Machen Sie das Dark Web zu Ihrem Frühwarnsystem
Mit den richtigen Tools und dem richtigen Team können Sie das Dark Web in ein Frühwarnsystem verwandeln – den Kanarienvogel im Bergwerk, der Angriffe entdeckt, bevor sie größeren Schaden anrichten.
Stellen Sie sich vor, Sie sind eine Führungskraft bei einer Fluggesellschaft und sitzen an einem untypisch ruhigen Montagmorgen mit einer frischen Tasse Kaffee an Ihrem Schreibtisch. Sie fühlen sich erfrischt, entspannt und bereit für die kommende Woche.
Während Sie Ihren Posteingang abarbeiten, erregt das vertraute Tap-Tap-Tap einer Slack-Benachrichtigung Ihre Aufmerksamkeit.
Sie öffnen das Fenster. Es ist eine Nachricht vom Leiter des Security Operations Center (SOC), und keine gute: „Es gibt einen Datenbroker im Dark Web, der eine riesige Menge unserer Kundendaten zum Verkauf anbietet.“
Was machen Sie? Eine Dringlichkeitssitzung der Unternehmensleitung einberufen? Die Polizei anrufen?
Ihr erster Instinkt könnte sein, in Panik zu geraten. Unsere Daten sind im Dark Web. Das ist schlimm.
Im Idealfall würden Sie Ihre Threat-Intelligence-Analysten jedoch um eine genauere Untersuchung bitte, bevor sie reagieren.
Denn Cyberkriminelle sind nicht gerade vertrauenswürdig, und die von ihnen angebotenen Daten sind vielleicht nicht das, was sie vorgeben zu sein. Vielleicht handelt es sich in Wirklichkeit um Drittanbieterdaten von einer Reise-Website, die nur lose mit Ihnen verbunden ist. Vielleicht nutzen sie auch nur den sehr bekannten Namen Ihres Unternehmens, um Käufer anzulocken.
Das würde bedeuten, dass Ihre Kundendaten sicher und unversehrt sind und Sie keine massive, kostspielige, öffentliche Reaktion einleiten müssen. Vielleicht müssen Sie überhaupt nichts tun.
Der Sinn dieser Gedankenübung (in Anlehnung an einen realen Vorfall, mit dem IBM® X-Force befasst war) ist, dass das Dark Web viel banaler ist, als sein düsterer Ruf vermuten lässt.
Alltäglich und erkennbar.
Sicherlich gibt es im Dark Web eine Menge zwielichtiger und bösartiger Aktivitäten. Aber die Überlieferungen, die diese schattige Ecke des Internets umgeben, können das Urteilsvermögen trüben.
Durch eine genaue, ruhige und rationale Überwachung der Aktivitäten im Dark Web können Unternehmen die Mythen durchbrechen und sich ein genaues Bild davon machen, was in dem berühmten Hackerparadies wirklich passiert.
Dennoch kann das Dark Web ein schwieriges Terrain darstellen. Tatsächlich könnten sich Kriminelle sogar gegenseitig infizieren, um Einblicke oder Zugang zu Daten und Bankkonten zu erhalten. Deshalb ist es hilfreich, die Unterstützung von qualifizierten Experten für Cybersicherheit zu haben, die zwischen leeren Drohungen und echten Risiken unterscheiden können.
Think-Newsletter
Würde Ihr Team den nächsten Zero-Day rechtzeitig erkennen?
Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.
Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.
Sehen Sie über den ominösen Namen und die urbanen Legenden hinweg. Das Dark Web ist letzten Endes nur ein bestimmter Bereich des Internets – wenn auch einer, der absichtlich undurchsichtig ist.
Im Großen und Ganzen können wir sagen, dass das Internet aus drei Ebenen besteht.
- Das Open Web, das alle öffentlich zugänglichen Websites umfasst, die Sie über eine Suchmaschine finden können.
- Das Deep Web, das die Dinge umfasst, die von Suchmaschinen nicht indiziert werden. Das Deep Web ist viel größer als das Open Web, und das meiste davon ist harmlos. Ihr Online-Bankkonto? Inhalte mit Paywall? Das ist das Deep Web.
- Das Dark Web ist ein Teilbereich des Deep Web, für dessen Zugriff eine spezielle Browsing-Software wie der Tor-Browser erforderlich ist.
Wie sieht das Dark Web aus? Es unterscheidet sich nicht allzu sehr vom Open Web. Menschen versammeln sich in Foren. Sie verkaufen Dinge auf Marktplätzen. Der große Unterschied ist, dass die Dinge, die sie diskutieren und verkaufen, ein gewisses Maß an Anonymität erfordern.
Nicht alles, was im Dark Web passiert, ist böswillig. Journalisten zum Beispiel können es nutzen, um vertrauliche Informationen zu beschaffen und zu teilen.
Aber es stimmt, viele Bewohner des Dark Web sind Cyberkriminelle. In ihren Foren geht es nicht um Fernsehsendungen und Nischenhobbys, sondern um den Handel mit Exploits und die Rekrutierung neuer Bandenmitglieder. Anstatt Kleidung und Videospiele zu verkaufen, verkaufen sie Malware, Kreditkartennummern und gestohlene Zugangsdaten. Eine Menge gestohlener Zugangsdaten.
Laut dem X-Force Threat Intelligence Index ist das Hijacking gültiger Benutzerkonten einer der häufigsten anfänglichen Vektoren für Data Breaches und macht 30 % aller Cyberangriffe aus.
Allein im vierten Quartal 2024 wurden laut X-Force 1,2 Millionen Zugangsdaten im Dark Web zum Verkauf angeboten, oft für nur 14 USD pro Datensatz. Andere Hacker kaufen diese Zugangsdaten und verwenden sie, um Identitätsdiebstahl zu begehen oder in Unternehmensnetzwerke einzudringen.
Einige Cyberkriminelle bieten das an, was wir als „Malware as a Service“ bezeichnen. Dabei wird das klassische SaaS-Modell (Software as a Service) auf Ransomware und andere bösartige Software angewendet. Diese Bedrohungsakteure verkaufen firmeneigene Malware an Partner, die die Malware für Angriffe nutzen und einen Teil ihrer unrechtmäßigen Einnahmen mit den Entwicklern teilen.
Und dann gibt es noch die „Access-Broker“, die sich Zugang zu den Zielsystemen verschaffen und diesen Zugang an andere Cyberkriminelle verkaufen, damit diese nach Belieben operieren können.
Egal, ob sie Daten, Zugang oder Malware verkaufen, diese Cyberkriminellen organisieren sich in der Regel in Banden, anstatt auf eigene Faust zu handeln. Aber es ist schwer, diese Banden im Auge zu behalten. Sie neigen dazu, sich zu bilden, aufzusteigen und schnell wieder zu verschwinden. Mehr als die Hälfte der aktivsten Ransomware-Banden im Dark Web im ersten Quartal 2025 existierte zum Beispiel erst seit einem Jahr oder weniger.
Das Kräfteverhältnis im Dark Web verschiebt sich ständig. Die Strafverfolgungsbehörden zerschlagen Banden. Gebrandmarkte Mitglieder spalten sich ab und gründen ihre eigenen Unternehmen. Manchmal führt der Wettbewerb zwischen den Gruppen zu direkten Angriffen. Dies war im Februar dieses Jahres der Fall, als eine rivalisierende Bande den Code für die neueste Version der berüchtigten Ransomware der Lockbit-Gruppe weitergab.
Das schnelle Tempo der Veränderungen und die komplizierte Dynamik zwischen Banden und Marktplätzen sind nur einige der Gründe, warum es sich lohnt, mit engagierten Threat-Intelligence-Analysten zusammenzuarbeiten, die für Ihr Unternehmen die Aktivitäten im Dark Web im Auge behalten können. Im Chaos des Geschehens ist es allzu leicht, die roten Fahnen zu übersehen, die auf eine aktive Bedrohung Ihres Unternehmens hinweisen könnten.
Die meisten von uns wissen, dass sie die Beiträge von Fremden in den sozialen Medien nicht für bare Münze nehmen sollten. Doch wenn Cyberkriminelle behaupten, dass sie über sensible Daten verfügen, ohne auch nur den geringsten Beweis dafür zu haben, sind wir geneigt, ihnen zu glauben.
Aber das sollten wir nicht. Und das ist ein weiterer Bereich, in dem Analysten für Threat Intelligence nützlich sein können: die Unterscheidung von Fakten und Fiktion im Dark Web.
Cyber-Kriminelle lügen. Und das sehr oft. Sie behaupten routinemäßig, Daten von großen, führenden Unternehmen zu haben – Daten, die sie in Wirklichkeit nicht haben. Und warum? Um kompetenter zu erscheinen, als sie es tatsächlich sind, und sich so einen ungerechtfertigten Ruf als fähige Hacker zu verschaffen. Oder sie versuchen, für weniger attraktive Daten in ihrem Besitz die Werbetrommel zu rühren.
Eine Gruppe könnte zum Beispiel behaupten, im Besitz von Daten einer großen globalen Marke zu sein. Wenn potenzielle Kunden auftauchen, behauptet die Bande, dass diese Daten bereits verkauft wurden. Stattdessen können sie aber andere Daten von einem weniger bekannten Unternehmen anbieten. Dies ist im Wesentlichen eine Form des Social Engineering, die sich an andere Cyberkriminelle richtet.
Andererseits geben Cyberkriminelle die Daten, die sie tatsächlich haben, nicht immer offen bekannt. Um nicht erwischt zu werden, verschleiern sie oft ihre Opfer. Anstatt zu sagen, dass sie im Besitz von Daten des Unternehmens X sind, sagen sie vielleicht: „Wir haben Daten von einem Unternehmen der Größe X in der Branche Y mit einem Wert von Z.“
Was Unternehmen benötigen, ist ein ausgeklügeltes Überwachungsprogramm, das sowohl gefälschte Datenlecks als auch echte, aber getarnte Bedrohungen genau identifizieren kann.
Der ultimative Wert der Ressourcen für die Überwachung des Dark Web besteht nicht nur darin, Mythen zu zerstreuen und die Lügen der Cyberkriminellen zu durchschauen. Vielmehr können Unternehmen mit den richtigen Tools und dem richtigen Team das Dark Web in ein Frühwarnsystem verwandeln, den Kanarienvogel im Bergwerk, der Angriffe entdeckt, bevor sie größeren Schaden anrichten.
Wenn die Daten oder Netzwerkzugänge eines Unternehmens im Dark Web verkauft werden, bedeutet dies, dass sie bereits kompromittiert wurden. Aber manchmal ist das der früheste Zeitpunkt, an dem ein Angriff entdeckt werden kann.
Dies gilt insbesondere heute, wo Bedrohungsakteure zunehmend verdeckte Angriffsmethoden anwenden, z. B. die Übernahme von Benutzerkonten oder sogar die Zusammenarbeit mit böswilligen Insidern, die ihre legitimen Berechtigungen missbrauchen. Wir konnten beobachten, wie Access-Broker im Dark Web vorgeben, Mitarbeiter oder Partner von Mitarbeitern der Unternehmen zu sein, die sie kompromittiert haben.
Angreifer haben auch begonnen, kleinere, so genannte „lästige“ Malware zu verwenden, um größere Nutzlasten zu übermitteln, wie z. B. das Einschleusen von Ransomware durch einen Infostealer. Wenn sie in ein Netzwerk eingedrungen sind, führen sie oft ein Eigenleben. Das heißt, sie nutzen die legitime Netzwerkinfrastruktur, wie PowerShell-Skripte und echte Benutzerkonten, um sich im Netzwerk zu bewegen und auf sensible Daten zuzugreifen.
Standardmäßige Tools für die Netzwerksicherheit übersehen diese Aktivitäten oft, weil sie nicht bösartig aussehen, sondern wie autorisierte Benutzer und Systeme, die autorisierte Dinge tun.
Daher weiß man manchmal erst, dass etwas nicht stimmt, wenn Daten im Dark Web auftauchen. Wenn Unternehmen diese Daten sofort abfangen, wenn sie auftauchen, können sie schnell Maßnahmen zur Minimierung der Auswirkungen ergreifen. Sie können die Anmeldeinformationen der kompromittierten Konten ändern oder Server mit bekannten Hintertüren abschalten. Die Daten-Dumps werden wertlos, und das volle Ausmaß des Angriffs wird nie bekannt.
Um ein solches Maß an Überwachung zu erreichen, reicht es nicht aus, einige Bedrohungsdaten-Feeds oder eine Self-Service-Plattform zu erwerben. Es erfordert spezialisierte Analysten, die wissen, was aus all diesen Daten zu machen ist und wie man die Bedrohungen findet, die Cyberkriminelle absichtlich verstecken. Diese Analysten sind in der Lage, die Ergebnisse zu interpretieren, Kontext zu schaffen, echte Risiken zu priorisieren und das Unternehmen zu effektiven Maßnahmen zu bewegen.