Kennen Sie noch AlphaBay? Der digitale Marktplatz für Cyberkriminelle war lange der Ort im Dark Web, um an gestohlene Firmendaten, Passwörter oder Bankkonten zu gelangen. Auf seinem Höhepunkt tummelten sich auf dem Umschlagplatz mehr als 40.000 Anbieter und brachten es auf einen Umsatz von rund einer Milliarde US-Dollar - für IT-Sicherheitsexperten eine unkontrollierbare Gefahrenquelle. Im Juli 2017 gelang es Ermittlungsbehörden schließlich die Plattform unschädlich zu machen und, so US-Generalstaatsanwalt John Session, die Welt sicherer zu machen.

Ein Jahr später hat sich in Sachen Cyberkriminalität die Lage nicht wirklich zum Besseren gewendet. AlphaBay hinterlässt zwar eine Lücke. Diese ist jedoch wesentlich kleiner als von den Ermittlern zunächst angenommen. Das Geschäft rund um Cyberkriminalität floriert und insbesondere die russischsprachige Hacker-Community zeigt sich weitgehend unbeeindruckt vom Erfolg der Behörden.

Schwarze Schafe bei Skype und Co.

Entwarnung für Unternehmen gibt es also nicht, vielmehr lässt sich ein gefährlicher Trend beobachten: Da ein zentraler Marktplatz im Dark Web fehlt, scheinen sich die illegalen Aktivitäten ins Open und Deep Web zu verschieben. Damit rücken sie näher an Unternehmensnetzwerke, öffentliche Server und gängige Tools, Webseiten und Foren heran.

Unter Open Web versteht man den Teil des Internets, der öffentlich zugänglich und meist von einschlägigen Suchmaschienen abgesucht und indexiert werden kann. Das Deep Web umfasst Informationen, die zwar über das Internet erreichbar, jedoch teilweise durch Passwörter oder Ähnliches geschützt sind und nicht von den Suchmaschienen erfasst werden können. Das Dark Web bildetet schließlich einen Teil des Deep Web, der nur über spezielle Software, Konfigutraionen und Authorisierungsprozesse betreten werden kann.

So werden beispielsweise Mainstream-Kommunikationstools wie Jabber, Internet Relay Chat (IRC), Skype, Discord und Telegram immer häufiger zur Abwicklung illegaler Geschäfte genutzt. Dabei sind die Anwendungen an sich vollkommen legal und für jeden problemlos zugänglich. Die kostenlose genutzte VoIP-Clientanwendung Discord wird beispielsweise häufig von Gamern genutzt. Populär ist auch der stark verschlüsselte Instant-Messaging-Dienst Telegram. Skype wird privat wie geschäftlich auf vielen deutschen PCs und Smartphones verwendet. Statt also inkognito auf verschlüsselten und zentralen Foren oder Plattformen im Dark Web zu agieren, nutzen Kriminelle den Deckmantel legaler Tools und verstecken sich innerhalb einer breiten Masse an Usern.

Auch Cyberkriminelle wollen sich schützen

Der Übergang auf Chat- und Peer-to-Peer-Netzwerke ist nur eine Taktik, um den illegalen Handel mit Daten, Konten und Malware zu verschleiern und die Ermittlungsbehörden auf Distanz zu halten. Um die Sicherheit und Zuverlässigkeit ihrer Marktplätze zu demonstrieren und damit das Vertrauen potentieller Kunden zu stärken, setzen die Administratoren einschlägiger Seiten zudem moderne Technologien wie Blockchain ein.

Auf Blockchain gehostete Webseiten (meist mit der Top-Level-Domain ".bazar") laufen weniger Gefahr von staatlichen Behörden entdeckt und ausgehoben zu werden, da sie keiner zentralen Instanz unterliegen. Zudem ist für die Registrierung weder ein Name noch eine Adresse nötig. Es reicht ein eindeutig verschlüsselter Hash für jeden Benutzer. Berüchtigte Seiten wie Joker's Stash, ein Umschlagplatz für gestohlene Kredit- und andere Karten-Daten, sind daher auf Blockchain-Hosting umgestiegen. Auch die E-Commerce-Plattform OpenBazaar ist innerhalb von nur vier Monaten mit fast viertausend neuen Nutzern stetig gewachsen.

Spezialisten für jedes Verbrechen

Parallel dazu spezialisiert sich der Markt mehr und mehr. Kriminelle Akteure setzen verstärkt auf Plattformen, die auf eine bestimmte Betrugsformausgerichtet sind. Auf CrimeNet, HPC oder Exploit[.]in finden sich zahlreiche Beispiele von Anbietern, die eine besondere Variante von Ransomware oder branchenspezifische Exploit-Kits verkaufen. Viele führen auch ein dediziertes Portfolio an Automated Vending Cart (AVC)-, Carding- oder Hacking-Diensten. Das Publikum mag hier kleiner sein als auf einem zentralen Marktplatz wie Hansa oder AlphaBay. Dafür gelingt es den Kriminiellen genau ihre Zielgruppe anzusprechen und ihre Services direkt zu vermarkten. Zeigt ein potentieller Käufer Interesse, wird die weitere Kommunikation - wie beschrieben - auf privaten, legalen Kanälen fortgesetzt.

Folge für Unternehmen?

Werden Firmendaten, Mitarbeiterkonten oder digitale Unternehmensassets über Hackerangriffe und Datenleaks komprimittiert, finden sich die Informationen nun auch im Open und Deep Web und sind damit noch leichter zugänglich. Für Unternehmen wird es darum nicht unbedingt einfacher, den Missbrauch dieser Daten tatsächlich einzuschränken oder es gar auf eigene Faust mit den Cyberkriminellen aufzunehmen. Um an die Drahtzieher zu gelangen und langfristig Cyberattacken abzuwehren, empfiehlt es sich auf erfahrene Threat-Intelligence-Analysten zu setzen und frühzeitig die verantwortlichen Behörden mit ins Boot zu holen.