Thomas Lang und Julian Karl, was führt euch ins Darknet?
Shownotes
Heute begeben wir uns auf die dunkle Seite des Internets: Ins Darknet. Moderatorin Nadine Dörfler trifft dabei auf den IT-Sicherheits-Experten Thomas Lang und seinen Kollegen Julian Karl. Wir erfahren, wie Unternehmensdaten im Darknet gehandelt werden, welche Anzeichen einer erpresserischen Datenverschlüsselung vorangehen und ganz wichtig: Wie sich Unternehmen schützen können. So viel sei gesagt: Auch wenn ein Daten-Diebstahl schon geschehen ist, lässt sich durch Darknet Monitoring häufig das Schlimmste verhindern. Getreu dem Motto: Den Feind immer im Blick. Wie das genau funktioniert und welche weiteren Gefahren im Darknet lauern, erfahrt ihr auf unserer Reise durch die digitale Unterwelt.
Viel Spaß beim Hören.
Shownotes
- Das Thema Datenschutz im Digital Now Magazin
- Webseite des BSI
- Darknet Monitoring von Intargia
- IT-Security Angebot der valantic
- Whitepaper “Katastrophenfall Cyberangriff“
Über unseren Gast Thomas Lang
Thomas Lange ist Geschäftsführender Partner bei der INTARGIA Managementberatung GmbH. Zu seinen Beratungsschwerpunkten gehören neben den Themen IT-Security & Compliance unter anderem die Themen IT-Strategie, Projekt-Governance und -Controlling, Krisenmanagement sowie IT-Infrastruktur & Betrieb.
Über unseren Gast Julian Karl
Julian Karl ist Werkstudent in Thomas' Team und wenn er nicht gerade im Darknet unterwegs ist, studiert er an der Ruhr-Universität in Bochum IT-Sicherheit. Die Uni nimmt als größte Ausbildungsstätte in der IT-Sicherheit mit rund 1.000 Studierenden eine Pionier- und Spitzenstellung in Europa ein.
Kontakt
Produktion und Redaktion
Heike Hunsmann, Nadine Dörfler
Transkript anzeigen
00:00:06:
00:00:06:
00:01:00:
00:01:00: Hi, Thomas. Schön, dass ihr da seid und danke, dass ihr euch die Zeit nehmt, mit mir über dieses spannende und immer aktueller werdende Thema Darknet Monitoring zu sprechen. Thomas, du bist geschäftsführender Partner bei der Intargia Management Beratung und unser Experte im Bereich IT, Sicherheit und Datenschutz. Was gehört denn so zu deinen Schwerpunktthemen in diesem Bereich und was zeichnet eigentlich deine tägliche Arbeit aus?
00:01:26:
00:01:26: Ja, erst mal auch von mir. Hallo! Schön, dass wir zu dem spannenden Thema plaudern können. Was gehört zu unseren Aufgaben und was sind Schwerpunkte? Also die Sicherheit ist ja ein alter Hut. Ich vermute am Tag nachdem die erfunden wurde, wurde die Sicherheit erfunden. Das ist also ein Thema, das die Unternehmen schon sehr, sehr lange beschäftigen sollte und das sie ja in der Regel auch tut. Warum ist das gerade besonders spannend oder auch aktuell? Weil wir seit einigen Jahren in der Zeitung immer mal wieder davon lesen, dass Unternehmen von Hacker Attacken betroffen sind, also quasi Lücken in der IT Sicherheit nicht nur ausgenutzt werden, sondern in der Form sichtbar ausgenutzt werden. Dass Unternehmen eben Schäden erleiden, weil sie angegriffen werden, weil zum Beispiel Daten verschlüsselt werden, weil ganze Unternehmen dann lahmlegen. Es gibt ja große Beispiele, über die man auch in der Zeitung lesen kann und deswegen ist das Thema für uns auch gerade aktuell, weil die Kunden natürlich fragen Okay, was müssen wir tun über diese IT Sicherheitsthemen, die wir schon immer gemacht haben, hinaus um sicherer zu werden?
00:02:42:
00:02:42: Und kann man eigentlich feststellen, wie sicher man ist? Also was ist so ein Assessment? Wie kann man einmal anschauen wie es um die IT Sicherheit steht? Und das ganze verbinden wir, wenn man möchte auch noch mit dem Thema Datenschutz, weil Datenschutz und Datensicherheit zwei Seiten derselben Medaille Integrität, Verfügbarkeit und Vertraulichkeit sind Schutz Ziele des Datenschutzes. Und das kann man jedenfalls, wenn wir über digitale Daten und nicht über Personalakten in Schränken sprechen, eben auch mit IT Sicherheit erreichen. Dass man so als kleiner Überblick, was wir so treiben.
00:03:20:
00:03:20: Jetzt gehört ja das Thema Cyberangriffe in den Bereich IT Security und wir haben ja in letzter Zeit vermehrt von Warnungen vom BSI, also dem Bundesamt für Sicherheit in der Informationstechnik. Und die zeigen auch immer mehr Statistiken und Studien auf, dass eben Cyberangriffe immer sichtbarer werden. Sprich es wird immer mehr darüber berichtet und das zeigt auch, welche Bedeutung das Thema mittlerweile einnimmt. Wie siehst du das denn?
00:03:45:
00:03:45: Ja, also das ist ja wirklich interessant. Wer an deutsche Behörden denkt, der hat ja häufig lange Schlangen und staubige Aktenschränke und so im Kopf vermutlich auch nicht ganz zu Unrecht, jedenfalls wenn man seinen Personalausweis verlängern möchte oder so und ich glaube, das von dir angesprochene BSI ist da eine nicht nur rühmliche Ausnahme, sondern wir können wirklich froh sein, eine solche Behörde zu haben. Warum? Weil die sehr viele praktische Dinge tun und quasi am Puls der Zeit sind, was diese ganze Bedrohungs Thematik angeht. Und deswegen sollten wir das schon sehr sehr ernst nehmen, was die sagen, weil die tatsächlich ja verschiedene Dinge auch koordinieren und Informationen zusammentragen. Und die Warnungen, die wir von dort hören, sind definitiv ernst zu nehmen. Und wenn wir uns anschauen es gibt ja diverse Statistiken, wie beispielsweise von der Bitkom, wie viele Unternehmen von Cyberangriffen betroffen sind. Und wenn es nur eine Phishing Attacke ist, also es muss ja nicht gleich das ganze Unternehmen lahmgelegt sein, dann ist das massiv und deswegen sollten wir diese Warnung sehr ernst nehmen.
00:04:59:
00:04:59: Ja, danke für deine Einschätzungen. Jetzt hören wir immer öfter den Begriff Darknet und genau zu dem Thema würde ich gerne heute tiefer mit euch einsteigen. Klärt unsere Zuhörerinnen und Zuhörer und auch mich gerne erst mal über den Begriff Darknet auf.
00:05:14:
00:05:14: Julian, das wäre doch ein guter Punkt für dich zum Einsteigen, oder.
00:05:19:
00:05:19: Auch von mir erst mal Hallo? Ja, das Darknet. Also ich glaube die meisten verstehen darunter erst mal irgendwas ganz kriminelles, wo man nur ganz schwer hinkommt. Dabei ist dem gar nicht so stark, das eigentlich nur im Netz, wo man mit bestimmten technischen Maßnahmen zwar zugreifen muss. Also es geht nicht über den normalen Browser, aber das sind größtenteils auch nur ganz normale Seiten. Also auch Facebook ist im Darknet vertreten. Aber natürlich ist der Sinn hinter dem Darknet natürlich die Anonymisierung und das nutzen halt auch viele aus, um kriminelle Tätigkeiten dann nachzugehen im Darknet, da kommt auch so ein bisschen der Ruf. Das alles, was man im Darknet macht? Meistens Illegales. Wobei das gar nicht der Fall ist.
00:06:05:
00:06:05: Also haben wir jetzt gelernt, dass man das Darknet nur über einen speziellen Browser quasi betreten kann und das Ganze anonym und verschlüsselt stattfindet. Warst du denn schon mal im Darknet?
00:06:16:
00:06:16: Ja, tatsächlich. Schon vor sehr langer Zeit sogar erst mal so ungefähr vor zehn Jahren gewesen sein. Da war ich so 14, da ging das auch gerade mit Edward Snowden los, wenn ich mich richtig entsinne. Ich weiß nicht, ob ich das vorher schon mal im Darknet war oder ob ich das da gehört habe oder mit Freunden so gedacht habe. Hört sich ja ganz interessant an, dass du auch mal ins Darknet gehen. Und ja, da bin ich dann einfach mal reingegangen eines Abends, nachdem ich mir den Tor Browser runtergeladen hatte und habe mich mal umgeguckt, dass dann die Startseite das Hidden Wiki, also es gibt keine richtige Startseite, aber das war so mein Anfangspunkt damals. Und dann habe ich mich einfach mal umgeschaut, was es denn alles so gibt. Und ich war natürlich richtig aufgeregt, weil alles, was man so davor gehört hat, hat sich so ein bisschen im Wiki auch bestätigt, weil da viele Seiten genannt wurden, von Drogenhändlern zu Waffenhändlern, Hacker, Foren, bei denen ich natürlich ein bisschen Interesse hatte und auch Auftragsmörder und alles Mögliche.
00:07:18:
00:07:18: Und oh Gott, oh Gott, oh Gott, da gehen wir erst mal hin und gucken, was da alles ist. Im Endeffekt habe ich gar nicht so viel gefunden, weil das ist ja im Darknet schwierig, Sachen zu finden, weil es kein, kein Google sozusagen gibt. Es ist einfach eine Limitierung schon vom System her und die natürlich deswegen Wikipedia versucht zu lösen, indem es die Seiten indiziert und sagt, was es alles gibt, aber es trotzdem viele versteckte Sachen. Die meisten Foren sind halt nicht zugänglich. Selbst wenn man die Adresse findet, ist dann eben eine Paywall da oder man muss bestätigt werden von einem anderen User oder so was. Deswegen habe ich da erst mal sehr viel Zeit einstecken müssen, um Sachen überhaupt zu finden und die Sachen gehen auch wieder verloren. Das ist so eine Sache am Darknet, die man wirklich nicht glaubt. Aber ich hatte da mal eine Seite gefunden, die war so ähnlich wie das Wiki, die habe ich einmal gesehen und dann immer wieder. Und ich habe viele Stunden investiert, um die Seite wiederzufinden und ich habe es einfach nicht geschafft.
00:08:19:
00:08:19: Wenn du jetzt sagst, da gibt es keine normale Suchfunktion. Wie bist du dann vorgegangen?
00:08:26:
00:08:26: Also ich habe angefangen im Wiki, habe dann also da gibt es verschiedene Kategorien von Seiten, die dann erwähnt werden und dann bin ich da einfach losgegangen, habe mal in die Foren reingeschaut, die da waren und da kann man natürlich Kontakte knüpfen, mit Leuten chatten und je nachdem, wie gut man sich mit denen versteht oder ob die meinen, man man kann etwas schicken, die dann auch mal einen Link zu, wo man dann eingeladen wird zu einem privaten Forum oder so was.
00:08:58:
00:08:58: Ja, das hört sich spannend an, jetzt frage ich mich natürlich Wie bist du denn jetzt im Zusammenhang mit der Intargia und dem Fakt, dass du in Thomas Team gerade Werkstudent bist, mit dem Darknet in Verbindung gekommen?
00:09:12:
00:09:12: Ja, wir haben ein neues Tool bekommen von Crowndstrike, was uns hilft, das Darknet zu durchsuchen. Ich habe ja schon gerade gesagt, dass es ziemlich schwierig ist, das zu machen, weil es kein Google gibt. Aber bei dem Tool wurden viele Services zusammengetragen, also Foren, Märkte, Chats, alles Mögliche, was man sich vorstellen kann. Und wir können das jetzt nutzen, um dann nach Informationen zu suchen, die für unsere Kunden und unser unsere Arbeit interessant sind. Und genau das ist jetzt meine Arbeit. Da nach also Regeln zu erstellen, um zu gucken, dass ich einen Alarm bekomme, um bei bestimmten Schlagwörtern informiert zu werden, wenn die irgendwo in irgendwelchen Foren oder so fallen. Ich kann aber auch natürlich live suchen nach Informationen, die uns interessieren und da haben wir schon ein paar interessante Dinge herausgefunden.
00:10:13:
00:10:13: Also, um das vielleicht noch mal zu ergänzen, noch mal quasi eine andere Perspektive auf das, was Julian gerade gesagt hat. Das Internet, das wir kennen, also was wir mit Google denken und wir wollen ja keine Schleichwerbung machen in allen anderen Suchmaschinen durchsuchen können ist nur ein ganz kleiner Teil von dem, was es tatsächlich an Internet eben gibt. Ungefähr 5 % oder 4 %, je nachdem, welcher Statistik man glauben darf, heißt der Rest 95 %. 96 % sind eben nicht von Google durchsuchbar. Und davon ist eben ein großer Teil dieses Darknet, dieses sogenannte und dort gibt es diese such mechanismen nicht und man kann jetzt über entweder manpower also man setzt heerscharen von menschen hin und lässt die so ist der Julian beschrieben, hat schon vor zehn Jahren im Darknet suchen und lässt sich dort umschauen, ob dort diese oder jene Informationen, nach denen man eben sucht, vorhanden sind. Oder man bedient sich großen Plattformen, die quasi versuchen zu identifizieren Wo wird im Darknet welche Information geteilt? Welches sind interessante Marktplätze, welche sind interessante Foren, auf denen man sich umschauen sollte?
00:11:33:
00:11:33: Und die erstellen dann quasi eine eine Art Duplikat vom Darknet, das dann durchsuchbar und nutzbar ist. Und genau eine solche Plattform ist es, die da Julian angesprochen hat, die wir jetzt nutzen von unserem Partner Crowdstrike, der da sehr renommiert ist und uns die Möglichkeit gibt, auf sehr hohem Niveau diese Daten bis zu in Echtzeit, so wie der Julian gesagt hat, herauszufinden und zu schauen, was im Darknet passiert.
00:12:04:
00:12:04: Jetzt habt ihr über Marktplätze gesprochen im Darknet. Wie muss ich mir das vorstellen?
00:12:09:
00:12:09: Also, und da gibt es unterschiedliche Dinge. Es gibt einerseits Marktplätze, wo wirklich nur verkauft wird, man kann da gar nichts schreiben. Das ist wie auf Ebay, da wird dann irgendwas angeboten, man sieht das Produkt und kann dann nur auf Kaufen drücken und mehr, mehr gibt es da gar nicht. Und das ist so ein Marktplatz und da werden dann meistens Zugänge verkauft zu irgendwelchen PCs, wo man dann die Möglichkeit hat, die ganzen Passwörter, die da benutzt wurden, sich zu holen oder einen kompletten Zugang auf diesen PC zu bekommen. Aber das ist meistens Massenware, die für uns auch eher uninteressant sind, weil es einfach Privatpersonen sind, für die wir kein Nutzen haben in dem was wir machen. Dann gibt es halt noch die normalen Foren, wo jemand sein Produkt anbietet, was in den meisten Fällen also für uns interessant ist, da es sich dabei meistens um Access Broker handelt. Und wie der Name schon sagt, die handeln mit Zugängen und das sind dann meistens Zugängen zu Firmen, die dann auch namentlich erwähnt werden, mit denen wir dann auch was anfangen können und können sagen okay, schau mal, hier wurde gerade für Firma XY zB 15 Zugänge gehandelt, davon sind zwei Domain Admins dabei.
00:13:26:
00:13:26: Das heißt wenn sich das jemand kauft kann er, kann er das die komplette Firma übernehmen und. Ich habe ja schon gesagt, dieser Broker, da gibt es eine Unterteilung. Also das heißt nicht, wenn eine Gruppe, ich sage jetzt mal im Club, die fange nicht immer von Null an, das heißt, die hacken nicht immer die Firma komplett, suchen sich, suchen sich dann heraus, dass sie, wo sie dann eingreifen und die Zugänge stehlen und dann von da aus die das Firmen Netzwerk infiltrieren und dann die Daten abziehen und dann verschlüsseln. Sondern es gibt jetzt vielleicht jemanden, der sich darauf spezialisiert hat, mit SQL Injections Zugänge zu stehlen. Ich erkläre es mal nicht, was Sequal Infections sind, aber da gibt es ja Leute, die sich tatsächlich darauf spezialisiert haben, nur diese Zugänge zu stehlen. Und die bieten die dann an in diesen Marktplätzen manchmal auch nicht namentlich erwähnte Firmen. Aber dann müssen wir dann halt schauen, okay, das ist jetzt ein deutscher Automobilhersteller mit soundso viel Umsatz im Jahr. Dann müssen wir dann auch die Brainpower einsetzen, um zu schauen, wer das sein könnte.
00:14:39:
00:14:39: Und.
00:14:41:
00:14:41: Aber das, was du gesagt hast, Julian, die. Die Geschichte mit den Marktplätzen, das ist wirklich das für uns so Elementare. Also es werden manchmal tatsächlich Zugangsdaten zur Firma XY angeboten oder eben alternativ kryptisch ein deutsches Unternehmen im Bereich Maschinenbau mit so und so viel Umsatz. Und das müssen wir uns einfach klar machen, dass über uns im Darknet gesprochen wird und über unsere Firmen und über unsere Marken und wir diese Informationen rausfiltern können, um dann entsprechend rechtzeitig zu reagieren. Und das passiert auf den Marktplätzen zum Beispiel, weil es geht bei dieser Geschichte in der Regel einzig und alleine um Geld, um ich breche irgendwo ein und tue irgendwas böse sich klaue Daten, ich verschlüsselt Daten und dafür will ich Geld haben, dass ich die Daten nicht veröffentliche oder sie eben wieder entschlüsseln. Das ist das Geschäftsmodell. Es geht einzig und alleine um Geld. Eine andere Nummer wäre, wenn man es mit staatlichen Hackern zu tun hätte. Da hat man dann aber möglicherweise auch noch ein paar andere Probleme, als jetzt nur im Darknet Namen zu finden und Passwörter zu ändern.
00:15:59:
00:15:59: Das ist noch mal eine ganz andere Kategorie von von Komplexität sozusagen.
00:16:04:
00:16:04: Was wird denn mit den Daten gemacht? Bzw was? Was macht denn das Unternehmen dann damit?
00:16:10:
00:16:10: Das ist tatsächlich eine Frage, die uns häufiger gestellt wird von Geschäftsführern, wenn wir bei denen zum Krisenmanagement vorbeikommen. Leider. Und das ist auch gar nicht so einfach zu beantworten, da mit den Daten unterschiedlich umgegangen wird. Also bei einem Fall, den wir jetzt kürzlich hatten, wurden die Daten einfach hochgeladen und jeder konnte sie sich runterladen, wenn er möchte. Aber das ist nicht immer der Fall. Es gibt viele Fälle, in denen die Daten verkauft werden. Dann noch mal an. Unternehmen die Interesse an Unternehmens-Spionage auch haben, die irgendwelche Copyright Sachen sich anschauen wollen, um ihre eigene Produkte zu verbessern oder einen Vorteil gegenüber der Konkurrenz zu bekommen. Und das ist ziemlich häufig der Fall, weil wie Thomas schon gesagt hatte, die Verbrecher wollen meistens einfach nur Geld haben und damit, dass sie die Daten nochmal verkaufen, kriegen sie ja wieder Geld, was ja eigentlich nur in deren Interesse ist.
00:17:19:
00:17:19: Genau das ist, wie der Julian sagt, das Wichtige, was man verstehen muss. Erstens Es geht nur um Geld. Okay, zweitens, die haben Daten von Unternehmen. Was sind das für Daten? Neben den von Julian angesprochenen Unternehmens Geheimnissen. Also Intellectual Property wäre so so ein Stichwort, dass die natürlich versuchen, an die Kronjuwelen eines Unternehmens ranzukommen. Neben diesen Daten erleben wir aber sehr oft auch, dass Personaldaten geklaut werden, weil die Hacker schon wissen, dass die Daten von Mitarbeitern besonders sensibel sind. Und jetzt könnte man sich natürlich fragen Na ja, was, wenn jetzt jemand meine Personalakte hat und kann sehen, dass ich quasi zwei Abmahnungen wegen zu kurzer Hose oder so bekommen habe? Was? Was ist der Wert von dieser Information? Ja, das stimmt. Das ist vielleicht nicht besonders dramatisch. Auf der einen Seite, auf der anderen Seite wollen das vielleicht Mitarbeiter auch nicht, dass solche Informationen bekannt werden. Und wir haben auch schon Dinge erlebt, dass zum Beispiel Ausweis Daten vom Unternehmen geklaut wurden. Also gerade Unternehmen, deren Mitarbeiter häufig ins Ausland reisen müssen und dafür Visa beantragen müssen, haben manchmal Kopien von Personalausweisen und Reisepässen, sondern die geklaut werden und im Darknet veröffentlicht werden.
00:18:41:
00:18:41: Und wie der Julian gesagt hat, jeder sich diese Daten runterladen kann. Na dann habe ich unter Umständen eine hochauflösende Kopie eines wunderschönen deutschen Reisepasses und den kann ich mir natürlich runterladen und kann mir den an die Wand hängen. Oder ich kann ihn nehmen und kann ihn fälschen und kann also eine andere Person versuchen mit diesem Ausweis über die Grenze zu bringen. Und das ist nicht sehr weit an den Haaren herbeigezogen, weil auch das haben wir schon erlebt, in einem fiktiven Krisenfall, dass zwei Wochen, nachdem die Daten im Darknet veröffentlicht wurden, sich Behörden gemeldet haben mit dem Hinweis, dass gerade versucht wird, mit dem Ausweis des Mitarbeiters XY zum Beispiel die syrisch türkische Grenze zu übertreten. Und das ist dann natürlich etwas, wo es weit über den Schaden des Unternehmens hinaus geht, der vielleicht gar nicht so dramatisch ist, sondern wo es dann in die Persönlichkeitsrechte des einzelnen Mitarbeiters reingeht, weil der bei der nächsten Urlaubsreise möglicherweise Ärger hat, wenn sein Name in irgendwelchen Dateien von irgendwelchen Grenzbehörden steht. Und das zeigt einfach noch mal, dass da alle im Grunde von betroffen sind und dass die, dass wir vorsichtig mit unseren Daten umgehen müssen, auch als Unternehmen vorsichtig mit den Daten umgehen müssen.
00:19:57:
00:19:57: Weil wenn Sie einmal in falsche Hände gelangt sind, dann hilft es nicht, Sie aus dem Darknet einmal herunterzuladen. Sie sind ja dann immer noch da und Sie werden vermutlich auch nie wieder weggehen. Und das muss man da einfach auch im Hinterkopf behalten.
00:20:13:
00:20:13: Das hört sich ja jetzt schon son bisschen gefährlich an und was muss ich denn als Unternehmen tun, um da quasi prophylaktisch vorbeugend zu können? Oder was kann ich tun, um mich zu schützen?
00:20:28:
00:20:28: Übrigens eine kurze Randbemerkung Wenn man hier merkwürdige Nebengeräusche gehört, dann liegt das daran, dass auf dem Dach über mir genau heute mit Hochdruckreiniger hantiert wird. Deswegen hoffe ich, dass die Nebengeräusche sich in Grenzen halten. Also kann ich gut nachvollziehen, dass das vielleicht alles jetzt ein bisschen. Schwer handhabbar wirkt. Deswegen, um es vielleicht noch mal den Elefanten noch mal klein zu schneiden, sozusagen um was geht es uns an? Was sprechen wir? Natürlich ist das Thema IT Sicherheit und das Abwehren von Hackern und von allen anderen Bösewichten etwas, das jedes Unternehmen tun sollte. Das heißt, ich würde sagen, als erstes muss man sich mal ein Bild verschaffen, wo stehen wir eigentlich mit der IT Sicherheit? Das Bild was ich quasi in meinem Kopf habe, ist immer das eines Hauses. Ich würde jedem Unternehmen, jenem Unternehmen hier, gehe einmal um das Haus herum und guck, ob nicht nur an der Vorderseite die Blumen blühen und alles gut aussieht und ich ordentliche dreifach Verglasung habe. Weil manchmal stellen wir fest, wenn man ums Haus herumläuft, finden sich irgendwo auf der Rückseite noch Fenster oder Fenster, Löcher, in denen noch eine Plastikfolie flattert.
00:21:45:
00:21:45: Und das ist also einmal elementar. Es hilft nicht, dass eine Firewall Projekt oder das Projekt, um irgendeine Technik einzuführen. Es geht darum, mal ein Gesamtbild zu haben. Wie sicher bin ich gerade aufgestellt? Und dann festzustellen und zu entscheiden, wo muss ich vielleicht noch eine Schippe drauflegen? Das ist der eine Punkt. So, und dann kann man zusätzlich eben sagen, wenn ich noch den Hackern einen Schritt voraus sein möchte, der hat das ja erklärt, wie funktioniert das mit den Marktplätzen, warum teilen die sich auf? Der eine kann besonders gut Phishing Mails verschicken. Der nächste besorgt dann die Zugangsdaten und der dritte kauft die Zugangsdaten und tut dann wirklich etwas damit. Also bewegt sich in meinem Netz, der sammelt Daten und verschlüsselt mich am Ende. Und weil das so ist, könnte ich eben sagen als Unternehmen Ich will mich schützen, ich will meine Marke schützen. Ich will vielleicht auch dafür sorgen, die richtigen Maßnahmen einzuleiten, bevor etwas passiert. Ich will vielleicht auch Personen schützen, die besonders wichtig sind, und mache mich auf die Suche im Darknet und kümmere mich dann darum, einen Dienstleister zu finden.
00:22:56:
00:22:56: Wie beispielsweise uns, die sagen Jawohl, wir bieten diesen Service an, nenne uns deine. Da gibt es ein paar Keywords, nach denen man suchen kann, die monitoren wir. Und wenn etwas auftaucht im Darknet, dann kriegst du Bescheid. Und genau so muss man sich das auch vorstellen. Das sind Services, keine Software, die man irgendwo installiert und wo man dann selbst irgendetwas tun muss, sondern wir setzen uns dann mit dem Unternehmen in Verbindung. Wir sprechen über diese relevanten Keywords, nach denen gesucht werden soll und in welchem Zeitraum und wann immer dort etwas auftaucht, können wir entsprechend das Unternehmen informieren und bestmöglich dann die Tür für den Hacker sprichwörtlich zuschlagen. Oder vor das Fenster noch mal Gitterstäbe machen, bevor er wirklich anfängt mit der Säge oder wie auch immer die Glasscheibe zu zerstören. Das ist so ein bisschen der Kern. Worum es dabei geht? Um einen Schritt vor den Angreifern zu sein.
00:23:56:
00:23:56: Um da gerade mal mit einzuhaken. Wir waren da tatsächlich auch schon erfolgreich mit mit so einer Aktion. Da hatten wir proaktiv gesucht bzw einen Access Broker überwacht und haben dann Zugangsdaten zum Verkauf gesehen für eine große deutsche Versicherungsgesellschaft. Und der Thomas hat sich dann mit denen in Verbindung gesetzt, um das mal zu melden.
00:24:21:
00:24:21: Genau das sind also tatsächlich Dinge, die wir auch gesehen haben, quasi retrospektiv. Das ist jetzt ein Fall, wo wir effektiv auch vielleicht ein bisschen helfen konnten, etwas zu verhindern. Aber wir haben eben auch von großen Unternehmen, deren Namen man in der Zeitung lesen konnte, gesehen, dass teilweise drei Monate bevor die der Angriff sichtbar wurde, sprich bevor verschlüsselt wurde, gab es Informationen im Darknet. Das heißt die Unternehmen hätten sich völlig problemlos vorbereiten können. Die hätten völlig problemlos ihre Admin Konten ändern können. Zwei Faktor Authentifizierung einführen können. Whatever wäre alles möglich gewesen, wenn sie die Informationen rechtzeitig gehabt hätten. Und manchmal auch das haben wir erlebt, manchmal sind es wenige Stunden, die entscheiden. Also wir haben ein Beispiel von einem Unternehmen, die am Freitag in der IT zusammengesessen haben und das Konzept verabschiedet haben, wie sie ihre Admin Konten bereinigen und neu schützen. Und sie mussten nur noch auf den Knopf drücken und haben gesagt kommen zwei tags nachmittags machen wir das nicht, weil am Wochenende laufen so viele Hintergrund Jobs. Wenn dann doch irgendwas nicht funktioniert, dann liegt am Wochenende das Unternehmen lahm.
00:25:43:
00:25:43: Wir machen das am Montagmorgen und in der Nacht sind die verschlüsselt worden. Das heißt, hätten sie es an dem Abend getan, wäre dem Unternehmen vermutlich nichts passiert, weil sie den Hacker effektiv ausgesperrt haben. Und da hat also das Wochenende die Zeit von Freitagabend bis Montagmorgen war zu lang für die Reaktion. Und deswegen ist das manchmal eine Sache von eher Stunden als Tagen oder gar Wochen.
00:26:08:
00:26:08: Wie ist es denn mit dem Fall, wo ihr die Zugangsdaten gefunden habt? Was? Was passiert denn mit den Daten? Bzw was passiert mit dem Hacker oder der Gruppe die sie gefunden hat?
00:26:20:
00:26:20: Na ja, das ist natürlich nicht so ganz einfach. Der Iran hat ja gesagt, was das Darknet so ein bisschen ausmacht, nämlich diese Anonymität. Das heißt, so einfach, da rauszufinden, wer dahinter steckt, ist erst mal nicht möglich und ist letztlich aus unserer Perspektive definitiv auch Aufgabe von staatlichen Behörden. Also wir sind ja jetzt keine keine Verbrecher Jäger und auch keine Ermittler in dem Sinne. Was man aber sagen kann ist schon, dass es weiß nicht. Bei Ebay würde man wahrscheinlich vom Super Seller sprechen. Also es gibt eben Marktplätze und dort auch Anbieter, die na ja mindestens mal besonders bekannt sind, weil sie besonders viele oder auch wertvolle im Sinne von renommierten Zugangsdaten anbieten und verkaufen. Also ich könnte mir vorstellen, wenn ich solche Daten zu verkaufen hätte, dann kann ich mir so ein Noname Verkäufer suchen, der wie vielleicht beim Makler gleich einen Makler um die Ecke, der irgendwie in einem kleinen Dorf sitzt. Oder ich nehme den super Top renommierten Makler in Frankfurt von der Goethestraße. Der hängt vielleicht noch ein paar paar goldene Schilder auf und treibt den Preis für mich in die Höhe und versucht also, möglichst viel zu erzielen.
00:27:39:
00:27:39: Und ja, man man kennt diese Leute, man weiß, dass es sie gibt, man weiß, mit welchem Synonym die unterwegs sind. Und Ermittlungsarbeit bleibt aber bei der bei der Polizei. Für uns ist es interessant, dann natürlich diese Top Shots zu verfolgen, weil man dann ja auch sieht, wo die gerade aktiv sind und welche Firmennamen, die unter Umständen oder Branchen die gerade aufs Korn genommen oder eben anzubieten haben. So muss man das leider sagen. Das ist nicht schön und das fällt einem Bürger eines Rechtsstaats auch irgendwie ein bisschen schwer, in dieser Welt unterwegs zu sein. Aber es hilft ja nichts, dass wir die Augen davor verschließen oder davor verschließen. Es heißt Darknet, weil es ein Stück weit verborgen ist. Aber deswegen ist es trotzdem da. Es passiert. Und es wird sichtbar dadurch, dass eben Unternehmen angegriffen werden, dass Daten abhandenkommen. Und deswegen müssen wir etwas tun und deswegen sind wir auch auf dieser dunklen Seite unterwegs.
00:28:40:
00:28:40: Herzlichen Dank, Thomas und Julian, für diese spannenden Einblicke. Wir haben viel dazugelernt. Und falls Sie, liebe Zuhörerinnen und Zuhörer, Fragen haben oder uns bereits eine konkrete Anfrage senden möchten, dann können Sie das gerne tun. An die E-Mail Adresse Podcast@muc.valantic.com und wir bedanken uns fürs Zuhören und bis zum nächsten Mal.
00:28:59:
00:28:59: Danke schön. Tschüss.
Neuer Kommentar