Licht aus dem Dunkel : Das Darknet bietet Chancen für Spione „hinter den feindlichen Linien“
Viele Bedrohungen für Unternehmen stammen aus den bewusst schwer zugänglichen Teilen des Internets – im Darknet und Deep Web werden sowohl Tools und Schwachstellen als auch entwendete Daten gehandelt sowie Erfahrungen ausgetauscht und Dienste angeboten. Wer dort auch selbst einen Einblick hat, kann sich besser verteidigen und erfolgreiche Attacken eventuell schneller aufdecken.
Dank diverser Anonymisierungsfunktionen und einer fehlenden Überwachung durch Behörden hat Cyberkriminalität in bewusst geheim gehaltenen Bereichen des Internets einen relativ sicheren Raum gefunden. Gestohlene Daten, illegale Dienstleistungen und andere gesetzeswidrige Angebote und Aktivitäten sind im Deep Web und Darknet keine Seltenheit.
(Auch) Angreifer nutzen Tor (vormals für „The Onion Router“), I2P („Invisible Internet Project“) und spezielle Darknet-Browsersoftware, um auf verborgene Foren und Marktplätze zuzugreifen. Andere fragwürdige Akteure tummeln sich im Deep Web in kennwortgeschützten oder nur über Einladungen zugänglichen Foren sowie in Gruppen auf Telegram, WhatsApp und anderen ChatPlattformen. Es gibt Studien, die davon sprechen, dass 57 % aller Tor-Websites kriminellen Aktivitäten dienen – darunter Verkauf und Verbreitung gestohlener personenbezogener und Bank-Daten, optimal abgeschotteter Hostingservices, neuer Schadsoftware und unzähliger anderer illegaler Angebote.
Diese Untergrundszene bietet Angreifern ein ideales Umfeld für die Zusammenarbeit und den Gedankenaustausch. Dort kommen, ganz ähnlich wie bei legitimen Fachmessen und Plattformen, Einzelne zusammen, um ihre Dienste und Produkte anzubieten und Feedback sowie Empfehlungen von Kunden einzuholen. Ihre Waren kann man als Lösungspaket, als Bausatz oder als Cybercrimeas-a-Service (CaaS) erwerben, was die Einstiegsschwelle für Neulinge senkt und es erfahrenen Cyberkriminellen ermöglicht, Teile ihrer Aktivitäten outzusourcen.
Ein Beispiel: Ein wenig versierter Hacker kauft im Darknet Stealer-Schadsoftware von einem renommierten Malware-Autor, dessen Angebot auch ein Benutzerhandbuch und Rund-um-die-Uhr-Support umfasst. So wird der Neueinsteiger in die Welt der Cyberkriminalität eingeweiht – er könnte den Stealer etwa einsetzen, um von einem Ziel Anmeldedaten abzugreifen, die er anschließend auf einem Marktplatz im Darknet an andere Cyberkriminelle weiterverkauft.
Den Feind kennen
Es ist zwar nicht ganz unkompliziert, ins Darknet vorzudringen, jedoch keineswegs unmöglich. Es gibt öffentlich verfügbare Tor-Suchmaschinen (z. B. Torch und Grams), deren Benutzerfreundlichkeit und Suchreichweite allerdings häufig zu wünschen übrig lassen. Darüber hinaus können viele dieser Indexer nicht auf geschlossene Foren und andere Netzwerke wie etwa I2P, Freenet und zeronet zugreifen. Manche Threat-Intelligence-Unternehmen bieten kostenpflichtige Cybersicherheitsmodule an, die im Darknet als Crawler Inhalte indizieren und suchmaschinenähnliche Features zur Verfügung stellen. Allerdings ist es bei Darknet-Foren oft erforderlich, sie aktiv zu unterwandern und auszuspähen – in der gleichen Weise, wie sich etwa ein Detektiv in der „realen“ Welt in eine kriminelle Organisation einschleusen würde.
Jedes Unternehmen muss vor einem eigenen Engagement in den weniger zugänglichen Teilen des Internets zunächst entscheiden, ob es bereit ist, die Risiken einzugehen, die derartige Recherchen zwangsläufig mit sich bringen: Es lässt sich immerhin nicht ausschließen, dass man sich ungewollt mit Schadsoftware infiziert oder böswilligen Akteuren aussetzt. Daher ist es entscheidend, mit entsprechenden operativen Sicherheitsmaßnahmen sowie den Risiken solcher Aktivitäten umfassend vertraut zu sein. Nicht selten ist es für Unternehmen sinnvoller und umsichtiger, spezielle Threat-Intelligence-Experten zu beauftragen, die über die entsprechende Erfahrung und professionelle Kompetenz verfügen.
Undercover
Generell lässt sich die Recherche im Darknet mit einer Party vergleichen, von der man nur weiß, dass, aber nicht wo sie stattfindet – es erfordert viel Einsatz, Gespür und ein vollständiges Eintauchen in die Szene, um die Action zu finden. Die kriminelle Unterwelt ist ein Labyrinth von Tor-Websites, abgeschotteten Chat-Gruppen und Cybercrime-Plattformen, die nur mit Einladung zugänglich sind. Bisweilen erfordert der Zugang zu einem Forum den Nachweis technischer Kenntnisse oder die aktive Teilnahme an einer Community von Cyberkriminellen. In anderen Fällen wird eine Einladung oder Empfehlung von einem vertrauenswürdigen Kontakt verlangt – in solchen Foren sind hochwertige Anmeldedaten statt im offenen Verkauf nur über persönliche Beziehungen und private Nachrichten erhältlich.
Sicherheits-Analysten müssen darüber hinaus in der Lage sein, das unvermeidliche Hintergrundrauschen im Darknet herauszufiltern, um die relevanten Bedrohungen zu erkennen. Die Behauptungen von Cyberkriminellen in Darknet-Foren können zuweilen äußerst beunruhigend sein. Allerdings gilt dort genau wie im offenen Internet: Nicht alles, was man liest, muss man auch glauben! Um die Glaubwürdigkeit eines Angreifers oder einer spezifischen Bedrohung zu beurteilen, müssen etwa der Ruf der Beteiligten, ihre bisherige Historie im Darknet und viele andere Faktoren berücksichtigt werden.
All diese Untersuchungen haben natürlich auch Grenzen: Unternehmen müssen sich damit abfinden, dass schlichtweg nicht alle böswilligen Aktivitäten sichtbar sind. Es gibt immer „noch ein Forum“, auf das man keinen Zugriff hat, noch einen (mglw. neuen) Kreditkartenverkäufer, einen gesicherten Telegram-Kanal, an den man nicht herankommt – oder schlichtweg Einzelkämpfer, die in völliger Isolation arbeiten. Experten für Informationssicherheit müssen die Bereiche überwachen, die sie sehen können – und sich auf alles andere so gut wie möglich vorbereiten.
Tiefe Einblicke
Unternehmen können sich aber durch die Überwachung von Websites und Foren im Darknet durchaus einen Vorteil verschaffen – quasi mit einem Spion hinter den feindlichen Linien. Ganz praktisch bedeutet das Einblicke in Bereiche des Internets, die bewusst geheim gehalten werden.
Ein gutes Beispiel wäre ein Finanzdienstleister, der über einen Crawler ständig die Kommunikation im Darknet im Blick hat: Der Crawler meldet Erwähnungen des Firmennamens, was ein mögliches Anzeichen für einen Diebstahl vertraulicher Informationen oder auch ein Hinweis auf die Entwicklung oder den Handel mit spezialisierter Schadsoftware sein könnte, die auf den konkreten Anbieter oder die ganze Branche zielt.
Solche und ähnliche Einblicke können Sicherheitsteams helfen, gezielte Cyberangriffe frühzeitig zu erkennen, ihre eigene Angriffsfläche zu verkleinern und sich mithilfe von Präventionsmaßnahmen zu schützen.
Es empfiehlt sich, bei der Überwachung des Darknets bevorzugt auf solche Daten zu achten, die mit dem eigenen Unternehmen direkt in Verbindung stehen – zum Beispiel gestohlene eigene Anmeldedaten, die in Marktplätzen, Foren und Accountshops gehandelt werden. Je früher man sie entdeckt, desto besser. Durch die aktive Überwachung des Darknets und das frühzeitige Auffinden entwendeter Daten lassen sich Risiken und Auswirkungen von Angriffen deutlich reduzieren.
Spezifischer Fokus
Zusätzlich empfiehlt sich eine kontinuierliche Suche anhand definierter Suchbegriffe nach Dokumenten oder personenbezogenen Informationen, die gestohlen oder auch unabsichtlich offengelegt wurden.
Wenn beispielsweise vertrauliche Firmendokumente über mangelhaft gesicherte Filesharingdienste geteilt werden und ins Darknet gelangen, können dadurch wesentlich mehr Parteien betroffen sein als nur die Eigentümer der Dokumente. Strenge Datenschutzgesetze wie die EU-Datenschutzgrundverordnung (DSGVO) können im Fall von Datenlecks ernsthafte Folgen für die Bilanz und den Ruf eines Unternehmens haben. Kann man jedoch bei einem entsprechenden Problem robuste Sicherheitsmaßnahmen nachweisen, verringern sich Haftbarkeit und damit möglicherweise einhergehende Bußgelder erheblich.
Unternehmen sollten im Darknet zudem nach Exploit-Kits, Schadsoftware, Angreifern und Angriffstechniken Ausschau halten, die allgemein auf die eigene Branche abzielen. Durch verbesserte Transparenz und die Erfassung relevanter, verwertbarer Informationen aus Quellen im Darknet können Sicherheitsteams ihre eigenen Konzepte an den richtigen Stellen verstärken und geeignete Abwehrmaßnahmen implementieren, noch bevor die Angreifer zuschlagen.
Ein Netzwerk von Crawlern und Sensoren kann, wie bereits angemerkt, melden, wenn eigene Daten und Credentials extrahiert und im Darknet auf Untergrund-Marktplätzen von Cyberkriminellen gehandelt werden. Wer weiß, was gestohlen wurde, kann den Schaden minimieren. IT-Sicherheitsteams sind dann oft in der Lage, die Ursache des ursprünglichen Angriffs oder Lecks zu finden und eventuelle Schwachstellen zu patchen, um weitere Angriffe über denselben Vektor zu verhindern.
Verschleierungstaktiken – wie etwa das absichtliche Einfügen von falschen Einträgen in authentische Datensätze – können für die Verfolgung von Datenflüssen im Darknet nützlich sein. Verwertbare Schlüsse lassen sich jedoch nur dann ziehen, wenn man die Ergebnisse auch effektiv überwachen und analysieren kann. Zudem gibt es hier einen wesentlichen Vorbehalt: Obwohl solche Erkenntnisse nützlich sind, werden bei den meisten Angriffen gleich sehr viele Daten auf einmal entwendet und dann in Blöcken verkauft. Selbst wenn also gefälschte Dateneinträge enthalten sind, fallen Cyberkriminellen auch zahlreiche echte Datensätze in die Hände.
Erstellt ein Unternehmen aber beispielsweise eine Honeypot-Umgebung, die Angreifer glauben lässt, ein valides Ziel zu attackieren, lassen sich Techniken und Verhalten von Angreifern analysieren, ohne dass eine echte Gefahr entsteht. So könnte man möglicherweise auch nachvollziehen, was zum Beispiel letztlich mit gestohlenen Anmeldedaten geschieht.
Fazit
Trotz der zahlreichen verfügbaren Methoden und Tools stellt sich die Frage, ob es wirklich möglich ist, Kriminalität im Darknet wirksam zu bekämpfen – oder ob es am Ende nur bei dem Versuch bleiben kann, das Übergreifen illegaler Aktivitäten auf den öffentlichen Bereich möglichst zu verhindern.
Am besten lässt sich Cyberkriminalität eindämmen, wenn man sich am Vorgehen der Kriminellen orientiert: Wenn Angreifer Communities einrichten, um Informationen und Strategien auszutauschen, dann braucht es auch Communities, um die Abwehr gemeinsam anzugehen. 2018 hat beispielsweise Europol ein dediziertes Team gegründet, „um nachhaltige Lösungen zu finden und mit einer gemeinsamen koordinierten Strategie Kriminalität im Darknet zu bekämpfen“.
Wahre Threat-Intelligence umfasst die Verfolgung von Angreifern, den Austausch von Informationen über Schwachstellen oder die Verbreitung von Schadsoftware und sollte am Ende auch eine bessere Zusammenarbeit zwischen Organisationen in der Privatwirtschaft und den Vollzugsbehörden ermöglichen. Denn letztendlich sitzen wir alle in demselben Boot.
Liv Rowley ist Cyber-Threat-Intelligence-Analyst bei Blueliv.