Darknet
Teil des Internets, der nur über spezialisierte Software (Tor, I2P) erreichbar ist und Anonymität bietet. Im Darknet werden gestohlene Daten, Malware, Zugangsdaten und Cybercrime-as-a-Service-Dienste gehandelt. Für Unternehmen relevant: Monitoring ob eigene Daten im Darknet kursieren.
Das Darknet ist nicht das mystische “dunkle Internet” der Popkultur - es ist eine technische Realität, die Sicherheitsteams kennen müssen. Ransomware-Gruppen betreiben dort ihre Leak-Seiten, gestohlene Zugangsdaten werden auf Marktplätzen verkauft, und Cyber-Crime-as-a-Service-Dienste sind für jeden verfügbar.
Clearnet, Deep Web, Darknet - Unterschiede
Diese drei Begriffe werden häufig verwechselt, beschreiben aber grundlegend verschiedene Bereiche des Internets:
Clearnet (Surface Web): Öffentlich zugänglich und von Google indexiert - Wikipedia, Nachrichtenseiten, Online-Shops. Umfasst ca. 5% des gesamten Internets.
Deep Web: Nicht von Suchmaschinen indexiert, aber legitim genutzt - Banking-Portale, E-Mail-Postfächer, Netflix. Kein Tor nötig, normale Browser reichen. Macht ca. 90% des Internets aus.
Darknet (Dark Web): Absichtlich versteckt, erfordert spezielle Software wie Tor (.onion-Domains) oder I2P. Wird für legitime Zwecke genutzt (Pressefreiheit, Whistleblower) aber auch für illegale Aktivitäten (Cybercrime, Drogenhandel, Datenhandel). Umfasst ca. 5% des Internets.
Tor-Netzwerk: Technische Grundlagen
Tor (The Onion Router) leitet Verbindungen durch ein Netzwerk von über 7.000 freiwilligen Relay-Knoten weltweit. Jede Verbindung wird durch drei Knoten geleitet, von denen jeder nur seinen Vor- und Nachknoten kennt. Die mehrschichtige Verschlüsselung - wie Schichten einer Zwiebel - sorgt dafür, dass kein einzelner Knoten sowohl Start als auch Ziel einer Verbindung kennt:
Nutzer → Entry Guard → Middle Relay → Exit Node → Ziel
.onion-Domains sind ausschließlich innerhalb des Tor-Netzwerks erreichbar. Sie bestehen aus einer 56-Zeichen-kryptografischen Adresse gefolgt von .onion. Selbst Facebook betreibt offiziell einen Tor-Mirror unter facebookwkhpilnemxj7ascrwwwg6zfznzf5jnqlkbqeybmklnwf5ad.onion.
Was im Darknet gehandelt wird
Gestohlene Zugangsdaten
- Combo-Listen: Millionen von E-Mail/Passwort-Kombinationen aus Datenlecks
- Corporate VPN-Zugänge: €500 bis €10.000 pro Unternehmen
- Admin-Credentials für Server: €1.000 bis €50.000
- Session-Cookies (gestohlene Browser-Sessions): €5 bis €100
Kreditkartendaten
Carding-Shops verkaufen gestohlene Kreditkartendaten mit vollständigen Zusatzinformationen (Fullz) für €1 bis €20 pro Karte, abhängig von Kreditlimit und Bank.
Malware und Exploit-Kits
- Ransomware-as-a-Service (RaaS): Etablierte Gruppen wie LockBit und BlackCat
- Initial Access Broker: Verkaufen Zugänge zu kompromittierten Unternehmen
- Zero-Day-Exploits: €50.000 bis über €2.000.000, abhängig vom Ziel
Cybercrime-as-a-Service
- DDoS-Angriffe: ab €50 pro Stunde
- Phishing-Kits: €100 bis €1.000 (fertige Phishing-Seiten)
- Money Mule Networks: Geldwäsche als Service
Ransomware-Leak-Seiten
Ransomware-as-a-Service-Gruppen betreiben eigene Leak-Seiten, auf denen sie gestohlene Daten veröffentlichen, um Druck auf Opfer aufzubauen: “Zahlt oder wir veröffentlichen alles.” Diese Seiten werden von Threat-Intelligence-Diensten kontinuierlich indexiert.
Darknet Monitoring für Unternehmen
Warum Darknet Monitoring?
Frühzeitiges Monitoring ermöglicht es, kompromittierte Zugangsdaten zu erkennen bevor Angreifer sie ausnutzen, Hinweise auf laufende Angriffsvorbereitung zu erhalten, und eigene Daten in Umlauf zu erkennen bevor ein Angriff stattfindet.
Was wird gemonitort?
- E-Mail-Adressen und Passwörter der eigenen Domains
- Firmennamen auf Marktplätzen und Leak-Seiten
- IP-Ranges und Domains in Botnet-Verkäufen
- Erwähnungen des Unternehmens in Hackerforen
Tools und Dienste
Kommerzielle Lösungen:
| Anbieter | Besonderheit |
|---|---|
| Recorded Future | Enterprise-Grade, globales Threat Intel |
| Digital Shadows (ReliaQuest) | Umfassendes External Risk Management |
| Flare.io | KMU-geeignet, gutes Preis-Leistungs-Verhältnis |
| Cyble Vision | Breite Darknet-Abdeckung |
HIBP Enterprise (HaveIBeenPwned): Domain-weites Breach-Monitoring mit Alerts, wenn E-Mails der eigenen Domain in einem Breach auftauchen.
Kostenlose Optionen (eingeschränkt):
- HIBP.com für einzelne E-Mail-Adressen
- Breach Directory (CSV-basiert)
- IntelligenceX für Darknet-Suche
Interne Recherche (OSINT)
Darknet-Monitoring ist in Deutschland legal. Das Aufrufen und Lesen von Darknet-Inhalten ist nicht strafbar - das Herunterladen oder Nutzen gestohlener Daten hingegen schon. Für eigene Recherchen wird der Tor Browser benötigt. Ohne entsprechende Vorkenntnisse ist es jedoch leicht, Fehler zu machen - professionelle Dienste sind daher für die meisten Unternehmen die bessere Wahl.
Initial Access Broker - eine besondere Bedrohung
Was ist ein Initial Access Broker (IAB)?
Initial Access Broker sind spezialisierte Angreifer, die Zugänge zu Unternehmensnetzwerken kompromittieren und verkaufen, anstatt selbst Ransomware oder andere Angriffe durchzuführen. Ihre Kunden sind Ransomware-as-a-Service-Gruppen, APT-Akteure und andere Kriminelle.
Wie gelangen Zugänge zu IABs?
- Phishing: Credentials werden gestohlen
- Exposed RDP: Brute-Force-Angriffe auf öffentlich erreichbare RDP-Dienste
- VPN-Schwachstellen: CVEs gegen Pulse Secure, Citrix, Fortinet u.a.
- Stealer-Malware: Auf Endpoints installiert, exfiltriert Credentials
Preise für Unternehmenszugänge
| Unternehmensgröße | Preisspanne |
|---|---|
| Kleinunternehmen (50 Mitarbeiter) | €500 - €5.000 |
| Mittelstand (500 Mitarbeiter) | €5.000 - €50.000 |
| Enterprise (Fortune 500) | €50.000 - €500.000+ |
Detektionsmöglichkeiten
- Unbekannte VPN-Logins aus ungewöhnlichen Ländern
- Neue Geräte in Conditional Access Logs
- Stealer-Malware auf Endpoints: Anzeichen für Credential-Exfiltration
Nach dem Kauf durch eine Ransomware-Gruppe vergehen im Durchschnitt 5-7 Tage (RansomHub, 2024) zwischen dem Zugangskauf und dem Ransomware-Deployment - erst erfolgt Reconnaissance, dann erst der eigentliche Angriff.
Rechtliche Hinweise
Darknet-Nutzung in Deutschland
| Aktivität | Rechtlich |
|---|---|
| Tor herunterladen und nutzen | Legal |
| Darknet-Seiten aufrufen (lesend) | Legal |
| Gestohlene Daten herunterladen/nutzen | Illegal (§202a StGB) |
| Exploit-Kits kaufen/nutzen | Illegal |
| Kinderpornographie, Drogen, Waffen | Schwere Straftaten |
Für Unternehmen
- Darknet-Monitoring durch Dienstleister: Legal
- Eigene gestohlene Daten auf Leak-Seite aufrufen: Legal
- Lösegeld zahlen: In Deutschland legal, aber BaFin-meldepflichtig
- Ransomware-Zahlung an sanktionierte Gruppen: Illegal - OFAC-Sanktionen gelten auch für EU-Unternehmen
