Darknet und Deepnet: Was (nicht nur) CISOs und CIOs wissen sollten
von Tina Siering
Clearnet, Deepnet und Darknet
Eine der bekanntesten Metaphern zur Verbildlichung des Internets ist ein Eisberg:
Der sichtbare Teil oberhalb symbolisiert das Clearnet (auch: Clear Web), also jenen indexierten Teil, der mit Standardbrowsern zugänglich ist.
Den mit Abstand umfangreichsten Bereich (ca. 90% des gesamten Internets) macht aber das Deepnet (auch: Deep Web) unterhalb der Wasseroberfläche aus. Hier befinden sich Firmendatenbanken, Streaming-Server sowie Online-Speicher, die nicht von Suchmaschinen indexiert werden. Grundsätzlich steht das Deep Web allen offen, viele Inhalte sind jedoch abgesichert, bspw. um Unternehmensgeheimnisse zu schützen. Für den Zugang sind keine besonderen Tools erforderlich, jedoch wird Wissen zur Verortung der Inhalte benötigt, um diese Informationen gezielt aufzufinden .
Das Darknet (oder: Dark Web) wiederum ist ein relativ kleiner Teil des Deep Web. Die Seiten des Darknets sind nicht durch die üblichen Suchmaschinen oder Browser auffindbar. Für den Zugang wird eine spezielle Verschlüsselung wie das Tor-Netzwerk (“The Onion Router”) benötigt, das die Anonymität beim Surfen gewährleistet. Nur mit Hilfe dieser Anonymisierungsnetzwerke sind Seiten im Darknet entweder direkt ("Peer-to-Peer"), bzw. mit Kenntnis der genauen URL abrufbar.
Die gebotene Anonymität ist aber nicht nur für Kriminelle interessant, sondern auch für legitime Nutzer, die einen gezielten Schutz ihrer Kommunikation benötigen, wie Journalisten, politisch Unterdrückte, Dissidenten oder Oppositionelle aus diktatorisch regierten Ländern. Die verschlüsselte Struktur ermöglicht u.a. Zugriff auf regional gesperrte Inhalte und das Umgehen von Zensur. Die Anonymität ermöglicht es journalistischen Quellen, in manchen Fällen unerkannt zu bleiben, und Whistleblowern, ihre Erkenntnisse mit der Öffentlichkeit zu teilen.
Auch Behörden oder Finanzinstitute benötigen möglicherweise direkten Zugang zu Informationen, die nur über Quellen im Darknet verfügbar sind. In vielen Fällen suchen diese Unternehmen nicht nur nach geleakten Zugangsdaten oder Unternehmensinformationen, sie benötigen auch Informationen über potenzielle Bedrohungsakteure, sich entwickelnde (neue) Angriffsvektoren oder aktive Exploits.
Zugang ins Darknet mit Hilfe des TOR-Browsers:
Bildquelle: BSI
Wie Kriminelle das Darknet für ihre Machenschaften nutzen
Aufgrund der verschlüsselten Kommunikation und der damit verbundenen Anonymität machen sich auch Kriminelle das Darknet zunutze: Im Darknet finden sich Foren, Webshops und Handelsplattformen für Dienstleistungen und Waren, die ansonsten entweder illegal sind oder strengen gesetzlichen Regelungen unterliegen. Kurzum ein Handelsplatz für Straftaten und illegale Güter aller Art, wobei die Angebote in der Regel in Kryptowährungen bezahlt werden.
Begünstigend kommt hinzu, dass auch Unternehmen und Mitarbeiter viele Datenspuren im Internet hinterlassen. Hacker sammeln diese Daten aus unterschiedlichsten Quellen zusammen und bieten diese im Darknet und auf illegalen Seiten an. Insbesondere nach einem Sicherheitsvorfall gelangen massenweise Daten ins Darknet. Informationen wie Namen, E-Mail-Adressen, Kreditkartendaten und Passwörter sind im Darknet begehrt, u.a. um Malware- oder Ransomware-Angriffe mittels Phishing-Mails durchzuführen.
Cyberkriminelle nutzen das Darknet so gezielt für ihre Machenschaften, beispielsweise um eben jene geleakten Unternehmensdaten zu erwerben oder RaaS-Services zu beauftragen. Wie gefährlich das illegale Angebot im Darknet für Unternehmen ist, zeigt die Darknet Studie 2023 von Botiguard mit 26.000 analysierten Unternehmen aus 80 Branchen und Kategorien: Bis zu 60 % aller untersuchten Unternehmensdaten waren zum kostenpflichtigen Download auf Darknet-Marktplätzen gefunden worden – darunter auch Daten vieler deutscher Firmen.
Warum CIOs und CISOs das Darknet kennen sollten
Obwohl das Clearnet mutmaßlich als die größere Bedrohung für erfolgreich durchgeführte Cyberangriffe gilt, sollten sich CISOs und CIOs idealerweise mit und in den Strukturen des Darknet auszukennen und getreu dem Motto „Kenne deinen Feind“ handeln - denn Cyberkriminelle sind im Darknet aktiv.
Das Sammeln von nützlichen Informationen über mögliche Bedrohungsszenarien im Darknet ist entscheidend, um Unternehmen vor zukünftigen Gefahren zu schützen. IT-Sicherheitsteams können durch gezielte Maßnahmen wertvolle Erkenntnisse gewinnen, die ihnen helfen, ihre Organisationen vor Angriffen zu schützen.
Um ein Unternehmen effektiv vor Cyberkriminellen zu schützen, ist auch das Wissen über die im Darknet angebotenen Daten von großer Bedeutung, denn Cyberkriminelle nutzen kompromittierte Accounts, bspw. um Phishing-Angriffe durchzuführen. Dazu gehören unter anderem:
- Beobachtung des aktuellen Malware-Marktes
- Aufspüren illegaler Datenbanken und Prüfung auf Datenleaks
- Auffinden gestohlener Zugangsdaten
- Auffinden von zum Kauf angebotener Zugänge zu Unternehmensnetzwerken
- Kenntnis über Wissensanhäufung und den Wissensaustausch zwischen Cyberkriminellen (z.B. zu aktueller Malware, Absprachen zu Exploits)
Fazit
Für CISOs und CIOs ist es entscheidend, sich der möglichen Gefahrenquellen im Darknet bewusst zu sein und gleichzeitig für maximale IT-Sicherheit zu sorgen.
Obwohl das Clearnet als größere Bedrohung für erfolgreiche Cyberangriffe gelten mag, liefert die Darknet-Recherche wertvolle Informationen über potenzielle Bedrohungsszenarien, die Unternehmen helfen können, sich gegen Cyberkriminelle zu schützen.
Jeder Anwender, der im Darknet recherchiert, muss sich jedoch der möglichen Gefahrenquellen bewusst sein und sollte daher für maximale IT-Sicherheit sorgen.
Um sich sicher im Darknet zu bewegen, empfehlen wir die folgenden Sicherheitsmaßnahmen:
1. Den Tor-Browser zusammen mit einem VPN-Dienst für zusätzliche Sicherheit nutzen: Der Tor-Browser verschleiert die IP-Adresse, während ein VPN-Dienst den gesamten Datenverkehr verschlüsselt und zusätzliche Anonymität bietet.
2. Eine Lösung für Endpoint Security einsetzen: Endpoint Security schützt die Endpunkte von Netzwerken, wie Computer und Mobilgeräte, vor Sicherheitsrisiken und Cyberangriffen.
3. Eine separate "Online-Persönlichkeit" für das Darknet kreieren: Durch die Nutzung einer getrennten Identität kann die eigene Privatsphäre geschützt und das Risiko von Rückverfolgung oder Identifikation minimiert werden.
4. Ein Tool zum Identitätsschutz verwenden: Dieses hilft dabei, persönliche Informationen zu verschleiern und verhindern, dass sensible Daten in falsche Hände geraten.
5. Keine Dateien aus dem Darknet herunterladen: Das Herunterladen von Dateien aus dem Darknet birgt die Gefahr, Malware oder Viren auf das eigene Gerät zu übertragen.
6. ActiveX und Java in allen verfügbaren Netzwerkeinstellungen deaktivieren: Durch das Deaktivieren von ActiveX und Java wird die Anfälligkeit für bestimmte Arten von Cyberangriffen reduziert, die diese Technologien ausnutzen könnten.
7. Zugangsbeschränkungen zum Tor-aktivierten Gerät einrichten: Durch das Einrichten von Zugangsbeschränkungen können unbefugte Zugriffe auf das Gerät verhindert und die Sicherheit erhöht werden.