Dark Web Monitoring bezeichnet die systematische Überwachung von nicht indexierten Bereichen des Internets – des sogenannten „Dark Web“ –, um frühzeitig Hinweise auf gestohlene oder kompromittierte Unternehmensdaten zu entdecken. Ziel ist es, proaktiv Bedrohungen zu identifizieren und abzuwehren, die aus dem Handel mit gestohlenen Daten, der Planung von Cyberangriffen oder anderen illegalen Aktivitäten im anonymen Bereich des Internets resultieren. Man sucht praktisch aktiv nach gestohlenen vertraulichen Dokumenten oder personenbezogenen (Kunden-)Daten, bevor diese in kriminellen Foren zum Verkauf angeboten werden.
Im Gegensatz zum „normalen“ Web, das über alle gängige Suchmaschinen bzw. Browser zugänglich ist, bleiben Dark Web‑Inhalte verborgen und erfordern daher spezielle Technologien wie anonymisierte Netzwerke (beispielsweise Tor) und automatisierte Crawler, um Daten aufzuspüren. Vor allem für große Unternehmen gewinnt Dark Web-Monitoring zunehmend an Bedeutung, weil Cyberkriminelle Datenverstöße oft monatelang unbemerkt in Schattennetzwerken handeln.
Exkurs: Dark Web & Darknet
Dark Web und Darknet werden zwar oft synonym verwendet, bezeichnen jedoch technisch betrachtet unterschiedliche Aspekte derselben Thematik. Als Darknet bezeichnet man nämlich nur die Infrastruktur: Es handelt sich um spezielle, nicht über klassische Internet‑Protokolle erreichbare Netze wie Tor oder I2P, in denen Verbindungen anonymisiert und verschlüsselt aufgebaut werden. Nur jene, die eine entsprechende Software nutzen (z.B. Tor-Browser) können sich in diese Netzwerk einklinken.
Das Dark Web hingegen ist die Gesamtheit der Webseiten und Dienste, die im Darknet gehostet werden. Anders als das öffentliche Web – also alle Seiten, die per Google & Co. indexiert und über Standard‑Browser erreichbar sind – bleiben Inhalte im Dark Web verborgen und können nur mit passenden Zugangstools aufgerufen werden. Dazu gehören etwa Handelsplätze für gestohlene Daten, geschlossene Diskussionsforen oder Sammlungen sensibler Dokumente.
Typischerweise werden durch Phishing, Malware oder unzureichend gesicherte Cloud‑Speicher gestohlene Daten ins Dark Web eingestellt und von den Cyberkriminellen zum Kauf angeboten. Genau hier setzen die Monitoring‑Services an, die diese Marktplätze und Diskussionsforen kontinuierlich durchsuchen und bei auffälligen Einträgen Alarm schlagen.
Die technische Umsetzung beruht auf einer Kombination aus Web‑Crawlern, Machine‑Learning‑Algorithmen und manueller Analyse durch Security‑Analysten. Der Monitoring-Prozess umfasst dabei im Regelfall folgende Schritte:
- Datensammlung: Spezialisierte Tools, Crawler und Bots durchsuchen kontinuierlich Dark Web-Foren, Marktplätze, Chatrooms und Filesharing-Dienste, die über Netzwerke wie Tor oder I2P zugänglich sind.
- Identifikation von Schlüsselinformationen: Das Monitoring konzentriert sich auf die Identifikation von Informationen, die für das überwachte Unternehmen relevant sind. Dazu gehören beispielsweise:
- Gestohlene Zugangsdaten (Benutzernamen, Passwörter, E-Mail-Adressen für Firmenkonten, VPN-Zugänge)
- Finanzdaten (Kreditkartennummern, Bankdaten von Kunden oder des Unternehmens)
- Vertrauliche Unternehmensdaten (Quellcodes, Geschäftsgeheimnisse, geistiges Eigentum, Kundendatenbanken, interne Kommunikationen, Strategiepapiere)
- Informationen über Schwachstellen in Systemen oder Software des Unternehmens
- Diskussionen oder Ankündigungen von Cyberangriffen auf das Unternehmen
- Angebote für den Verkauf von Zugängen zu Unternehmensnetzwerken
- Identitätsinformationen von Führungskräften oder kritischem Personal
- Analyse: Die gesammelten Daten werden analysiert, um ihre Relevanz und Glaubwürdigkeit zu bewerten. Nach der KI.Analyse interpretieren Menschen die Ergebnisse und stellen den Kontext her, um festzustellen, ob eine tatsächliche Bedrohung vorliegt.
Sollte eine Bedrohung entdeckt werden, können IT‑Abteilungen und Sicherheitsverantwortliche umgehend reagieren – etwa durch Sperren von Konten, Neuvergabe von Passwörtern oder Benachrichtigung betroffener Kunden.
Wie viele andere Sicherheitsvorkehrungen auch, darf man Dark Web-Monitoring nicht als einmalige Maßnahme sehen, sondern muss es als kontinuierlichen Prozess im Rahmen eines umfassenden Cyber‑Risk‑Managements zu verstehen. Die Integration in bestehende SIEM‑Systeme und Incident Response‑Pläne ist jedenfalls zu empfehlen.
