Das BremSec-Forum führt bereits seit 2004 im IT-Sicherheitsbereich Veranstaltungen durch und hatte im September die 53. dieser Art. Am Ende der letzten Veranstaltung hatte man sich mit den Teilnehmern auf das Thema Darknet verständig, ohne allerdings einen Referenten für das Thema im Peto zu haben. Die Suche gestaltete sich dann auch schwieriger als gedacht. Man wurde aber dennoch fündig und lud Merlin Stottmeister von Bechtle ein über das interessante Thema zu referieren. Der Referent war im Rahmen der IT-Sicherheitskongresse von Bundesamt für Sicherheit in der Informatik (BSI) im Mai 2023 als Zeitplatzierter mit dem "Best-Student-Award" für seine Abschlussarbeit ausgezeichnet worden. Grund genug an diesem BremSec-Forum mal wieder teilzunehmen.

Dies dachten sich im Übrigen auch andere Teilnehmer, denn der Vorlesungsraum in der Professional School der Hochschule Bremen (siehe Abbildung 1) war sehr gut gefüllt. Das Freie Institut für IT-Sicherheit e.V. (IFIT), die das BremSec-Forum organisieren und ausrichten, warb im Vorfeld ebenfalls mit einer Teilnahme. Diese versprach, dass der Referent eine Darknet-Tour mit den Teilnehmern unternehmen wird, die die Parallelwelt des Internets klarer werden lässt. Dazu sollten auch Tipps gehören, wie man sich vor Gefahren aus dem Darknet schützen kann. Diesen Anspruch konnte der Referent aber leider nicht ganz erfüllen.

Der Vortrag begann mit einer Definition des Begriffs Darknet. Das Darknet ist ein Teil des Internets, der nicht öffentlich zugänglich ist und in der Regel nicht von herkömmlichen Suchmaschinen indexiert wird. Es handelt sich dabei um einen abgeschotteten Bereich, der auf verschiedene Weisen eingeschränkt oder anonymisiert ist, um die Identität der Nutzer zu schützen und den Zugang zu sensiblen Informationen oder illegalen Aktivitäten zu ermöglichen. Im Darknet agieren daher die Nutzer oft anonym, indem sie spezielle Software wie „Tor“ verwenden, um ihre IP-Adressen zu verschleiern. Dies ermöglicht es ihnen, Websites und Dienste zu besuchen, ohne ihre Identität preiszugeben. Das Darknet hat allerdings auch legitime Anwendungsfälle wie der Referent betonte, wie beispielsweise für Journalisten oder Menschen, die in autoritären Regimen leben und sich sicher im Internet bewegen müssen. Man sollte es daher als Unternehmen nicht ignorieren, sondern für sich nutzen.

Die Begriffe „Clear Web“ und „Deep Web“ wurden zusätzlich erläutert. Das sog. „Clear Web“ ist der Teil des Internets, der von herkömmlichen Suchmaschinen wie Google, Bing und Yahoo indexiert und leicht durchsuchbar ist. Hier finden sich öffentlich zugängliche Websites und Inhalte, die für jeden sichtbar und ohne besondere Zugangsbeschränkungen erreichbar sind. Dies umfasst Webseiten wie Nachrichtenseiten, Social-Media-Plattformen, E-Commerce-Sites und vieles mehr. Das „Deep Web“ bezieht sich hingegen auf den Teil des Internets, der nicht öffentlich durchsuchbar ist und daher nicht von herkömmlichen Suchmaschinen erfasst wird. Dieser Bereich umfasst beispielsweise private E-Mail-Konten, Online-Banking, geschützte Datenbanken, medizinische Aufzeichnungen und andere Inhalte, die für die Allgemeinheit nicht ohne weiteres zugänglich sind. Das Deep Web ist allerdings in der Regel legal und enthält viele legitime und private Informationen. Es kann und sollte nicht mit dem Darknet gleichgesetzt werden, denn dieses versucht die absichtlich verborgenden Inhalte oftmals für illegale Aktivitäten auszunutzen. So lässt sich im Darknet das Handeln mit illegalen Waren, gestohlenen Daten, Drogen, Waffen und anderen illegalen Dienstleistungen umsetzen.

Der Verbindungsaufbau mittels des Tor-Browsers (The Onion Router) erfolgt dabei auf eine Weise, die die Anonymität der Benutzer schützen soll. Tor ist ein Netzwerk aus freiwillig betriebenen Servern, die als „Relais“ bezeichnet werden und den Datenverkehr durch mehrere Zwischenstationen leiten, bevor er sein Ziel erreicht. Dieser Prozess macht es sehr schwierig, die Herkunft und Identität des Benutzers zu ermitteln. Über den Tor-Browser lassen sich nun im Darknet Kreditkartendaten kaufen (siehe Abbildung 2), gefälschte Tracking-IDs der Deutschen Post oder beliebige Ransomware-Software zur Datenverschlüsselung. Hier ist quasi ein Ökosystem entstanden, das Dienste wie Ransomware-as-a-Service (RaaS) anbietet. Das heißt, der potenzielle Angreifer eines Unternehmens muss sich nicht mit der Hacking-Software selbst auskennen, sondern nutzt bereits fertige Tools, die er im Darknet mieten oder kaufen kann. Da 80-90% der erpressten Gelder an den Auftraggeber fließen und nicht etwa an die Hackergruppe, die die Ransomware entwickelt hat, ist dieses Geschäftsmodell besonders interessant.

Die Tätergruppe, die das BSI oder andere Sicherheitsexperten ausgemacht haben will, greift also nicht. Laut BSI sind dies nämlich in der Regel sehr gut ausgebildete junge Programmierer. Wie anhand des Tor-Browsers klar werden dürfte, ist dies aber leider gar nicht notwendig. Die dahinterstehenden Firmen des Darknets bieten sogar einen ausgefeilten Service an, wie z.B. Schlüssel zur Entschlüsselung von Crypto-Daten. Dies geschah im Falle der Hackergruppe LockBit sogar einmal kostenlos, da diese Gruppe als eigene Regel ausgab, dass keine kritische Infrastruktur angreifen wird. Als dies ein Kunde von ihnen dann doch einmal getan hatte, wurde kostenlos der Schlüssel bereitgestellt, so dass der Erpressungsversuch ins Leere lief. Es gibt also einen gewissen Ehrenkodex im Darknet, auch wenn es sich bei LockBit grundsätzlich um illegale Aktivitäten handelt.

Unternehmen können das Darknet aber legal durchforsten, um beispielsweise herauszufinden, welche Bedrohungslage gegen die eigene Firma existiert. Dabei kann man allerdings auch Hacker auf sich aufmerksam machen. Der Referent hat deshalb eine Software entwickelt, die Informationen aus dem Darknet sammeln kann, ohne direkt damit verbunden zu sein. Dafür gab es letztendlich auch den BSI-Preis.

Insgesamt war es eine spannende Veranstaltung, die leider an vielen Stellen zu oberflächlich blieb, was wohl auch der Vortragszeit geschuldet war. In jedem Fall kann das Thema nicht mehr ignoriert werden. Unternehmen sollten sich gezielt dagegen schützen, damit es gar nicht erst zu einer Lösegeldforderung kommen kann. Hierfür bietet die DECOIT® GmbH & Co. KG verschiedene Absicherungslösungen an, inkl. der automatisierten Erkennung von Anomalien durch entsprechende Systeme. Bei Fragen zum Darknet oder anderen Sicherheitsthemen können sie daher gerne auf uns zukommen.