Dark Web – wie sich damit die Sicherheit in Unternehmen stärken lässt

Im Dark Web werden derzeit auch zahlreiche Waren mit Bezug zur Covid-19-Pandemie, wie etwa gefälschte Impfstoffe oder in Phishing-Angriffen gewonnene, persönlich identifizierbare Informationen, zum Verkauf angeboten. Virtuelle Untergrund-Marktplätze generieren illegale Geschäfte im Wert von mehreren Milliarden US-Dollar pro Jahr.

Untersuchungen zeigen, dass in den ersten Monaten der Pandemie ein mehr als vierzigprozentiger Anstieg der Benutzer im Dark Web zu verzeichnen war. Geschätzte 100 Millionen Dollar an Waren und Dienstleistungen mit Bezug zu Covid-19 wurden dabei zum Verkauf angeboten. Dazu zählen etwa gefälschte Impfstoffe oder persönlich identifizierbare Informationen, die Cyberkriminelle bei Corona-Phishing-Angriffen gestohlen haben.

Dark Web als effektives Werkzeug für Sicherheitsexperten

Das Dark Web kann sich jedoch auch als ein durchaus effektives Werkzeug für Sicherheitsexperten etablieren, um den Bedrohungen einen Schritt voraus zu sein und die Verteidigung besser vorzubereiten. Wie können Unternehmen die geheimen Communities des Dark Web nutzen, damit sie wertvolle Informationen erhalten, die zum besseren Datenschutz und zur Stärkung der Sicherheitslage beitragen?

Wir haben mit Ziv Mador, Vice President of Security Research bei Trustwave SpiderLabs, darüber gesprochen, wie Unternehmen die geheimen Communities des Dark Web nutzen können, um wertvolle Informationen zu erhalten, die zu einer Stärkung der Sicherheit in Unternehmen beitragen.

Welche Art von Informationen können im Dark Web gefunden werden, und warum sind sie nützlich?

Ziv Mador: In geschlossenen Foren ist Information mehr wert als Drogen oder illegale Waren. Sie kann als Währung dienen, mit der Forenmitglieder ihren Weg in die Gemeinschaft bezahlen, aber auch als Ware selbst, die ge- und verkauft wird. Wenn man sich durch die Weitergabe einer schändlichen Information erst einmal Zugang zu diesen Foren verschafft hat, ist es einfach, bestimmte Anzeigen zu finden.

So gibt es beispielsweise Angebote zu großen Mengen von PII oder anderen sensiblen Daten wie Bankkontodaten, Anmeldedetails und vollständigen Kreditkartennummern samt Card Code Verifications (CCVs). Letztere können für nur 20 US-Dollar pro Datensatz veräußert werden. Einige der im Dark Web gekauften und verkauften Informationen sind absichtlich zeitlich abgestimmt, um aktuelle Ereignisse und geopolitische Trends auszunutzen.

Wie können im Dark Web gefundene Informationen genutzt werden?

Ziv Mador: Neben dem Verkauf gestohlener oder durchgesickerter Verbraucherinformationen dienen Dark-Web-Foren auch als Marktplatz für den Kauf und Verkauf von vorgefertigten Cyberbedrohungen. Mitglieder des Forums können Malware, einfach zu bedienende Keylogger und Ransomware-Kits kaufen, die detaillierte Anweisungen zu ihrer Verwendung enthalten. Gelegentlich werden neue Zero-Day-Exploits sogar zum Verkauf angeboten, bevor sie offiziell auf dem Markt sind. Dies ist allerdings eher seltener der Fall.

Wieder andere Cyberkriminelle verkaufen im Dark Web ihr Wissen und ihre Fähigkeiten als Dienstleistung. Sie bieten Informationen darüber an, wie man eine bestimmte Schwachstelle ausnutzt oder eine gewisse Angriffstechnik ausführt. Einige sind auf den Diebstahl von Zugangsdaten spezialisiert, andere auf Social-Engineering-Methoden – wie zum Beispiel, sich als IT-Abteilung eines Unternehmens auszugeben und so zu tun, als ob sie Zugangsdaten oder andere sensible Informationen von ahnungslosen Remote-Mitarbeitern „verifizieren“.

Welche Sicherheitsvorteile bietet die Überwachung und Sammlung von Threat Intelligence im Dark Web?

Ziv Mador:  Durch die regelmäßige Überwachung des Dark Web können Sicherheitsexperten wertvolle Erkenntnisse über aufkommende Trends und spezifische Threat Intelligence gewinnen, die für eine Verbesserung ihrer Abwehrtechniken sorgen. Sie können Chatter in Dark Web-Foren als Frühwarnsystem nutzen, das sie auf neue Bots, Viren oder Malware aufmerksam macht, die in der Szene aufgetaucht sind. Diese Frühwarnung gibt Sicherheitsexperten Zeit, ihre Abwehr zu verstärken und ihre Response Playbooks zu aktualisieren. Auf diese Weise lässt sich das Risiko, dass die Bedrohung gegen ihr Unternehmen eingesetzt wird, mindern beziehungsweise im Falle eines Angriffs schneller reagieren.

Sicherheitsexperten sind auch in der Lage, sich über neue oder aufkommende Angriffstechniken zu informieren, die auf eine bestimmte vertikale Branche oder einen Sektor abzielen könnten. Einzelne Organisationen werden nur selten ins Visier genommen; es sei denn, sie verfügen über einen besonders begehrten Vermögenswert. Aber Cyberkriminelle und Hacker nutzen oft Schwachstellen aus, um eine bestimmte Branche ins Visier zu nehmen. Da sie wissen, dass die Gesundheitssysteme während der Pandemie überfordert waren, haben Cyberkriminelle ihre Angriffe auf die Branche aktiv verstärkt und teilen ihre Techniken zur Ausführung von Ransomware-Angriffen auf Krankenhäuser und Gesundheitsdienstleister. Durch die Überwachung des Dark Web können Sicherheitsexperten den Bedrohungen einen Schritt voraus sein und ihre Verteidigung besser vorbereiten.

Wie können Unternehmen das Dark Web nutzen, um ihre Sicherheitslage zu verbessern?

Ziv Mador: Es kann Jahre dauern, sich im Dark Web einen Namen zu machen. Ganz zu schweigen davon, dass ein gewisses Talent erforderlich ist, um sich in diese Communities einzugliedern – und dabei den schmalen Grat zu gehen, kriminelle Aktivitäten nicht zu unterstützen. Für Security-Teams in Unternehmen ist es daher möglicherweise am praktischsten, sich an einen vertrauenswürdigen Partner oder Managed Security Services Provider (MSSP) zu wenden, der diese Foren bereits überwacht. Ob intern oder mit Hilfe eines Partners: Das Dark Web im Auge zu behalten, kann sich für Cybersicherheits-Experten als sehr vorteilhaft erweisen, da es verwertbare Threat Intelligence bereitstellt. Dadurch lässt sich ein Vorteil gegenüber den Gegnern verschaffen. Wie ein altes Sprichwort sagt: „Halte deine Freunde nah, aber deine Feinde noch näher.“

Lesen Sie auch: Zero-Trust-Modell: Wie Unternehmen Sicherheitsrisiken von VPNs in den Griff bekommen