Die IT-Station: Das Darknet als Chance

by | Mar 26, 2024

Anhoren

Teilen

 

Die meisten Unternehmen wissen nicht, ob sie bereits auf dem Radar von Cyberkriminellen sind oder welche sensiblen Daten schon in einschlägigen Netzwerken über sie gehandelt werden. Hier gibt es eine Lücke, die aus Sicht von Cyberexpertin Birgit Murkowski zu einer echten Chance werden kann – wenn Unternehmen das Darknet für sich nutzen.

 

Das Darknet spielt eine wichtige Rolle in der Threat Intelligence, der Sammlung, Analyse und Interpretation von Informationen über aktuelle oder potenzielle Bedrohungen für die Informationssicherheit eines Unternehmens oder einer Organisation. Richtig genutzt wird es allerdings noch viel zu wenig.

Der Blick NACH außen, vor allem aber der Blick VON außen auf die Sichtbarkeit der eigenen IT-Infrastruktur oder Unternehmensdaten liefert für Unternehmen sehr wichtige Erkenntnisse. Denn das ist der Blick des Angreifers auf ein Unternehmen, die Sicht eines Hackers. Fehlt den Unternehmen diese Perspektive, wissen sie auch nicht, ob, respektive wie exponiert sie im Außen bereits sind.

Über das Ausmaß der bereits zugänglichen Informationen würden sich viele Unternehmen tatsächlich wundern. Ein Beispiel: Im Rahmen einer Projektrecherche sind wir auf eine Universitätsklinik aufmerksam geworden. Zu dieser einzigen Klinik existieren 13.400 Einträge im Darknet, nicht zu allen Unikliniken in Deutschland. Um das klarzustellen: Diese immense Anzahl an Treffern ist nicht einfach nur eine namentliche Nennung, sondern immer in Verbindung mit der vollständigen Domain. 66 Einträge haben konkrete Infostealer-Hinweise, also Malware Infektion, worauf wir gleich noch einmal zurückkommen. Würden man nun nur nach der reinen Nennung dieser Klinik suchen, wären die Ergebnisse sogar noch um ein Vielfaches größer. Das ist insofern relevant, weil die Suche inklusiver der Domainendung auch alle im Darknet bekannten User Accounts auf eben diese E-Mail-Endung mit den dazugehörigen Passwörtern aufzeigt.

Auch wir waren überrascht, denn in einem solchen Umfang bewegen sich die Resultate nur sehr selten.  Dafür zeigt das Beispiel eindrucksvoll, wie wichtig es ist, das Darknet auf dem Radar zu haben. Denn obwohl es mittlerweile die Möglichkeit gibt, zu recherchieren, ohne Spuren zu hinterlassen und ohne das Darknet selbst zu betreten, ist dieser so wichtige Verbündete im Gesamtbild der Cybersecurity noch unterrepräsentiert.

Dark was?

Für einige Menschen ist das Darknet eine sichere und anonyme Kontaktmöglichkeit ohne Zensur. Damit sind die Menschen gemeint, die aufgrund von politischen oder gesellschaftlichen Zwängen keine andere Möglichkeit zur freien Kommunikation haben. Jedoch bietet das Darknet eben auch Raum für Kriminalität, für eine parallele digitale Welt, für illegalen Konsum und Kommunikation von potenziellen Angreifern. Es ermöglicht den Nutzern, sich weitgehend anonym zu bewegen und auf Inhalte zuzugreifen, die im regulären Internet nicht verfügbar sind. Der Zugang erfolgt über spezielle Wege wie etwa den Tor-Browser, der die Identität der Nutzer verschleiert, indem der Datenverkehr über verschiedene Server geroutet wird.

Die Informationen, die im Darknet gefunden werden, sind ein erster Indikator, wie es um die eigenen IT-Sicherheit steht – sowohl um zu wissen, welche Unternehmens- und Zugangsdaten bereit kursieren, aber auch um die allgemeine Bedrohungslage im Blick zu haben. Damit sind beispielsweise neue Schwachstellen, so genannte Zero Days, gemeint – auch bei gängiger Software wie Microsoft oder Cisco. Das alles sind hilfreiche Informationen, bei denen es wichtig ist, sie zeitnah zu erhalten – also bevor sich jemand einen Vorteil daraus verschafft.

Was finden wir bei Darknet-Recherchen?

Wer sich im Darknet auf Spurensuche begibt, findet klassischerweise Mitarbeiter-Nutzeraccounts – in der Regel mit Passwörtern. Die kommen zum Teil über interne Zugänge von Hackern, aber auch aus größeren Datenlecks bei Plattformen wie Linkedin oder von Softwareanbietern wie Adobe, Microsoft und anderen. Immer wieder finden wir auch Unternehmensdaten, die Mitarbeiter in Verbindung mit privaten Plattformen nutzen und die dann dort gestohlen werden. In Kombination mit einer unzureichenden Passwortpolitik und fehlender Zweifaktor-, respektive Multifaktor-Authentifizierung ist das ein leichter Einstieg für Angreifer in interne Systeme.

Wir finden aber auch kritischere Einträge mit unbemerkten Infostealer-Infektionen von Mitarbeiter, Nutzern, beziehungsweise den PCs. Infostealer sind eine Schadsoftware, die darauf ausgelegt ist, unbemerkt auf dem kompromittierten System Informationen und vertrauliche Daten zu sammeln und an den Angreifer zu senden. Diese Daten werden dann in der Regel zum Verkauf im Darknet angeboten. Das perfide an Infostealern ist, dass infizierte Nutzer es nicht bemerken und auch nur wenige Überwachungssysteme Alarm schlagen.

Wie gelangen so viele Daten ins Darknet?

All die oben aufgeführten Daten finden auf ganz unterschiedliche Weise den Weg ins Darknet. Das Ausspähen durch Malware, die über Phishing-Kampagnen, schadhafte Webseiten oder Werbeanzeigen verbreitet wird, ist eine Möglichkeit. Die zweite ist der Datendiebstahl im Fall eines Incidents oder das Sammeln von Daten aus unzureichend geschützten Systemen. Besonders als Nachsorge nach einem Incident ist ein Darknet-Monitoring sinnvoll. So lässt sich beobachten, ob, wann und vor allem welche gestohlenen Daten auftauchen. Das zu erkennen und notwendige Schritte einzuleiten, hilft, weiteren Schaden durch gestohlene Daten zu verhindern. Speziell im medizinischen Bereich hat das Darknet-Monitoring noch einmal eine besondere Bedeutung, denn hier geht es  nicht nur um Zugangsdaten, sondern um sensible Gesundheitsdaten der Patienten, Forschungsergebnisse oder um neue Behandlungsmethoden und Entwicklungen.

Allerdings wird Bedrohungsakteuren das Sammeln von Daten und Identitäten auch noch immer zu leicht gemacht. Unzureichend gesicherte Webseiten, die oft eine Schnittstelle zu internen Servern haben, fehlende Protokolle, die es Unberechtigten zu leicht machen, sich der Identität des Unternehmens anzunehmen oder schadhaften Code auf eine Webseite zu bringen, sind nur einige Beispiele. Ebenso werden Themen wie E-Mail-Sicherheit und die damit verbundenen, notwendigen Kommunikationsprotokolle im Kampf gegen Spam, Phishing und Identitätsdiebstahl zu wenig berücksichtigt. All das sind kleine Schritte, die die Basis und damit Unternehmensdaten sichern und es Angreifern schwerer machen, durch „die Haustür“ zu spazieren.

Gut abschließen

Die Basis sollte immer gut kontrolliert werden, denn dann sind auch die Strukturen dahinter sicherer. Wann haben Sie zuletzt Ihr AD, das Active Directory, vollständig überprüft? Unternehmenszugänge im Darknet mit einem schlecht gepflegten Active Directory und unzureichender Passwortpolitik machen den Zugang zu Unternehmen oft sehr leicht. Die IT-Basis sollte regelmäßig kontrolliert und gepflegt werden. Im besten Fall kommt ein fehlerfreier Report heraus. Umsonst ist diese Überprüfung jedoch nie, denn IT-Strukturen verändern sich zu schnell. Deshalb unser Appell: Lassen Sie Fremde und Unberechtigte nicht mehr über ihr Unternehmen und Ihre IT-Infrastruktur wissen, als Sie selber es tun.

Das könnte Sie auch interessieren

Pilotprojekt ErwiN gestartet

Brandenburg, Berlin und Mecklenburg-Vorpommern schließen sich zusammen, um neue Wege für die medizinische und pflegerische Versorgung älterer und chronisch kranker Menschen zu finden.

Brandenburg, Berlin und Mecklenburg-Vorpommern schließen sich zusammen, um neue Wege für die medizinische und pflegerische Versorgung älterer und chronisch kranker Menschen zu finden.

da Vinci-Single-Port und neue Professur in Mainz

Die Universitätsmedizin Mainz baut ihre Robotik-gestützte Chirurgie weiter aus und ist damit die erste Universitätsklinik in Deutschland, die über das da Vinci Single-Port-System verfügt.