Waffen aus dem Darknet sind ein Horror für das Szenario von Amokläufen wie jüngst in München. Ein Tor, wer sich im Zeitalter von Terror und anderen Attentaten, aber auch von Digitalisierung und Big Data, nicht mit Deepweb und Darknet beschäftigt! Sicherheitsexperte Udo Schneider kennt sich bestens damit aus.
Herr Schneider, in welchem Zusammenhang stehen der Untergrund-Markt (U-Markt) beziehungsweise Schwarzmarkt, das Deepweb und das Darknet. Wie sind sie jeweils definiert?
Als Deepweb bezeichnet man allgemein Inhalte, die zum Beispiel nicht über Suchmaschinen des normalen Surface-Web auffindbar sind. Dies können im einfachsten Fall etwa passwortgeschützte Seiten sein, die nur einem geschlossenen Benutzerkreis zugänglich sind. Universitäts-Bibliotheken sind dafür ein gutes Beispiel. Obwohl sie massive Informationen enthalten, sind diese für Normalverbraucher und Suchmaschinen schlichtweg nicht sicht- oder durchsuchbar. Inhalte im Deepweb werden also nicht mit Absicht versteckt, sondern sind häufig einfach nur für einen bestimmten Personenkreis zugänglich.
Und das Darknet?
Das Darknet wiederum ist für Nicht-Eingeweihte schlichtweg unsicht- und unerreichbar. Dazu werden Verschlüsselungs- und Anonymisierungsdienste wie The Onion Router (TOR) oder Invisible Internet Project (I2P, unsichtbares Internet-Projekt) genutzt. Ohne diese Zugänge und das Wissen um die damit erreichbaren Dienste sind entsprechende Angebote unsichtbar. Der deutsche Untergrund-Markt beziehungsweise Schwarzmarkt ist primär als Deepweb-Angebot zu klassifizieren. Das heißt, die entsprechenden Foren und Marktplätze findet man in der Regel nicht einfach so via Suchmaschine. Allerdings kann man diese, sofern man die Adressen kennt, über einen normalen Webbrowser erreichen und nach Anmeldung deren Inhalte auch durchforsten. Dies gilt im Übrigen zum Beispiel auch für Angebote im russischen Untergrund. Eine Besonderheit beim deutschen Untergrund ist aber, dass viele Seiten optional auch über Darknet-Dienste, insbesondere TOR, erreichbar sind. Das heißt, diese Dienste sind zwar normal erreichbar für Interessenten, die sich aber anonym und nicht nachvollziehbar, etwa für Strafverfolgungsbehörden, bewegen wollen, sind diese Angebote auch via Darknet erreichbar.
Welche Rolle spielt The Onion Router (TOR) in den dunklen und kriminellen Seiten des Internets?
Neben Invisible Internet Project (I2P) stellt TOR einen der bekanntesten und am meisten verbreiteten Mechanismen dar, um anonym und verschlüsselt auf anders nicht erreichbare Dienste zuzugreifen. Richtig genutzt, sind sowohl die Kommunikation sicher, als auch Nutzer und Dienst anonym und nicht nachzuverfolgen. Dies macht TOR unter anderem für Dissidenten oder Whistleblower interessant, deren Leben unter anderem davon abhängt, anonym und nicht nachvollziehbar zu kommunizieren. Leider ist diese Kommunikation aber auch für Kriminelle interessant, die damit der Strafverfolgung entgehen wollen. Mithilfe von TOR können im Darknet auch kriminelle Dienste oder verbotene Waren gehandelt werden, und zwar so, dass sowohl Käufer als auch Anbieter nur schwer zu bestimmen sind.
Macht man sich verdächtig, wenn man aus ganz legalem Anonymitätsbedürfnis heraus TOR im Netz nutzt? Oder ist das sowieso gefährlich?
Einen Generalverdacht gegen TOR-Nutzer gibt es zumindest in unserem Rechtsraum nicht. Aufgrund der Funktionsweise von TOR kann es aber durchaus passieren, dass Strafverfolgungsbehörden im Rahmen von Ermittl
ungen einen bestimmten TOR-Knoten überwachen. Kommuniziert man nun auch zufällig über diesen Knoten, können die Kommunikation oder entsprechende Metadaten erhoben werden. Dies ist an und für sich nicht gefährlich. Eventuell überwacht, und sei es nur als Beifang, wird man unter Umständen schon.
Kann es sein, dass man auf der Suche nach Sicherheit im Netz versehentlich bei "secunet.cc" landet und dort auf ein ganz anderes als das erwartete Szenario trifft?
Wenn man sich für Cybersicherheit interessiert, kann es durchaus passieren, dass man auch auf entsprechende Untergrundforen trifft. Einige dieser Foren bieten in bestimmten Bereichen auch durchaus legale Diskussionen zu IT-Sicherheitsthemen an. Ob dies nun einfach so geduldet wird oder eine bewusste Entscheidung ist, um sich zu tarnen, sei einmal dahingestellt. Gerade für neue Benutzer ist der kriminelle Teil oft nicht auf den ersten Blick ersichtlich. Als Neuling besitzt man oft gar nicht die Rechte, um die eigentlich kriminellen Bretter und Diskussionen zu sehen. Erfahrungsgemäß kann man trotzdem oft feststellen, dass man in dunkle Bereiche vordringt. Und sei es zum Beispiel bei den Kommentaren zu Sicherheitslücken oder sogenannten Breaches, wo auf den Opfern auch noch herumgehackt wird.
Woran merken Entwickler, dass ihr Know-how "Made in Germany" gegen Bezahlung für illegale Webanwendungen missbraucht werden soll?
Hierauf gibt es keine pauschale Antwort insbesondere, da geforderte Entwicklungen oft gar keinen direkt sichtbaren Bezug zu kriminellen Aktivitäten haben. Allerdings kann man vieles schon mit einem normalen Geschäftsverhalten umgehen, das heißt, bei Beauftragungen zum Beispiel den Auftraggeber prüfen. Wenn dies zum Beispiel augenscheinlich eine Kapitalgesellschaft ist, kann man den Handelsregistereintrag prüfen. Dort stehen dann auch Gesellschafter und/oder Geschäftsführer. Im Zweifelsfall einfach mal anrufen. Ähnliches gilt für ordentliche Auftragsdokumente und Rechnungen. Und natürlich nicht zu vergessen, die eigentliche Bezahlung. Bitcoins oder Bar-auf-die-Kralle müssen zwar nicht negativ sein, sind aber im normalen Geschäftsleben auch nicht die Regel. Letztlich muss man fairerweise aber auch sagen, dass es nur wenige Fälle gibt, in denen unbescholtene Entwickler beauftragt werden. Auch im Untergrund gibt es genügend Entwickler, die sich anbiedern. Das heißt, sie erbringen eine Dienstleistung, und es ist ihnen letztlich egal, ob diese kriminell ist oder einen kriminellen Hintergrund hat solange das Geld stimmt.
Welche Rolle spielt Open-Source-Software?
In den allermeisten Tools für Cyberkriminelle Webseiten, Libraries, Samplecode, Executables, Treiber befinden sich große Mengen an Open-Source-Software. Das heißt, kriminelle Entwickler bedienen sich bei vielen Open-Source-Projekten, um ihre Machwerke zu erstellen. Dies ist für viele Open-Source-Programmierer verständlicherweise ärgerlich. Leider lässt sich dagegen wenig machen.
Wie sollten sich Entwickler verhalten, wenn ihnen ein Auftrag aus dem cyberkriminellen Untergrund angeboten wird, ohne ihre persönliche Sicherheit zu gefährden?
Erfahrungsgemäß reicht ein einfaches Nein. Dies ist in der Regel problemlos und gefahrlos möglich. Wenn man nicht gerade die absolute Ausnahme oder Koryphäe auf einem ganz bestimmten Gebiet ist, bleiben für einen potenziellen kriminellen Auftraggeber noch weitere Optionen oder Entwickler offen. Aus Sicht des Kriminellen lohnt sich der Aufwand, einen Entwickler zu überzeugen, also schlichtweg nicht. Auch hier regiert das Geld. Ist man hingegen eine Ausnahme beziehungsweise Koryphäe und der potenzielle Auftraggeber übt Druck aus, bleibt letztlich nur der Weg zur Polizei. Man muss sich darüber im Klaren sein, dass man es hier oft nicht mit Kleinkriminellen zu tun hat. Die Verbindungen vom Untergrund zur klassischen organisierten Kriminalität sind kurz und gut. Selbst aktiv zu werden, geht kaum. Hier hilft dann wirklich nur noch der Gang zur Polizei mit allen Konsequenzen.
Kann die wirklich helfen?
An dieser Stelle muss man für die Polizei eine Lanze brechen. Die abfällige Wahrnehmung der Polizei in Bezug auf IT-Themen gehört definitiv der Vergangenheit an. Das heißt nicht, dass jeder Streifenpolizist jetzt IT-Experte ist. Allerdings gibt es in vielen Dienststellen inzwischen entsprechend ausgebildete Kräfte, die einem weiterhelfen können. Und spätestens, wenn es nicht um den simplen, aber nichtsdestotrotz nervigen Erpressungstrojaner, sondern um Dienstleistungen für den Untergrund und die organisierte Kriminalität geht, werden die Beamten hellhörig von den entsprechenden Stellen bei Landes- und Bundeskriminalämtern einmal ganz zu schweigen.
Herr Schneider, wie kommt es, dass der deutschsprachige, cyberkriminelle Untergrund der am weitesten entwickelte in der EU ist?
Obwohl es auch durchaus Untergrundmärkte in anderen EU-Ländern gibt, ist der deutsche Untergrundmarkt der größte, rein in der EU agierende Untergrundmarkt. Zum Beispiel französisch- oder spanischsprachige Märkte sind oft länderübergreifend auch außerhalb der EU, zum Beispiel nach Lateinamerika, ausgerichtet.
Welche Charakteristika, Foren und Marktplätze kennzeichnen den cyberkriminellen Untergrund hierzulande?
Obwohl alle wichtigen Waren, zum Beispiel geklaute Kreditkarten, Konten oder Schadsoftware, auch im deutschen Untergrund erhältlich sind, ist die Auswahl geringer als in den russischen oder englischsprachigen Märkten. Dies lässt darauf schließen, dass deutsche Cyberkriminielle für Massenartikel auch andere Märkte frequentieren, da es diese dort günstiger gibt. Für Käufer, die der entsprechenden Sprache nicht mächtig sind, tummeln sich im deutschen Untergrund aber auch Wiederverkäufer, die Leistungen anderer Märkte gegen einen Obolus in Deutsch weiterverkaufen. Dies führt dazu, dass der deutsche Untergrundmarkt sich entsprechende Nischen geschaffen hat, in denen spezielle regionale Produkte und Dienstleistungen angeboten werden. Dies umfasst zum Beispiel Anruf-, also Callcenter-Dienste, in deutscher Sprache oder auch die Nutzung spezieller Dropping-Taktiken. Im Gegensatz zu anderen Regionen steht beim Droppen von Waren mit Hilfe von gestohlenen Packstationszugängen in Deutschland eine anonyme, bequeme und weit verbreitete Alternative zu Verfügung.
Interview: Annegret Handel-Kempf
Zur Person:
Udo Schneider, Security Evangelist DACH, ist seit Jahren auf vielen IT-Veranstaltungen anzutreffen. Der Münchner kennt sich aus mit den Gefahren, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bevor er beim IT-Sicherheitsanbieter Trend Micro seine jetzige Position als Security Evangelist DACH antrat, beschäftigte er sich als Solution Architect EMEA mehrere Jahre lang mit der Entwicklung geeigneter Maßnahmen gegen diese Gefahren mit Fokus auf Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit. Schneider kommt dabei seine langjährige Erfahrung zugute, die er als Berater, Trainer und Security-Analyst bei verschiedenen Anbietern des IT-Sicherheitsmarktes erworben hat.