Hacker Monitoring

Werden Ihre Daten im Darknet gehandelt?

20.07.2017
Von  und
George ist Autor unserer Schwesterpublikation CIO Australia.


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Wenn Sie eine Antwort auf diese Frage möchten, sollten Sie weiterlesen. Und danach tätig werden.

Mehr und mehr Unternehmen durchforsten inzwischen regelmäßig Darknets auf der Suche nach Hinweisen auf die eigenen Unternehmensdaten - und/oder die ihrer Kunden. Und das aus gutem Grund.

Eine Horrorvorstellung für Unternehmen: Firmen- und/oder Kundendaten werden im Darknet zum Kauf angeboten. Wir sagen Ihnen, wie Sie herausfinden können, ob Sie betroffen sind.
Eine Horrorvorstellung für Unternehmen: Firmen- und/oder Kundendaten werden im Darknet zum Kauf angeboten. Wir sagen Ihnen, wie Sie herausfinden können, ob Sie betroffen sind.
Foto: Alexander Geiger - shutterstock.com

Die eigenen Daten als Darknet Download

Anfang Juli sorgt ein Fall von Datendiebstahl in Australien für Schlagzeilen. Wie "The Guardian" berichtet, wurden auf einer Darknet-Plattform Identifikationsnummern des australischen KrankversicherungssystemsMedicare zum Kauf angeboten. Ein Datensatz sollte rund 30 Dollar kosten. Ein Journalist des Blattes war auf das Angebot eingegangen und hatte so seine eigenen Daten über das Darknet erworben. Der Name des illegalen Services: "Medicare Machine".

Für den zuständigen Minister Alan Tudge war der Vorfall ein Resultat "traditioneller krimineller Aktivitäten" und nicht das eines Hacks. Das impliziert wiederum, dass auf die Daten über ein legitimiertes Nutzerkonto zugegriffen wurde. Die Regierung Australiens hat inzwischen eine Re-Evaluierung des Health Professionals Online Services (HPOS)-Systems angestoßen, das man als potenzielle Quelle für das Datenleck ausgemacht hat. Die Erkenntnisse über "Medicare Machine" wurden an die australische Bundespolizei übergeben. Für die Regierung war der von der Presse entlarvte Darknet-Service ein erster Hinweis darauf, dass ein Innentäter die Daten australischer Bürger stiehlt und ins Netz stellt.

Die Bedrohung durch Inside Jobswird oft auch als Achillesferse derIT-Sicherheit im Unternehmensumfeld gesehen. Und die steigende Popularität von Crimeware-as-a-Service-Angeboten und illegalen Marktplätzen im Darknet macht es Mitarbeitern mit bösen Absichten so leicht wie nie zuvor, zum Innentäter zu werden, um daraus finanzielle Vorteile zu ziehen. Deswegen sind viele Unternehmen inzwischen dazu übergegangen, die Darknet-Angebote und -Marktplätze regelmäßig auf Hinweise zu überprüfen, ob sie selbst betroffen sind.

Darknet-Seiten mit variierendem Risikolevel

James Nunn Price, Cyber Risk Leader bei Deloitte für die Region Asien-Pazifik, erinnert sich an einen Vorfall bei einem der größten Kunden der Unternehmensberatung - einem europäischen Energieversorger: "Wir übernahmen das Monitoring für den Kunden und mussten feststellen, dass einer ihrer Systemadministratoren seine Remote-Access-Zugangsdaten auf einem Marktplatz im Darkweb zum Kauf angeboten hatte.

Sein Ziel war es, die Systeme des Unternehmens durch Angreifer zerstören zu lassen. Der Grund: Er war mit der Haltung des Konzerns zum Thema Fracking nicht einverstanden. Ob man sich bei solch einem Verhalten auf ethische Gründe berufen kann - ich bin mir da nicht sicher."

Ein Vorfall wie dieser dürfte für jedes Unternehmen eine Horrorvorstellung sein. Deshalb kommen immer mehr Firmen zu der Überzeugung, dass ein Monitoring der Darknet Markets lohnen könnte.

"Manche Unternehmen können das auf eigene Faust lösen. Großkonzerne greifen dafür manchmal auf ihre eigenen Bedrohungsanalysten zurück, die die dazu nötigen technischen Fähigkeiten besitzen", weiß Craig Lawson, Vice President of Research bei Gartner. "Andere melden sich bei Portalen an, die die Suche und Recherche in Darknet-Seiten ermöglichen, ohne dabei auf die Inhalte zuzugreifen. Oder sie heuern externe Threat Analysts an, die maßgeschneiderte Informationen liefern können", fügt Lawson hinzu.

Auch wenn einige Unternehmen hierbei einen Do-It-Yourself-Ansatz verfolgen: Das Monitoring dieser Foren und Marktplätze ist eine ressourcenintensive und potenziell auch risikoreiche Aufgabe. Anthony Vaccaro, Experte beim Sicherheitsanbieter AusCERT, der auch Darknet-Analysen im Kundenauftrag durchführt, spricht aus Erfahrung: "Einige Unternehmen überprüfen das Darknet auf Datenlecks. Aber viele haben dazu nicht die Ressourcen. Bei der Überprüfung der Aktivitäten variiert der Risiko-Level je nachdem, auf welchen Markets oder Seiten man sich herumtreibt."

Der Zugang zu Darknet-Seiten ist dabei nicht das Problem - dabei anonym zu bleiben, gestaltet sich schon schwieriger. Denn Tor-basierte Darknet Markets werden auch regelmäßig zum Ziel von sogenannten Deanonymisation-Attacken oder sind mit Internet Relay Chat (IRC)-Servern verbunden, um gelegentlich mit Käufern oder Verkäufern in Kontakt treten zu können. Der Einsatz eines Proxys oder einen anderen Methode zur Maskierung Ihrer IP-Adresse ist also ratsam, wie Vaccaro mahnt: "Wenn Sie nicht die nötigen Skills haben, um dieses Security-Level zu erfüllen, sollten Sie diese Aufgabe lieber einem Dienstleister überlassen."