Analysten mit Darknet-Zugang
Deloitte bietet den Service "Darknet Monitoring" seit mehr als fünf Jahren über sein weltweit operierendes Cyber Intelligence Center an. Das Interesse an diesem Service steigt kontinuierlich, so Deloitte-Berater Nunn Price.
Dabei läuft vieles über Automatisierungs-Tools - dennoch sind zusätzliche Handgriffe nötig. Denn es gibt im Darknet nicht nur dunkle, sondern auch sehr dunkle Ecken. Deloitte beschäftigt ein eigenes Team von Analysten, das diese doppelt versteckten Marktplätze infiltrieren soll, wie Nunn Price verrät: "Sie verschaffen sich Zugang zu diesen Seiten und beteiligen sich an der Kommunikation in Chatkanälen und Foren. An illegalen Aktivitäten nehmen sie nicht teil."
Das Wichtigste sei dabei, dass die Analysten vertrauenswürdig genug erscheinen, um Zugang zu den Marktplätzen und Seiten im Darknet zu erhalten, erklärt Price: "Wir sprechen hierbei von ‚circles of trust‘. Wenn die Analysten eine Einladung erhalten haben, verfolgen sie einfach, was in den Kanälen so geschrieben und gepostet wird."
Diese Art der Arbeit kann auf vielfältige Art und Weise belastend wirken. Denn auf den Darknet-Seiten werden nicht nur gestohlene Daten angeboten, sondern auch Drogen, Waffen, Kinderpornografie und jede andere Art von verstörendem Content. Mit diesen Inhalten kommen auch die Analysten von Deloitte regelmäßig in Kontakt. Ein Umstand, den das Beratungshaus so gut es geht vermeiden möchte, wie Price sagt: "Davor müssen wir unsere Analysten schützen. Deswegen versuchen wir, so viel wie möglich zu automatisieren. Am Ende des Tages bleibt diese Aufgabe aber ein in großen Teilen manueller Prozess."
Dazu kommt, dass das Darknet Monitoring ein 24-Stunden-Job ist. Denn Inhalte verschwinden im dunklen Web oft genauso schnell wieder, wie sie aufgetaucht sind.
Darknet Market sucht Innentäter
Sogar mit einem zielgerichteten Monitoring von Darknet Markets und -Foren ist das Auffinden von geleakten Daten ein schwieriges Unterfangen. Im Fall von "Medicare Machine" dauern die Untersuchungen weiterhin an.
"Das Darknet ist ein riesiger, unentdeckter Raum und auch wenn die Security-Anbieter einen Teil der Aktivitäten zurückverfolgen, bleibt es praktisch unmöglich, alle Vorgänge dort zu erfassen", erklärt Anthony Vaccaro.
Nichtsdestotrotz ist ein Monitoring von Darknet-Marktplätzen, -Foren und -Seiten ein potenziell wertvoller Weg, um Innentäter zu identifizieren. Das immense Risiko, das ein Verlust von Kunden- oder Unternehmensdaten - oder von geistigem Eigentum - mit sich bringt, lässt sich dadurch ebenfalls reduzieren. Von den möglichen Reputationsschäden und Strafzahlungen ganz zu schweigen.
Das Problem wird jedenfalls nicht von alleine verschwinden, denn die Anreize, zum Innentäter zu werden, steigen. Eine im Februar 2017 veröffentlichte Studie der Security-Provider RedOwl und IntSights kommt zu dem Ergebnis, dass kriminelle Hacker im Darknet inzwischen ganz gezielt versuchen, Innentäter anzuwerben. In einem Fall versuchte ein Hacker den Mitarbeiter einer Bank zu überzeugen, das Netzwerk seines Arbeitgebers mit Malware zu verseuchen. Die Studienmacher haben nach eigener Aussage herausgefunden, dass ein weiterer Hacker Insider mit einem wöchentlichen "Gehalt" in siebenstelliger Höhe zu locken versuchte, um Zugang zu Bank-Rechnern zu bekommen.
Wie verfahren CIOs und CISOs nun also am besten? AusCERT-Manager Vaccaro weiß Rat: "Fragen Sie sich einfach, was ein Datenleck im Unternehmen Sie kosten würde. Was wäre die Folge, wenn Kundendaten betroffen sind? Wie hoch würde der Schaden ausfallen, wenn die Accounts Ihrer Mitarbeiter betroffen wären? Wenn Sie die Folgen abschätzen können, können Sie auch einschätzen, ob der Nutzen eines Darknet-Monitoring-Services seine Kosten überwiegt."
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO Australia.