Kolumne

Darknet Intelligence im Deep Web

Der blinde Fleck der IT-Security

Oliver Schneider [Riskworkers GmbH]11.08.2015, 08:45

Auch Hacker, Kriminelle, Cyberspione nutzen das Internet. Deren Standort oder digitale Beute lässt sich allerdings nur in den seltensten Fällen über konventionelle Suchmaschinen ermitteln, denn die Täter verbergen ihre Beute im "Deep Web"1. Allerdings interagieren auch diese mit anderen Internetnutzern. Genutzt werden hier oft P2P-Plattformen und File Sharing Programme, die nun in Gänze und in Echtzeit beobachtet werden können.

Schlagzeilen wie "Kriminelle erbeuten Kreditkartendaten in großem Umfang", "18 Millionen gestohlene Email-Passwörter von Staatsanwaltschaft sichergestellt", "Größte Krankenkasse Deutschlands von Datendieben erpresst", "Hacker fordern Lösegeld für Daten", erstaunen nur noch den Laien, der sich wundert, wie dies angesichts der großen Investitionen in die IT-Sicherheit passieren kann. Anders IT-Sicherheitsexperten. Im September 2013 kamen Experten des Beratungsunternehmens PWC in der Studie "Defending Yesterday" zum Ergebnis, dass die klassische IT-Security mit den Bedrohungen nicht mehr Schritt halten kann, weil erst dann etwas zur Verteidigung entwickelt wird, wenn eine Gefahr identifiziert wurde. Zudem, und das ist die wesentliche Erkenntnis, nützen eigene IT-Security Mechanismen immer weniger, da auch mit Dritten, Externen, immer mehr und immer intensiver kommuniziert werden muss.

Was die wenigsten wissen: Die größten unerwünschten Datenabflüsse erfolgen über diese externen Partner.2 Doch ob Innentäter oder Aktivitäten von Partnern zum Datenabfluss führen, ist letztlich unerheblich, denn die gestohlenen Daten sollen nutzbar, in der Regel wirtschaftlich verwertet werden. Dazu müssen diese mehr oder weniger zugänglich abgespeichert, weitergereicht oder auch offen angeboten werden. Genutzt werden dazu in der Regel P2P-Netze oder Filehoster. 

Auch Täter nutzen deren Vorteile, denn über P2P können große Datenmengen nicht nur von einem zentralen Server verteilt werden, der bei vielen Anfragen blockieren könnte, sondern auch über Downloader, die Files oder Teile davon in freigegebenen Verzeichnissen zur Verfügung stellen. Genutzt wurde und wird dies vor allem beim Austauschen von Videos, Musik, Software oder E-Books – auch wenn die Zurverfügungstellung solcher Daten normalerweise Urheberrechtsverstöße beinhaltet. Hier ist auch das Gros der weltweit rund 750 Mio. P2P-Nutzer zu finden.

In den mehr als 3.000 kostenlosen öffentlichen P2P-Netzwerken finden sich aber immer häufiger auch vertrauliche und sensible Dokumente von Unternehmen. Mitarbeiter, Lieferanten, Auftragnehmer, Vertreter, Partner und Kunden geben hier jedes Jahr freiwillig oder fahrlässig Dateien in großer Zahl frei. Einmal offen gelegt sind die Dokumente beliebig verfügbar für jeden, der an der jeweiligen Tauschbörse teilnimmt. Identitätsdiebe, Cyberkriminelle, Terroristen, Mitbewerber, Medien und anderen Interessierte nutzen diese Möglichkeiten. 

Der blinde Fleck

Das Denken betrieblicher Sicherheitsexperten ist entsprechend dem Wesen des Security Managements oft auf das Absichern von Systemen, Personen, Prozessen und Strukturen fokussiert. Im virtuellen Bereich haben wir es dagegen neben dem sichtbaren Internet oft auch mit einem blinden Fleck zu tun. Das Deep Web3 bleibt mit den herkömmlichen Mitteln unsichtbar, selbst wenn hier vieles geschieht oder geschehen kann, was in einem Unternehmen Schaden zufügt. Es ist für viele Sicherheitsverantwortliche daher schwer, solche Risiken zu identifizieren und somit auch glaubhaft zu kommunizieren.

In den normalerweise für Außenstehende unzugänglichen Bereichen des Internets können vielfältige Gefahren für das eigene Geschäftsmodell entstehen. Etwa wenn hier Dateien vorhanden sind, die dort, wie auch immer sie dahin gelangt, für Unberechtigte abrufbar sind, so zum Beispiel: Personenbezogene Daten, IP-Adressen, Kreditkarteninformationen, Kundendateien, Verträge, Produktspezifikationen, Patentanmeldungen, Konto- oder Transaktionsinformationen, Informationen zu geplanten Mergers & Acquisitions, Entscheidungsvorlagen des Vorstands etc. 

Ein Sicherheitsverantwortlicher hat hier eigentlich nur zwei Möglichkeiten:

  • Er ignoriert die potenziellen Risiken, denn "was ich nicht weiß, macht mich nicht heiß". Was allerdings wohl nicht im Sinne seiner Aufgabe der "Gefahrenabwehr" ist.
  • Er nimmt das Risiko wahr und betreibt "Darknet Intelligence", also sucht und nutzt Wege, die ihm helfen Internet-Gefährdungen für betriebliche Assets zu sehen, die sich außerhalb der eingeschränkten Sicht von Google & Co. befinden.

Was ist Darknet Intelligence?

Unter "Darknet Intelligence" wird das Definieren von Suchanforderungen, das Suchen, Auffinden und Bereitstellen von öffentlich in Peer-to-Peer-Netzen zugänglichen Informationen verstanden. Lange Zeit war dies eine Domäne besonders geschulter Ermittler bei Polizei oder anderen Sicherheitsbehörden. Neu ist hier der Ansatz einer softwaregesteuerten Suche. Sie erlaubt Unternehmen, etwa internen und externen Ermittlern, Business Development Abteilungen, F&E, die IT-Security oder auch der klassischen Unternehmenssicherheit im Darknet beispielsweise nach eigenen Dokumenten zu suchen, die das Unternehmen unberechtigt verlassen haben oder auch nach Informationen, die das Unternehmen benötigt, um den illegalen Handel mit Produkten, Ideen und sonstigen materiellen wie immateriellen Gütern zu unterbinden.

Typische Fragen für die "Darknet Intelligence" könnten beispielsweise sein:

  • Welche vertraulichen oder gar geheimen Informationen aus dem Unternehmen sind zu finden?
  • Wie sind sie dorthin gelangt?
  • Welches Bedrohungs- und Risikopotenzial ergibt sich daraus?
  • Wird im Darknet mit Produkten des Unternehmens gehandelt?
  • Woher stammen die Produkte?
  • Gibt es im Unternehmen Lücken, die auf den Ursprung der Produkte hinweisen?
  • Kann dadurch ein Schaden entstehen – materiell und immateriell?
  • Wird das Unternehmen deshalb erpressbar?

Bei erfolgreicher Suche stehen nun Beweise statt Argumente zur Verfügung. War es in der Vergangenheit lediglich möglich, das eventuell betroffene Unternehmen durch "gutes Zureden" hinsichtlich des Abflusses von Informationen zu sensibilisieren, so kann man nun beweisen, dass es Opfer von Datenabflüssen wurde. Zudem kann bei Nutzung geeigneter Tools auch festgestellt werden, über welche IP-Adresse die Informationen abgeflossen sind, an welche IP-Adressen Dokumente weitergeleitet wurden und auf wie vielen Servern ein Dokument zur Verfügung steht. Inhouse-Lösungen gibt es hier allerdings noch nicht auf dem Markt, allerdings Dienstleister.

Unternehmen sind somit in der Lage, das Darknet legal (siehe Info-Box) zu beobachten, eigene Datenabflüsse zu beweisen, Täter und Dokumentenhändler zu identifizieren, um danach rechtliche und technische Maßnahmen einzuleiten. Zudem können abgewehrte Hacker-Angriffe mit Hilfe der IT-Forensik aufgeklärt werden. Der Nachweis, dass ein Unternehmen dem Cyber Risiko unterliegt, wird somit erbracht. Dies wird auch als Grundlage dafür dienen, dass einige Risiken präventiv deutlich reduziert werden können. Zum Beispiel:

  • Wirtschaftskriminalität durch Unterbinden des Handels mit Informationen, Daten und Produkten;
  • Vertrauens- und Reputationsrisiko bei Kunden, Geschäftspartnern, Zulieferbetrieben und der Öffentlichkeit;
  • Virtuelles Entführungs- und Erpressungsrisiko;
  • Unkontrollierter Datenabfluss über bislang nicht identifizierte Datenlecks;
  • Existenzbedrohung durch Informationsabfluss an Mitbewerber;
  • Rechtsrisiken beziehungsweise Compliance-Risiken.

Letztendlich stellt die Fähigkeit zur Darknet Intelligence einen Quantensprung im Security Management dar – es gilt dieses Thema des 21. Jahrhunderts nun anzugehen!

Autor:

Oliver Schneider ist Geschäftsführender Gesellschafter der Riskworkers GmbH, München. Mit Unternehmenssicherheit beschäftigt sich das ehemalige KSK-Mitglied seit 2001. Seit 2006 ist er international als Sicherheits-, Risiko- und Krisenmanagementberater tätig. E-Mail: oliver.schneider@riskworkers.com

 "Darknet-Intelligence" der deutschen Sicherheitsberatung Riskworkers GmbH ist ein Dienstleistungsangebot. Unternehmen müssen somit keine Hard- oder Software bereitstellen und kein Personal schulen und vorhalten. Der Auftraggeber muss lediglich einen Suchauftrag formulieren. Riskworkers setzt dann eine spezielle P2P-Technologie und forensische P2P-Methoden ein, um den Suchauftrag zu bearbeiten. Gesucht wird dabei auch nach Inhalten, nicht nur nach Dateinamen.

Das Dienstleistungspaket kann je nach Bedarf zusammengestellt werden. Typische Module ("Tickets") sind, nachdem die Suche definiert wurde – zum Beispiel nach als "streng vertraulich" gekennzeichneten Unternehmensdokumenten:

- P2P-Netzwerk, auf denen die Dokumente im Umlauf sind

- IP-Adressen der User, auf deren Rechner sich die Dokumente befinden

- Stellung des "Users" zum Unternehmen (beispielsweise Dienstleister, Lieferant)

- Namen und Formate der aufgefunden Dateien

- Bewertung und Hinweise auf den Ursprung des Datenlecks

- Schließung der identifizierten IP-Adressen und Vermeidung einer weiteren Verbreitung

Angeboten wird dies sowohl einmalig, für eine bestimmte Periode oder als dauerhaftes 24/7/365 Monitoring der P2P-Netze mit Echtzeitmeldungen. 

Der Rechtsrahmen

Die öffentliche Zugänglichmachung eines rechtlich geschützten Werkes, zum Beispiel Unternehmensinterna über eine Filesharing-Software ist unzulässig, denn sie greift in das urheberrechtliche Verwertungsrecht des Rechteinhabers nach § 19a UrhG ein und ist auch nicht durch § 53 Abs. 1 UrhG (Privatkopie) gedeckt. Sofern durch einen Download gleichzeitig ein Upload ermöglicht wird, ist dies bereits unzweifelhaft und unbestritten eine Urheberrechtsverletzung. Die gilt auch, wenn nur ein Teil einer damit öffentlich zugänglich gemacht wird. (LG Köln vom 21.04.2010, Az.: 28 O 596/09).

Ein Gutachten von Prof. Dr. Marco Gercke, Leiter Cybercrime Research Institute, Köln, kommt in diesem Zusammenhang zum Ergebnis, dass im Einzelfall Unternehmen sogar gesetzlich und/oder vertraglich verpflichtet sein könnten, gegen das Angebot vertraulicher Dokumente in Tauschbörsen vorzugehen. Grundlage ist dabei das Datenschutzrecht oder die Verpflichtung zur Gewährleistung eines angemessenen Risikomanagements und zur Vermeidung von Schäden für das Unternehmen. Die Implementierung von Maßnahmen zur automatischen und kontinuierlichen Kontrolle, also die Nutzung von Darknet Intelligence, könne somit als Maßnahme des Risikomanagements ein Bestandteil einer notwendigen Cybersecurity Strategie darstellen.

Darknet-Intelligence selbst wird dagegen als compliant betrachtet, da ausschließlich öffentlich zugängliche Bereiche der im P2P-Netz erreichbaren Rechner und freigegebene Dateien durchsucht werden. In den USA werden Erkenntnisse der Darknet Intelligence bereits regelmäßig bei Gerichtsverhandlungen als Beweismittel zugelassen. Erfahrungen aus Deutschland gibt es bisher nicht, da hier die Such-Technologie hier noch nicht zur Verfügung stand.

1 Als "Deep Web" wird jener Teil der Internets bezeichnet, der von normalen Suchmaschinen, wie zum Beispiel Google oder Bing, nicht erfasst wird. Meist handelt es sich dabei um Webseiten oder Datenbanken, deren Inhalte entweder nicht frei zugänglich sein sollen oder von herkömmlichen Suchmaschinen aus unterschiedlichen Gründen nicht indexiert werden. Das können sowohl p2p-Netzwerke sein, oder auch file-sharing Anwendungen.

2 Ponemon Institute Releases, 2014 Cost of Data Breach: Global Analysis

3 "Darknets" sind Netzwerke, deren Teilnehmer ihre Verbindungen untereinander manuell herstellen. Der Zugriff ist in der Regel passwortgeschützt, neue Teilnehmer werden meist nur nach Prüfung oder auf Einladung zugelassen. Die Daten werden oft verschlüsselt übertragen.

[ Bildquelle: © RVNW - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Von Darknet bis Trojaner

Die Typologie der Cyberkriminalität

Jenna Eatough18.08.2017, 08:42

Das heutige digitale Informationszeitalter wird von den schier unendlichen Möglichkeiten des World Wide Webs geprägt – vom Online-Shopping über Social Networking, bis hin zur Finanzverwaltung. Der...

Interview

Datenschutzmanagement

GDPR: Von Standards als validen Weg

Redaktion RiskNET13.08.2017, 14:00

Viel wurde in den letzten Monaten über das Thema des Datenschutzmanagements geschrieben. Denn seit geraumer Zeit ticken die Uhren bis zum großen Stichtag, dem 25. Mai 2018. Spätestens dann muss die...

Kolumne

Struktur des Unternehmens-Risikomanagements

Synergien im Risikomanagement schaffen

Bruno Brühwiler01.08.2017, 07:30

Wenn mehrere Personen über den Inhalt von Risikomanagement in komplexeren Organisationen diskutieren, entsteht schnell ein Konsens über die Anwendung des Risikomanagement-Prozesses...

Interview

Wie wir Krisen erleben und bewältigen

Krisen sind das beste "Resilienztraining"

Redaktion RiskNET23.07.2017, 06:30

Ingenieure sprechen von einem resilienten System, wenn bei einem Teilausfall nicht alle technischen Systeme vollständig versagen. Ein Ökosystem gilt dann als resilient, wenn es nach einer Störung zum...

Interview

Länderrisiken und geopolitische Risiken

Nicht Vollkasko, sondern steuerndes Risikomanagement

Redaktion RiskNET13.07.2017, 08:45

Länderrisiken und geopolitische Risiken sind in der Finanz- und Versicherungsbranche mittlerweile ein wichtiger Bestandteil von Analysen. Wie generiert, verarbeitet und analysiert Coface diese Daten?...