Dark Web Monitoring: Stealer Logs und Credential Leaks erkennen
Dark Web Monitoring: gestohlene Credentials im Darknet erkennen und mit KELA, Flare oder eigenem Monitoring auf Stealer Logs reagieren.
Jan Hörnemann Chief Operating Officer · Prokurist TL;DR
Stealer-Logs sind 2024/2025 die größte Darknet-Bedrohung: Infostealer-Malware wie RedLine oder LummaC2 bündelt alle Browser-Passwörter, Session-Cookies und VPN-Credentials eines infizierten Geräts in einer Zip-Datei - Einzelpreis ab 10 Euro. Have I Been Pwned enthält über 13 Milliarden Einträge. Der Guide erklärt den Unterschied zwischen Stealer-Logs, Database-Leaks, Ransomware-Leak-Sites und Initial-Access-Brokern, vergleicht kommerzielle Tools (KELA, Flare, SpyCloud) mit kostenlosen Alternativen und liefert einen konkreten Reaktionsworkflow: Passwort-Reset und Session-Invalidierung innerhalb von 24 Stunden, DSGVO-Meldung bei Ransomware-Leaks binnen 72 Stunden.
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 50).
Inhaltsverzeichnis (4 Abschnitte)
Jeden Monat werden Millionen von Unternehmens-Credentials auf dem Darknet veröffentlicht - gestohlene Benutzernamen und Passwörter aus Stealer-Malware, Database-Dumps und Phishing-Kampagnen. Das Problem: die meisten Unternehmen erfahren davon erst wenn ein Angreifer bereits in ihre Systeme eingedrungen ist. Dark Web Monitoring ist die Frühwarnung: bevor die Credentials genutzt werden. Wer zunächst verstehen möchte, wie das Darknet grundsätzlich funktioniert, findet in unserem Darknet-Leitfaden den passenden Einstieg.
Was auf dem Darknet gehandelt wird
Kategorien gestohlener Unternehmensdaten:
Stealer Logs (größte Kategorie 2024/2025):
Was: Vollständige Credential-Daten von infizierten Geräten
Woher: Infostealer-Malware (RedLine, Vidar, Raccoon, LummaC2)
Inhalt pro Log:
→ Alle Browser-gespeicherten Passwörter (Chrome, Firefox, Edge)
→ Session-Cookies (oft wichtiger als Passwörter!)
→ Kreditkartendaten aus Browser-Autofill
→ E-Mail-Credentials (IMAP/SMTP)
→ VPN-Credentials
→ SSH-Keys, API-Keys
Format: Zip-Archiv mit Text-Dateien, geordnet nach Browser/Domain
Preis: Einzeln €10-50; in Bulk (1000+ Logs) ab €200
Beispiel Stealer-Log-Struktur:
logs/
├── google.com_alice@firma.de_Password123.txt
├── office365.com_alice@firma.de_SecurePass!2024.txt
├── vpn.firma.de_alice_VPNpass2024.txt
├── Cookies/google.com_cookies.txt ← Session-Cookie stiehlt auth!
└── Autofill/CreditCards.txt
Database-Leaks:
→ Kompromittierte Datenbanken von Cloud-Services
→ Typisch: Username + Email + Password-Hash
→ "Collection #1" (2019): 2.7 Milliarden Einträge
→ Verkauft in Darknet-Foren, oft nach 6-12 Monaten kostenlos verfügbar
Ransomware-Leak-Sites:
→ "Double Extortion": Daten verschlüsselt + auf Leak-Site veröffentlicht
→ Wenn Lösegeld nicht bezahlt: Daten werden komplett geleakt
→ Ransomware-Gruppen betreiben eigene .onion-Sites
→ Bekannte Leak-Sites: LockBit, ALPHV/BlackCat, Clop, RansomHub
Combo-Listen:
→ Email:Password-Kombinationen aus verschiedenen Quellen
→ Genutzt für Credential-Stuffing-Angriffe
→ Have I Been Pwned enthält >13 Milliarden Einträge
Telegram-Channels (wachsendes Problem):
→ Stealer-Log-Channels mit täglich neuen Logs
→ Kostenlose Vorschau-Credentials → zahlendes Abonnement für vollständige Logs
→ Schwerer zu überwachen als .onion-Sites (schnell neue Channels)
Initial Access Broker (IAB):
→ Verkaufen bereits kompromittierte Netzwerk-Zugänge
→ VPN-Credentials, RDP-Zugang, Webshell-Zugang
→ Preis: €500-€50.000 je nach Unternehmensgröße + Berechtigungen
→ Käufer: Ransomware-Gruppen, APT-AkteureMonitoring-Lösungen im Vergleich
Kommerzielle Dark Web Monitoring Dienste:
KELA (Cyber Intelligence Platform):
Fokus: Deep + Dark Web, Stealer-Logs, Ransomware
Stärken: Beste Stealer-Log-Abdeckung, strukturierte Intelligence
API: automatisiertes Monitoring + Alerting
Preis: Enterprise (€20.000+/Jahr)
Besonders: KELA deckt exfiltrierten Daten von Unternehmens-Geräten auf
Flare (früher Flare.io):
Fokus: Dark Web + Paste-Sites + GitHub + Surface Web
Stärken: Einsteigerfreundlich, gute UI, automatisches Monitoring
Preis: SME-freundlicher (~€5.000-€15.000/Jahr)
Besonders: GitHub-Scanning (unabsichtlich geleakte Keys!)
Searchlight Cyber (ehem. Searchlight Security):
Fokus: Intelligence-fokussiert, OSINT + Dark Web
Stärken: Threat-Actor-Profile, Cybercrime-Forum-Monitoring
Preis: Enterprise
Besonders: detaillierte Bedrohungsakteur-Profile
Recorded Future:
Fokus: umfassende Threat Intelligence (inkl. Dark Web)
Stärken: Beste Integration in SIEM/SOAR, größter Datensatz
Preis: Sehr teuer (ab €50.000/Jahr)
Geeignet: Enterprise + Government
Cybersixgill:
Fokus: Underground Community Monitoring (Foren, Channels)
Stärken: Breiteste Underground-Coverage
API: Real-time Intelligence Feed
Have I Been Pwned (HIBP):
Fokus: E-Mail-Adressen in bekannten Database-Leaks
Preis: Kostenlos (für individuelle Prüfung)
Domain-API: kostenpflichtig (~€3.000+/Jahr Enterprise)
Stärken: 13+ Milliarden Einträge, trusted Quelle
Einschränkung: Stealer-Logs und neue Leaks mit Verzögerung
SpyCloud:
Fokus: Stealer-Logs + Identity Protection
Stärken: Sehr gute Stealer-Log-Abdeckung, Remediation-Workflow
Enterprise-Lösung für Fortune-500
Kostenloses Monitoring (für KMU):
→ have i been pwned: Notifications für Domain-Adressen
→ Google Alerts: "firma.de" on paste-sites
→ dehashed.com: Credential-Suche (kostenpflichtig für Details)
→ IntelliGence X (IntelX): Darknet-Suche
→ Pulsedive: kostenlose TI-SucheEigenes Monitoring aufbauen
Open-Source und Eigenentwicklung:
1. OSINT-Monitoring mit Python:
# Haben I Been Pwned Domain-API:
import requests, json
def check_domain_breaches(domain: str, api_key: str):
url = f"https://haveibeenpwned.com/api/v3/breacheddomain/{domain}"
headers = {
"hibp-api-key": api_key,
"User-Agent": "SecurityMonitor-1.0"
}
response = requests.get(url, headers=headers)
if response.status_code == 200:
emails = response.json()
return emails # Liste betroffener Adressen
return []
# Täglich automatisch prüfen + Alerts bei neuen Einträgen
# Speichern: welche Adressen waren gestern bekannt?
# Diff: neue Adressen → sofort Alert!
2. Telegram-Channel-Monitoring:
# Telethon (Python Telegram Client):
from telethon import TelegramClient
# Bekannte Stealer-Log-Channels überwachen
# Jede neue Nachricht auf domain.com-Erwähnung prüfen
# → Alert wenn "firma.de" in Stealer-Log auftaucht
Bekannte Stealer-Log-Channels (öffentlich):
→ Russian Market (Darknet-Forum)
→ Genesis Market (zugegriffen 2023 via FBI)
→ 2easy (aktiv)
3. Paste-Site-Monitoring:
# Pastebin hat Public API für neue Pastes
# pyShodan + Shodan Alerts für IP/Domain-Erwähnungen
# GitHub-API: Code-Search nach Email-Domains
4. Darknet-Forum-Monitoring:
Erfordert: Tor-Verbindung + Account in Foren
Risiko: Rechtliche Grauzone bei aktiver Teilnahme!
Empfehlung: Kommerziellen Dienst nutzen (KELA, Flare)
---
Monitoring-Ziele definieren:
Was wird überwacht:
□ Alle E-Mail-Domains (firma.de, firma.com, tochtergesellschaft.de)
□ Kritische E-Mail-Adressen: CEO, CFO, IT-Admin, HR
□ IP-Ranges: öffentliche IP-Adressen des Unternehmens
□ Markenname und Varianten: firma, firma GmbH, FirmaGmbH
□ Technologie-Schlüsselwörter: interne Produktnamen
□ Kreditkarten-BIN-Ranges (wenn eigene Karten ausgegeben werden)Incident Response bei Dark-Web-Fund
Reaktions-Workflow:
Fund 1 - Stealer-Log mit Unternehmens-Credentials:
Sofortmaßnahmen (innerhalb 24h):
□ Betroffene Accounts identifizieren (alle im Log)
□ Passwörter sofort zurücksetzen (alle betroffenen Accounts)
□ Session-Cookies invalidieren (Logout-from-all-sessions!)
□ MFA-Status prüfen: hatte Account MFA? Wenn nicht: jetzt aktivieren!
□ Zugriffslog prüfen: wurde der Account bereits kompromittiert?
Mittelfristig (3-7 Tage):
□ Infektionsquelle finden: welcher Laptop war infiziert?
□ EDR-Scan des Geräts: Malware finden + entfernen
□ Ähnliche Devices in gleicher OU prüfen
□ Awareness-Kommunikation: User schulen (Stealer kommt oft per Phishing)
Fund 2 - Credentials in Database-Leak:
□ Sind Hashes oder Klartext-Passwörter geleakt?
→ Klartext: sofortiger Passwortreset + Session-Invalidation
→ Hash: Hash-Cracking-Resistenz prüfen (bcrypt → entspannt; MD5 → kritisch!)
□ Credential-Stuffing-Schutz prüfen: Rate-Limiting auf Login-Endpoint?
□ HIBP-Notification aktivieren für Domain
Fund 3 - Firmendaten auf Ransomware-Leak-Site:
□ Legal: Datenschutzbeauftragten informieren
□ Meldepflicht: DSGVO Art. 33 - Meldung an Aufsichtsbehörde innerhalb 72h!
□ Betroffene Daten klassifizieren: welche Personen? Welche Kategorien?
□ Öffentlichkeitsarbeit: Kunden/Partner informieren?
□ Forensik: wie kamen die Daten auf die Leak-Site? Ransomware-Infektion?
Fund 4 - Initial Access Broker bietet Firmen-Zugang an:
□ HÖCHSTE PRIORITÄT: Angreifer hat bereits Zugang!
□ Sofort: Threat-Hunt im gesamten Netzwerk
□ Alle Zugangsdaten für kritische Systeme rotieren
□ Incident Response Team aktivieren
□ Bei Zweifel: externer IR-Dienstleister (AWARE7 SOC)
---
Messbare KPIs für Dark-Web-Monitoring:
Metric: Time-to-Discovery (TTD)
→ Wie lange von Leak bis zu eigenem Alert?
→ Ziel: < 48h für kritische Credentials
Metric: Time-to-Remediation (TTR)
→ Wie lange von Alert bis Passwort-Reset?
→ Ziel: < 4h für Admin-Accounts, < 24h für User
Metric: Coverage
→ Welcher % der Corporate E-Mail-Adressen wird überwacht?
→ Ziel: 100% aller aktiven Accounts
Metric: False Positive Rate
→ Alerts die kein echtes Risiko darstellen
→ Ziel: < 20%Dark Web Monitoring ist keine Option mehr - es ist Teil jeder ernsthaften Threat-Intelligence-Strategie. AWARE7 bietet Dark-Web-Monitoring als Teil der Managed-Security-Services und integrierten Threat-Intelligence-Feeds.
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst - mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
