Digitale Risiken im Blick: Dark Web Monitoring für Unternehmen

Gastbeitrag Für die große Mehrheit der Internetnutzer ist das Dark Web ein Buch mit sieben Siegeln. Der Bereich ist nur über eine spezielle Browsersoftware wie Tor oder I2P zugänglich und wird in erster Linie mit Cyberkriminalität gleichgesetzt.

Die Rede ist von einem Eisberg, bei dem nur die Spitze über der Wasseroberfläche zu sehen ist, während der weitaus größere und bedrohlichere Teil in unbekannten Tiefen lauert. So anschaulich dieses Bild auch ist, der Realität entspricht es nicht ganz. Denn das Dark Web macht nur einen vergleichsmäßig kleinen Teil der cyberkriminellen Welt aus. Betrug, cyberkriminelle Aktivitäten und Hacker-Gruppen finden sich ebenso im offenen Netz. Gleichzeitig ist nicht alles was im sogenannten Dark Web stattfindet, automatisch auch kriminell.

Für das Monitoring von digitalen Risiken bedeutet das: Wer sich ein realistisches Bild der Bedrohungslandschaft machen will, muss unterschiedliche Datenquellen im Blick behalten.

Aufbau von Dark Web Monitoring-Fähigkeiten

Wie funktioniert das? Tatsächlich gibt es nur wenige Monitoring Tools, die eine breite und umfassende Abdeckung leisten. Viele Lösungen nehmen nur eine oberflächliche Prüfung der Seiten vor (Scraping) oder liefern ungefiltert eine Unmenge an Informationen ohne echten Mehrwert für die IT-Sicherheit. Dass sich das kriminelle Ecosystem kontinuierlich verändert, macht die effektive Beobachtung der Quellen nicht einfacher. Erfahrung, Fingerspitzengefühl und ein umfassendes Wissen der Bedrohungslandschaft ist dabei genauso wichtig wie die passende Technologie zur Datenerfassung und Auswertung.

• Abdeckung von Quellen: Neben relevanten Tor- und I2P-Seiten müssen auch Paste Sites, Messaging-Dienste, Telegram-Kanäle und Chats, Social Media, Mobile App Stores, File Hosting und Sharing Sites, Cloud Storage Services und FTP Server untersucht werden – Quellen, die also auch außerhalb des Dark Webs zu finden sind. Es gibt unterschiedliche Tools, um sich einen ersten Überblick zu verschaffen. OnionScan zum Beispiel unterstützt Sicherheitsexperten und staatliche Ermittler dabei, Seiten im Dark Web zu identifizieren und zu tracken. Über das Monitoring Tool SearchLight können Anwender sich per Suchmaschine durch das Open, Deep und Dark Web bewegen.
• Automatisiertes Filtern und Priorisieren: Genauso wichtig wie der Zugang zu Quellen, ist es, nicht relevante Quellen zu eliminieren, und Ergebnisse, die keine unmittelbare Bedrohung für das eigene Unternehmen oder die Branche darstellen, herauszufiltern. Welche Quellen tatsächlich überwacht werden sollen, hängt vom unternehmensinternen „Threat Modell“ oder Suchprofil ab. Die für das eigene Unternehmen kritischen Assets werden bestimmt und in einer Art Katalog zusammengefasst. Einmal definiert, können automatisierte Lösungen proaktiv nach Marken- und Produktnamen, Zugangsdaten, Fake Apps und Spoof-Webseiten, unsicheren SSL-Zertifikate, Vulnerabilities, vertraulichen Dokumenten oder unternehmenskritischen Servern suchen. Zum Einsatz kommen dabei unterschiedliche Datenerfassungstechniken. Neu entstandene Seiten lassen sich beispielsweise über Crawling und Spidering identifizieren, um anschließend mit Hilfe von Datenanalytik untersucht zu werden. Mit klaren Zielvorgaben können Unternehmen so relevante Risiken ausmachen, ehe diese zu echten Bedrohungen werden.
• Kontext durch erfahrenes Analystenteam: Ein hoher Automatisierungsgrad und intelligente Suchalgorithmen übernehmen die Schwerstarbeit. Um die automatisch ermittelten Hinweise in einen Kontext zu rücken und weiter zu filtern, braucht es jedoch das spezielle Know-how von Experten. Es kostet Zeit und Geld geschlossene Gruppen und Plattformen zu infiltrieren und mit Akteuren in Kontakt zu treten. Einige Webseiten fragen sogar gezielt vermeintliches Fachwissen im Bereich IP oder Whitelisting/Blacklisting ab, ehe sie Besucher zulassen. Auch ist nicht jedes Angebot echt oder jeder angekündigte Hackerangriff ernst zu nehmen. Spezial-Team für schwer zugängliche Foren entwickeln daher Personas und treten den Foren verdeckt zur weiteren Recherche bei.

Drei Monitoring-Schwerpunkte

Generell empfiehlt es sich für Unternehmen drei zentrale Bereiche beim Dark web Monitoring in den Fokus zu nehmen.

#1 Bedrohungen ausmachen

Wer hat es auf mein Unternehmen, die eigene Marke, den CEO oder Aufsichtsrat abgesehen? Was und wer steckt hinter dem Forum, auf dem der Anbieter aktiv ist? Wie ist seine Reputation im Dark Web? Wie wickelt er Geschäfte ab und wo liegt sein Fokus? Und was ist seine bevorzugte Taktik? Solche Daten zu erfassen und zu tracken hilft, Bedrohungsakteure in einen Kontext zu setzen. Das gleiche gilt auch für sogenannte „Insider“, die auf Foren und Marktplätzen mit sensiblen und wertvollen Daten handeln. Auch Tools oder neue Malware-Varianten sowie aktuelle Vorfälle zu beobachten kann einen echten Wissensvorsprung darstellen. Die kontinuierliche Auswertung dieser Daten ermöglicht einen Überblick der eingesetzten Tools, den Taktiken, Techniken, Prozessen (TTPs) sowie den Angreifern und ihren Motiven. Der Informationsgewinn lässt sich wiederum für die Sicherheitsstrategie im Unternehmen nutzen.

#2 Geleakte Login-Daten identifizieren

Geleakte oder gestohlenen Daten stellen ein immenses Risiko dar, dem sich viele Organisationen nicht einmal bewusst sind. Noch immer nutzen viele Nutzer dieselben Passwörter zur Anmeldung auf unterschiedlichen Plattformen. Credential Stuffing macht sich diese wiederkehrenden Login-Daten zu Nutze und verschafft Cyberkriminellen Zugriff auf Webseiten und sensible Daten. Verkauft werden die Logindaten meist im Paket unter anderem auf Foren und Markplätzen im Dark Web. Wer glaubt von diesem Handel nicht betroffen zu sein, hat mit großer Wahrscheinlichkeit noch nicht danach gesucht. Im letzten Jahr spürte Digital Shadows mehr als 14 Milliarden. solcher exponierter Login-Daten im Netz auf.

Es stehen jedoch nicht nur Zugangsdaten zum Verkauf. Käufer erhalten neben Fingerabdrücken auch Cookies, Protokoll-Logs, gespeicherte Passwörter und andere personenbezogene Informationen, um Nutzer zu imitieren und Sicherheitsvorkehrungen zu umgehen.

#3 Betrug aufspüren

Der Kauf von Login-Daten dient meist einem Zweck: Betrug. Das kann der Handel mit Kreditkartendaten, gefälschten Markenartikeln oder die Verwendung für Phishing-Kampagnen sein. Phishing-Kits sehen den Original-Webseiten täuschend ähnlich und können bestimmte IP-Adressen bekannter Sicherheitsunternehmen blockieren – so dass Sicherheitswarnungen gar nicht erst ankommen. Eine Betrugsmasche kann sich auch mit der Zeit ändern und anpassen. Der bekannte Telegram-Markplatz „OL1MP“ nutzt einen Bot, um die Suche nach bestimmten Informationen wie Urlaubsangeboten, Hotels, Taxis, Führerscheinen und Dokumenten zu automatisieren. OL1MP nutzt die Privatsphäre und die Verschlüsselung des Telegram-Chats, ist aber ein automatisierter Marktplatz, auf dem Käufer ganz ohne Betrugsrisiko mit einem seriösen Händler chatten können. Betrügerische Webseiten, Produkte oder Aktivitäten frühzeitig zu identifizieren – ob im Dark oder Open Web – kann daher wesentlich zu besseren Sicherheitspraktiken beitragen.

Die Aufgabe, das Dark Web zu überwachen, kann für Unternehmen auf den ersten Blick einschüchternd wirken. Das wachsende Angebot an Threat Intelligence als Managed Service und smarten Monitoring Tools ermöglicht es Unternehmen, hier deutlich aktiver zu werden. Die Frage, ob sich die Investition in Dark Web Monitoring-Fähigkeiten lohnt, lässt sich mit einem Blick auf Datenschutzverletzungen und den täglich neuen Listen zu Malware und Exploits schnell beantworten. Wer seine digitalen Risiken im Auge behält, kann Vorgaben zuverlässig einhalten, seine Mitarbeiter und Kunden besser schützen und so finanziellem Schaden abwenden und die Unternehmensreputation wahren.


ANZEIGE
Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Jetzt registrieren und Aufzeichnung ansehen.