Dark Web-Überwachung

April 19, 2022

Was ist Dark Web-Überwachung?

Bei der Dark Web-Überwachung werden die Informationen Ihres Unternehmens im Dark Web identifiziert und verfolgt. Die Tools für die Dark Web-Überwachung ähneln denen einer Suchmaschine (wie Google), nur werden sie für das Dark Web eingesetzt. Sie machen extrahierte oder gestohlene Informationen ausfindig, die dann im Dark Web zwischen Bedrohungsakteuren ausgetauscht und verkauft werden. Dazu können kompromittierte Kennwörter, Anmeldeinformationen, geistiges Eigentum und andere sensible Daten gehören.

Sie können sich das Internet als System mit drei Bereichen vorstellen:

  • Das Open Web wird von Suchmaschinen indexiert und ist für alle Internetbenutzer sichtbar. Hier finden Sie zum Beispiel Nachrichten und Informationen zu Produkten und Dienstleistungen.
  • Das Deep Web besteht aus legitimen Websites, die jedoch nicht von Suchmaschinen indexiert werden. Dazu gehören Banking-, SaaS- und interne Apps, die per Kennwort geschützt und nicht von Suchmaschinen durchsucht werden.
  • Das Dark Web besteht aus stark verschlüsselten Websites, die auf nicht von Suchmaschinen indexierten Servern gehostet werden.

Die Anonymität des Dark Web zieht Akteure an, die gestohlene digitale Anmeldeinformationen, Kreditkartennummern und andere personenbezogene Informationen, Ransomware-Kits, Hacking-as-a-Service sowie illegale Waren wie Drogen, gefälschte Papiere und Falschgeld kaufen oder verkaufen möchten.

Durch die Überwachung des Dark Web können Unternehmen feststellen, ob sie bereits kompromittiert wurden oder ob es Anzeichen für eine wahrscheinliche Kompromittierung gibt. Sie erfahren unter Umständen, wer sie angreifen möchte und welche Methoden dabei zum Einsatz kommen könnten.

AUFGEKLÄRT: DAS OPEN, DEEP UND DARK WEB

Laden Sie dieses Whitepaper herunter und erfahren Sie, wie Sie mit CrowdStrike Falcon® Intelligence Recon potenziell schädliche und kriminelle Aktivitäten im Dark Web identifizieren können.

Jetzt herunterladen

Wie gelangen personenbezogene Daten ins Dark Web?

Der Großteil der im Dark Web zum Verkauf angebotenen personenbezogenen Daten wird über Phishing, Social Engineering, Malware, Datenkompromittierung oder eine Kombination dieser Methoden entwendet. Vollständige Daten zu einer bestimmten Person mit Name, Geburtsdatum, Sozialversicherungsnummer, Adresse usw. werden als Paket verkauft (so genannte „fullz“). Je nach Wert der Angaben zum Opfer und aktueller Nachfrage am Markt kosten fullz bis zu 30 US-Dollar.

Viele Bedrohungsakteure gehen sogar noch weiter und verkaufen sämtliche personenbezogenen Daten, die sie in einem Unternehmen stehlen, als Komplettpaket.

Was bedeutet es, wenn Ihre Informationen im Dark Web auftauchen?

Es gibt zwei Antworten auf diese Frage. Wenn Verbraucher feststellen, dass ihre Informationen im Dark Web verfügbar sind, sollten sie in der Regel sämtliche Kennwörter ändern, ihre Kontoauszüge im Auge behalten und über einen Wechsel ihrer Kreditkarten nachdenken. Nachdem seit vielen Jahren umfangreiche Datenkompromittierungen (mit bis zu 148 Millionen gestohlenen Datensätzen in nur einer Aktion) praktiziert werden, muss man davon ausgehen, dass von fast jedem Benutzer irgendwann personenbezogene Daten zum Kauf angeboten wurden, selbst wenn das Opfer des Identitätsdiebstahls dies erst seit kurzem weiß. Verbraucher sollten zwar die oben genannten Schutzvorkehrungen treffen, es besteht jedoch kein Grund zur Panik.

Unternehmen hingegen müssen wesentlich energischer reagieren. Sie sind für die Sicherheit der Daten ihrer Kunden verantwortlich und können es sich nicht erlauben, ihre Kunden zu gefährden. Es drohen Rechtsstreitigkeiten, Reputationsverlust, behördliche Strafen und Audit-Kosten. Aber auch die Gefahr zukünftiger Kompromittierungen steigt. So könnten die gestohlenen Anmeldedaten für Credential Stuffing oder andere Angriffe verwendet werden.

Was bringt die Dark Web-Überwachung?

Kompromittierte Anmeldedaten im Dark Web sind nicht der einzige Aspekt, über den sich Unternehmen Sorgen machen müssen. Die Gespräche und Aktivitäten im Dark Web können Hinweise darauf geben, ob ein Unternehmen ins Visier von Angreifern geraten ist oder bereits angegriffen wurde. Denkbar ist auch, dass eine Verbindung zu einer anderen riskanten Aktivität besteht, etwa einem geplanten Angriff auf einen Lieferkettenpartner des Unternehmens. Die Dark Web-Überwachung ist Bestandteil einer allgemeinen Sicherheitsstrategie und fungiert als eine Art Frühwarnsystem.

Abgesehen von der Suche nach Hinweisen auf Datenkompromittierungen können anhand eines solchen Überwachungsservices Risiken durch unbekannte Quellen klassifiziert werden. Unternehmen, die Alarme empfangen, sobald ihre Daten im Dark Web auftauchen, können diese Hinweise mit anderen Bedrohungsquellen verknüpfen und anhand der gewonnenen Erkenntnisse Bedrohungen schneller ausmachen und reduzieren.

Folgende Arten von Risiken lassen sich über die Dark Web-Überwachung aufdecken:

  • Kompromittierungen von Dritten
  • Datendumps in Hackerforen und kriminellen Chatrooms
  • P2P-Lecks
  • Versehentliche Datenlecks
  • Markenmissbrauch
  • Identitätsübernahme
  • Domain Spoofing
  • Potenzielle Bedrohungen

Wer benötigt Dark Web-Überwachungsservices?

Kurz gesagt: Jeder. Jedes Unternehmen, das für den Schutz sensibler Kundendaten zuständig ist, wertvolles geistiges Eigentum besitzt oder ein begehrtes Ziel für Hacker, staatlich gestützte Akteure oder kriminelle Machenschaften darstellt, ist ein guter Kandidat für ein Dark Web-Überwachungstool.

Die Frage sollte also besser lauten: „Lohnt sich Dark Web-Überwachung?“ Dark Web-Überwachung bietet Einblick in Bedrohungen, die herkömmliche Sicherheitstools nicht erkennen können. Unternehmen, die den eigenen Schutz und den ihrer Kunden ernst nehmen und eine umfassende Sicherheitsstrategie verfolgen, sollten die Vorteile prüfen, die sich aus der Einbindung der Dark Web-Überwachung in ihr Sicherheitskonzept ergeben können.

Wie funktioniert Dark Web-Überwachung?

Die Dark Web-Überwachung durchsucht kontinuierlich das Dark Web und ruft nahezu in Echtzeit Rohdaten ab. Dabei werden Millionen von Websites auf spezifische Informationen (wie E-Mail-Adressen des Unternehmens) oder allgemeine Informationen (wie Unternehmensname und Branche) überprüft.

Mit der Bedrohungsanalyselösung CrowdStrike Falcon® Intelligence Recon™ erhalten Sicherheitsteams einfache Assistenten, mit denen sie ohne komplexe Abfragen Suchen durchführen können und gleichzeitig False Positives sowie unwichtige Informationen minimieren. Die Ergebnisse werden als benutzerfreundliche Karten angezeigt, die Angaben zu den ursprünglichen Posts des Bedrohungsakteurs, zum Akteur selbst und zur Website enthalten. Die Informationen können in der Originalsprache und in einer übersetzten Version angezeigt werden. Die Übersetzung wird durch erweiterte Wörterbücher ergänzt und berücksichtigt auch Umgangssprache.

Wenn eine Bedrohung erkannt wird, können Benutzer eine angepasste Warnung ausgeben, um Teammitglieder und relevante Ansprechpartner im Unternehmen über die Bedrohung in Kenntnis zu setzen, z. B. Mitarbeiter aus den Bereichen Marketing, Recht, Personal und Betrug.

Funktionen der Dark Web-Überwachung

  1. Bedrohungsanalysen: Die von der Dark Web-Überwachungslösung erfassten Daten können an automatisierte Bedrohungsanalysesysteme übertragen werden, wo sie die dort bereits verfügbaren Daten vervollständigen.
  2. Bedrohungssuche: Threat Hunter können die Bedrohungssuche mithilfe der Dark Web-Überwachung beschleunigen und erhalten ein umfassenderes Gesamtbild über die Angreifer und ihre Methoden.
  3. Schnellere Reaktion auf Zwischenfälle: Mithilfe von Workflows für Untersuchung und Reaktion lassen sich Bedrohungen schneller eingrenzen.
  4. Integration mit Sicherheitsplattform: Die erfassten Daten können an andere Systeme weitergegeben werden, wodurch sich präzisere Erkenntnisse aus dem gesamten Sicherheitskonzept ableiten lassen.

Wie schützen Sie Ihre Informationen vor dem Dark Web?

Die Dark Web-Schutzmaßnahmen für Ihre Daten sind die gleichen, die Sie generell zum Schutz vor jeder Art von Exfiltration treffen sollten: Sicherung der Endgeräte, Filterung des Datenverkehrs und Segmentierung des Netzwerks.

  • Regelmäßige Schulungen zur Förderung des Sicherheitsbewusstseins
  • Schulung der Benutzer zu typischen Risiken im Homeoffice, vor allem bei privaten Geräten, die zu beruflichen Zwecken genutzt werden (BYOD)
  • Einsatz von Kennwortmanagern und Implementierung einer Richtlinie für den Kennwortablauf
  • Implementierung von Single Sign-On und Multifaktor-Authentifizierung
  • Implementierung und Priorisierung eines Programms zur Schwachstellenverwaltung
  • Segmentierung des Netzwerks zur Verhinderung lateraler Bewegungen
  • Umfassender Überblick über die gesamte Umgebung