Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Dark Web Monitoring für Unternehmen: Stealer Logs, Credential - Cybersicherheit und digitaler Schutz
Threat Intelligence

Dark Web Monitoring für Unternehmen: Stealer Logs, Credential Leaks und Darknet-Überwachung

Dark Web Monitoring überwacht Darknet-Foren, Paste-Sites und Telegram-Kanäle auf gestohlene Unternehmens-Credentials, kompromittierte E-Mail-Adressen und geleakte Daten. Dieser Guide erklärt wie Stealer-Log-Dienste (KELA, Flare, Searchlight Cyber) funktionieren, welche Daten auf dem Darknet gehandelt werden, wie Unternehmen ein eigenes Monitoring aufbauen, und wie auf gefundene Credentials reagiert wird.

Jan Hörnemann Jan Hörnemann Chief Operating Officer · Prokurist
9 Min. Lesezeit
ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)

TL;DR

Stealer-Logs sind 2024/2025 die größte Darknet-Bedrohung: Infostealer-Malware wie RedLine oder LummaC2 bündelt alle Browser-Passwörter, Session-Cookies und VPN-Credentials eines infizierten Geräts in einer Zip-Datei - Einzelpreis ab 10 Euro. Have I Been Pwned enthält über 13 Milliarden Einträge. Der Guide erklärt den Unterschied zwischen Stealer-Logs, Database-Leaks, Ransomware-Leak-Sites und Initial-Access-Brokern, vergleicht kommerzielle Tools (KELA, Flare, SpyCloud) mit kostenlosen Alternativen und liefert einen konkreten Reaktionsworkflow: Passwort-Reset und Session-Invalidierung innerhalb von 24 Stunden, DSGVO-Meldung bei Ransomware-Leaks binnen 72 Stunden.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (4 Abschnitte)

Jeden Monat werden Millionen von Unternehmens-Credentials auf dem Darknet veröffentlicht - gestohlene Benutzernamen und Passwörter aus Stealer-Malware, Database-Dumps und Phishing-Kampagnen. Das Problem: die meisten Unternehmen erfahren davon erst wenn ein Angreifer bereits in ihre Systeme eingedrungen ist. Dark Web Monitoring ist die Frühwarnung: bevor die Credentials genutzt werden.

Was auf dem Darknet gehandelt wird

Kategorien gestohlener Unternehmensdaten:

Stealer Logs (größte Kategorie 2024/2025):
  Was: Vollständige Credential-Daten von infizierten Geräten
  Woher: Infostealer-Malware (RedLine, Vidar, Raccoon, LummaC2)
  Inhalt pro Log:
    → Alle Browser-gespeicherten Passwörter (Chrome, Firefox, Edge)
    → Session-Cookies (oft wichtiger als Passwörter!)
    → Kreditkartendaten aus Browser-Autofill
    → E-Mail-Credentials (IMAP/SMTP)
    → VPN-Credentials
    → SSH-Keys, API-Keys
  Format: Zip-Archiv mit Text-Dateien, geordnet nach Browser/Domain
  Preis: Einzeln €10-50; in Bulk (1000+ Logs) ab €200

  Beispiel Stealer-Log-Struktur:
  logs/
  ├── google.com_alice@firma.de_Password123.txt
  ├── office365.com_alice@firma.de_SecurePass!2024.txt
  ├── vpn.firma.de_alice_VPNpass2024.txt
  ├── Cookies/google.com_cookies.txt  ← Session-Cookie stiehlt auth!
  └── Autofill/CreditCards.txt

Database-Leaks:
  → Kompromittierte Datenbanken von Cloud-Services
  → Typisch: Username + Email + Password-Hash
  → "Collection #1" (2019): 2.7 Milliarden Einträge
  → Verkauft in Darknet-Foren, oft nach 6-12 Monaten kostenlos verfügbar

Ransomware-Leak-Sites:
  → "Double Extortion": Daten verschlüsselt + auf Leak-Site veröffentlicht
  → Wenn Lösegeld nicht bezahlt: Daten werden komplett geleakt
  → Ransomware-Gruppen betreiben eigene .onion-Sites
  → Bekannte Leak-Sites: LockBit, ALPHV/BlackCat, Clop, RansomHub

Combo-Listen:
  → Email:Password-Kombinationen aus verschiedenen Quellen
  → Genutzt für Credential-Stuffing-Angriffe
  → Have I Been Pwned enthält >13 Milliarden Einträge

Telegram-Channels (wachsendes Problem):
  → Stealer-Log-Channels mit täglich neuen Logs
  → Kostenlose Vorschau-Credentials → zahlendes Abonnement für vollständige Logs
  → Schwerer zu überwachen als .onion-Sites (schnell neue Channels)

Initial Access Broker (IAB):
  → Verkaufen bereits kompromittierte Netzwerk-Zugänge
  → VPN-Credentials, RDP-Zugang, Webshell-Zugang
  → Preis: €500-€50.000 je nach Unternehmensgröße + Berechtigungen
  → Käufer: Ransomware-Gruppen, APT-Akteure

Monitoring-Lösungen im Vergleich

Kommerzielle Dark Web Monitoring Dienste:

KELA (Cyber Intelligence Platform):
  Fokus: Deep + Dark Web, Stealer-Logs, Ransomware
  Stärken: Beste Stealer-Log-Abdeckung, strukturierte Intelligence
  API: automatisiertes Monitoring + Alerting
  Preis: Enterprise (€20.000+/Jahr)
  Besonders: KELA deckt exfiltrierten Daten von Unternehmens-Geräten auf

Flare (früher Flare.io):
  Fokus: Dark Web + Paste-Sites + GitHub + Surface Web
  Stärken: Einsteigerfreundlich, gute UI, automatisches Monitoring
  Preis: SME-freundlicher (~€5.000-€15.000/Jahr)
  Besonders: GitHub-Scanning (unabsichtlich geleakte Keys!)

Searchlight Cyber (ehem. Searchlight Security):
  Fokus: Intelligence-fokussiert, OSINT + Dark Web
  Stärken: Threat-Actor-Profile, Cybercrime-Forum-Monitoring
  Preis: Enterprise
  Besonders: detaillierte Bedrohungsakteur-Profile

Recorded Future:
  Fokus: umfassende Threat Intelligence (inkl. Dark Web)
  Stärken: Beste Integration in SIEM/SOAR, größter Datensatz
  Preis: Sehr teuer (ab €50.000/Jahr)
  Geeignet: Enterprise + Government

Cybersixgill:
  Fokus: Underground Community Monitoring (Foren, Channels)
  Stärken: Breiteste Underground-Coverage
  API: Real-time Intelligence Feed

Have I Been Pwned (HIBP):
  Fokus: E-Mail-Adressen in bekannten Database-Leaks
  Preis: Kostenlos (für individuelle Prüfung)
  Domain-API: kostenpflichtig (~€3.000+/Jahr Enterprise)
  Stärken: 13+ Milliarden Einträge, trusted Quelle
  Einschränkung: Stealer-Logs und neue Leaks mit Verzögerung

SpyCloud:
  Fokus: Stealer-Logs + Identity Protection
  Stärken: Sehr gute Stealer-Log-Abdeckung, Remediation-Workflow
  Enterprise-Lösung für Fortune-500

Kostenloses Monitoring (für KMU):
  → have i been pwned: Notifications für Domain-Adressen
  → Google Alerts: "firma.de" on paste-sites
  → dehashed.com: Credential-Suche (kostenpflichtig für Details)
  → IntelliGence X (IntelX): Darknet-Suche
  → Pulsedive: kostenlose TI-Suche

Eigenes Monitoring aufbauen

Open-Source und Eigenentwicklung:

1. OSINT-Monitoring mit Python:
   # Haben I Been Pwned Domain-API:
   import requests, json

   def check_domain_breaches(domain: str, api_key: str):
       url = f"https://haveibeenpwned.com/api/v3/breacheddomain/{domain}"
       headers = {
           "hibp-api-key": api_key,
           "User-Agent": "SecurityMonitor-1.0"
       }
       response = requests.get(url, headers=headers)
       if response.status_code == 200:
           emails = response.json()
           return emails  # Liste betroffener Adressen
       return []

   # Täglich automatisch prüfen + Alerts bei neuen Einträgen
   # Speichern: welche Adressen waren gestern bekannt?
   # Diff: neue Adressen → sofort Alert!

2. Telegram-Channel-Monitoring:
   # Telethon (Python Telegram Client):
   from telethon import TelegramClient

   # Bekannte Stealer-Log-Channels überwachen
   # Jede neue Nachricht auf domain.com-Erwähnung prüfen
   # → Alert wenn "firma.de" in Stealer-Log auftaucht

   Bekannte Stealer-Log-Channels (öffentlich):
   → Russian Market (Darknet-Forum)
   → Genesis Market (zugegriffen 2023 via FBI)
   → 2easy (aktiv)

3. Paste-Site-Monitoring:
   # Pastebin hat Public API für neue Pastes
   # pyShodan + Shodan Alerts für IP/Domain-Erwähnungen
   # GitHub-API: Code-Search nach Email-Domains

4. Darknet-Forum-Monitoring:
   Erfordert: Tor-Verbindung + Account in Foren
   Risiko: Rechtliche Grauzone bei aktiver Teilnahme!
   Empfehlung: Kommerziellen Dienst nutzen (KELA, Flare)

---

Monitoring-Ziele definieren:

Was wird überwacht:
  □ Alle E-Mail-Domains (firma.de, firma.com, tochtergesellschaft.de)
  □ Kritische E-Mail-Adressen: CEO, CFO, IT-Admin, HR
  □ IP-Ranges: öffentliche IP-Adressen des Unternehmens
  □ Markenname und Varianten: firma, firma GmbH, FirmaGmbH
  □ Technologie-Schlüsselwörter: interne Produktnamen
  □ Kreditkarten-BIN-Ranges (wenn eigene Karten ausgegeben werden)

Incident Response bei Dark-Web-Fund

Reaktions-Workflow:

Fund 1 - Stealer-Log mit Unternehmens-Credentials:

  Sofortmaßnahmen (innerhalb 24h):
  □ Betroffene Accounts identifizieren (alle im Log)
  □ Passwörter sofort zurücksetzen (alle betroffenen Accounts)
  □ Session-Cookies invalidieren (Logout-from-all-sessions!)
  □ MFA-Status prüfen: hatte Account MFA? Wenn nicht: jetzt aktivieren!
  □ Zugriffslog prüfen: wurde der Account bereits kompromittiert?

  Mittelfristig (3-7 Tage):
  □ Infektionsquelle finden: welcher Laptop war infiziert?
  □ EDR-Scan des Geräts: Malware finden + entfernen
  □ Ähnliche Devices in gleicher OU prüfen
  □ Awareness-Kommunikation: User schulen (Stealer kommt oft per Phishing)

Fund 2 - Credentials in Database-Leak:
  □ Sind Hashes oder Klartext-Passwörter geleakt?
  → Klartext: sofortiger Passwortreset + Session-Invalidation
  → Hash: Hash-Cracking-Resistenz prüfen (bcrypt → entspannt; MD5 → kritisch!)
  □ Credential-Stuffing-Schutz prüfen: Rate-Limiting auf Login-Endpoint?
  □ HIBP-Notification aktivieren für Domain

Fund 3 - Firmendaten auf Ransomware-Leak-Site:
  □ Legal: Datenschutzbeauftragten informieren
  □ Meldepflicht: DSGVO Art. 33 - Meldung an Aufsichtsbehörde innerhalb 72h!
  □ Betroffene Daten klassifizieren: welche Personen? Welche Kategorien?
  □ Öffentlichkeitsarbeit: Kunden/Partner informieren?
  □ Forensik: wie kamen die Daten auf die Leak-Site? Ransomware-Infektion?

Fund 4 - Initial Access Broker bietet Firmen-Zugang an:
  □ HÖCHSTE PRIORITÄT: Angreifer hat bereits Zugang!
  □ Sofort: Threat-Hunt im gesamten Netzwerk
  □ Alle Zugangsdaten für kritische Systeme rotieren
  □ Incident Response Team aktivieren
  □ Bei Zweifel: externer IR-Dienstleister (AWARE7 SOC)

---

Messbare KPIs für Dark-Web-Monitoring:

  Metric: Time-to-Discovery (TTD)
  → Wie lange von Leak bis zu eigenem Alert?
  → Ziel: < 48h für kritische Credentials

  Metric: Time-to-Remediation (TTR)
  → Wie lange von Alert bis Passwort-Reset?
  → Ziel: < 4h für Admin-Accounts, < 24h für User

  Metric: Coverage
  → Welcher % der Corporate E-Mail-Adressen wird überwacht?
  → Ziel: 100% aller aktiven Accounts

  Metric: False Positive Rate
  → Alerts die kein echtes Risiko darstellen
  → Ziel: < 20%

Dark Web Monitoring ist keine Option mehr - es ist Teil jeder ernsthaften Threat-Intelligence-Strategie. AWARE7 bietet Dark-Web-Monitoring als Teil der Managed-Security-Services und integrierten Threat-Intelligence-Feeds.

Dark Web Monitoring anfragen | Stealer Log Check

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung