Unsere Daten haben einen hohen Wert sowohl für Unternehmen als auch für Cyberkriminelle. Im Verborgenen existieren Märkte, auf denen gestohlene Informationen gehandelt werden. Dazu zählen unter anderem Kreditkartendaten, Passwörter und weitere persönliche Informationen. Anonyme Plattformen im Darknet sowie Messenger-Dienste wie Telegram erleichtern diesen Handel. Oft gelangen die Daten durch Sicherheitslücken oder betrügerische Methoden in die falschen Hände. Der Missbrauch gestohlener Informationen kann erhebliche Folgen für die Betroffenen haben.

Die dunkle Seite des Internets

Die Menge an Informationen im Web wächst, wobei die meisten Menschen nur über traditionelle Suchmaschinen auf die Inhalte der Oberfläche des Webs zugreifen. Das Deep Web hingegen ist eine riesige Sammlung von Webseiten, die meist von datenbankgesteuerten Webseiten stammen und einen Grossteil des gesamten Webs ausmachen. Diese Seiten sind für traditionelle Suchmaschinen unsichtbar. Ein verborgener Bereich des Internets, das Darknet, ist Teil des Deep Webs und nur über spezialisierte Software wie den Tor-Browser, I2P oder Freenet zugänglich. Aufgrund der gewährleisteten Anonymität dient es häufig als Plattform für illegale Aktivitäten wie Cyberkriminalität, Drogenhandel und digitale Erpressung, wird aber auch für legale Zwecke wie Whistleblowing oder den Schutz der Meinungsfreiheit genutzt.

Mythos und Realität

Das Darknet wird häufig als ein gefährlicher und geheimnisvoller Ort beschrieben, der von Kriminellen und Terroristen für illegale Aktivitäten genutzt wird. Dieser Mythos verkennt jedoch die vielseitigen Aspekte des Darknets. Ursprünglich entstand es als eine Antwort auf die zunehmende Überwachung im Internet, mit dem Ziel, Anonymität und Privatsphäre zu gewährleisten. Für Menschen, die in autoritären Staaten leben, bietet es eine Plattform, auf der sie ihre Meinung frei äussern können, ohne Gefahr zu laufen, verfolgt oder bestraft zu werden. In solchen Ländern ist das Darknet eine wichtige Ressource für Journalisten und Aktivisten, die auf andere Weise möglicherweise zum Schweigen gebracht würden. Auf der anderen Seite wird das Darknet auch von Kriminellen ausgenutzt, die die Verschlüsselungstechnologien und die Anonymität nutzen, um illegale Märkte zu betreiben. Diese Märkte umfassen nicht nur den Handel mit Drogen und Waffen, sondern auch den Handel mit gestohlenen Daten. Das Darknet ist somit ein zweischneidiges Schwert, dessen Nutzung sowohl Chancen als auch Risiken mit sich bringt.

Warum unsere Daten wertvoll sind

Daten bestimmen wirtschaftliche Entscheidungen, treiben Innovationen voran und sind für Unternehmen wie auch für Kriminelle von Interesse. Jeder Klick, jede Suchanfrage und jede Interaktion im Internet hinterlässt digitale Spuren, die detaillierte Einblicke in unsere Identität, Vorlieben und finanziellen Verhältnisse ermöglichen. Der wahre Wert von Daten geht jedoch über ihren unmittelbaren monetären Nutzen hinaus. Daten besitzen nicht nur einen direkten Wert, etwa in Form einzigartiger branchenspezifischer Informationen, sondern auch einen potenziellen Wert, der durch gezielte Analysen und den Einsatz von Künstlicher Intelligenz gehoben werden kann. Historische Daten sind besonders wertvoll, da sie die Grundlage für präzise Vorhersagemodelle bilden und zukünftige Entwicklungen prognostizieren können. Unternehmen, die Daten strategisch auswerten, können dadurch Wettbewerbsvorteile gewinnen. Doch nicht nur Unternehmen profitieren von der Datenflut. Im Darknet werden sensible Informationen wie Kreditkartendaten, Passwörter oder medizinische Unterlagen als wertvolle Handelsgüter gehandelt. Cyberkriminelle nutzen fortschrittliche Techniken, um Daten zu stehlen, weiterzuverkaufen oder für Identitätsdiebstahl und Betrug zu missbrauchen. Der Wert unserer Daten ergibt sich also nicht nur aus ihrer wirtschaftlichen Nutzung, sondern auch aus den Risiken, die mit ihrem Missbrauch verbunden sind. In einer zunehmend datengetriebenen Welt wird deutlich, dass Daten ein zentrales Gut unserer digitalen Gesellschaft sind und einen bewussten und sicheren Umgang erfordern.

Wo gestohlene Daten gehandelt werden

Gestohlene Daten haben im Darknet stark an Handelswert gewonnen. Die Ausweitung des Datenhandels lässt sich auf mehrere Faktoren zurückführen. Die Zunahme von Datenschutzverletzungen und Datenlecks hat dazu geführt, dass mehr persönliche Daten für den Handel im Darknet verfügbar sind. Dies zeigt sich auch in einer Studie, laut der die Verbreitung gestohlener Daten von 2015 bis 2021 um das Elffache gestiegen ist. Das Darknet ermöglicht durch seine hohe Anonymität den unentdeckten Handel dieser Daten, wodurch es Kriminellen leichter fällt, ihre Identität zu verschleiern und der Strafverfolgung zu entkommen. Zudem begünstigt die Verwendung von Kryptowährungen anonyme Transaktionen, wodurch der Handel mit gestohlenen Daten weiter vereinfacht wird. Gleichzeitig hat die Professionalisierung der Darknet-Märkte zu einer sichereren und effizienteren Handelsumgebung geführt. Diese Märkte bieten benutzerfreundliche Oberflächen und zuverlässige Dienstleistungen, was den Handel mit gestohlenen Daten weiter befeuert. Schliesslich trägt die wachsende Nachfrage nach gestohlenen Daten, die für illegale Aktivitäten wie Identitätsdiebstahl, Betrug und Phishing verwendet werden, zur Verstärkung des Marktes bei.

Darknet-Märkte

Gestohlene Daten werden im Darknet hauptsächlich auf spezialisierten Marktplätzen gehandelt. Diese Marktplätze sind in der Regel über das Tor-Netzwerk zugänglich. Tor schützt sowohl Käufer als auch Verkäufer, indem es ihre Internetverbindung verschlüsselt und über verschiedene Knotenpunkte weiterleitet, wodurch die Rückverfolgbarkeit deutlich erschwert wird. Einer der bekanntesten Marktplätze ist BreachForums, der als bedeutender Akteur im digitalen Schwarzmarkt für geleakte Daten gilt.

BreachForums ist in mehrere Sektionen unterteilt, die sich auf spezifische Arten von Datenlecks konzentrieren. Eine der Hauptkategorien ist Databases, in der gestohlene Datenbanken veröffentlicht werden, häufig mit sensiblen Informationen. Darüber hinaus gibt es die Kategorie Stealer Logs, in der Protokolle aus Infostealer-Malware geteilt werden. Diese enthalten oft Anmeldedaten, die durch Schadsoftware auf infizierten Systemen entwendet wurden. Ein weiterer relevanter Bereich ist Cracked Accounts, wo kompromittierte Benutzerkonten für verschiedene Online-Dienste veröffentlicht werden. Zudem existiert eine Sektion namens Combolists, in der Listen mit Benutzernamen-Passwort-Kombinationen geteilt werden, die für sogenannte Credential-Stuffing-Angriffe genutzt werden können.

Neben diesen Hauptkategorien existieren weitere Unterforen, wie beispielsweise Games, das sich auf Leaks von Spielcodes, Plugins und anderen gaming-bezogenen Inhalten spezialisiert. Auch der Bereich Other Leaks ermöglicht das Teilen diverser Datenlecks, die nicht direkt in die anderen Kategorien fallen. Zusätzlich gibt es die Sektion Database Discussion, in der Nutzer über Datenbank-Leaks diskutieren und gezielt Anfragen zu bestimmten Datensätzen stellen können. Eine eher ungewöhnliche Kategorie ist HackTheBox, die sich mit Hacking-Übungen beschäftigt und der Skill-Entwicklung dient.

Die hohe Anzahl an Threads und Posts in den verschiedenen Kategorien verdeutlicht, dass diese Plattform eine grosse und aktive Community aufweist. BreachForums stellt damit eine zentrale Anlaufstelle für Cyberkriminelle dar, die gestohlene Daten verbreiten oder erwerben möchten.

Ein Blick auf die veröffentlichten Daten zeigt, dass auch Informationen aus der Schweiz auf BreachForums gehandelt werden.

In den Kategorien für Datenbanken, Stealer-Logs und Combolists finden sich immer wieder Einträge, die auf geleakte Kundendaten, Zugangsdaten zu Schweizer Online-Diensten oder kompromittierte Geschäftsdaten hindeuten. Dies zeigt, dass auch Schweizer Unternehmen, Behörden und Privatpersonen von Datendiebstählen betroffen sind und ihre Informationen auf solchen digitalen Schwarzmärkten kursieren. Die globale Vernetzung solcher Foren macht es schwer, sich vor diesen Bedrohungen zu schützen, da gestohlene Daten unabhängig von ihrer Herkunft anonym und ohne geografische Einschränkungen gehandelt werden. Es existieren auch Märkte, auf denen nicht nur Daten, sondern auch andere illegale Waren gehandelt werden. Ein Beispiel dafür ist der Marktplatz ASAP.

Die Benutzeroberfläche ähnelt der eines regulären Online-Marktplatzes mit Kategorien, Suchfunktionen und einem Warenkorb-System. Auf der linken Seite befindet sich eine Liste, die eine breite Palette an illegalen Produkten abdeckt. Dazu gehören Drogen wie Stimulanzien, Cannabis und Haschisch, Opioide, Psychedelika und Ecstasy sowie Betrugs- und Finanzdaten, darunter Bankkonten, Kreditkartendaten und weitere sensible Informationen. Zudem werden digitale Güter wie Hacking-Tools, Software, Sicherheitsanwendungen und Tutorials angeboten, ebenso wie gefälschte Produkte. Zur Vertrauensbildung zwischen Käufern und Verkäufern werden Bewertungen genutzt.

Telegram als Dreh- und Angelpunkt

Telegram hat sich in den letzten Jahren nicht nur als beliebte Messaging-Plattform etabliert, sondern auch als ein zentraler Handelsplatz für illegale Aktivitäten, darunter auch für den Handel mit gestohlenen Daten. Ein entscheidender Faktor für die Attraktivität von Telegram im kriminellen Milieu ist die Möglichkeit, anonym zu agieren. Während viele andere Plattformen eine Identitätsverifikation erfordern, lässt sich ein Telegram-Konto lediglich mit einer Telefonnummer registrieren. Diese Hürde kann durch anonyme SIM-Karten oder virtuelle Nummern leicht umgangen werden. Zusätzlich erleichtert die Struktur von Telegram den Zugang zu illegalen Märkten. Während Darknet-Marktplätze spezielle technische Infrastruktur wie den Tor-Browser erfordern, ist Telegram mit wenigen Klicks erreichbar. Interessenten finden über Web-Suchen, Foren oder soziale Medien schnell Zugang zu relevanten Gruppen und Kanälen. Die kriminellen Netzwerke auf Telegram sind oft gut organisiert. Es existieren beispielsweise spezialisierte Gruppen für verschiedene Arten von Datenlecks. Verkäufer präsentieren ihre Angebote in öffentlichen Kanälen, während Transaktionen meist in privaten Chats oder über automatisierte Bots abgewickelt werden. Diese Bots erleichtern den Handel, indem sie Preislisten bereitstellen, Bestellungen entgegennehmen oder sogar auf Kundenanfragen automatisch antworten. Trotz zunehmender Kritik an der Rolle von Telegram in der Cyberkriminalität unternimmt die Plattform nur begrenzt Massnahmen gegen illegale Aktivitäten. Obwohl Kanäle gelegentlich gesperrt werden, entstehen neue Gruppen in der Regel innerhalb weniger Stunden. In einigen Fällen hat Telegram jedoch damit begonnen, Strafverfolgungsbehörden bei Ermittlungen zu unterstützen, insbesondere bei schwerwiegenden kriminellen Aktivitäten.

Wie unsere Daten in verborgene Märkte gelangen

Je mehr Informationen vorhanden sind, desto grösser wird das Risiko, dass diese in falsche Hände geraten. Die Methoden, durch die diese Daten entwendet werden, reichen von direkten Angriffen auf Unternehmen bis hin zu ausgeklügelten Täuschungsmanövern gegenüber den Nutzern selbst. Unternehmen sind aufgrund ihrer umfangreichen Datensammlungen häufig Ziel von Hackerangriffen. Bei einem Datenleck werden sensible Informationen gestohlen und gelangen oft auf Darknet-Marktplätze. Solche Sicherheitslücken entstehen in der Regel durch unzureichende Sicherheitsmassnahmen, wie veraltete Software oder mangelnde Verschlüsselung. Phishing und Social Engineering stellen weitere verbreitete Angriffsarten dar, bei denen Angreifer Täuschung nutzen, um direkt an persönliche Daten von Nutzern zu gelangen. Phishing erfolgt meist durch gefälschte Emails, die von vertrauenswürdigen Institutionen zu stammen scheinen und einen Link zu einer nachgebauten Webseite enthalten. Beim Social Engineering wird das Vertrauen des Opfers ausgenutzt, etwa durch gefälschte Anrufe oder Manipulationen in sozialen Netzwerken, um Daten zu stehlen oder schadhafte Software zu installieren. Eine weitere Bedrohung stellt Malware dar, eine Sammelbezeichnung für schadhafte Software, die in Systeme eingeschleust wird, um Daten zu stehlen oder Schäden zu verursachen. Keylogger, eine spezielle Form von Malware, zeichnen die Tastatureingaben der Nutzer auf und sind für diese meist unsichtbar. Die erbeuteten Daten werden entweder auf dem Schwarzmarkt verkauft oder für spätere Angriffe verwendet.

Was mit gestohlenen Daten passiert

Gestohlene Daten werden auf illegalen Marktplätzen gehandelt und für verschiedene kriminelle Aktivitäten genutzt. Eine häufige Form des Missbrauchs ist der Identitätsdiebstahl, bei dem Täter die persönlichen Informationen der Opfer verwenden, um in deren Namen finanzielle Transaktionen durchzuführen oder Verträge abzuschliessen. Zudem werden gestohlene Kreditkartendaten für unautorisierte Zahlungen oder Geldabhebungen missbraucht. Ein weiteres Einsatzgebiet ist die Übernahme von Online-Konten. Durch Phishing oder Datenlecks erlangen Cyberkriminelle Zugang zu Login-Daten und übernehmen die Kontrolle über fremde Accounts. Diese nutzen sie beispielsweise, um illegale Waren zu verkaufen, wobei die Spuren zunächst zum eigentlichen Besitzer des gehackten Kontos führen, während die Täter im Verborgenen bleiben. Zusätzlich können gestohlene Daten für Erpressung oder Blossstellung der Betroffenen verwendet werden. Täter drohen dabei mit der Veröffentlichung sensibler Informationen, um Lösegeld zu erpressen. Die vielfältigen Missbrauchsmöglichkeiten gestohlener Daten sind vielschichtig und hiermit nicht abgeschlossen.

Beispiel Schweiz

Nach dem Cyberangriff auf die Berner IT-Firma Xplain im Mai 2024 wurden gestohlene Daten im Darknet veröffentlicht. Eine Analyse des Bundesamtes für Cybersicherheit (BACS) ergab, dass von den 1,3 Millionen veröffentlichten Datensätzen etwa 65.000 für die Bundesverwaltung relevant waren. Rund 9.000 dieser Dokumente konnten der Bundesverwaltung zugeordnet werden, wobei etwa 14 Prozent sensible Inhalte wie Personendaten, technische Informationen, klassifizierte Daten und Passwörter umfassten. Die Hackergruppe Play, die für den Angriff verantwortlich war, hatte 900 Gigabyte an Daten erbeutet. Da Xplain nicht auf die Lösegeldforderung einging, wurden die Daten im Darknet veröffentlicht.

Massnahmen gegen den Handel mit illegalen Daten

Behörden und Strafverfolgungsbehörden sind kontinuierlich bemüht, illegale Marktplätze und Chats von Messenger-Diensten zu schliessen, auf denen gestohlene oder sensible Daten gehandelt werden. Doch dies gleicht oft einem Katz-und-Maus-Spiel. Sobald eine Plattform geschlossen wird, tauchen neue Foren auf. Ein bekanntes Beispiel dafür ist BreachForums, das nach der Schliessung durch Behörden mehrfach unter anderem Namen und auch unter einem anderen Onion-Link wieder auftauchte.

Trotz dieser Herausforderungen setzen Strafverfolgungsbehörden ihre Bemühungen fort, Netzwerke aufzudecken, Täter zu identifizieren und den illegalen Handel einzudämmen. Neben den Strafverfolgungsbehörden leisten auch spezialisierte Cybersecurity-Firmen einen wichtigen Beitrag zur Bekämpfung des Handels mit gestohlenen Daten. Wir als scip AG bieten Darknet-Monitoring-Dienste, um Unternehmen frühzeitig über potenzielle Datenlecks und den Missbrauch sensibler Informationen zu informieren. Durch den gezielten Einsatz unserer eigens entwickelten AI-Bots sind wir in der Lage, relevante Darknet-Märkte zu infiltrieren und in Echtzeit Sprachanalysen durchzuführen. So können wir Transaktionen und Akteure identifizieren, die für unsere Kunden von Bedeutung sind. Sobald ein Verdachtsfall erkannt wird, wird unser spezialisiertes Darknet-Monitoring-Team informiert. Dieses analysiert den Sachverhalt und entscheidet über das weitere Vorgehen, sei es eine direkte Benachrichtigung der betroffenen Kunden, eine weiterführende Beobachtung oder die Veröffentlichung sicherheitskritischer Informationen zum Schutz Dritter. Unsere kontinuierliche Überwachung erstreckt sich nicht nur auf Foren, Marktplätze und Messenger-Kanäle, sondern auch auf den Handel mit gestohlenen Daten, Exploits und Zugängen. Die daraus gewonnenen Erkenntnisse verschaffen unseren Kunden strategische Vorteile, helfen ihnen, Sicherheitsmassnahmen gezielt zu verstärken und potenzielle Risiken frühzeitig zu minimieren. Mit unserer langjährigen Erfahrung und innovativen Technologien ermöglichen wir es Unternehmen, sich effektiv gegen Identitätsdiebstahl, Betrug und Reputationsverlust zu schützen.

Zusammenfassung

Gestohlene Daten werden im Darknet und auf Messenger-Dienste wie Telegram verkauft. Kriminelle bieten dort Kreditkartendaten, Zugangsdaten und andere sensible Informationen an. Diese werden für Betrug, Identitätsdiebstahl oder Erpressung genutzt. Die Daten stammen oft aus Hackerangriffen, Phishing oder Schadsoftware. Sowohl Firmen als auch Privatpersonen sind betroffen, da gestohlene Informationen auf Schwarzmärkten landen und missbraucht werden. Auch die Schweiz ist nicht sicher. Der Handel mit gestohlenen Daten bleibt eine Gefahr. Grundlegende Sicherheitsvorkehrungen wie starke Passwörter, regelmässige Updates und Vorsicht bei verdächtigen Emails tragen dazu bei, das Risiko zu verringern. scip AG unterstützt Unternehmen mit fortschrittlichem Darknet-Monitoring, um frühzeitig auf den Missbrauch von Daten hinzuweisen und gezielte Schutzmassnahmen zu ergreifen.