Hacker Monitoring
Werden Ihre Daten im Darknet gehandelt?
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Analysten mit Darknet-Zugang
Deloitte bietet den Service "Darknet Monitoring" seit mehr als fünf Jahren über sein weltweit operierendes Cyber Intelligence Center an. Das Interesse an diesem Service steigt kontinuierlich, so Deloitte-Berater Nunn Price.
Dabei läuft vieles über Automatisierungs-Tools - dennoch sind zusätzliche Handgriffe nötig. Denn es gibt im Darknet nicht nur dunkle, sondern auch sehr dunkle Ecken. Deloitte beschäftigt ein eigenes Team von Analysten, das diese doppelt versteckten Marktplätze infiltrieren soll, wie Nunn Price verrät: "Sie verschaffen sich Zugang zu diesen Seiten und beteiligen sich an der Kommunikation in Chatkanälen und Foren. An illegalen Aktivitäten nehmen sie nicht teil."
Das Wichtigste sei dabei, dass die Analysten vertrauenswürdig genug erscheinen, um Zugang zu den Marktplätzen und Seiten im Darknet zu erhalten, erklärt Price: "Wir sprechen hierbei von ‚circles of trust‘. Wenn die Analysten eine Einladung erhalten haben, verfolgen sie einfach, was in den Kanälen so geschrieben und gepostet wird."
- Tor
"Tor" war ursprünglich ein Akronym und steht für The Onion Router (Projekt). Das Tor-Netzwerk benutzt mehrfache Verschlüsselungs-Layer, um Daten wie auch deren Ursprung und Zielort zu verbergen. Dies trägt dazu bei, die Daten/Verbindung zu anonymisieren. Tor ist die einzige Möglichkeit auf einen Großteil des => Deep Web zuzugreifen. - Blockchain
Bitcoin beruht auf dem Konzept der verteilten Datenbank, der sogenannten Blockchain. Dabei handelt es sich um eine gemeinsame Transaktionsdatenbank aller Tor-Knoten in einem System, basierend auf dem Bitcoin-Protokoll. Um unabhängig voneinander die Urheberkette jedweden Bitcoin-Betrages zu verifizieren, verfügt jeder Knoten über seine eigene Kopie der Blockchain. - Carding
Das Kaufen und Verkaufen gestohlener Kreditkarteninformationen. - Dark Web, Deep Web (auch Deepnet, Hidden Web, Invisible Web)
Der Bereich des Internets, der nicht über reguläre Browser auffindbar und nicht über normale Suchmaschinen indiziert ist. - Exit-Node
Verbindungs-/Knotenpunkt innerhalb des Tor-Netzes, an dem ein Nutzer dieses wieder verlässt. - Hidden Wiki, The
Ein versteckter Dienst, der eine Linksammlung von .Onion-Seiten (=> weiterer Begriff) enthält, die über das Deep Web zu erreichen sind. Diese Seite ist tatsächlich ein Wiki. Hier werden die Seiten bearbeitet beziehungsweise hinzugefügt, die anschließend sichtbar werden sollen. Wie es die Natur des Hidden Wiki nahelegt, ist es tatsächlich voll mit böswillig manipulierten Seiten, die in erster Linie kriminelle Ziele verfolgen. - Kryptowährung
Ein Begriff, der alternative oder ausschließlich digitale Währungen bezeichnet, die auf Verschlüsselung und einer dezentralen Struktur basieren. Solche Kryptowährungen sind insbesondere für Cyberkriminelle das Zahlungsmittel der Wahl geworden, denn sämtliche Transaktionen laufen anonymisiert ab. - .Onion
Die Pseudo-Top-Level-Domain, die von Webseiten oder verborgenen Diensten im Deep Web genutzt wird und die ausschließlich im Tor-Netzwerk verfügbar ist. - I2P
I2P steht für "Invisible Internet Project" und ist eine freie P2P-Software, die ein anoymes und dezentrales IP-basiertes Netzwerk samt einfacher Übertragungsschicht zur Verfügung stellt, um Applikationen sicher und anonym nutzen zu können. Der Datentransfer ist über vier Schichten je Paket verschlüsselt, auch die Empfangspunkte sind extra geschützt.
Diese Art der Arbeit kann auf vielfältige Art und Weise belastend wirken. Denn auf den Darknet-Seiten werden nicht nur gestohlene Daten angeboten, sondern auch Drogen, Waffen, Kinderpornografie und jede andere Art von verstörendem Content. Mit diesen Inhalten kommen auch die Analysten von Deloitte regelmäßig in Kontakt. Ein Umstand, den das Beratungshaus so gut es geht vermeiden möchte, wie Price sagt: "Davor müssen wir unsere Analysten schützen. Deswegen versuchen wir, so viel wie möglich zu automatisieren. Am Ende des Tages bleibt diese Aufgabe aber ein in großen Teilen manueller Prozess."
Dazu kommt, dass das Darknet Monitoring ein 24-Stunden-Job ist. Denn Inhalte verschwinden im dunklen Web oft genauso schnell wieder, wie sie aufgetaucht sind.
Darknet Market sucht Innentäter
Sogar mit einem zielgerichteten Monitoring von Darknet Markets und -Foren ist das Auffinden von geleakten Daten ein schwieriges Unterfangen. Im Fall von "Medicare Machine" dauern die Untersuchungen weiterhin an.
"Das Darknet ist ein riesiger, unentdeckter Raum und auch wenn die Security-Anbieter einen Teil der Aktivitäten zurückverfolgen, bleibt es praktisch unmöglich, alle Vorgänge dort zu erfassen", erklärt Anthony Vaccaro.
Nichtsdestotrotz ist ein Monitoring von Darknet-Marktplätzen, -Foren und -Seiten ein potenziell wertvoller Weg, um Innentäter zu identifizieren. Das immense Risiko, das ein Verlust von Kunden- oder Unternehmensdaten - oder von geistigem Eigentum - mit sich bringt, lässt sich dadurch ebenfalls reduzieren. Von den möglichen Reputationsschäden und Strafzahlungen ganz zu schweigen.
- US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst. - Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar. - Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen". - Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen. - NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland. - Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch. - Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
Das Problem wird jedenfalls nicht von alleine verschwinden, denn die Anreize, zum Innentäter zu werden, steigen. Eine im Februar 2017 veröffentlichte Studie der Security-Provider RedOwl und IntSights kommt zu dem Ergebnis, dass kriminelle Hacker im Darknet inzwischen ganz gezielt versuchen, Innentäter anzuwerben. In einem Fall versuchte ein Hacker den Mitarbeiter einer Bank zu überzeugen, das Netzwerk seines Arbeitgebers mit Malware zu verseuchen. Die Studienmacher haben nach eigener Aussage herausgefunden, dass ein weiterer Hacker Insider mit einem wöchentlichen "Gehalt" in siebenstelliger Höhe zu locken versuchte, um Zugang zu Bank-Rechnern zu bekommen.
Wie verfahren CIOs und CISOs nun also am besten? AusCERT-Manager Vaccaro weiß Rat: "Fragen Sie sich einfach, was ein Datenleck im Unternehmen Sie kosten würde. Was wäre die Folge, wenn Kundendaten betroffen sind? Wie hoch würde der Schaden ausfallen, wenn die Accounts Ihrer Mitarbeiter betroffen wären? Wenn Sie die Folgen abschätzen können, können Sie auch einschätzen, ob der Nutzen eines Darknet-Monitoring-Services seine Kosten überwiegt."
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO Australia.