Im Verborgenen floriert ein Handel mit gestohlenen Daten, Zugangsinformationen und Hacker-Werkzeugen. Neue illegale Plattformen, Cybercrime-Services auf Abruf und sogar KI-gestützte Angriffstools stellen Unternehmen vor wachsende Herausforderungen.
Einleitung
Das Dark Web umfasst jene Bereiche des Internets, die von herkömmlichen Suchmaschinen nicht erfasst werden. Durch Anonymisierungs-Technologien wie das Tor-Netzwerk können sich Cyberkriminelle dort weitgehend unerkannt bewegen. Unter diesem Deckmantel der Anonymität hat sich eine Schattenwirtschaft entwickelt, in der gestohlene Informationen, Hacker-Werkzeuge und kriminelle Dienstleistungen gehandelt werden – mit direkten Folgen für Unternehmen. In diesem Artikel zeigen wir die wichtigsten Dark Web Risiken für Unternehmen und erläutern, wie Sie darauf reagieren können.
Lange Zeit betrachtete man das Dark Web vor allem als Problem nach einem Hackerangriff – etwa wenn erbeutete Daten dort auftauchen. Inzwischen nutzen jedoch viele Angreifer das Dark Web bereits in der Vorbereitung ihrer Taten. Sie suchen gezielt nach Zugangsdaten, veralteten Zugangspunkten oder Informationen über Fehlkonfigurationen, die Unternehmen ungewollt preisgegeben haben.
Vieles davon ist für wenig Geld zu haben: So lässt sich ein komplettes Set an persönlichen Informationen inklusive Telefonnummer und Adresse im Dark Web oft für unter 10 US-Dollar erwerben. Zugangsdaten für Unternehmens-Accounts – mitsamt Browser-Cookies für eine einfache Anmeldung und teils sogar Umgehungsmöglichkeiten für Zwei-Faktor-Codes – werden teils für 2 bis 5 US-Dollar pro Konto angeboten. Diese Fülle an leicht erhältlichen Informationen öffnet Cyberkriminellen Tür und Tor, um gezielt Firmen ins Visier zu nehmen.
Sicherheitsverantwortliche sollten die Dark Web Risiken für Unternehmen als eine Art ständig aktive Aufklärungszone verstehen, in der Angreifer ihre nächsten Schritte vorbereiten. Um die dynamische Bedrohungslage besser zu begreifen, haben wir im Folgenden aktuelle Aspekte zusammengestellt, die Sie als Führungskraft – ob als CEO oder CISO – über das Dark Web wissen sollten.
Das Dark Web floriert als krimineller Marktplatz
Im Dark Web hat sich ein reger Untergrund-Marktplatz etabliert, auf dem nahezu alles angeboten wird, was für Cyberangriffe nützlich ist. Neben illegalen Waren wie Drogen oder Waffen finden sich dort vor allem digitale Güter und Dienstleistungen, die direkt auf Unternehmenswerte abzielen. Daten sind dabei die gefragteste Ware: Gestohlene Zugangsdaten, interne Dokumente oder ganze Datensätze aus Hacks werden in rauen Mengen verkauft. Doch auch Hacker-Werkzeuge aller Art sind verfügbar – vom einfachen Schadsoftware-Bausatz bis hin zu Zero-Day-Exploits (ausnutzbaren Sicherheitslücken, die öffentlich noch nicht bekannt sind). Sogar Zugänge zu bereits kompromittierten Netzwerken werden gehandelt. Dafür hat sich eine Vermittlerrolle etabliert: sogenannte Initial Access Broker bieten gegen Bezahlung den Eintritt in fremde Unternehmenssysteme an, den sie zuvor irgendwo erlangt haben.
Die Untergrund-Wirtschaft fragmentiert sich dabei in immer mehr spezialisierte Nischen. Zum Beispiel existieren:
- Daten- und Zugangsdatenbörsen, auf denen Login-Kombinationen, Kundendaten oder vertrauliche Unterlagen angeboten werden.
- Plattformen zur Zugangsvermittlung (betrieben von den erwähnten Initial Access Brokern), die Zugang zu gehackten Unternehmensnetzwerken an zahlende Abnehmer vermitteln.
- Exploit- und Malware-Marktplätze, wo gegen Bezahlung Schadsoftware, Exploit-Kits und Informationen über neue Schwachstellen erhältlich sind.
- Betrugsforen und Dienstleistungsplattformen, auf denen Beratung zu Phishing-Methoden, Geldwäsche oder gefälschten Dokumenten ausgetauscht wird.
Dabei wird die kriminelle Szene zunehmend professioneller und skalierbarer. Insbesondere Ransomware-Banden arbeiten mit Partnerprogrammen, bei denen Affiliates den operativen Einbruch übernehmen, während Plattformbetreiber eine Provision für Software und Infrastruktur erhalten. Es gibt gestaffelte Zugangsmodelle: Wer mehr zahlt, erhält Zugang zu exklusiveren Schadprogrammen oder bereits vorbereiteten Einbruchswerkzeugen.
Zugleich boomen Data Leak-Webseiten von Erpressern, auf denen erfolgreich erbeutete Informationen veröffentlicht und zahlungsunwillige Opfer an den Pranger gestellt werden. All das zeigt: Die Dark Web Risiken für Unternehmen sind Teil einer lebhaften Schwarzmarkt-Ökonomie, in der digitale Angriffsressourcen wie Waren auf einem Basar gehandelt werden.
Cybercrime-as-a-Service: Angriffe auf Abruf
Nahezu jede Art von Cyberangriff lässt sich inzwischen als Dienstleistung buchen. Dieser Trend zu Cybercrime-as-a-Service senkt die Einstiegshürden für Kriminelle enorm. Wer selbst nicht die Kenntnisse hat, um eine Schadsoftware zu programmieren oder eine Phishing-Kampagne aufzusetzen, kann diese einfach im Dark Web einkaufen. Angeboten werden unter anderem:
- Ransomware-as-a-Service (RaaS): Komplettpakete für Erpressungsangriffe. Die Anbieter stellen fertige Ransomware-Programme und oft auch die nötige Infrastruktur (Zahlungsportale, Anleitungen, Support für Opfer) bereit. Die „Kunden“ – also die Angreifer – müssen primär noch die Schadsoftware ins Zielnetz einschleusen und teilen anschließend das erpresste Lösegeld mit den Entwicklern.
- Malware-Bausätze und Stealer-as-a-Service: Hier können Kriminelle Schadsoftware mieten oder kaufen, die beispielsweise Passwörter und andere Daten aus infizierten Rechnern stiehlt (sogenannte Info-Stealer). Oft gibt es Abo-Modelle, bei denen die Käufer regelmässige Updates und Support erhalten.
- Phishing-as-a-Service: Vorgefertigte Phishing-Kampagnen vom Profi. Von täuschend echt nachgebauten Webseiten bis zum massenhaften Versand von Betrugs-E-Mails kann alles als Service gebucht werden, um an Zugangsdaten oder andere vertrauliche Informationen zu gelangen.
Zusätzlich ist ein Ökosystem von Hilfsdiensten entstanden, das die kriminellen Aktionen noch effizienter macht. Dazu gehören etwa:
- Verschleierungsdienste („Crypter“): Diese Dienste manipulieren Schadprogramme so, dass Antiviren-Software sie nicht mehr erkennt – zum Beispiel durch Verschlüsselung, Verpackung in scheinbar harmlose Dateien oder Verstecken des Codes (Steganografie).
- Dropper-Services: Spezialisierte Dienste oder Tools, um Schadsoftware unauffällig in ein Zielsystem einzuschleusen (oft getarnt als legitime Software-Updates oder E-Mail-Anhänge).
- Exploit-Kits: Sammlungen von fertig entwickelten Exploits für bekannte Schwachstellen, die Angreifer nur noch ausführen müssen. Damit lassen sich selbst ohne Programmierkenntnisse offene Sicherheitslücken ausnutzen.
Dieses Baukastensystem verstärkt die Dark Web Risiken für Unternehmen, weil Angriffe nahezu auch für Laien zugänglich werden und erlaubt es erfahrenen Kriminellen, sich auf ihr Spezialgebiet zu konzentrieren. Ein Beispiel: Entwickler und Anbieter im Darknet weisen ihre Käufer teils ausdrücklich darauf hin, zusätzlich einen Verschleierungsdienst zu nutzen und kooperieren offen mit entsprechenden Anbietern. Solche Partnerschaften zeigen, wie sehr sich die Akteure im Darknet spezialisiert und miteinander vernetzt haben. Für praktisch jeden Schritt eines Angriffs – vom Erstzugang über die Schadcode-Verbreitung bis zur Geldwäsche – gibt es as-a-Service-Angebote. Das senkt die Kosten und steigert die Schlagkraft der Cyberkriminellen.
Das Dark Web im Visier internationaler Ermittler
Weltweit haben Strafverfolgungsbehörden ihre Aktivitäten im Dark Web intensiviert und einige aufschlussreiche Erfolge erzielt. Internationale Zusammenarbeit ist dabei entscheidend: So führten etwa koordinierte Aktionen unter Europols Leitung im Jahr 2024 zur Abschaltung der Hauptplattform des Ransomware-Kartells LockBit. Zeitgleich wurden 34 Server der Gruppe in den USA, Grossbritannien, Europa und Australien beschlagnahmt. Die Ermittler froren über 200 Kryptowährungskonten ein, die LockBit zugerechnet wurden – ein empfindlicher Schlag, der dem Kollektiv Millionen an illegalen Einnahmen entzog.
In einer weiteren Operation schlossen sich australische Behörden einem internationalen Einsatz gegen den Dark-Web-Dienst LabHost an. Dieser Anbieter hatte über 40’000 Phishing-Domains bereitgestellt und ermöglichte mehr als 10’000 Cyberkriminellen den Versand massenhafter Phishing-Nachrichten per SMS und E-Mail. Durch die Abschaltung von LabHost wurde eine weitverzweigte Betrugs-Infrastruktur zerschlagen, die unzählige Opfer weltweit gefordert hatte.
Auch gegen die Hintermänner von sogenannten Bulletproof-Hosting-Providern gehen die Behörden verstärkt vor. Diese „kugelsicheren“ Hoster stellen Kriminellen Server und Webspace zur Verfügung und ignorieren Beschwerden oder Abschaltanordnungen von Behörden. Australien etwa verhängte Finanzsanktionen und Reiseverbote gegen mehrere Personen im Umfeld des Hosting-Anbieters ZServers. Über dessen Server lief unter anderem der Erpressungshack auf den Krankenversicherer Medibank Private. Der Fall zeigt, dass auch vermeintlich unantastbare Infrastrukturanbieter angreifbar sind, wenn genügend internationaler Druck aufgebaut wird.
Solche Schläge gegen das Dark Web erschweren den Kriminellen zwar das Handwerk, liefern jedoch der Cyberabwehr wertvolle Einblicke und senken die Dark Web Risiken für Unternehmen – etwa durch die Auswertung beschlagnahmter Serverdaten. Allerdings sind sie kein dauerhafter Sieg. Die Szene reagiert schnell auf Störungen: Oft haben grossere Akteure bereits Notfallpläne und Ausweichplattformen vorbereitet, um bei einer Razzia nicht alles zu verlieren. Ausserdem tragen die bei Razzien gewonnenen Informationen zwar zu weiteren Ermittlungen bei, doch die Täter ändern ihre Taktiken schneller, als die Strafverfolger Schritt halten können. Der effektive Druck der Behörden läuft so oft einer rasanten Dynamik und Erneuerung in der Cybercrime-Szene hinterher.
Heute zerschlagen, morgen ersetzt
Die Schliessung eines Dark-Web-Marktplatzes oder die Festnahme einzelner Hintermänner reduziert die Dark Web Risiken für Unternehmen nur kurzfristig – die Szene organisiert sich sofort neu. Wird eine grosse Plattform zerschlagen, verstreuen sich die Nutzer schnell auf andere Foren – oder eröffnen kurzerhand neue. So entstanden nach der Zerschlagung bekannter Ransomware-Gruppen wie AlphV/BlackCat oder LockBit rasch Nachfolgeportale wie etwa RansomHub oder DragonForce. Zum Teil gründen die bisherigen Mittäter eigene Ableger mit neuen Namen, um selbst mehr vom Kuchen abzubekommen.
Sicherheitsforscher haben allein im ersten Halbjahr 2025 über 90 aktive Gruppen gezählt, die Daten stehlen oder Unternehmen erpressen – darunter etliche Neugründungen. Von diesen Gruppen betreiben rund 16 sogar eigene Leak-Webseiten, die erst wenige Wochen oder Monate online sind. Auf solchen Seiten veröffentlichen Täter beispielsweise Auszüge sensibler Firmendaten, um Druck auf die Opfer auszuüben. Die hohe Fluktuation und ständigen Neuanfänge erschweren die Verfolgung: Ermittler müssen quasi bei Null mit der Observierung und Beweissammlung beginnen, und auch firmeninterne Threat-Intelligence-Teams haben Mühe, Schritt zu halten. Die Täter sorgen mit wechselnden Pseudonymen, Taktiken und Infrastrukturen bewusst dafür, dass Zuordnungen schwierig werden – ein Katz-und-Maus-Spiel, das ihnen Zeit und Vorsprung verschafft.
Cyberkriminelle weichen auf private Kanäle aus
Mit der Zerschlagung öffentlich bekannt gewordener Foren verlagern viele Cyberkriminelle ihre Kommunikation in geschlossene Kanäle. Öffentliche Diskussionsplattformen im Dark Web – die auch von Sicherheitsforschern oder Ermittlern mitgelesen werden könnten – verlieren an Attraktivität. Stattdessen finden Absprachen zunehmend über Ende-zu-Ende-verschlüsselte Messenger wie Telegram, TOX oder Matrix statt. Häufig organisieren sich Hacker in privaten Chat-Gruppen, die nur auf Einladung zugänglich sind. Einige der verbleibenden Dark-Web-Foren haben zudem strikte Invite-Only-Regeln eingeführt, bei denen neue Mitglieder persönliche Empfehlungen etablierter Nutzer (sogenanntes „Vouching“) vorweisen müssen.
Diese Abschottung macht es Aussenstehenden erheblich schwerer, einen Einblick in die Untergrund-Aktivitäten zu gewinnen. Wichtige Informationen – etwa Warnungen vor spezifischen Angriffsmethoden oder Angebote frisch erbeuteter Datensätze – kursieren vermehrt versteckt in kleinen Zirkeln, anstatt auf grossen Marktplätzen. Für die Strafverfolgung wie auch für die Threat Intelligence von Unternehmen bedeutet das, dass traditionelle Überwachungsmethoden an Grenzen stossen. Ohne operative (und teils rechtlich riskante) Undercover-Einsätze gelingt es kaum noch, Zugang zu den inneren Kreisen der Cybercrime-Community zu erhalten.
DDoS-Attacken als Service: grösserer Massstab, steigende Nachfrage
Angriffe per Distributed Denial of Service (DDoS) – also die Überlastung von Servern oder Netzwerken durch massenhaften Anfragen-Traffic – können mittlerweile im Dark Web einfach eingekauft werden. Solche DDoS-for-Hire-Dienste (auch bekannt als «Booter» oder «Stresser») erleben einen regelrechten Boom.
Die Angebote werden immer leistungsfähiger und benutzerfreundlicher. Einige Plattformen werben mit kostenlosen Testangriffen, während zahlende Kunden für wenige tausend Dollar bereits Attacken von gigantischem Ausmass starten können – teils mit Spitzenlasten von über 1 Terabit pro Sekunde und ohne strikte Begrenzung der Angriffsdauer. Die Betreiber dieser Dienste geben sich professionell: Ihre Websites erinnern an legale Cloud-Services, inklusive Kundenbewertungen, Verkäufer-Rankings und sogar „Support“-Chats. Dieses seriöse Auftreten soll zahlende Angreifer anlocken und Vertrauen in die Zuverlässigkeit der illegalen Services schaffen.
Zugleich entwickeln Cyberkriminelle immer neue Methoden, um ihre Botnetze – die Grundlage für DDoS-Angriffe – zu vergrössern. Eine berüchtigte Hacktivistengruppe namens NoName057(16) hat etwa ein Projekt namens DDoSia ins Leben gerufen, das eine regelrechte Gamifizierung von Angriffen darstellt. Über einen Telegram-Kanal werden Freiwillige dazu animiert, eigene Rechner für koordinierte DDoS-Attacken bereitzustellen. Als Anreiz erhalten sie Kryptowährungs-Zahlungen und Punkte in Form eines eigens geschaffenen Tokens („dCoin“), den die Gruppe auch für den Bezug anderer illegaler Leistungen nutzt. Dieses Belohnungssystem gestaltet die Beteiligung an kriminellen Attacken beinahe spielerisch – und erhöht so deren Reichweite und Wirkung.
Darüber hinaus kommt nun auch künstliche Intelligenz ins Spiel, um DDoS-Angriffe noch raffinierter zu machen. Manche DDoS-Botnetze nutzen KI-Module, um Abwehrmechanismen zu umgehen – etwa CAPTCHA-Schutzmassnahmen, die echten von automatischem Traffic unterscheiden sollen. Durch KI-gesteuerte Skripte können Angreifer Captchas lösen und ihren Anfragenstrom als scheinbar legitimen Traffic tarnen. Diese Automatisierung erschwert die Verteidigung erheblich: Traditionelle Gegenmassnahmen wie IP-Blocklisten oder Ratenbegrenzung greifen weniger, wenn der schädliche Traffic intelligent angepasst wird. Unternehmen sehen sich daher immer öfter DDoS-Attacken ausgesetzt, die länger andauern, schwieriger zu filtern und insgesamt schädlicher sind als früher.
KI senkt die Hemmschwelle für Cyberangriffe
Generative KI – also KI-Systeme, die eigenständig Texte, Bilder oder andere Inhalte erzeugen können – wird zunehmend von Kriminellen genutzt, um Cyberangriffe einfacher und effektiver zu machen. So lassen sich mit KI-gestützter Software in Minuten synthetische Identitäten erschaffen: automatisch generierte Profilbilder, glaubwürdige Lebensläufe und sogar künstlich nachgeahmte Stimmen. Mit solchen Deepfake-Personas können Betrüger z.B. Verifizierungsprozesse umgehen – etwa die Know-Your-Customer-Kontrollen (KYC) bei Finanzdienstleistern oder biometrische Zugangshürden. Ein KI-generiertes Stimmprofil am Telefon oder ein perfekt gefälschtes Ausweisdokument können genügen, um Sicherheitskontrollen auszuhebeln.
KI dient im Untergrund auch als eine Art Assistenzsystem für Hacker. In illegalen Foren tauchen spezialisierte Chatbots auf, die auf grossen Sprachmodellen (ähnlich wie ChatGPT) basieren und bereitwillig bei der Entwicklung von Malware helfen. Weniger versierte Angreifer können diese Bots fragen, wie man bestimmte Sicherheitsmechanismen überwindet, oder sich sogar direkt Schadcode vorschlagen lassen. Einige dieser Dienste – mitunter als „Evil GPT“ bezeichnet – werden offen zum Verkauf angeboten. So kursierten zuletzt etwa Namen wie WormGPT, FraudGPT oder DarkBard, hinter denen modifizierte KI-Sprachmodelle stecken. Diese geben ohne Zögern Phishing-Mails, betrügerische Websites oder Exploit-Code heraus, ohne die moralischen Schranken, die legale KI-Plattformen ihren Nutzern auferlegen.
Auch professionelle Hacker nutzen KI, um ihre Angriffe noch schwerer abwehrbar zu machen – zum Beispiel beim Erstellen polymorpher Schadsoftware. Mit KI-Unterstützung kann ein Schadprogramm so entwickelt werden, dass es bei jedem Angriff seinen Code leicht verändert. Diese Variantenvielfalt macht es klassischen Virenscannern nahezu unmöglich, alle Versionen zuverlässig zu erkennen, da keine statische Signatur mehr existiert.
Die Strafverfolgungsbehörden stehen durch diese Entwicklungen vor neuen Herausforderungen, versuchen aber mitzuhalten. Viele Länder haben spezialisierte Cybercrime-Einheiten aufgebaut, rüsten technisch auf und arbeiten enger mit IT-Sicherheitsfirmen zusammen. Details zu ihren Gegenmassnahmen bleiben aus verständlichen Gründen meist geheim – man will den Tätern keinen Vorsprung gewähren. Ein Sprecher der australischen Bundespolizei (AFP) betont jedoch, man entwickle stets neue innovative Lösungen, um allen kriminellen Methoden etwas entgegenzusetzen. Der Wettlauf von Katze und Maus setzt sich also auch auf technischer Ebene mit KI fort.
Kryptowährungen dominieren – und werden noch schwerer nachzuverfolgen
Die Finanztransaktionen im Dark Web laufen nahezu vollständig über Kryptowährungen. Cyberkriminelle bevorzugen digitale Coins, weil diese ohne klassische Bankaufsicht transferiert werden können – in der Hoffnung, unentdeckt zu bleiben. Lange Zeit war Bitcoin (BTC) das unumstrittene Hauptzahlungsmittel der Untergrund-Ökonomie. Doch inzwischen setzen immer mehr Täter auf speziell anonymitätsorientierte Währungen. Allen voran gewinnt Monero (XMR) an Beliebtheit, gefolgt von Zcash (ZEC). Diese Kryptowährungen verschleiern Sender, Empfänger und Betrag jeder Transaktion durch integrierte Verschlüsselungs- und Mischverfahren. Ihre Nutzung erschwert es Strafverfolgern erheblich, Geldflüsse zurückzuverfolgen.
Die Tendenz ist klar: Immer mehr Dark-Web-Marktplätze akzeptieren ausschliesslich noch Monero oder ähnliche Privacy-Coins als Zahlungsmittel. Zwischen 2023 und 2024 stieg der Anteil neuer illegaler Online-Börsen, die Monero als einziges Zahlmittel fordern, von gut einem Drittel auf fast die Hälfte. Zusätzlich boomen Tumbler- und Mixer-Dienste, welche die Herkunft von Kryptowährungen verschleiern, indem sie Einzahlungen vieler Nutzer vermischen und in gestückelter, zufälliger Reihenfolge wieder ausschütten. Mit Zero-Knowledge-Technologien (bei denen Transaktionen mathematisch verifiziert werden, ohne Details preiszugeben) soll die Anonymität künftig noch weiter erhöht werden. Für Behörden wird es durch diese Entwicklung immer aufwändiger, die Geldströme hinter Cyberangriffen nachzuvollziehen. Zwar investieren spezialisierte Einheiten in Blockchain-Analysewerkzeuge und verfolgen Transaktionen über verschiedene Blockchains hinweg, aber die Kriminellen finden oft als Erste neue Lücken in der Spurensuche.
Interessanterweise haben viele Dark-Web-Marktplatzbetreiber ihrerseits Massnahmen ergriffen, um Vertrauen innerhalb der Szene zu stärken. So bieten etliche Plattformen Treuhand-Services (Escrow) an: Das Geld des Käufers wird dabei vom Marktplatz zwischengespeichert und erst ausbezahlt, wenn die gelieferte Ware (etwa gestohlene Daten oder ein Zugang) als echt bestätigt wurde. Auch interne Bewertungssysteme und Schlichtungsstellen für Streitfälle sind keine Seltenheit mehr. Damit reagieren die Betreiber auf die Angst vor sogenannten Exit-Scams – Fällen, in denen ein Marktplatz plötzlich verschwindet und alle hinterlegten Kundengelder mitnimmt. Letztlich zielen diese Mechanismen aber vor allem darauf ab, die kriminellen Geschäfte am Laufen zu halten und den Beteiligten schnelle, reibungslose Zahlungen zu garantieren.
Mit Dark-Web-Informationen einen Schritt voraus sein
Angesichts der vielfältigen Bedrohungen, die vom Dark Web ausgehen, sollten Unternehmen diesem Bereich aktiv Aufmerksamkeit schenken. Für Sicherheitsverantwortliche – aber auch für das obere Management – gilt es, das Dark Web nicht nur als Angstmacher abzutun, sondern als Quelle wertvoller Hinweise zu nutzen.
In vielen Fällen kündigen sich Cyberangriffe oder Datendiebstähle dort an, bevor sie im eigenen Netzwerk sichtbar werden. Daher lohnt sich ein proaktives Monitoring: Spezialisierte Threat-Intelligence-Teams durchforsten das Dark Web gezielt nach Erwähnungen der eigenen Firma, nach geleakten Zugangsdaten oder Hinweisen auf geplante Attacken. Wichtig: Solche Recherchen sollten nur mit höchsten Sicherheitsvorkehrungen und klarer rechtlicher Legitimation durchgeführt werden. Wenn Ihre Organisation es erlaubt, sollten nur geschulte Experten mit entsprechender Abschirmung (z.B. in einer isolierten Umgebung über den Tor-Browser und ein VPN) das Dark Web betreten, um keine Spuren zu hinterlassen und keine Gesetze zu verletzen.
Die Erkenntnisse aus dem Dark Web können helfen, die eigene Cyber-Abwehr zu stärken. Werden beispielsweise Zugangsdaten von Mitarbeitern oder Partnerfirmen im Untergrund zum Verkauf angeboten, kann dies umgehend interne Passwortänderungen oder Zugangs-Sperrungen auslösen – noch bevor die Angreifer diese Informationen ausnutzen. Diskutieren Hacker in einschlägigen Foren über eine bestimmte Schwachstelle in einer beliebten Software, ist das ein Alarmzeichen, um diese Lücke im eigenen Haus schleunigst zu schliessen. Kurz: Durch eine Verknüpfung von Dark-Web-Insights mit der unternehmensinternen Threat Intelligence lässt sich ein Frühwarnsystem etablieren, das Angreifer-Aktivitäten antizipiert.
Für die Unternehmensführung bedeutet das letztlich auch, Ressourcen bereitzustellen und eine Kultur der Wachsamkeit zu fördern. Ihr CISO und sein Team sollten die dunklen Ecken des Internets kontinuierlich im Blick behalten – nicht erst nach einem Vorfall, sondern als Teil der täglichen Risikoanalyse. Führungskräfte sollten dieses Vorgehen aktiv unterstützen, sei es durch Investitionen in entsprechende Monitoring-Tools oder durch Anpassung von Sicherheitsrichtlinien. So stellen Sie sicher, dass Ihr Unternehmen der nächsten Gefahr aus dem Dark Web immer einen Schritt voraus ist.
Fazit und Handlungsempfehlungen: Was CEOs und CISOs jetzt aus diesem Artikel mitnehmen sollten
Key Take‑away 1 – Das Dark Web ist ein Vorlaufradar, kein Nachsorge‑Thema.
Angriffe kündigen sich dort an, bevor sie in Ihren Logs sichtbar werden. Etablieren Sie ein kontinuierliches, rechtssicheres Monitoring nach Firmen‑Erwähnungen, Zugangsdaten‑Lecks und Angeboten von Initial‑Access‑Brokern – mit klaren Playbooks für sofortige Reaktionen (Credentials sperren, Sessions invalidieren, MFA erzwingen).
Key Take‑away 2 – Der Untergrundmarkt ist florierend und arbeitsteilig.
Vom Zugang bis zur Geldwäsche gibt es alles «as a Service». Behandeln Sie Cybercrime wie eine Lieferkette: härten Sie die ersten Glieder (Internet‑exponierte Systeme, Identitäten, E‑Mail/Domains) und testen Sie regelmässig, wie schnell Ihr Team auf reale Angebote im Untergrund reagieren kann (Time‑to‑Contain bei geleakten Konten).
Key Take‑away 3 – Ransomware‑Ökonomie: Affiliates operieren, Betreiber kassieren.
Im RaaS‑Modell liefern Betreiber Software und Infrastruktur; Affiliates dringen ein und setzen die Erpressung um. Ihre Abwehr muss daher operative TTPs (Phishing, Info‑Stealer, Living‑off‑the‑Land) erkennen. Priorisieren Sie: EDR mit Isolationsfunktion, privilegierte Zugänge mit PAM und Just‑in‑Time‑Rechten, strikte Netzwerk‑Segmentierung, unveränderbare (immutable) Offsite‑Backups mit geplanten Restore‑Tests.
Key Take‑away 4 – Takedowns helfen, ersetzen aber keine Resilienz.
Ermittlungen und Abschaltungen liefern wertvolle Einblicke, doch der Untergrund reorganisiert sich schneller, als Behörden und Unternehmen reagieren können: Netzwerke zerfallen, neue Marken erscheinen innert Tagen. Rechnen Sie daher nicht mit einer Entspannung der Lage, sondern mit Dauerlast. Exposure‑Management gehört in den Tagesbetrieb: ein vollständiges Inventar aller internet‑exponierten Assets, das konsequente Aufspüren von Shadow‑IT und das rasche Beheben von Fehlkonfigurationen – laufend, nicht punktuell.
Key Take‑away 5 – Kommunikation wandert in private Kanäle.
Je mehr sich Deals zu Telegram, TOX und Invite‑Only‑Foren verlagern, desto weniger sehen Sie mit einfachen Sweeps. Bauen Sie deshalb eigene Telemetrie auf: Credential‑Stuffing‑Sensoren, Honey‑Identitäten, Canary‑Tokens in sensiblen Dokumenten, Domain‑Brand‑Schutz (inkl. Takedown‑Prozesse).
Key Take‑away 6 – DDoS‑for‑Hire unterbricht den Geschäftsbetrieb!
Beschaffen Sie vor dem Vorfall einen DDoS‑Scrubbing‑Dienst, verankern Sie Blackholing‑ und Rate‑Limit‑Runbooks, und testen Sie mit Ihrem Internet‑Provider die Umschaltzeiten. Ergänzend: WAF aktiv im Blocking‑Modus, API‑Schutz, Captcha‑Strategie gegen KI‑gestützte Umgehungen.
Key Take‑away 7 – KI senkt die Einstiegshürden für Kriminelle und der Mensch bleibt das schwächste Glied.
Generative Modelle senken die Einstiegshürden: Phishing-Mails wirken überzeugender, Schadprogramme verändern sich ständig, und täuschend echte Identitäten entstehen auf Knopfdruck. Unternehmen müssen ihre Abwehr deshalb nachziehen – mit phishing-resistenter Multifaktor-Authentisierung (etwa Passkeys für privilegierte Konten und kritische SaaS), strenger Sitzungskontrolle (kurze Token-Laufzeiten, erneute Verifikation bei Auffälligkeiten) und zusätzlichen Kontrollmechanismen wie einer zweiten Bestätigungsebene bei Zahlungen oder Identitätsprüfungen. Ergänzend braucht es ein realistisches Awareness-Programm, das Mitarbeitende auf Deepfakes und KI-gestützte Täuschungen vorbereitet.
Doch KI ist nicht die einzige Gefahr: Viele Vorfälle beginnen beim Insider- und Human-Faktor. Gestohlene Zugangsdaten stammen oft von privaten Geräten, unsicheren Browsern oder Schatten-IT. Hier setzt modernes Insider Threat Management an – mit Session Monitoring, das verdächtige Aktivitäten in Echtzeit erkennt, und Privileged Access Management (PAM), das besonders kritische Konten schützt und Missbrauch verhindert. Ergänzend sind zentrale Passwort-Manager und strikte Richtlinien gegen Unternehmenszugriffe über unsichere Privat-Setups entscheidend. Nur wer das Zusammenspiel von Technik, Prozessen und menschlichem Verhalten adressiert, kann seine Abwehr nachhaltig stärken.
Key Take‑away 8 – Lösegeldzahlungen: Compliance‑Risiken steigen.
Illegale Transaktionen im Dark Web laufen fast ausschliesslich über Bitcoin oder anonyme Privacy-Coins wie Monero und Zcash. Damit steigt der Druck auf Unternehmen, sich klar zu positionieren: Viele Sicherheitsverantwortliche verfolgen eine No-Payment-Policy, also das Prinzip, bei einer Ransomware-Erpressung kein Lösegeld zu zahlen. Doch eine solche Haltung setzt voraus, dass Unternehmen und IT-Systeme resilient genug sind, um den Ausfall kritischer Systeme zu verkraften. Dazu gehören belastbare Backups, regelmässig geprüfte Wiederanlaufpläne und eine Krisenorganisation, die auch unter Druck funktioniert. Nur wer diese Hausaufgaben gemacht hat, kann eine No-Payment-Policy glaubwürdig leben – andernfalls bleibt sie ein Lippenbekenntnis.
Falls eine Zahlung dennoch unumgänglich sein sollte, gilt: nur über juristisch geprüfte Wege, ohne dabei die Forensik und Beweissicherung zu kompromittieren. Zudem muss die Kommunikation mit Aufsichtsbehörden, Kunden und Partnern im Vorfeld durchdacht und geplant sein.
Key Take‑away 9 – Proaktivität schlägt Reaktivität: integrieren statt isolieren.
Dark‑Web‑Erkenntnisse gehören in Ihr reguläres Threat‑Intelligence‑Programm und in die NIST‑CSF‑Steuerung (v2.0, inkl. GOVERN). Definieren Sie Messgrössen, die Management und CISO gemeinsam verantworten:
- Time‑to‑Revoke für exponierte Konten und Tokens
- Patch‑SLOs für internet‑exponierte Schwachstellen (kritisch binnen Tagen, nicht Wochen)
- Passkeys‑Abdeckung auf Tier‑0‑Konten
- DMARC‑Durchsetzung (p=reject) auf Kern‑Domains
- Restore‑Zeit und Backup‑Unveränderlichkeit (regelmässig belegt)
- Lieferkette: Anteil kritischer Dienstleister mit MFA/Passkeys und Security‑Benachrichtigungspflichten
Haben Sie Fragen oder benötigen Sie Hilfe?
TECHWAY unterstützt Unternehmen dabei, die richtigen Prioritäten zu setzen und Ihr Unternehmen nachhaltig zu schützen. Das Dark Web ist längst kein fernes Phänomen mehr, sondern wirkt sich direkt auf die Sicherheit und Resilienz Ihres Unternehmens aus. Ob beim Aufbau eines Insider-Threat-Managements, bei der Einführung von Session Monitoring und PAM oder beim kontinuierlichen Dark-Web-Monitoring.
Nehmen Sie unverbindlich Kontakt mit uns auf – wir freuen uns auf das Gespräch!
