Kolumne

Darknet Intelligence im Deep Web

Der blinde Fleck der IT-Security

Oliver Schneider [Riskworkers GmbH]11.08.2015, 08:45

Auch Hacker, Kriminelle, Cyberspione nutzen das Internet. Deren Standort oder digitale Beute lässt sich allerdings nur in den seltensten Fällen über konventionelle Suchmaschinen ermitteln, denn die Täter verbergen ihre Beute im "Deep Web"1. Allerdings interagieren auch diese mit anderen Internetnutzern. Genutzt werden hier oft P2P-Plattformen und File Sharing Programme, die nun in Gänze und in Echtzeit beobachtet werden können.

Schlagzeilen wie "Kriminelle erbeuten Kreditkartendaten in großem Umfang", "18 Millionen gestohlene Email-Passwörter von Staatsanwaltschaft sichergestellt", "Größte Krankenkasse Deutschlands von Datendieben erpresst", "Hacker fordern Lösegeld für Daten", erstaunen nur noch den Laien, der sich wundert, wie dies angesichts der großen Investitionen in die IT-Sicherheit passieren kann. Anders IT-Sicherheitsexperten. Im September 2013 kamen Experten des Beratungsunternehmens PWC in der Studie "Defending Yesterday" zum Ergebnis, dass die klassische IT-Security mit den Bedrohungen nicht mehr Schritt halten kann, weil erst dann etwas zur Verteidigung entwickelt wird, wenn eine Gefahr identifiziert wurde. Zudem, und das ist die wesentliche Erkenntnis, nützen eigene IT-Security Mechanismen immer weniger, da auch mit Dritten, Externen, immer mehr und immer intensiver kommuniziert werden muss.

Was die wenigsten wissen: Die größten unerwünschten Datenabflüsse erfolgen über diese externen Partner.2 Doch ob Innentäter oder Aktivitäten von Partnern zum Datenabfluss führen, ist letztlich unerheblich, denn die gestohlenen Daten sollen nutzbar, in der Regel wirtschaftlich verwertet werden. Dazu müssen diese mehr oder weniger zugänglich abgespeichert, weitergereicht oder auch offen angeboten werden. Genutzt werden dazu in der Regel P2P-Netze oder Filehoster. 

Auch Täter nutzen deren Vorteile, denn über P2P können große Datenmengen nicht nur von einem zentralen Server verteilt werden, der bei vielen Anfragen blockieren könnte, sondern auch über Downloader, die Files oder Teile davon in freigegebenen Verzeichnissen zur Verfügung stellen. Genutzt wurde und wird dies vor allem beim Austauschen von Videos, Musik, Software oder E-Books – auch wenn die Zurverfügungstellung solcher Daten normalerweise Urheberrechtsverstöße beinhaltet. Hier ist auch das Gros der weltweit rund 750 Mio. P2P-Nutzer zu finden.

In den mehr als 3.000 kostenlosen öffentlichen P2P-Netzwerken finden sich aber immer häufiger auch vertrauliche und sensible Dokumente von Unternehmen. Mitarbeiter, Lieferanten, Auftragnehmer, Vertreter, Partner und Kunden geben hier jedes Jahr freiwillig oder fahrlässig Dateien in großer Zahl frei. Einmal offen gelegt sind die Dokumente beliebig verfügbar für jeden, der an der jeweiligen Tauschbörse teilnimmt. Identitätsdiebe, Cyberkriminelle, Terroristen, Mitbewerber, Medien und anderen Interessierte nutzen diese Möglichkeiten. 

Der blinde Fleck

Das Denken betrieblicher Sicherheitsexperten ist entsprechend dem Wesen des Security Managements oft auf das Absichern von Systemen, Personen, Prozessen und Strukturen fokussiert. Im virtuellen Bereich haben wir es dagegen neben dem sichtbaren Internet oft auch mit einem blinden Fleck zu tun. Das Deep Web3 bleibt mit den herkömmlichen Mitteln unsichtbar, selbst wenn hier vieles geschieht oder geschehen kann, was in einem Unternehmen Schaden zufügt. Es ist für viele Sicherheitsverantwortliche daher schwer, solche Risiken zu identifizieren und somit auch glaubhaft zu kommunizieren.

In den normalerweise für Außenstehende unzugänglichen Bereichen des Internets können vielfältige Gefahren für das eigene Geschäftsmodell entstehen. Etwa wenn hier Dateien vorhanden sind, die dort, wie auch immer sie dahin gelangt, für Unberechtigte abrufbar sind, so zum Beispiel: Personenbezogene Daten, IP-Adressen, Kreditkarteninformationen, Kundendateien, Verträge, Produktspezifikationen, Patentanmeldungen, Konto- oder Transaktionsinformationen, Informationen zu geplanten Mergers & Acquisitions, Entscheidungsvorlagen des Vorstands etc. 

Ein Sicherheitsverantwortlicher hat hier eigentlich nur zwei Möglichkeiten:

  • Er ignoriert die potenziellen Risiken, denn "was ich nicht weiß, macht mich nicht heiß". Was allerdings wohl nicht im Sinne seiner Aufgabe der "Gefahrenabwehr" ist.
  • Er nimmt das Risiko wahr und betreibt "Darknet Intelligence", also sucht und nutzt Wege, die ihm helfen Internet-Gefährdungen für betriebliche Assets zu sehen, die sich außerhalb der eingeschränkten Sicht von Google & Co. befinden.

Was ist Darknet Intelligence?

Unter "Darknet Intelligence" wird das Definieren von Suchanforderungen, das Suchen, Auffinden und Bereitstellen von öffentlich in Peer-to-Peer-Netzen zugänglichen Informationen verstanden. Lange Zeit war dies eine Domäne besonders geschulter Ermittler bei Polizei oder anderen Sicherheitsbehörden. Neu ist hier der Ansatz einer softwaregesteuerten Suche. Sie erlaubt Unternehmen, etwa internen und externen Ermittlern, Business Development Abteilungen, F&E, die IT-Security oder auch der klassischen Unternehmenssicherheit im Darknet beispielsweise nach eigenen Dokumenten zu suchen, die das Unternehmen unberechtigt verlassen haben oder auch nach Informationen, die das Unternehmen benötigt, um den illegalen Handel mit Produkten, Ideen und sonstigen materiellen wie immateriellen Gütern zu unterbinden.

Typische Fragen für die "Darknet Intelligence" könnten beispielsweise sein:

  • Welche vertraulichen oder gar geheimen Informationen aus dem Unternehmen sind zu finden?
  • Wie sind sie dorthin gelangt?
  • Welches Bedrohungs- und Risikopotenzial ergibt sich daraus?
  • Wird im Darknet mit Produkten des Unternehmens gehandelt?
  • Woher stammen die Produkte?
  • Gibt es im Unternehmen Lücken, die auf den Ursprung der Produkte hinweisen?
  • Kann dadurch ein Schaden entstehen – materiell und immateriell?
  • Wird das Unternehmen deshalb erpressbar?

Bei erfolgreicher Suche stehen nun Beweise statt Argumente zur Verfügung. War es in der Vergangenheit lediglich möglich, das eventuell betroffene Unternehmen durch "gutes Zureden" hinsichtlich des Abflusses von Informationen zu sensibilisieren, so kann man nun beweisen, dass es Opfer von Datenabflüssen wurde. Zudem kann bei Nutzung geeigneter Tools auch festgestellt werden, über welche IP-Adresse die Informationen abgeflossen sind, an welche IP-Adressen Dokumente weitergeleitet wurden und auf wie vielen Servern ein Dokument zur Verfügung steht. Inhouse-Lösungen gibt es hier allerdings noch nicht auf dem Markt, allerdings Dienstleister.

Unternehmen sind somit in der Lage, das Darknet legal (siehe Info-Box) zu beobachten, eigene Datenabflüsse zu beweisen, Täter und Dokumentenhändler zu identifizieren, um danach rechtliche und technische Maßnahmen einzuleiten. Zudem können abgewehrte Hacker-Angriffe mit Hilfe der IT-Forensik aufgeklärt werden. Der Nachweis, dass ein Unternehmen dem Cyber Risiko unterliegt, wird somit erbracht. Dies wird auch als Grundlage dafür dienen, dass einige Risiken präventiv deutlich reduziert werden können. Zum Beispiel:

  • Wirtschaftskriminalität durch Unterbinden des Handels mit Informationen, Daten und Produkten;
  • Vertrauens- und Reputationsrisiko bei Kunden, Geschäftspartnern, Zulieferbetrieben und der Öffentlichkeit;
  • Virtuelles Entführungs- und Erpressungsrisiko;
  • Unkontrollierter Datenabfluss über bislang nicht identifizierte Datenlecks;
  • Existenzbedrohung durch Informationsabfluss an Mitbewerber;
  • Rechtsrisiken beziehungsweise Compliance-Risiken.

Letztendlich stellt die Fähigkeit zur Darknet Intelligence einen Quantensprung im Security Management dar – es gilt dieses Thema des 21. Jahrhunderts nun anzugehen!

Autor:

Oliver Schneider ist Geschäftsführender Gesellschafter der Riskworkers GmbH, München. Mit Unternehmenssicherheit beschäftigt sich das ehemalige KSK-Mitglied seit 2001. Seit 2006 ist er international als Sicherheits-, Risiko- und Krisenmanagementberater tätig. E-Mail: oliver.schneider@riskworkers.com

 "Darknet-Intelligence" der deutschen Sicherheitsberatung Riskworkers GmbH ist ein Dienstleistungsangebot. Unternehmen müssen somit keine Hard- oder Software bereitstellen und kein Personal schulen und vorhalten. Der Auftraggeber muss lediglich einen Suchauftrag formulieren. Riskworkers setzt dann eine spezielle P2P-Technologie und forensische P2P-Methoden ein, um den Suchauftrag zu bearbeiten. Gesucht wird dabei auch nach Inhalten, nicht nur nach Dateinamen.

Das Dienstleistungspaket kann je nach Bedarf zusammengestellt werden. Typische Module ("Tickets") sind, nachdem die Suche definiert wurde – zum Beispiel nach als "streng vertraulich" gekennzeichneten Unternehmensdokumenten:

- P2P-Netzwerk, auf denen die Dokumente im Umlauf sind

- IP-Adressen der User, auf deren Rechner sich die Dokumente befinden

- Stellung des "Users" zum Unternehmen (beispielsweise Dienstleister, Lieferant)

- Namen und Formate der aufgefunden Dateien

- Bewertung und Hinweise auf den Ursprung des Datenlecks

- Schließung der identifizierten IP-Adressen und Vermeidung einer weiteren Verbreitung

Angeboten wird dies sowohl einmalig, für eine bestimmte Periode oder als dauerhaftes 24/7/365 Monitoring der P2P-Netze mit Echtzeitmeldungen. 

Der Rechtsrahmen

Die öffentliche Zugänglichmachung eines rechtlich geschützten Werkes, zum Beispiel Unternehmensinterna über eine Filesharing-Software ist unzulässig, denn sie greift in das urheberrechtliche Verwertungsrecht des Rechteinhabers nach § 19a UrhG ein und ist auch nicht durch § 53 Abs. 1 UrhG (Privatkopie) gedeckt. Sofern durch einen Download gleichzeitig ein Upload ermöglicht wird, ist dies bereits unzweifelhaft und unbestritten eine Urheberrechtsverletzung. Die gilt auch, wenn nur ein Teil einer damit öffentlich zugänglich gemacht wird. (LG Köln vom 21.04.2010, Az.: 28 O 596/09).

Ein Gutachten von Prof. Dr. Marco Gercke, Leiter Cybercrime Research Institute, Köln, kommt in diesem Zusammenhang zum Ergebnis, dass im Einzelfall Unternehmen sogar gesetzlich und/oder vertraglich verpflichtet sein könnten, gegen das Angebot vertraulicher Dokumente in Tauschbörsen vorzugehen. Grundlage ist dabei das Datenschutzrecht oder die Verpflichtung zur Gewährleistung eines angemessenen Risikomanagements und zur Vermeidung von Schäden für das Unternehmen. Die Implementierung von Maßnahmen zur automatischen und kontinuierlichen Kontrolle, also die Nutzung von Darknet Intelligence, könne somit als Maßnahme des Risikomanagements ein Bestandteil einer notwendigen Cybersecurity Strategie darstellen.

Darknet-Intelligence selbst wird dagegen als compliant betrachtet, da ausschließlich öffentlich zugängliche Bereiche der im P2P-Netz erreichbaren Rechner und freigegebene Dateien durchsucht werden. In den USA werden Erkenntnisse der Darknet Intelligence bereits regelmäßig bei Gerichtsverhandlungen als Beweismittel zugelassen. Erfahrungen aus Deutschland gibt es bisher nicht, da hier die Such-Technologie hier noch nicht zur Verfügung stand.

1 Als "Deep Web" wird jener Teil der Internets bezeichnet, der von normalen Suchmaschinen, wie zum Beispiel Google oder Bing, nicht erfasst wird. Meist handelt es sich dabei um Webseiten oder Datenbanken, deren Inhalte entweder nicht frei zugänglich sein sollen oder von herkömmlichen Suchmaschinen aus unterschiedlichen Gründen nicht indexiert werden. Das können sowohl p2p-Netzwerke sein, oder auch file-sharing Anwendungen.

2 Ponemon Institute Releases, 2014 Cost of Data Breach: Global Analysis

3 "Darknets" sind Netzwerke, deren Teilnehmer ihre Verbindungen untereinander manuell herstellen. Der Zugriff ist in der Regel passwortgeschützt, neue Teilnehmer werden meist nur nach Prüfung oder auf Einladung zugelassen. Die Daten werden oft verschlüsselt übertragen.

[ Bildquelle: © RVNW - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

News

RiskNET Summit 2017

Antworten in einer Welt voller Unsicherheiten

Redaktion RiskNET15.05.2017, 20:00

Von Kultur ist im Zuge des Risikomanagements viel die Rede, doch kaum einer lebt sie. Dabei ist gerade besagte Kultur wichtig, wollen Unternehmen ein erfolgreiches Risikomanagement in der eigenen...

Kolumne

Digital, digitaler, disruptiv

Wahrnehmungs- und Arroganzrisiko

Andreas Kempf | Frank Romeike28.04.2017, 16:51

Der Begriff "Disruption" –Wirtschaftswort und Unwort des Jahres 2015 – ist in der aktuellen Diskussion um die Digitalisierung allgegenwärtig. Mit Unternehmen wie Uber, AirBnB, Netflix oder...

Interview

Verharren in der Komfortzone als Risiko

Mehr Speed – weniger Risiko

Redaktion RiskNET18.04.2017, 08:00

Risiken bewältigen, Entscheidungen treffen, Führungsrollen übernehmen, im Team kooperieren, Ziele setzen, durchhalten und vielleicht auch mal der Mut zur Umkehr sind Situationen, die sich im...

Interview

Digitalisierung, Cybersicherheit, disruptive Innovationen

Risiken in Zeiten des digitalen Bankschalters

Redaktion RiskNET23.03.2017, 20:32

Digitalisierung, Cybersicherheit, disruptive Innovationen und neue Geschäftsmodelle – die Bankenwelt müht sich mit vielen Themen. Vor allem klassische Banken müssen ihre Geschäftsmodelle überdenken,...

Kolumne

Schutz vor physischen Bedrohungen

Physical Security Management als integraler Bestandteil des Risikomanagements

Jörg Hensen | Sebastian Schmitz19.03.2017, 10:45

Sicherheitsthemen sind branchenübergreifend präsenter denn je. Aber es sind nicht ausschließlich die Gefährdungen im allgegenwärtigen Cyberraum, denen wir heute gegenüberstehen und in deren...