Darum lohnt sich der Blick in die Cyber-Unterwelt

Ein Gastbeitrag von Stefan Bange, Countrymanager DACH, Digital Shadows

Im Kampf gegen Cyberkriminelle haben sich CIOs lange Zeit hinter einer Schutzmauer verschanzt und dabei viele digitale Risiken außerhalb des Perimeters schlichtweg verschlafen. Dabei ist der Blick ins Open, Deep und Dark Web nicht nur aufschlussreich, sondern wesentlich, um Datenleaks überhaupt erst aufzuspüren.

Geleakte Daten im Netz sind längst kein Einzelfall großer und bekannter Unternehmen. Bei einer Analyse der gestohlenen und offengelegten Zugangsdaten seit 2018 stieß Digital Shadows auf mehr als 15 Mrd. Benutzer-Passwort-Kombinationen, die auf kriminellen Marktplätzen gehandelt werden. Die Zahl der exponierten Zugangsdaten hat sich damit in den letzten zwei Jahren verdreifacht und ein Ende ist angesichts der digitalen Transformation, Remote Workspace und Home-Office nicht in Sicht.

Vor allem, da die kompromittierten Daten nicht allein aus offensichtlichen Verstößen gegen Datenschutzbestimmungen oder Cyberhacks stammen. Tatsächlich gehen viele Datenleaks auf Mitarbeiter, Partner und Zulieferer zurück, die sensible Daten über Cloud-Speicher, File-Sharing-Dienste oder Code-Repositories teilen und damit oft ungewollt der Öffentlichkeit zugänglich machen. Dass dabei wichtige Sicherheitskonfigurationen vernachlässigt werden, geschieht eher aus Nachlässigkeit, Unwissenheit oder fehlendem Sicherheitsbewusstsein als aus böser Absicht. Der Schaden für Unternehmen bleibt jedoch gleich. Denn einmal im Netz gelandet, nutzen Cyberkriminelle diese Informationen für Phishing, Social Engineering, Extortion oder das Infiltrieren von Netzwerken.

Digitales Risikomanagement

Unternehmen bleibt daher kaum eine andere Wahl als einen Blick über den eigenen Tellerrand zu werfen und diese externen Risiken im Open, Deep und Dark Web zu beobachten. Digitales Risikomanagement bzw. Digital Risk Protection (DRP) tut genau das. Statt Daten nur zu sammeln und diese als Threat Intelligence zur Verfügung zu stellen, geht dieser Ansatz ein Stück weiter. Dabei werden die ermittelten Risiken analysiert, priorisiert und, wenn möglich, im nächsten Schritt beseitigt oder zumindest eingedämmt. Die digitale Risikoüberwachung konzentriert sich damit stärker auf den Schutz eines Unternehmens. Wie das funktioniert zeigen die folgenden vier Phasen.

Vier Phasen des Digitalen Risikomanagements

Phase 1: Suchkatalog für maßgeschneiderte Threat Intelligence

An erster Stelle des digitalen Risikomanagements steht immer die Definition der kritischen Assets in einem Unternehmen. Die Prioritätenliste unterscheidet sich von Fall zu Fall. Ein Pharmaunternehmen lebt von seinen Patenten, Hersteller in der Industrie müssen ihre Fertigung am Laufen halten, während das Augenmerk von Retailern auf dem Online-Shop liegt.

Hier lohnt es sich für Sicherheitsverantwortliche in die Rolle des Angreifers zu schlüpfen. Denn nur weil ein Asset bei der Unternehmensführung ganz oben auf der Liste steht, ist es nicht automatisch Angriffsziel Nummer 1. Andere Risiken wiederum werden von Unternehmen oft unterschätzt. Spoof Webseiten und Fake Apps mögen zunächst „nur“ den Unternehmensruf schädigen. Werden sie jedoch für Phishing-Zwecke genutzt, um an sensible Daten von Kunden und Mitarbeiter zu gelangen, wird aus dem Ärgernis schnell eine ernstzunehmende Bedrohung.

Ein genau definiertes Suchprofil listet nicht nur die kritischen Assets eines Unternehmens, sondern setzt diese auch in einen Kontext. Tochtergesellschaften, Partner und Zulieferer sowie Faktoren wie Branchenzugehörigkeit, Unternehmensgröße oder Geografie werden verknüpft, um relevante und passgenaue Ergebnisse zu liefern.

Phase 2: Jagen und Sammeln im Open, Deep und Dark Web

Mit dieser Liste kann die Suche nach Datenleaks im Open, Deep und Dark Web beginnen. Dabei muss mit einem weit verbreiteten Irrglauben aufgeräumt werden: Das Darknet oder Dark Web ist nicht gleichzusetzen mit dem kriminellen Internet und digitale Risiken finden sich nicht nur in Hacker-Foren und illegalen Marktplätzen. Es stimmt, dass Kriminelle die Anonymität sowie die fehlenden Kontrollmechanismen des Darknets schätzen. Aber auch Unternehmen wie die New York Times oder Facebook nutzen Tor-basierte Dienste, ebenso wie verdeckte Ermittler, Geheimdienste und politischen Aktivisten.

Wer über das Darknet spricht, sollte sich zudem von der Eisberg-Metapher verabschieden, bei der unter der Wasseroberfläche unbekannte Gefahren lauern. Tatsächlich macht das Darknet nur einen vergleichsmäßig kleinen Teil der cyberkriminellen Welt aus. Das Deep Web, das von traditionellen Suchmaschinen nicht indiziert wird, ist bis zu 10.000mal größer und auch bei Cyberkriminellen beliebt. Betrug, Hackerangriffe und Datendiebstahl findet darüber hinaus im offenen Netz statt – dem Open Web. Kurz gesagt: Cyberkriminalität lässt sich nicht auf einen Teil des Internets reduzieren.

Umso wichtiger ist es, das DRP-Lösungen eine Bandbreite an Datenquellen abdecken. Dazu gehören neben Marktplätzen und Foren auch Suchmaschinen wie Google und Baidu, Social Media-Kanäle, Mobile App Stores, Code Repositories (z. B. Github, Bitbucket), Paste Sites (Pastebin, Ghostbin), File Hosting and Sharing Sites (z. B. Slideplayer, Megaupload), Cloud Storage Services (z. B. AW S3 Buckets) und FTP Server.

Der Blick ins Open, Deep und Dark Web zum Aufspüren von Datenleaks

Phase 3: Analysieren, Kontextualisieren, Priorisieren

Wie aber lassen sich solche Quellen überhaupt einsehen? Eine breites und umfassendes Monitoring lässt sich nur über unterschiedliche Datenerfassungstechniken sicherstellen. Neue Seiten im Web können beispielweise über Crawling und Spidering identifiziert werden. Einen ersten Überblick bieten kostenlose Lösungen und Services wie OnionScan oder „Have I Been Pwned“. Kontextreicher und tiefer geht das Monitoring Tool SearchLight, mit dem Anwender sich durch das Open, Deep und Dark Web bewegen.

So genau die Suche über Algorithmen auch verläuft, bleibt die weitere Auswertung der Daten Aufgabe von Sicherheitsanalysten. Sie rücken die automatisch ermittelten Hinweise in einen noch engeren Kontext, identifizieren sogenannte „False Positives“ und geben ihre Empfehlungen an die IT-Sicherheit von Unternehmen weiter. Von rund 500.000 automatisch registrierten Online-Erwähnungen lassen sich so am Ende im Schnitt 68 konkrete Alerts ermitteln, die für Unternehmenen tatsächlich relevant sind. Die Analysten spielen zudem eine wichtige Rolle bei der Ermittlungsarbeit auf geschlossenen Plattformen im Darknet. Sie ermitteln verdeckt, oder führen Offline-Suchen auf indizierten Seiten durch.

Phase 4: Risiken entschärfen ehe sie zur Bedrohung werden

Die Ergebnisse, die am Ende einer solchen Suche stehen, werden unmittelbar an das Sicherheits-Team von Unternehmen weitergegeben – einschließlich wertvoller Kontextinformationen für eine datengestützte Bewertung und Priorisierung. Gemeldet werden u. a.:

  • vertrauliche Dokumente, geistiges Eigentum, personenbezogene Daten von Mitarbeitern (Data Exposure) oder private Details über Geschäftsführer, Vorstände oder Aufsichtsrat (VIP Exposure)
  • geschäftskritische Informationen durch Leaks bei Partnern und Zulieferern (Third Party Risk)
  • Hinweise auf geplante Angriffe und Kampagnen durch Hackergruppen sowie aktuelle Malware (Cyber Threats)
  • Fake Apps, Spoof-Webseiten oder gefälschte Social Media Profile (Brand Exposure)
  • unsichere oder gefährdete SSL-Zertifikate und Konfigurationen, Vulnerabilities mit aktiven Exploits sowie offene Ports (Infrastructure Threat)
  • Source Code Leaks (“Commits”) und Access Keys auf öffentlichen Code-Repositories

Ein vollständiger Schutz gegen Cyberangriffen ist damit natürlich nicht garantiert. Das ist in der durchdigitalisierten Welt auch gar nicht möglich. Was das digitale Risikomanagement jedoch bietet, ist ein Vorsprung gegenüber potentiellen Angreifern. Es erlaubt Unternehmen, kontrolliert, proaktiv und umsichtig Sicherheitslücken zu schließen, ehe sie ausgenutzt werden. Passwörter und Logins lassen sich ändern, Sicherheitskonfigurationen anpassen und Fake-Domains und falsche Social-Media Profile über Takedown-Verfahren entfernen. Zudem bietet die umfassende Threat Intelligence eine gute Ausgangsbasis, um Playbooks zu erstellen und Eskalationspfade zu definieren. Je besser CIOs die Risikolage ihres Unternehmens kennen, desto besser können sie Datenverlust aufdecken, die Angriffsfläche verkleinern und das Risiko von Reputationsschäden und finanziellen Einbußen reduzieren.

Über den Autor

Stefan Bange ist seit mehr als zehn Jahren im Bereich IT- und Cybersicherheit tätig. Als Country Manager Deutschland unterstützt er Unternehmen ein digitales Risikomanagement aufzubauen und dieses als proaktive Strategie für Cybersicherheit zu etablieren. Zu seinen Kernaufgaben gehört die strategische Ausweitung der Kundenlandschaft sowie die Entwicklung und Umsetzung einer nachhaltigen Vertriebsstrategie mit Fokus auf den Partnermarkt.

Weitere Informationen unter:
https://www.digitalshadows.com/