23. Juli 2017 George Nott und Florian Maier*

Werden Ihre Daten im Darknet gehandelt?

Wenn Sie eine Antwort auf diese Frage möchten, sollten Sie weiterlesen. Und danach tätig werden. [...]

Mehr und mehr Firmen durchforsten inzwischen regelmäßig Darknets auf der Suche nach Hinweisen auf die eigenen Unternehmensdaten – und/oder die ihrer Kunden. Und das aus gutem Grund. 
DIE EIGENEN DATEN ALS DARKNET DOWNLOAD
Anfang Juli sorgt ein Fall von Datendiebstahl in Australien für Schlagzeilen. Wie „The Guardian“ berichtet, wurden auf einer Darknet-Plattform Identifikationsnummern des australischen Krankversicherungssystems Medicare zum Kauf angeboten. Ein Datensatz sollte rund 30 Dollar kosten. Ein Journalist des Blattes war auf das Angebot eingegangen und hatte so seine eigenen Daten über das Darknet erworben. Der Name des illegalen Services: „Medicare Machine“.
Für den zuständigen Minister Alan Tudge war der Vorfall ein Resultat „traditioneller krimineller Aktivitäten“ und nicht das eines Hacks. Das impliziert wiederum, dass auf die Daten über ein legitimiertes Nutzerkonto zugegriffen wurde. Die Regierung Australiens hat inzwischen eine Re-Evaluierung des Health Professionals Online Services (HPOS)-Systems angestoßen, das man als potenzielle Quelle für das Datenleck ausgemacht hat. Die Erkenntnisse über „Medicare Machine“ wurden an die australische Bundespolizei übergeben. Für die Regierung war der von der Presse entlarvte Darknet-Service ein erster Hinweis darauf, dass ein Innentäter die Daten australischer Bürger stiehlt und ins Netz stellt.
Die Bedrohung durch Inside Jobs wird oft auch als Achillesferse der IT-Sicherheit im Unternehmensumfeld gesehen. Und die steigende Popularität von Crimeware-as-a-Service-Angeboten und illegalen Marktplätzen im Darknet macht es Mitarbeitern mit bösen Absichten so leicht wie nie zuvor, zum Innentäter zu werden, um daraus finanzielle Vorteile zu ziehen. Deswegen sind viele Unternehmen inzwischen dazu übergegangen, die Darknet-Angebote und -Marktplätze regelmäßig auf Hinweise zu überprüfen, ob sie selbst betroffen sind.
DARKNET-SEITEN MIT VARIIERENDEM RISIKOLEVEL
James Nunn Price, Cyber Risk Leader bei Deloitte für die Region Asien-Pazifik, erinnert sich an einen Vorfall bei einem der größten Kunden der Unternehmensberatung – einem europäischen Energieversorger: „Wir übernahmen das Monitoring für den Kunden und mussten feststellen, dass einer ihrer Systemadministratoren seine Remote-Access-Zugangsdaten auf einem Marktplatz im Darkweb zum Kauf angeboten hatte. Sein Ziel war es, die Systeme des Unternehmens durch Angreifer zerstören zu lassen. Der Grund: Er war mit der Haltung des Konzerns zum Thema Fracking nicht einverstanden. Ob man sich bei solch einem Verhalten auf ethische Gründe berufen kann – ich bin mir da nicht sicher.“
Ein Vorfall wie dieser dürfte für jedes Unternehmen eine Horrorvorstellung sein. Deshalb kommen immer mehr Firmen zu der Überzeugung, dass ein Monitoring der Darknet Marketslohnen könnte.
„Manche Unternehmen können das auf eigene Faust lösen. Großkonzerne greifen dafür manchmal auf ihre eigenen Bedrohungsanalysten zurück, die die dazu nötigen technischen Fähigkeiten besitzen“, weiß Craig Lawson, Vice President of Research bei Gartner. „Andere melden sich bei Portalen an, die die Suche und Recherche in Darknet-Seiten ermöglichen, ohne dabei auf die Inhalte zuzugreifen. Oder sie heuern externe Threat Analysts an, die maßgeschneiderte Informationen liefern können“, fügt Lawson hinzu.
Auch wenn einige Unternehmen hierbei einen Do-It-Yourself-Ansatz verfolgen: Das Monitoring dieser Foren und Marktplätze ist eine ressourcenintensive und potenziell auch risikoreiche Aufgabe. Anthony Vaccaro, Experte beim Sicherheitsanbieter AusCERT, der auch Darknet-Analysen im Kundenauftrag durchführt, spricht aus Erfahrung: „Einige Unternehmen überprüfen das Darknet auf Datenlecks. Aber viele haben dazu nicht die Ressourcen. Bei der Überprüfung der Aktivitäten variiert der Risiko-Level je nachdem, auf welchen Markets oder Seiten man sich herumtreibt.“
Der Zugang zu Darknet-Seiten ist dabei nicht das Problem – dabei anonym zu bleiben, gestaltet sich schon schwieriger. Denn Tor-basierte Darknet Markets werden auch regelmäßig zum Ziel von sogenannten Deanonymisation-Attacken oder sind mit Internet Relay Chat (IRC)-Servern verbunden, um gelegentlich mit Käufern oder Verkäufern in Kontakt treten zu können. Der Einsatz eines Proxys oder einen anderen Methode zur Maskierung Ihrer IP-Adresse ist also ratsam, wie Vaccaro mahnt: „Wenn Sie nicht die nötigen Skills haben, um dieses Security-Level zu erfüllen, sollten Sie diese Aufgabe lieber einem Dienstleister überlassen.“


Mehr Artikel

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

5. November 2024

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

1. November 2024

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*