Start-up will im Dark Web nach gestohlenen Daten suchen

Einbrüche in Unternehmensnetze führen zu hohen finanziellen Schäden für die Betroffenen. Mit einem neuen System sollen solche Angriffe über einen Umweg früher entdeckt werden.

Im November 2013 drangen Online-Diebe in die Systeme der US-Handelskette Target ein. Sie brauchten weniger als einen Tag, um sich im riesigen Netz der Kette einzunisten. Doch weil Anzeichen für solche Angriffe schwer zu erkennen sind, reagierte Target erst mehr als drei Wochen später, als ein Teil der erbeuteten Kreditkartendaten längst in den dunklen Ecken des Internet angeboten wurde.

Die Verzögerung zwischen Eindringen und Entdeckung ist ein Problem für jedes Unternehmen. Acht von zehn Online-Einbrüchen dauern nur wenige Stunden oder einen Tag. Nur in einem Viertel der Fälle aber werden diese Angriffe laut dem alljährlichen Data Breach Investigations Report von Verizon auch ähnlich schnell erkannt.

Das von zwei Forschern am Applied Physics Laboratory der Johns Hopkins University gegründete Start-up Terbium Labs will das ändern. Wie Terbium Anfang Juni bekannt gab, soll eine Kombination von zwei Technologien Unternehmen die Möglichkeit geben, frühzeitig festzustellen, ob private Daten im Web gelandet sind. "Wenn sich die Zeit bis zur Entdeckung von Monaten auf Sekunden oder Minuten verringern lässt, kann man wirklich den Schaden minimieren und die Gefahr verringern, dass die Daten überhaupt an die Öffentlichkeit kommen", sagt Danny Rogers, Mitgründer und CEO von Terbium Labs.

Datendiebstähle sind für Unternehmen, die über Kundendaten verfügen, ein bedeutendes Problem geworden. Handelsketten wie Target und Home Depot sowie Gesundheitsunternehmen wie Anthem und Community Health Systems haben durch solche Angriffe bereits Millionen Dollar und viel Kundenvertrauen verloren. Im vergangenen Jahr stahlen Online-Diebe insgesamt mehr als eine Milliarde Datensätze mit persönlichen Informationen, hat die Marktforschungsfirma Ponemon Institute ermittelt.

Viele Anbieter von Sicherheitstechnologien versuchen, Angreifer zu stoppen, bevor sie Daten stehlen können, oder zu verhindern, dass Daten aus einem Netzwerk kopiert werden. Terbium Labs geht es vor allem darum, eine schnellere Entdeckung zu ermöglichen.

Die Matchlight-Technologie des Unternehmens durchsucht ständig das Web sowie auch die versteckten und anonymen Teile des Internet – das so genannte Dark Web, das Kriminelle häufig für ihre illegalen Geschäfte nutzen. Nach Schätzungen von Johns-Hopkins-Forschern erfasst Google nur etwa 5 bis 10 Prozent des gesamten Web.

Bei dem Terbium-System dagegen werden zunächst Hunderte von Seed-Links eingegeben, anschließend ruft es diese Seiten auf und folgt jeglichen neuen Links, bis es einen großen Teil des gesamten Web erfasst hat. Die gefundenen Daten werden in Stücke von 14 Byte Länge zerlegt, was eine häufige Methode zur Suche nach Mustern in Texten ist. Die Stücke, bezeichnet als N-Gramme, werden in einer Datenbank gespeichert. Kunden können sie dann durchsuchen und auf diese Weise feststellen, ob irgendwelche sensiblen Daten aus ihren Systemen im Web aufgetaucht sind.

Gleichzeitig schützt das System die Privatsphäre. Die Daten werden verschlüsselt und als digitaler Fingerabdruck gespeichert. Kunden können dadurch die eigenen Daten verschlüsseln und in der Datenbank nach dem verschlüsselten Text suchen. Dadurch kann niemand sonst, einschließlich Terbium Labs selbst, die Daten im Klartext einsehen. "Man kann auf diese Weise nach Daten suchen, ohne zu wissen, wonach man eigentlich sucht", sagt Michael Moore, Mitgründer und Chief Technology Officer von Terbium Labs.

In Tests haben Unternehmen mit dem System schon Tausende von Kreditkartennummern gefunden, die im Internet zum Kauf angeboten wurden. Matchlight erkennt einen Angriff zwar erst, nachdem er schon stattgefunden hat. Immerhin aber lässt sich damit die Zeitspanne zwischen Angriff und Entdeckung verkürzen.

Das kann den Opfern von Online-Einbrüchen viel Geld sparen. Der Datendiebstahl bei Target kostete den Einzelhändler in den Jahren 2013 und 2014 brutto 252 Millionen Dollar. Wäre der Angriff aufgefallen, als die Diebe mit dem Verkauf der Daten begannen, hätte man sie früher aus dem Netz des Unternehmens entfernen können – und die Käufer der Daten hätten weniger Zeit gehabt, damit zu betrügen.

(sma)