Gestohlene Daten im Darknet: Was Unternehmen über Breach Monitoring wissen müssen

Über 24 Milliarden gestohlene Zugangsdaten zirkulieren im Darknet – Tendenz steigend. Wenn ein Unternehmen gehackt wird, dauert es oft nur Stunden, bis die erbeuteten Daten auf Marktplätzen, in Telegram-Kanälen oder auf Paste-Sites zum Verkauf stehen. Für die betroffene Organisation beginnt ein Wettlauf gegen die Zeit: Werden die Zugangsdaten zuerst zurückgesetzt oder zuerst missbraucht?

Was im Darknet gehandelt wird

Gestohlene Daten haben einen konkreten Marktwert. Die Preise variieren je nach Qualität und Aktualität:

  • Einzelne Login-Credentials (E-Mail + Passwort): CHF 5–20 pro Datensatz, bei frischen Breaches mehr
  • Fullz (vollständige Identitätspakete) mit Name, Adresse, Geburtsdatum, SSN/AHV-Nummer: CHF 50–200
  • Corporate VPN- oder RDP-Zugänge: CHF 500–5’000+, abhängig von Unternehmensgrösse und Branche
  • Kreditkartendaten mit CVV: CHF 10–50 pro Karte
  • Session Cookies und API-Tokens: Preis variiert stark, besonders wertvoll für Cloud-Dienste

Besonders lukrativ sind sogenannte Initial Access Broker, die Unternehmenszugänge an Ransomware-Gruppen weiterverkaufen. Ein funktionierender VPN-Zugang zu einem mittelständischen Unternehmen kann den Ausgangspunkt für einen Millionenschaden bilden.

Wie Unternehmensdaten im Darknet landen

Die häufigsten Wege sind bekannt – und trotzdem unterschätzt:

  • Infostealer-Malware: Trojaner wie RedLine, Raccoon oder Lumma extrahieren gespeicherte Passwörter, Session-Cookies und Autofill-Daten direkt aus dem Browser. Ein einziger infizierter Arbeitsplatz-PC kann Dutzende von Zugangsdaten liefern.
  • Phishing: Trotz aller Schulungen bleibt Phishing der effektivste initiale Angriffsvektor. Moderne Phishing-Kits imitieren Login-Seiten pixelgenau und fangen Zugangsdaten samt MFA-Tokens ab.
  • Drittanbieter-Breaches: Mitarbeitende verwenden Firmen-E-Mail-Adressen für externe Dienste. Wird einer dieser Dienste kompromittiert, sind die Credentials exponiert – und oft identisch mit den Unternehmenspasswörtern.
  • Grosse Datenbank-Dumps: Kompilationen wie COMB (Compilation of Many Breaches) bündeln Milliarden älterer Datensätze. Wer Passwörter wiederverwendet, ist auch Jahre nach dem ursprünglichen Breach noch gefährdet.

Laut IBM X-Force Threat Intelligence Index sind gestohlene Zugangsdaten der häufigste initiale Zugriffsvektor bei Cyberangriffen – noch vor Phishing und der Ausnutzung von Schwachstellen. Das macht Credential-Diebstahl zum Dreh- und Angelpunkt moderner Angriffsketten.

Was Breach Monitoring leistet

Breach Monitoring durchsucht systematisch die Orte, an denen gestohlene Daten auftauchen: Darknet-Marktplätze, Untergrundforen, Paste-Sites, Telegram-Kanäle und öffentliche Datenbank-Dumps. Sobald eine E-Mail-Adresse, ein Domainname oder Credentials des Unternehmens gefunden werden, erfolgt eine Alarmierung.

Der entscheidende Vorteil: Proaktives Handeln statt Reaktion. Wenn das Sicherheitsteam erfährt, dass Zugangsdaten eines Mitarbeitenden im Darknet aufgetaucht sind, kann es das Passwort zurücksetzen und den Account sichern – bevor ein Angreifer die Daten für den Zugriff auf Unternehmenssysteme nutzt.

Ohne Monitoring erfahren Unternehmen typischerweise erst von kompromittierten Credentials, wenn der Schaden bereits eingetreten ist: durch unautorisierte Zugriffe, Datenverlust oder Ransomware-Verschlüsselung.

Eine Lösung, die dieses Monitoring automatisiert bereitstellt, ist ExposIQ. ExposIQ durchsucht Darknet-Quellen gezielt nach geleakten Passwörtern und kompromittierten Zugangsdaten von Organisationen und liefert verwertbare Ergebnisse, auf deren Basis sofort gehandelt werden kann.

Konkrete Schutzmassnahmen

Breach Monitoring allein reicht nicht. Es braucht ein Zusammenspiel mehrerer Massnahmen:

  1. Breach Monitoring implementieren: Kontinuierliche Überwachung der Unternehmensdomains und E-Mail-Adressen auf Darknet-Expositionen. Dienste wie ExposIQ automatisieren diesen Prozess und liefern zeitnahe Alerts.
  2. Einzigartige Passwörter durchsetzen: Enterprise Password Manager (z.B. Bitwarden, 1Password Business) ausrollen. Jeder Dienst erhält ein eigenes, zufällig generiertes Passwort. Damit wird die Wiederverwendung von Credentials eliminiert und ein einzelner Breach bleibt isoliert.
  3. MFA auf allen Konten aktivieren: Prioritär FIDO2/Passkeys für kritische Systeme, mindestens TOTP-basierte App-Authentifizierung für alles andere. SMS-basierte MFA nur als absolute Notlösung.
  4. Credential Stuffing erkennen: Authentifizierungslogs auf Muster analysieren – viele fehlgeschlagene Anmeldeversuche mit verschiedenen Benutzernamen von wenigen IP-Adressen deuten auf automatisierte Angriffe mit gestohlenen Credentials hin.
  5. Incident-Response-Plan für Credential-Kompromittierungen: Definierte Abläufe für den Fall, dass Mitarbeiter-Credentials im Darknet auftauchen: sofortiger Passwort-Reset, Session-Invalidierung, Überprüfung auf unautorisierte Zugriffe, Forensik bei Verdacht auf Infostealer-Befall.

Der Zeitfaktor

Europol stellt im Internet Organised Crime Threat Assessment (IOCTA) wiederholt fest, dass gestohlene Daten innerhalb von Stunden bis wenigen Tagen nach einem Breach monetarisiert werden. Das Bundesamt für Cybersicherheit (BACS) bestätigt, dass Credential-basierte Angriffe auch in der Schweiz zu den häufigsten Bedrohungen für KMU zählen. Und die Statistiken von Have I Been Pwned zeigen: Über 14 Milliarden Accounts sind in dokumentierten Breaches enthalten – viele davon mit wiederverwendeten Passwörtern.

Wer nicht aktiv überwacht, ob die eigenen Unternehmensdaten im Darknet kursieren, fliegt blind.

Wie Zerberos unterstützt

Zerberos bietet Penetration Testing, Social-Engineering-Assessments und Risk-Assessments, um die Widerstandsfähigkeit Ihrer Organisation gegen Credential-basierte Angriffe zu bewerten. Wir simulieren realistische Angriffsszenarien – von Phishing-Kampagnen über Credential Stuffing bis zur Ausnutzung geleakter Zugangsdaten – und zeigen, wo konkret Handlungsbedarf besteht.

Für die laufende Überwachung empfehlen wir ExposIQ als Breach-Monitoring-Lösung, die Ihre Organisation kontinuierlich auf exponierte Zugangsdaten im Darknet prüft.

Kontakt: www.zerberos.com/kontakt

Quellen

Autor: