Mehr und mehr Unternehmen durchforsten inzwischen regelmäßig Darknets auf der Suche nach Hinweisen auf die eigenen Unternehmensdaten - und/oder die ihrer Kunden. Und das aus gutem Grund.
Die eigenen Daten als Darknet Download
Anfang Juli sorgt ein Fall von Datendiebstahl in Australien für Schlagzeilen. Wie "The Guardian" berichtet, wurden auf einer Darknet-Plattform Identifikationsnummern des australischen KrankversicherungssystemsMedicare zum Kauf angeboten. Ein Datensatz sollte rund 30 Dollar kosten. Ein Journalist des Blattes war auf das Angebot eingegangen und hatte so seine eigenen Daten über das Darknet erworben. Der Name des illegalen Services: "Medicare Machine".
Für den zuständigen Minister Alan Tudge war der Vorfall ein Resultat "traditioneller krimineller Aktivitäten" und nicht das eines Hacks. Das impliziert wiederum, dass auf die Daten über ein legitimiertes Nutzerkonto zugegriffen wurde. Die Regierung Australiens hat inzwischen eine Re-Evaluierung des Health Professionals Online Services (HPOS)-Systems angestoßen, das man als potenzielle Quelle für das Datenleck ausgemacht hat. Die Erkenntnisse über "Medicare Machine" wurden an die australische Bundespolizei übergeben. Für die Regierung war der von der Presse entlarvte Darknet-Service ein erster Hinweis darauf, dass ein Innentäter die Daten australischer Bürger stiehlt und ins Netz stellt.
Die Bedrohung durch Inside Jobswird oft auch als Achillesferse derIT-Sicherheit im Unternehmensumfeld gesehen. Und die steigende Popularität von Crimeware-as-a-Service-Angeboten und illegalen Marktplätzen im Darknet macht es Mitarbeitern mit bösen Absichten so leicht wie nie zuvor, zum Innentäter zu werden, um daraus finanzielle Vorteile zu ziehen. Deswegen sind viele Unternehmen inzwischen dazu übergegangen, die Darknet-Angebote und -Marktplätze regelmäßig auf Hinweise zu überprüfen, ob sie selbst betroffen sind.
Darknet-Seiten mit variierendem Risikolevel
James Nunn Price, Cyber Risk Leader bei Deloitte für die Region Asien-Pazifik, erinnert sich an einen Vorfall bei einem der größten Kunden der Unternehmensberatung - einem europäischen Energieversorger: "Wir übernahmen das Monitoring für den Kunden und mussten feststellen, dass einer ihrer Systemadministratoren seine Remote-Access-Zugangsdaten auf einem Marktplatz im Darkweb zum Kauf angeboten hatte.
Sein Ziel war es, die Systeme des Unternehmens durch Angreifer zerstören zu lassen. Der Grund: Er war mit der Haltung des Konzerns zum Thema Fracking nicht einverstanden. Ob man sich bei solch einem Verhalten auf ethische Gründe berufen kann - ich bin mir da nicht sicher."
Ein Vorfall wie dieser dürfte für jedes Unternehmen eine Horrorvorstellung sein. Deshalb kommen immer mehr Firmen zu der Überzeugung, dass ein Monitoring der Darknet Markets lohnen könnte.
"Manche Unternehmen können das auf eigene Faust lösen. Großkonzerne greifen dafür manchmal auf ihre eigenen Bedrohungsanalysten zurück, die die dazu nötigen technischen Fähigkeiten besitzen", weiß Craig Lawson, Vice President of Research bei Gartner. "Andere melden sich bei Portalen an, die die Suche und Recherche in Darknet-Seiten ermöglichen, ohne dabei auf die Inhalte zuzugreifen. Oder sie heuern externe Threat Analysts an, die maßgeschneiderte Informationen liefern können", fügt Lawson hinzu.
Auch wenn einige Unternehmen hierbei einen Do-It-Yourself-Ansatz verfolgen: Das Monitoring dieser Foren und Marktplätze ist eine ressourcenintensive und potenziell auch risikoreiche Aufgabe. Anthony Vaccaro, Experte beim Sicherheitsanbieter AusCERT, der auch Darknet-Analysen im Kundenauftrag durchführt, spricht aus Erfahrung: "Einige Unternehmen überprüfen das Darknet auf Datenlecks. Aber viele haben dazu nicht die Ressourcen. Bei der Überprüfung der Aktivitäten variiert der Risiko-Level je nachdem, auf welchen Markets oder Seiten man sich herumtreibt."
Der Zugang zu Darknet-Seiten ist dabei nicht das Problem - dabei anonym zu bleiben, gestaltet sich schon schwieriger. Denn Tor-basierte Darknet Markets werden auch regelmäßig zum Ziel von sogenannten Deanonymisation-Attacken oder sind mit Internet Relay Chat (IRC)-Servern verbunden, um gelegentlich mit Käufern oder Verkäufern in Kontakt treten zu können. Der Einsatz eines Proxys oder einen anderen Methode zur Maskierung Ihrer IP-Adresse ist also ratsam, wie Vaccaro mahnt: "Wenn Sie nicht die nötigen Skills haben, um dieses Security-Level zu erfüllen, sollten Sie diese Aufgabe lieber einem Dienstleister überlassen."
Analysten mit Darknet-Zugang
Deloitte bietet den Service "Darknet Monitoring" seit mehr als fünf Jahren über sein weltweit operierendes Cyber Intelligence Center an. Das Interesse an diesem Service steigt kontinuierlich, so Deloitte-Berater Nunn Price.
Dabei läuft vieles über Automatisierungs-Tools - dennoch sind zusätzliche Handgriffe nötig. Denn es gibt im Darknet nicht nur dunkle, sondern auch sehr dunkle Ecken. Deloitte beschäftigt ein eigenes Team von Analysten, das diese doppelt versteckten Marktplätze infiltrieren soll, wie Nunn Price verrät: "Sie verschaffen sich Zugang zu diesen Seiten und beteiligen sich an der Kommunikation in Chatkanälen und Foren. An illegalen Aktivitäten nehmen sie nicht teil."
Das Wichtigste sei dabei, dass die Analysten vertrauenswürdig genug erscheinen, um Zugang zu den Marktplätzen und Seiten im Darknet zu erhalten, erklärt Price: "Wir sprechen hierbei von ‚circles of trust‘. Wenn die Analysten eine Einladung erhalten haben, verfolgen sie einfach, was in den Kanälen so geschrieben und gepostet wird."
Diese Art der Arbeit kann auf vielfältige Art und Weise belastend wirken. Denn auf den Darknet-Seiten werden nicht nur gestohlene Daten angeboten, sondern auch Drogen, Waffen, Kinderpornografie und jede andere Art von verstörendem Content. Mit diesen Inhalten kommen auch die Analysten von Deloitte regelmäßig in Kontakt. Ein Umstand, den das Beratungshaus so gut es geht vermeiden möchte, wie Price sagt: "Davor müssen wir unsere Analysten schützen. Deswegen versuchen wir, so viel wie möglich zu automatisieren. Am Ende des Tages bleibt diese Aufgabe aber ein in großen Teilen manueller Prozess."
Dazu kommt, dass das Darknet Monitoring ein 24-Stunden-Job ist. Denn Inhalte verschwinden im dunklen Web oft genauso schnell wieder, wie sie aufgetaucht sind.
Darknet Market sucht Innentäter
Sogar mit einem zielgerichteten Monitoring von Darknet Markets und -Foren ist das Auffinden von geleakten Daten ein schwieriges Unterfangen. Im Fall von "Medicare Machine" dauern die Untersuchungen weiterhin an.
"Das Darknet ist ein riesiger, unentdeckter Raum und auch wenn die Security-Anbieter einen Teil der Aktivitäten zurückverfolgen, bleibt es praktisch unmöglich, alle Vorgänge dort zu erfassen", erklärt Anthony Vaccaro.
Nichtsdestotrotz ist ein Monitoring von Darknet-Marktplätzen, -Foren und -Seiten ein potenziell wertvoller Weg, um Innentäter zu identifizieren. Das immense Risiko, das ein Verlust von Kunden- oder Unternehmensdaten - oder von geistigem Eigentum - mit sich bringt, lässt sich dadurch ebenfalls reduzieren. Von den möglichen Reputationsschäden und Strafzahlungen ganz zu schweigen.
Das Problem wird jedenfalls nicht von alleine verschwinden, denn die Anreize, zum Innentäter zu werden, steigen. Eine im Februar 2017 veröffentlichte Studie der Security-Provider RedOwl und IntSights kommt zu dem Ergebnis, dass kriminelle Hacker im Darknet inzwischen ganz gezielt versuchen, Innentäter anzuwerben. In einem Fall versuchte ein Hacker den Mitarbeiter einer Bank zu überzeugen, das Netzwerk seines Arbeitgebers mit Malware zu verseuchen. Die Studienmacher haben nach eigener Aussage herausgefunden, dass ein weiterer Hacker Insider mit einem wöchentlichen "Gehalt" in siebenstelliger Höhe zu locken versuchte, um Zugang zu Bank-Rechnern zu bekommen.
Wie verfahren CIOs und CISOs nun also am besten? AusCERT-Manager Vaccaro weiß Rat: "Fragen Sie sich einfach, was ein Datenleck im Unternehmen Sie kosten würde. Was wäre die Folge, wenn Kundendaten betroffen sind? Wie hoch würde der Schaden ausfallen, wenn die Accounts Ihrer Mitarbeiter betroffen wären? Wenn Sie die Folgen abschätzen können, können Sie auch einschätzen, ob der Nutzen eines Darknet-Monitoring-Services seine Kosten überwiegt."
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO Australia.