Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Bedrohungslandschaft Glossar

Dark Web

Synonym für Darknet: verschlüsselter, anonymer Teil des Internets (Tor/.onion) mit Fokus auf illegale Marktplätze, gestohlene Credentials und Ransomware-as-a-Service. Im deutschen Sprachraum ist 'Darknet' der gängigere Begriff.

Das Dark Web bezeichnet verschlüsselte Netzwerke die nicht über herkömmliche Browser und ohne spezielle Software zugänglich sind. Es ist ein Bestandteil des “Deep Web” - alle Inhalte die nicht von Suchmaschinen indexiert werden - aber mit besonderem Fokus auf Anonymität.

Technische Grundlage: Tor-Netzwerk

Das bekannteste Dark-Web-Netzwerk basiert auf Tor (The Onion Router). Das Prinzip:

  1. Daten werden mehrfach verschlüsselt (wie Zwiebelschalen)
  2. Jedes Paket durchläuft mindestens 3 Tor-Knoten (Entry Guard, Middle Relay, Exit Node)
  3. Kein einzelner Knoten kennt sowohl Absender als auch Empfänger
  4. .onion-Adressen sind Tor-spezifische Domains (nicht über DNS auflösbar)

Neben Tor existieren weitere anonyme Netzwerke: I2P (Invisible Internet Project), Freenet, und ZeroNet.

Dark Web aus Sicherheitsperspektive

Was Angreifer dort handeln

Gestohlene Credentials: Nach Datenverletzungen tauchen E-Mail/Passwort-Kombinationen oft innerhalb von Stunden auf Dark-Web-Marktplätzen auf. Preise: €0,50-€10 pro Account. Hochwertige Unternehmens-VPN-Zugänge werden für €500-€5.000 gehandelt.

Stealer-Log-Datensätze: Infostealers (RedLine, Vidar, Raccoon, LummaC2) sammeln auf infizierten Systemen: Browser-gespeicherte Passwörter, Session-Cookies, Kryptowährungs-Wallets, VPN-Credentials. Diese “Logs” werden im Dark Web verkauft.

Initial Access Broker (IABs): Spezialisierte kriminelle Akteure die Netzwerkzugänge (VPN-Credentials, Shell-Zugriffe, RDP-Zugänge) verkaufen - an Ransomware-Gruppen. Professionalisierung des cyberkriminellen Ökosystems.

Ransomware-as-a-Service (RaaS): Ransomware-Gruppen betreiben Plattformen wo Affiliates die Malware mieten, Angriffe durchführen und den Lösegeldbetrag aufteilen. LockBit, ALPHV/BlackCat, Cl0p - alle hatten .onion-Präsenz.

Leaked-Data-Sites (Extortion Sites): Ransomware-Gruppen betreiben .onion-Sites wo sie gestohlene Daten der Opfer veröffentlichen die nicht zahlen - Double Extortion.

Zero-Day-Exploits: Undokumentierte Schwachstellen werden für hohe Summen gehandelt (€100.000-€1.000.000+). Käufer: staatliche Akteure, Exploit-Broker wie Zerodium.

Dark Web Monitoring als Sicherheitsmaßnahme

Was Unternehmen überwachen sollten:

  • Eigene E-Mail-Domains in Credential-Dumps
  • Unternehmens-Namen in Ransomware-Leaks
  • Eigene IP-Adressen in kompromittierten-System-Listen
  • VPN-Zugänge und Domänencontroller-Credentials

Dienste:

  • Have I Been Pwned (HIBP): Prüft E-Mail-Adressen gegen bekannte Datenverletzungen (öffentlich kostenlos, Unternehmens-API kostenpflichtig)
  • Flare, SpyCloud, Recorded Future: Kommerzielle Plattformen für kontinuierliches Dark-Web-Monitoring
  • Kela, DarkOwl: Spezialisierte Threat Intelligence aus dem Dark Web

Wert des Monitorings: Ein Unternehmen das erfährt, dass VPN-Credentials von Mitarbeitenden im Dark Web auftauchen, kann sofort handeln: Passwörter zurücksetzen, Sessions invalidieren, MFA erzwingen - bevor ein Angreifer die Credentials nutzt.

Dark Web und legitime Nutzung

Das Dark Web ist kein ausschließlich krimineller Raum:

  • Journalisten und Aktivisten: Kommunikation in repressiven Regimen via SecureDrop (.onion)
  • Whistleblower: Sichere Übermittlung von Dokumenten (WikiLeaks .onion-Spiegel)
  • Strafverfolgung: Undercover-Operationen, Marktplatz-Übernahmen (Hive Takedown 2023 durch FBI/Europol)
  • Sicherheitsforschung: Threat Intelligence, Malware-Sample-Beschaffung

Rechtslage in Deutschland

Das Betreten des Dark Webs per se ist in Deutschland legal. Strafbar sind:

  • Kauf/Verkauf von Waren und Dienstleistungen die illegal sind (Drogen, Waffen, Stolen Data)
  • Betrieb von kriminellen Diensten
  • Downloads von illegalem Material

Sicherheitsforscher die zu Recherchezwecken Dark-Web-Seiten besuchen, bewegen sich in einer Grauzone - eindeutige Strafbarkeit entsteht erst beim aktiven Konsum illegaler Inhalte oder Transaktionen.

Für Unternehmen: Was zu tun ist

  1. Dark-Web-Monitoring implementieren: Kontinuierlich prüfen ob eigene Credentials kompromittiert sind
  2. MFA aktivieren: Gestohlene Passwörter allein reichen dann nicht für Zugang
  3. Incident Response planen: Was passiert wenn Unternehmens-Credentials auftauchen?
  4. Mitarbeitende schulen: Keine Firmen-E-Mail für private Dienste verwenden (verhindert Credential-Überschneidung)

AWARE7 Leistungen zum Thema

Penetrationstest ISO 27001 Beratung

Ausführlicher Wiki-Artikel

Incident Response

9 Min. Lesezeit

OSINT: Open Source Intelligence in der Cybersecurity

12 min Lesezeit

Ransomware

8 Min. Lesezeit

Schwachstellenmanagement: Der vollständige Leitfaden

13 min Lesezeit

Verwandte Begriffe

APT (Advanced Persistent Threat) Credential Stuffing Darknet Ransomware Threat Intelligence - Angreifer verstehen, bevor sie zuschlagen
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung