Der Verkauf von Kokain und Ecstasy, der Handel mit Waffen und Kinderpornografie: Das sind die üblichen Assoziationen mit dem Darknet, also dem Teil des Deep Webs, welches nicht durch die üblichen Suchmaschinen erfasst und häufig mit illegalen Handlungen in Verbindung gebracht wird. Viele Unternehmen unterschätzen die Gefahren, die von den sogenannten „hidden services“ im Darknet, den versteckten und oftmals kriminellen Angeboten, ausgehen. Denn auf illegalen Plattformen wird auch mit dem Verkauf von Daten – insbesondere Unternehmensdaten – viel Geld verdient.
Angeboten werden Mitarbeiter- und Kundendaten, Strategiepapiere von Unternehmen, Konstruktionszeichnungen, Rezepturen und andere Produktinformationen, die Geschäftsgeheimnisse darstellen. Zu bekommen sind auch E-Mail-Adressen nebst zugehörigen Passwörtern, wie Anfang des Jahres im Rahmen der „Collection 1-5“-Entdeckungen bekannt wurde.
Kaufinteressierte bezahlen Daten und zugehörige Dienstleistungen mit Kryptowährungen wie Bitcoin. Neben dem Datenhandel schafft das Darknet Kriminellen auch die Möglichkeit, sich in geschützten Foren anonym über Schwachstellen in Betriebssystemen oder Sicherheitslücken bei Unternehmen auszutauschen, die sie nutzen könnten.
Das Darknet ist nicht per se böse
Der vergleichsweise einfache Zugang ins Darknet und die illegalen Marktplätze machen Angriffe auf Unternehmen mit dem Ziel, Daten zu stehlen, noch interessanter und lukrativer als ohnehin. Zwar gelang Ermittlern von BKA und FBI Anfang Mai ein Erfolg, als sie den weltweit zweitgrößten Handelsplatz im Darknet, „Wall Street Market“, stilllegten und die mutmaßlichen Betreiber festnahmen. Doch die nächsten Kriminellen stehen schon bereit, ähnliche Plattformen aufzuziehen.
Außerdem erhöht die Berichterstattung über das Ende von „Wall Street Market“ den Bekanntheitsgrad des Darknets. Es ist zu erwarten, dass seine Nutzung zunehmen wird, für illegale wie für legale Dinge.
Denn das Darknet per se ist nicht verboten, und es ist nicht sofort verwerflich oder strafbar, lediglich dort zu surfen. In repressiv regierten Ländern etwa nutzen Oppositionelle und regimekritische Journalisten die Möglichkeit, dort unbeobachtet von staatlichen Behörden kommunizieren oder Blogs schreiben zu können. Ins Darknet und das bekannte Tor-Netzwerk gelangt man nur verschlüsselt über spezielle Browser (z. B. den Tor-Browser) und der Weg des Users wird über mehrere Rechner und Server geleitet und so verschleiert. Täglich nutzen circa zwei Millionen Nutzer das Tor-Netzwerk.
Was für Regimekritiker ein Vorteil ist, wird für Strafverfolger zum Problem. Sie kommen nur schwer an diejenigen heran, die sich auf den illegalen Handelsplattformen tummeln und dort Firmendaten und illegale Güter vertreiben. Deshalb sollten Unternehmen das Problem ernster nehmen als es viele heute tun.
Sicherheit in drei Dimensionen
Notwendig ist eine wirksame Cyber-Sicherheitsarchitektur, die alle drei Dimensionen Prävention, Detektion und Reaktion abdeckt. Einige Unternehmen haben zwar die steigende Bedrohungslage erkannt und in Prävention investiert, um das Schutzniveau zu erhöhen, jedoch die beiden anderen Bereiche vernachlässigt. Natürlich ist es richtig und wichtig, Datendiebstahl durch präventive Maßnahmen so schwer wie nur möglich zu machen. Notwendig ist aber auch, neben einer aktuellen IT-Umgebung Prozesse, Rollen, Verantwortlichkeiten und Reaktionspläne vorab zu definieren und Abläufe zu üben.
Denn der Datenraub unterscheidet sich in einem entscheidenden Punkt vom Diebstahl des Geldbeutels in der U-Bahn: Dass das Portemonnaie in der Gesäßtasche fehlt, merkt man beim nächsten Griff an die Hose. Daten hingegen werden lediglich kopiert und aus dem Netzwerk geschleust. Ohne Detektionsmechanismen merken Unternehmen womöglich gar nicht, dass sie bestohlen wurden.
Es existieren Detektionssysteme, die in das Unternehmensnetzwerk integriert werden und bestimmte Anomalien bemerken, zum Beispiel, wenn wiederholt oder aus dem weit entfernten Ausland in bestimmte Firmennetzwerke einzuloggen versucht wird. Mittlerweile wird für die Erkennung auch künstliche Intelligenz eingesetzt. Diese muss allerdings zunächst trainiert und fortwährend an den konkreten Unternehmenskontext angepasst werden. Mit der Installation des Systems allein ist noch nichts gewonnen.
Peinlich, wenn erst Kunden auf das Datenleck aufmerksam machen
Solche Tools nützen allerdings wenig, wenn sie nicht in ein umfassendes Konzept eingebettet sind. Im Fall von Verdachtsfällen oder bestätigten Angriffen gilt es, zügig und entschlossen zu reagieren. Dazu gehört u.a. die Aktivierung eines Krisenreaktionsteams, das bei Indikationen für einen Vorfall umgehend reagieren kann. Dann sollte auch ein IT-Forensiker zur Hand sein, der die Wege des Angreifers nachverfolgen und beispielsweise feststellen kann, wo der Einstiegspunkt ins Unternehmen lag, ob der Angriff aktuell noch läuft und ob die Attacke von extern oder intern ausgelöst wurde. Häufig werden mögliche Täter aus dem eigenen Unternehmen gar nicht in Betracht gezogen, etwa ehemalige Mitarbeiter, mit denen man sich nicht im Guten getrennt hat (sogenannte „disgruntled employees“).
Im besten Fall kann der Fachmann auch ermitteln, welche Daten der Angreifer mitgenommen hat. Davon hängen die nächsten Schritte ab. Geht es zum Beispiel um personenbezogene Daten, dann sind rechtliche und regulatorische Anforderungen einzuhalten, etwa eine Meldung an die Datenschutzbehörden oder das BSI. Daneben wertet der IT-Forensiker digitale Artefakte und Spuren aus, um dem Datendieb auf die Spur zu kommen und den Umfang des Lecks zu bestimmen.
Ohne eine ganzheitliche Sicht auf Cyber-Sicherheit kann es passieren, dass bestohlene Unternehmen von dem Problem erst erfahren, wenn sie von Kunden oder Lieferanten darauf aufmerksam gemacht werden. Oder wenn plötzlich ein völlig neuer Marktteilnehmer das baugleiche Produkt anbietet. Oder wenn das Datenleck als Titelthema plötzlich in Zeitungen auftaucht und ggf. sogar den Aktienkurs eines Unternehmens einbrechen lässt.
Solche Worst-Case-Szenarien sind also nicht nur sehr unangenehm und imageschädigend, sondern können extrem teuer werden. Die richtigen Handlungsfelder in Bezug auf Prävention, Detektion und Reaktion zu beleuchten ist wichtig, bevor es zum Ernstfall kommt.
Bei einem Cyber-Sicherheitsvorfall jedweder Art unterstützt KPMG Forensic unter der Nummer 0800-SOS KPMG (+49 800 7675764).
