Das sollten CISOs und CIOs über das Darknet wissen

geschätzter Leseaufwand: 4 Minuten

Das Dark Web (alias Darknet) “feierte” im März seinen zwanzigsten Geburtstag. Grund genug also, mich mit der dunklen Seite der Macht ein wenig genauer zu befassen. Um dabei möglicherweise herauszufinden, dass das “dunkle Web” nicht ausschließlich durchzogen ist von illegalen Händlern, Malware-Hackern, Lösegeld-Erpressern und anderem zwielichtigen Gesindel.

Die Geburtsstunde des Darknet datiert auf den 20. März 2000. Dieses Datum fällt zusammen mit der Veröffentlichung der Peer-to-Peer-Software “Freenet”, die weniger anfällig für Angriffe und Schnüffeleien von Behörden und Staaten sein sollte. Konzipiert und entwickelt wurde Freenet von dem Iren Ian Clarke, der die Idee zu Freenet schon während seines Studiums hatte. Für seine Dissertation schuf Clarke nämlich ein verteiltes, dezentrales Informationsspeicher- und Wiederherstellungssystem, über das er mit anderen via Internet kommunizieren wollte, ohne dabei ausgespäht oder belauscht werden zu können. Es stand also der Selbstschutz im Vordergrund, und viel weniger das Umgehen oder Aushebeln von Gesetzen und Regeln.

Freenet ist bis zum heutigen Tag verfügbar, die Nutzung nach wie vor kostenlos. Hierbei geht es hauptsächlich um den Austausch von Informationen (natürlich auch von illegalen oder geschützten Inhalten). Mittlerweile hat sich daraus ein gemeinnütziger Verein namens „The Freenet Project Inc.“ entwickelt. Für Hardcore-Cyberkriminelle ist Freenet allerdings keine geeignete Plattform. Sie nutzen für ihre illegalen Aktivitäten eher “Angebote” wie 4Chan und spezielle IRC-Kanäle.

TOR erblickt das digitale Licht der Welt

Am 20. September 2002 gründeten die Informatiker Roger Dingledine und Nick Mathewson das Netzwerk The Onion Router (kurz: TOR). Überraschenderweise wurde dieses halb-anarchistische Projekt hauptsächlich vom Forschungslabor der US Marine finanziert, das eine sichere Kommunikation mit Geheimdiensten ermöglichen wollte. Daher ist das TOR-Netzwerk per se nicht grundsätzlich schlecht, da es nicht in böser Absicht entworfen wurde.

Im Gegenteil, denn es bestand ein Bedarf an einem Netzwerk, das ein höheres Maß an Sicherheitskommunikation als das damalige “legale” Internet vorsah. Dazu gehörte beispielsweise die Möglichkeit, anonyme Quellen in feindlichen Regimen zu schützen. So gesehen war und ist die Übernahme des TOR-Netzes durch Kriminelle ein ungewollter Nebeneffekt, der den Wert des Netzes nicht schmälern sollte, da es auch legitime und sinnvolle Aktivitäten gibt.

Um TOR weiter voranzutreiben, machte das Forschungslabor der US Marine den Quellcode des Netzwerks unter freier Lizenz zugänglich. Zudem begann die Electronic Frontier Foundation (EFF), TOR zu finanzieren, um die Entwicklung des Netzwerks voranzutreiben. Dies mündete im “The TOR Project”, einer gemeinnützigen Organisation, die zur Aufrechterhaltung und Weiterentwicklung des Netzwerks beitragen will.

Empfehlung >>  Rundumschlag gegen Hacker: So schützt SentinelOne Singularity Rechner, Cloud-Container und IoT-Netze

Die Funktionsweise von TOR

TOR ist heute ein beliebteste Mittel, um auf “dunkle” Webseiten zuzugreifen. Hierfür verfügt das Darkweb über eigene Suchmaschinen, Verzeichnisse und versteckte Wikis, mit denen sich die Benutzer im Darknet bewegen und benötigte und gewünschte Webseiten finden können.

Damit vereinfacht TOR den Zugang ins Darknet und dessen Nutzung erheblich, was zu einer Explosion von Webseiten geführt hat, die fast jede erdenkliche Art von illegalen Services bieten. Dazu gehört unter anderem der Verkauf von Schmuggelware und illegalem Material (physisch und digital), die sich scheinbar legal mit Online-Zahlungsdiensten wie Paypal erwerben lassen.

Es dauerte bis etwa 2010, bis Cyberkriminelle die Plattform für sich entdeckten. Denn auf einmal blühten virtuelle Schwarzmärkte wie Silk Road auf, da neue Kryptowährungen wie Bitcoin und Monero den anonymen Geldtransfer ermöglichten. Damit konnten Käufer und Verkäufer nahezu unentdeckt bleiben. Aber auch Hacktivisten wie das Anonymous-Kollektiv und aus dem Nahen Osten rund um den Arabischen Frühling nutzen auf einmal TOR, um im Untergrund Angriffe auf Länder, Organisationen und Unternehmen vorzubereiten und koordinieren zu können.

Im Vergleich zum Darknet stellt das “Clearnet” die größere Bedrohung dar

Obwohl das FBI Silk Road zweieinhalb Jahre nach dessen Gründung zu Fall brachte, war dieser Marktplatz Vorreiter für ein großes Hort illegaler Aktivitäten. So fanden Forscher des King’s College in London heraus, dass von knapp 3.000 untersuchten Darknet-Webseiten zu fast 60 Prozent als illegal zu bewerten waren. Zudem blühte der Handel von esoterischen oder grenzwertig legalen Gütern und Services im Darknet. Aber auch Hacker nutzen die Dunkelheit dieses Netzwerks verstärkt für ihren illegalen Austausch von Techniken, Informationen und Software-Kits.

Aber – und das ist wichtig für die Einordnung von “gut gegen böse” – gibt es lediglich ein paar tausend illegale Darknet-Webseiten. Vergleicht man das mit dem “echten” Internet (oft auch als “Clearnet” bezeichnet), besteht kein Zweifel daran, dass es im Clearnet weit mehr Bedrohungen gibt als im Darknet.

Empfehlung >>  Hacker & Bedrohungen besser verstehen: Das steckt hinter MITRE ATT&CK

CISOs und CIOs sollten das Darknet kennen

Alleine wegen der Existenz des Darknets müssen sich CISOs und CIOs keine Sorgen machen. Und selbst wenn es heute abgeschaltet würde, verlagerten sich deren Aktivitäten höchstwahrscheinlich in soziale Medien oder verschlüsselte Messaging-Anwendungen wie Signal, Telegram und WhatsApp.

Sicher ist aber, dass für Unternehmen relevante bzw. bedrohliche Cyberkriminelle im Darknet aktiv sind. Daher ist es wichtig und sinnvoll, nützliche Informationen über mögliche Bedrohungsszenarien des Dark Web zu beschaffen. Damit können Sicherheitsteams Wissen erlangen, mit dessen Hilfe sie ihre Firma vor künftigen Bedrohungen bewahren können.

Hierfür bieten sich unter anderem folgende Maßnahmen an:

  • den Malware-“Markt” genau beobachten
  • illegale Datenbanken aufspüren, die geistiges Eigentum von Unternehmen enthalten
  • Quellen mit gestohlenen Zugangsdaten wie Login-Kennwörtern auffinden
  • Anbieter im Darknet aufdecken, die Zugang zu Unternehmensnetzwerken verkaufen

Disclaimer: Diesen Blogbeitrag habe ich im Auftrag von SentinelOne produziert. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.