Marktplatz für Maulwürfe – Wie Insider ihr Wissen im Darknet verkaufen

Im Darknet kann man alles kaufen – Datensätze, Betäubungsmittel, Hehlerware oder auch Auftragshacks. Seit ein paar Jahren entwickelt sich ein Produkt dabei zu einem richtigen Bestseller: Insiderdienste. Üblicherweise als Innentäter bezeichnet, bieten hier Angestellte – kleine bis große Zahnräder in unüberschaubaren Unternehmensstrukturen – ihren privilegierten Zugang als Eintrittskarte zum Festpreis an. Gruppen aus Cberkriminellen geben auf der anderen Seite auch selber lukrative Annoncen auf, um Innentäter aus einem bestimmten Unternehmen anzuwerben.

Bild 1 von 4

Insider-Annoncen im Darknet (4 Bilder)

Diese Bedrohung wächst kräftig. Während laut einem Bericht des US-amerikanischen Ponemon-Instituts im Jahr 2018 noch rund 50 Prozent aller Befragten Unternehmen angaben, von Insider-Bedrohungen betroffen zu sein – also zwischen 21 und 40 Insider-Vorfälle bewältigt haben – waren es 2022 bereits 67 Prozent. Große Unternehmen sind besonders gefährdet, vor allem Finanzdienstleister, Serviceanbieter und Industrieunternehmen und Firmen aus der Telekommunikation – europäische und nordamerikanische Unternehmen sind dabei klar in der Mehrzahl. Ein Gros dieser Insider-Vorfälle lässt sich unter „Nachlässigkeit des Personals“ einorden – kompromittierte Emailadressen, abgegriffene Zugangsdaten oder das sprichwörtliche Passwort auf dem Post-it. Ein Viertel davon machen aber ganz gezielte kriminelle Aktivitäten innerhalb des Unternehmens aus: Angestellte, die sich zu Komplizen von Cyberkriminellen machen und als Spion im Unternehmen agieren. Ein Forschungsteam des Security-Software-Anbieters Check Point Software Technology hat nun Einblicke aus dem Maulwurf-Markt veröffentlicht. Sergey Shykevich, Threat Intelligence Group Manager bei Check Point erklärt, wie sich der Handel mit Innentäter-Diensten gestaltet.

Herr Shykevich, die Zahl der Unternehmen, die im Verbund mit Insidern angegriffen wurden, ist in den letzten sechs Jahren erheblich gestiegen. Wie kommt es dazu?

Cyberkriminelle rekrutieren aggressive Insider – und versprechen auch höhere Belohnungen –, weil sie die anfängliche Angriffsfläche erweitern wollen, die ein Unternehmen bietet. Denn die Produkte zur Verteidigung gegen traditionelle Angriffe, zum Beispiel an den Perimetern des Netzwerks oder in den E-Mail-Systemen, werden immer besser und Unternehmen setzen diese auch bewusster ein. Ich will nicht sagen, dass sich Unternehmen mittlerweile alle gut schützen, aber relativ gesehen schützen sie sich schon besser. Cyberkriminelle öffnen deshalb andere, neue Angriffsvektoren – zum Beispiel kompromittieren sie Developer Supply Chains, setzen Hacking-Geräte wie Flipper oder BadUSB ein, oder akquirieren eben Insider. Das sind unkonventionelle Ansätze, auf die Unternehmen nicht besonders gut vorbereitet sind. Dazu kommt, dass das Nutzen von Insiderdiensten auch keinen erheblichen Aufwand darstellt – also einfacher durchzuführen ist.

Die Einblicke Ihrer Forschungsgruppen zeichnen zwei Bilder: Insider, die ihre Dienste im Darknet anbieten, und Kriminelle, die im Darknet nach Insidern suchen. Was kommt denn häufiger vor?

Das Verhältnis zwischen Anbietern und Anwerbern ist recht ausgeglichen. Allerdings gibt es ein Feld, in dem es sehr üblich ist, dass Insider von sich aus ihre Dienste anbieten: Telekommunikationsunternehmen und alles, was damit verbunden ist. Es gibt einen großen Markt im Dark Web, der Insiderdienste rund um Telekommunikation anbietet, hauptsächlich geht es dabei um SIM-Swapping. Dabei übernimmt der Kriminelle die SIM-Karte einer Person, um beispielsweise eine Multi-Faktor-Authenthifizierung (MFA) zu umgehen. So kann man in Unternehmensnetzwerke gelangen oder auch Bankkonten stehlen. Wir sehen eine Menge dieser Angebote im Telekommunikations-Sektor: Aus Firmen in Europa, aus den USA – wo SIM-Swapping leichter zu bewerkstelligen ist als in Europa – und große Netzwerke aus Telko-Insidern in Osteuropa.

Dient das dann als Grundlage für andere kriminelle Aktivitäten – zum Beispiel um Anonymität zu schaffen oder einen Betrug einzufädeln?

SIM-Swapping ist ein ziemlich fokussierter Vorgang. Cyberkriminelle wissen bereits vorher, dass sie die Telefonnummer einer bestimmten Person stehlen wollen, zum Beispiel die eines IT-Managers in einem großen Unternehmen, das sie angreifen. Das gleiche gilt, wenn sie bereits über den Usernamen und das Passwort einer Person verfügen, die sie für ihre Bankgeschäfte einsetzt – solche Informationen sind breit gestreut, aber wertlos, solange eine MFA im Weg steht. Cyberkriminelle zahlen beim SIM-Swapping also gezielt für Einzelpersonen. Das sind deshalb auch keine billigen Angebote, so etwas kostet zwischen mehreren hundert und tausend Euro, gerade weil es so spezifisch ist.

Das klingt so, als wären solche Insider weniger die Menschen in IT-relevanten Positionen mit entsprechenden Zugriffsrechten, sondern kleine Rädchen im Getriebe großer Unternehmen. Wie kann man sich einen Insider vorstellen, der seine Dienste im Darknet anbietet?

Ich denke, man kann zwischen zwei Typen von Insidern unterscheiden. Der erste Typ ist recht häufig, und ja, das sind Angestellte auf einer ziemlich niedrigen Ebene eines Unternehmens – Einstiegspositionen, Werkstudenten und ähnliches. Sie haben keinen besonders tiefen Zugriff, aber sie haben Zugriff, und das reicht völlig aus. Für Cyberkriminelle ist es relativ einfach, solche Angestellten zu rekrutieren, denn sie haben keinen Bezug zum Unternehmen, sind vielleicht bald wieder weg und können so noch etwas dazuverdienen.

Es gibt aber auch einen zweiten Typ Insider, der Teil der Stammbelegschaft eines Unternehmens ist, manchmal auch in wirklich sensiblen Positionen. Ist so jemand besonders unzufrieden, erleidet einen Schicksalsschlag, oder braucht schlicht sehr schnell Geld, kann er sich dazu entscheiden, Insiderdienste anzubieten. Vor zwei, drei Jahren, haben wir einen Fall beobachtet, bei dem jemand unbedingt eine erhebliche Summe für die Operation eines Familienangehörigen brauchte – und zwar unverzüglich. Verzweiflung und die Not, große Geldsummen in kurzer Zeit zu benötigen treibt solche vorher völlig unauffälligen Personen dann dazu, ein Innentäter zu werden. Die beiden Typen decken den Großteil der Insider im Dark Web ab.

Wie kommen die Prämien zustande, die für den Insiderservice gezahlt werden? Orientieren sie sich am Risiko, am möglichen Gewinn, oder dreht es sich um die Seltenheit oder Exklusivität der Dienstleistung?

Das variiert zwar, aber die Exklusivität des Zugriffs, um den es geht, ist schon sehr wichtig bei der Preisgestaltung. Der Preis orientiert sich daran, was der Insider erreichen kann und in welchem Unternehmen er arbeitet. Das verhält sich sehr ähnlich zu Spionen, die eine Regierung einsetzt – auch deren Wert wird daran gemessen, wie tief ihr Zugriff ist und wie viel Einfluss sie in ihrem Einsatzgebiet nehmen können. Eigentlich sind Insider in Unternehmen auch nichts anderes als Spione für Cyberkriminelle, nur dass es ihnen darum geht, den Zugriff in Profit umzuwandeln. Deshalb besteht auch ein so hohes Interesse an Insidern in der Telekommunikation, deren Zugriff ist nämlich sehr leicht zu monetarisieren. Darüber hinaus geht es meistens darum, Zugriff zu Firmennetzwerken zu erlangen, um eine Infektionskette zu starten, Daten bereitzustellen, die dabei helfen, Schutzmaßnahmen zu umgehen oder generell Daten durchsickern zu lassen. Seltener versuchen Insider auch, selbst Malware oder ähnliches im Netzwerk zu isnstallieren, was allerdings recht anspruchsvoll ist.

Wenn wir von Spionage reden: Haben Insider im Allgemeinen bereits entsprechenden Zugang im Unternehmen, oder muss man es sich eher so vorstellen, dass sie sich diesen Zugang erst mit krimineller Absicht verschaffen?

Ich denke, beides trifft zu. Natürlich ist es viel einfacher für einen Insider, Informationen anzubieten, über die er bereits verfügt, beispielsweise Code oder sensible Informationen mit denen er täglich arbeitet. Das ist also die Regel. Denn im Umkehrschluss ist es auch schwieriger, zu rechtfertigen, warum man jetzt auf völlig andere Dokumente oder Informationen zugreifen möchte, mit denen man überhaupt nicht arbeitet. Es gibt aber durchaus auch Fälle, in denen Insider versuchen, ihren Zugriff zu erweitern um auf dem Markt im Dark Web „mehr wert“ zu sein. Kann ein Insider mehr Optionen anbieten, kann er auch einen höheren Preis verlangen. Das kann dazu führen, dass er sogar eine Beförderungen anstrebt, um seinen Marktwert zu steigern.

Schützen kriminelle Gruppen ihre Insider denn, damit sie ihnen erhalten bleiben?

Meiner persönlichen Erfahrung nach ist die Sicherheit des Insiders einer kriminellen Gruppe in den allermeisten Fällen schlicht egal. Das ist eher eine „Wegwerf-Mentalität“, der Dienst wird einmal genutzt, zu Profit umgewandelt und das war die ganze Zusammenarbeit. Cyberkriminelle haben meist einen ganz spezifischen Anspruch, suchen einen dazu passenden Insider und beginnen dann mit ihrem eigentlichen Vorhaben, zum Beispiel einer Erpressung mit Ransomware. Es ist dann unwichtig, wer den Zugriff im Unternehmen ermöglicht hat. Im Telekommunikations-Sektor gestaltet sich die Zusammenarbeit generell etwas langfristiger, aber üblicher ist es, dass zwischen Cyberkriminellen und Insidern nicht mehr als die Zahlung und die Informationsübergabe stattfindet. Ein Insider ist sich dessen auch bewusst und hat – hoffentlich – entsprechende Vorsichtsmaßnahmen getroffen, oder nimmt das Risiko schlicht in Kauf.

Wie könnte ein Unternehmen denn das Risiko durch Insider minimieren – abgesehen von einer hervorragenden Personalpolitik, die in den Angestellten eine gewisse Loyalität erzeugt?

Um sich dagegen zu schützen, sollte man drei Ansätze kombinieren: Zuerst gibt es natürlich den technischen Ansatz, also die Überwachung von Logs, Zugriffskontrolle, das Implementieren von Data-Loss-Prevention-Methoden (DLP) und Anomalieerkennung – wenn ein Angestellter beispielsweise im Durchschnitt täglich 1 GB von Dateihostern im Unternehmen herunterlädt und dann plötzlich das Zwanzig- oder Dreißigfache. Wenn Mitarbeiter Zugriff für Ressourcen anfragen, nach denen sie noch nie gefragt haben, und das dann nur ungenügend erklären können, sollte ebenfalls eine Warnkette anlaufen, auch wenn der Zugriff verweigert wurde. Zweitens sollte auch wirklich das Bewusstsein unter Angestellten dafür geschaffen werden, wie drastisch die Konsequenzen sein können. Auch wenn sie vielleicht bald das Unternehmen verlassen: das ist Diebstahl, der aufgrund des angerichteten Schadens nicht selten mit Gefängnisstrafen geahndet wird und so das Leben des Täters zerstören kann. Ein letzter Schritt wäre das Sammeln von Informationen im Dark Web, aber auch im Clear Web. Das ist quasi die letzte Verteidigungslinie, wenn sich ein Angestellter also schon dazu entschieden hat, zum Insider zu werden. Wer das allerdings noch nicht professionell tut, sondern gerade erst einsteigt, bietet seine Dienste mit größerer Wahrscheinlichkeit auch auf offenen Plattformen an, wo Unternehmen sie finden können.

Naiv gefragt: Was hindert Unternehmen denn daran, genau wie Insider und Kriminelle auf diese Marktplätze zu gehen und nach sich selbst zu suchen, um in Erfahrung zu bringen, ob sie kompromittiert sind?

Es ist nicht so einfach für Unternehmen, weil sie von Unternehmensgeräten ins Dark Web gehen müssten und dort fragwürdige Seiten besuchen würden – das Risiko, sich dabei Malware einzufangen oder Daten zu leaken ist groß. Wir bei Check Point Research haben dafür extra ein separates Netzwerk und virtuelle Maschinen mit IPs, die nicht auf das Unternehmen hinweisen. So ein vollständig unabhängiges – und auch recht großes – Netzwerk zu betreiben, ist nicht allen Unternehmen möglich. Dann geht es natürlich auch darum, zu wissen, wo man suchen müsste. Man muss die entsprechenden Foren kennen und dort eintreten können, das funktioniert oft auf Empfehlungsbasis oder kostet Geld. Große russische Foren erwarten zum Beispiel 50 bis 100 US-Dollar in Bitcoin, was zwar nach nicht besonders viel klingt, aber Unternehmen abschreckt – denn für sie ist es sehr umständlich, mit Kryptowährungen zu handeln. Die notwendigen steuerlichen Angaben sind kompliziert und Kryptowährungen lassen sich auch schlecht innerhalb des Unternehmens verarbeiten. Man kann allerdings davon ausgehen, dass ganz große Unternehmen wie die Fortune 500 auch eigene Teams haben, um das Darknet nach solchen Angeboten zu durchsuchen. Auch Drittanbieter offerieren solche Dienste.

Wenn ich jetzt ein Insider werden möchte und bereit wäre, das Risiko der Strafverfolgung in Kauf zu nehmen – ist es dann sicher für mich, diese Dienste anzubieten?

Nein, eher nicht. Man kann natürlich betrogen werden: Wenn man zum Beispiel Zugangsdaten bereitgestellt hat, dann kann es auch passieren, dass man danach nichts mehr vom Auftragsgeber hört. Sobald man außerhalb des Gesetzes aktiv ist, hilft keine keine Justiz oder Polizei, wenn man selber zum Opfer wird. Außerdem muss man schon einen gewissen Aufwand betreiben, um der Strafverfolgung zu entgehen. Grundkenntnisse darüber, wie man sich anonymisiert, sind schon notwendig – die virtuelle Welt ist für unerfahrene Insider oder Einsteiger ziemlich unsicher.

(kki)