üblichen Geschäftsgebaren zu schützen, sind umfangreiche präventive Maßnahmen erforderlich. Institutionen mit einem definierten IT-Budget sollten dies so einsetzen, dass gleichverteilte Ressourcen für Prävention, Detektion und Reaktion zur Verfügung stehen.
Präventive Maßnahmen bauen auf den Grundsätzen gängiger Standards wie dem BSI IT-Grundschutz auf – in der Umsetzung sind technische Systeme gemäß Stand der Technik zu sichern, aber auch Mitarbeiter zu schulen und zu sensibilisieren. Detektion lässt sich zum Beispiel durch geeignete Endpoint-Detection-Lösungen (EDR) umsetzen und bemerkt idealerweise Anomalien auf einem Endgerät (Server, Laptop, Handy) rechtzeitig, um diese zu unterbinden. Für reaktive Maßnahmen, die nach einem erfolgreichen Angriff greifen, sind hingegen Analysten, Forensiker und Incident-Responder mit umfangreichem Fachwissen erforderlich, die Angriffe eindämmen und den Ursprungszustand wiederherstellen können.
Darknet-Scans zählen zu den präventiven und detektierenden Maßnahmen und sollten heute für Institutionen mit einer hohen Repräsentanz nach außen obligatorisch sein. Dies betrifft üblicherweise die öffentliche Verwaltung, Institutionen aus dem Gesundheits-und Finanzsektor sowie weitere kritische Infrastrukturen (KRITIS). Ausgehend von der NIS-2-Directive sind auch Dienstleister im Rahmen der Lieferkettenverpflichtung unbedingt mit in Sicherheitsstrategie und -konzept einzubinden, um zu verhindern, dass Angriffsvektoren an unzureichend geschützten Punkten wirken können. Ungeachtet der jeweils geltenden Regulatorik obliegt es jeder Institution, sich Risiken über ihre gesamten Geschäftsprozesse hinweg bewusst zu machen und möglichen Angriffsvektoren frühzeitig präventiv entgegenzuwirken.
Grundlage der Geschäftsmodelle im Darknet sind im Übrigen regelmäßig erfolgreiche Angriffe im „Clear Web“ – nur dadurch wird die dortige kriminelle Dienstleistungsindustrie aufrechterhalten und entwickeln sich die dargestellten Vertriebsmodelle. Um nicht unfreiwillig zum Teil dieser Industrie zu werden, ist es erforderlich, sich mit den entsprechenden Risiken zu beschäftigen und daraus frühzeitig präventive Maßnahmen abzuleiten. Dazu zählt heute auch die Überprüfung, ob eigene Nutzerdaten im Darknet verfügbar sind!
Dipl.-Ing. Philipp Frenzel verantwortet die Geschäftsfeldentwicklung für Cybersecurity für den öffentlichen Sektor bei der Bechtle Systemhaus Holding AG und hat einen Lehrauftrag an der Westsächsischen Hochschule Zwickau inne. M. Sc. Merlin Stottmeister arbeitet als Consultant IT-Security bei Bechtle und unterstützt Institutionen dabei, Einblicke in das „Darknet“ zu erhalten.
Literatur
[1] Steff en Hitzemann, Ach wie gut, dass niemand weiß …, Web-Services im TOR-Netzwerk, <kes> 2007#6, S. 78, http://2014.kes.info/archiv/heft/abonnent/07-6/07-6-078.htm
[2] Liv Rowley, Licht aus dem Dunkel, Das Darknet bietet Chancen für Spione „hinter den feindlichen Linien“, <kes> 2019#2, S. 6, www.kes-informationssicherheit.de/print/titelthema-sicherheits-kultur-aufbau-pflege-nutzentitelthema/licht-aus-dem-dunkel/ (<kes>+)
[3] Timo Malderle, Michael Meier, Matthias Wübbeling, Riskanter Multi-Pass, Die unterschätzte Problematik der Passwort Mehrfachverwendung und was man gegen den Missbrauch gestohlener Zugangsdaten tun kann, <kes> 2021#3, S. 28, www.kes-informationssicherheit.de/print/titelthema-aus-weiterbildung-fuerdie-cyber-security/riskanter-multi-pass/ (<kes>+)