Postmodern Studio | shutterstock.com
Ist vom Darkweb die Rede, weckt das bei den meisten Menschen dunkle Assoziationen von einem florierenden Cyberuntergrund, in dem (unter anderem) mit Waffen, Drogen und Zugangsdaten gehandelt wird. Das trifft zwar durchaus zu – allerdings eröffnet das Darkweb Unternehmen, beziehungsweise Security-Spezialisten und -Forschern, auch einige interessante Möglichkeiten, Schaden zu begrenzen und sich besser abzusichern.
3 Darkweb-Anwendungsfälle für Unternehmen
1. Bedrohungsinformationen sammeln
Besonders wertvoll ist das Darkweb, um Threat Intelligence zu gewinnen. Hacker-Foren oder spezifische .onion-Webseiten zu besuchen, die nur über den Tor-Browser zugänglich sind, kann Verteidigern Einblicke in die Taktiken, Techniken und Prozesse von Cyberkriminellen ermöglichen. Das wird für Unternehmen immer wichtiger, weil kriminelle Hacker sich zunehmend professionell organisieren und des Öfteren auch mehreren Ransomware- oder Cybercrime-Gruppen gleichzeitig angehören.
Darüber hinaus können Security-Spezialisten und White Hats das Darkweb auch nutzen, um:
- bevorstehende Angriffe zu antizipieren,
- sich über Schwachstellen- und Zero-Day-Exploits zu informieren, oder
- Phishing-Toolkits und neue Malware-Varianten zu explorieren.
Im Darkweb Bedrohungsinformationen einzuholen, kann aber nicht nur Anwenderunternehmen dabei unterstützen, sich besser zu schützen. Auch Sicherheitsanbieter können diese Informationen nutzen, um ihre Produktportfolios und Verteidigungstechnologien zu optimieren.
2. Angriffe attribuieren
Das Darkweb zu frequentieren, kann jedoch nicht nur auf prädiktiver, sondern auch auf reaktiver Ebene nützlich sein: Sind Unternehmen von Datenschutzvorfällen oder Cyberattacken betroffen, wird der Netzuntergrund für sie zu einem wichtigen Tool. So versuchen etwa Ransomware-Gruppen, sich nach einem Angriff in eine bessere Verhandlungsposition zu bringen, indem sie Samples der gestohlenen Daten auf Leak-Seiten im Darkweb veröffentlichen. Geht das betroffene Unternehmen nicht auf die Lösegeldforderung ein, werden weitere Datensätze veröffentlicht. Oft handelt es sich dabei um besonders sensible Informationen – etwa Kunden- oder Patientendaten. Diese bieten Cyberkriminelle in manchen Fällen auch direkt über Hacker-Foren zum Kauf an.
Das können betroffene Organisationen nutzen, um das Ausmaß des angerichteten Schadens zu erfassen und den Angriff zuzuordnen. Etwa, indem sie identifizieren,
- welche Informationen öffentlich zugänglich gemacht wurden,
- welche Cybercrime-Gruppen oder -Individuen sich mit dem Angriff brüsten, und
- wie die gestohlenen Daten weiterverbreitet werden.
Die Zuordnung von Angriffen ist insbesondere essenziell, wenn ein offensichtliches, finanzielles Motiv fehlt. In so einem Fall könnte es sich auch um einen Angriff von Hacktivisten handeln. Oder schlimmer: eine Insider-Attacke.
3. Lage überwachen
Um das Darkweb zu überwachen, stehen diverse Tools und Services zur Verfügung. Einer der bekanntesten Dienste, wenn es um Daten-Leaks geht, ist HaveIBeenPwned. Benutzer können sich auf der Seite mit ihrer E-Mail-Adresse kostenlos registrieren und werden dann informiert, falls ihre Daten (oder Teile davon) im Darkweb oder in Hacker-Foren auftauchen. Für Unternehmen bietet das Unternehmen speziell abgestimmte Preispläne, unter anderem mit dediziertem Support.
Darüber hinaus sind Suchmaschinen wie Intelligence X darauf spezialisiert, Security-Profis dabei zu unterstützen, gezielt zu überprüfen, ob bestimmte Daten im Rahmen von Daten-Leaks im Darkweb veröffentlicht wurden. Etwa Krypto-Wallet-Adressen, IPs, Domains oder E-Mail-Adressen. (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.