Kennen Sie noch AlphaBay? Der digitale Marktplatz für Cyberkriminelle war lange der Ort im Dark Web, um an gestohlene Firmendaten, Passwörter oder Bankkonten zu gelangen. Auf seinem Höhepunkt tummelten sich auf dem Umschlagplatz mehr als 40.000 Anbieter und brachten es auf einen Umsatz von rund einer Milliarde US-Dollar - für IT-Sicherheitsexperten eine unkontrollierbare Gefahrenquelle. Im Juli 2017 gelang es Ermittlungsbehörden schließlich die Plattform unschädlich zu machen und, so US-Generalstaatsanwalt John Session, die Welt sicherer zu machen.
Foto: Sergey Nivens - shutterstock.com
Ein Jahr später hat sich in Sachen Cyberkriminalität die Lage nicht wirklich zum Besseren gewendet. AlphaBay hinterlässt zwar eine Lücke. Diese ist jedoch wesentlich kleiner als von den Ermittlern zunächst angenommen. Das Geschäft rund um Cyberkriminalität floriert und insbesondere die russischsprachige Hacker-Community zeigt sich weitgehend unbeeindruckt vom Erfolg der Behörden.
Schwarze Schafe bei Skype und Co.
Entwarnung für Unternehmen gibt es also nicht, vielmehr lässt sich ein gefährlicher Trend beobachten: Da ein zentraler Marktplatz im Dark Web fehlt, scheinen sich die illegalen Aktivitäten ins Open und Deep Web zu verschieben. Damit rücken sie näher an Unternehmensnetzwerke, öffentliche Server und gängige Tools, Webseiten und Foren heran.
Unter Open Web versteht man den Teil des Internets, der öffentlich zugänglich und meist von einschlägigen Suchmaschienen abgesucht und indexiert werden kann. Das Deep Web umfasst Informationen, die zwar über das Internet erreichbar, jedoch teilweise durch Passwörter oder Ähnliches geschützt sind und nicht von den Suchmaschienen erfasst werden können. Das Dark Web bildetet schließlich einen Teil des Deep Web, der nur über spezielle Software, Konfigutraionen und Authorisierungsprozesse betreten werden kann.
So werden beispielsweise Mainstream-Kommunikationstools wie Jabber, Internet Relay Chat (IRC), Skype, Discord und Telegram immer häufiger zur Abwicklung illegaler Geschäfte genutzt. Dabei sind die Anwendungen an sich vollkommen legal und für jeden problemlos zugänglich. Die kostenlose genutzte VoIP-Clientanwendung Discord wird beispielsweise häufig von Gamern genutzt. Populär ist auch der stark verschlüsselte Instant-Messaging-Dienst Telegram. Skype wird privat wie geschäftlich auf vielen deutschen PCs und Smartphones verwendet. Statt also inkognito auf verschlüsselten und zentralen Foren oder Plattformen im Dark Web zu agieren, nutzen Kriminelle den Deckmantel legaler Tools und verstecken sich innerhalb einer breiten Masse an Usern.
Auch Cyberkriminelle wollen sich schützen
Der Übergang auf Chat- und Peer-to-Peer-Netzwerke ist nur eine Taktik, um den illegalen Handel mit Daten, Konten und Malware zu verschleiern und die Ermittlungsbehörden auf Distanz zu halten. Um die Sicherheit und Zuverlässigkeit ihrer Marktplätze zu demonstrieren und damit das Vertrauen potentieller Kunden zu stärken, setzen die Administratoren einschlägiger Seiten zudem moderne Technologien wie Blockchain ein.
Auf Blockchain gehostete Webseiten (meist mit der Top-Level-Domain ".bazar") laufen weniger Gefahr von staatlichen Behörden entdeckt und ausgehoben zu werden, da sie keiner zentralen Instanz unterliegen. Zudem ist für die Registrierung weder ein Name noch eine Adresse nötig. Es reicht ein eindeutig verschlüsselter Hash für jeden Benutzer. Berüchtigte Seiten wie Joker's Stash, ein Umschlagplatz für gestohlene Kredit- und andere Karten-Daten, sind daher auf Blockchain-Hosting umgestiegen. Auch die E-Commerce-Plattform OpenBazaar ist innerhalb von nur vier Monaten mit fast viertausend neuen Nutzern stetig gewachsen.
Spezialisten für jedes Verbrechen
Parallel dazu spezialisiert sich der Markt mehr und mehr. Kriminelle Akteure setzen verstärkt auf Plattformen, die auf eine bestimmte Betrugsformausgerichtet sind. Auf CrimeNet, HPC oder Exploit[.]in finden sich zahlreiche Beispiele von Anbietern, die eine besondere Variante von Ransomware oder branchenspezifische Exploit-Kits verkaufen. Viele führen auch ein dediziertes Portfolio an Automated Vending Cart (AVC)-, Carding- oder Hacking-Diensten. Das Publikum mag hier kleiner sein als auf einem zentralen Marktplatz wie Hansa oder AlphaBay. Dafür gelingt es den Kriminiellen genau ihre Zielgruppe anzusprechen und ihre Services direkt zu vermarkten. Zeigt ein potentieller Käufer Interesse, wird die weitere Kommunikation - wie beschrieben - auf privaten, legalen Kanälen fortgesetzt.
Folge für Unternehmen?
Werden Firmendaten, Mitarbeiterkonten oder digitale Unternehmensassets über Hackerangriffe und Datenleaks komprimittiert, finden sich die Informationen nun auch im Open und Deep Web und sind damit noch leichter zugänglich. Für Unternehmen wird es darum nicht unbedingt einfacher, den Missbrauch dieser Daten tatsächlich einzuschränken oder es gar auf eigene Faust mit den Cyberkriminellen aufzunehmen. Um an die Drahtzieher zu gelangen und langfristig Cyberattacken abzuwehren, empfiehlt es sich auf erfahrene Threat-Intelligence-Analysten zu setzen und frühzeitig die verantwortlichen Behörden mit ins Boot zu holen.
Threat Modell aufbauen
Statt an vorderster Front gegen Cyberkriminelle zu kämpfen, ist es für Unternehmen sinnvoller, ihre Ressourcen auf die Entwicklung eines Bedrohungsmodells richten. Damit können sie effektiv einschätzen, welche Risiken tatsächlich bestehen. Im Abgleich mit den gängigen Taktiken, Techniken und Prozeduren (TTPs) von Cyberkriminellen lassen sich im nächsten Schritt Sicherheitskontrollen und Maßnahmen zur Erhöhung der Systemsicherheit (Hardening) gezielt planen und umsetzen. Solche Threat-Modelle sind selten vordefiniert und starr, sondern verlangen iterative Prozesse, um sich der wandelnden Bedrohungslandschaft sowie dem unternehmenseigenen IT-Umfeld kontinuierlich anpassen zu können. Der Prozess umfasst in der Regel folgenden Schritte:
Definieren Sie die wichtigsten digitalen Assets im Unternehmen, z. B. kritische Geschäftsprozesse, zentrale Hochleistungssysteme sowie Intellectual Property (IP).
Erfassen Sie die Systeme, in denen diese Assets enthalten sind. Dazu gehören beispielsweise Datenbanken sowie ERP-, PDM-, MDM- oder CRM-Systeme.
Erstellen Sie für jedes der Systeme ein Sicherheitsprofil. Dies sollte enthalten, welche Sicherheitskontrollen derzeit für die Anwendungen eingesetzt werden (z. B. Firewalls, Endpoint Detection and Response (EDR)-Systeme, Web-Proxies) und ob bekannte Software-Schwachstellen vorliegen.
Identifizieren Sie potentielle Bedrohungen durch Hacktivisten und Cyberkriminelle. Dabei gilt es auch Partner, Zulieferer, staatlich gesteuerte Akteure sowie ehemalige oder unzufriedene Mitarbeiter zu berücksichtigen.
Priorisieren Sie potentielle Bedrohungen. Dazu ist es hilfreich, eine Dokumentation über sicherheitsrelevante Vorfälle sowie die durchgeführten Gegenmaßnahmen anzulegen. Eine Orientierung bieten auch bekannte Beispiele von Cyberattacken sowie ein Blick auf interne Risikoberichte, um abzuschätzen, wie sich bestimmte Bedrohungen auf den Geschäftsverlauf von Unternehmen auswirken könnten.
AlphaBay hat gezeigt, dass unabhängig vom Erfolg staatlicher Ermittlungsbehörden, Cyberkriminalität immer neue Wege findet, um illegal mit Daten, Konten und E-Mail-Adressen Handel zu treiben. Wer sich ausschließlich auf das Dark Web konzentriert, wird an einem digitalen Risikomanagment scheitern. Vielmehr gilt es weiterhin, die Augen offen zu halten und unterschiedliche Datenquellen im Netz kontinuerlich zu beobachten, um Cyberbedrohungen und ihre Akteure besser zu verstehen.