Seite wählen

Dark Web Monitoring – Gestohlene Daten frühzeitig erkennen

Zugangsdaten, Firmendaten und Kundendaten im Darknet aufspüren und Schaden begrenzen

Beratung anfragen

Dark Web Monitoring ist die systematische Überwachung des Darknets, von Underground-Foren und Leak-Datenbanken auf Hinweise, dass Daten Ihres Unternehmens kompromittiert wurden. Gestohlene Zugangsdaten, Kundendaten und interne Dokumente tauchen häufig im Darknet auf — oft Wochen bevor ein Angriff überhaupt bemerkt wird. Professionelles Dark Web Monitoring gibt Ihrem Unternehmen einen wichtigen Zeitvorteil: Sie erfahren von einem Datenleck frühzeitig und können Gegenmaßnahmen einleiten, bevor Angreifer die gestohlenen Daten aktiv ausnutzen.

Im Jahr 2025 wurden weltweit über 24 Milliarden Zugangsdatensätze im Darknet zum Verkauf angeboten. Für Unternehmen jeder Größe stellt sich nicht die Frage, ob ihre Daten irgendwann im Darknet auftauchen — sondern wann. Die DATUREX GmbH bietet professionelles Dark Web Monitoring als Teil eines umfassenden ISMS.

Was wird beim Dark Web Monitoring überwacht?

Zugangsdaten und Credentials

Der häufigste und gefährlichste Fund im Darknet sind kompromittierte Zugangsdaten. Angreifer nutzen diese für Credential Stuffing, Account Takeover und als initialen Zugang für größere Angriffe:

Externer Informationssicherheitsbeauftragter gesucht?

Wir übernehmen die ISB-Rolle als externer Dienstleister — ISO 27001, BSI IT-Grundschutz, NIS-2 und TISAX aus einer Hand. Bundesweit, ab 500 € / Monat.

→ Externen Informationssicherheitsbeauftragten anfragen
  • E-Mail/Passwort-Kombinationen — Aus Datenlecks gestohlene Login-Daten, oft aus Drittanbieter-Breaches (LinkedIn, Adobe, etc.)
  • VPN- und Remote-Zugänge — Kompromittierte Fernzugriffs-Credentials, die direkten Zugang zum Unternehmensnetzwerk ermöglichen
  • API-Schlüssel und Tokens — Exponierte oder gestohlene Zugangsdaten für Cloud-Dienste und APIs
  • Session Cookies — Durch Infostealer-Malware gestohlene Browser-Sessions, die MFA umgehen
  • Active-Directory-Credentials — Domain-Zugangsdaten aus Ransomware-Angriffen oder Infostealer-Logs

Unternehmensdaten und geistiges Eigentum

Neben Zugangsdaten werden häufig auch vertrauliche Unternehmensdaten im Darknet gehandelt:

  • Kundendaten — Personenbezogene Daten aus Datenschutzverletzungen. Bei einem Fund besteht DSGVO-Meldepflicht innerhalb von 72 Stunden (Art. 33 DSGVO)
  • Interne Dokumente — Finanzberichte, Strategiepapiere, Verträge und Präsentationen
  • Quellcode — Gestohlener oder versehentlich veröffentlichter proprietärer Code, der Schwachstellen offenlegen kann
  • Geschäftsgeheimnisse — Patente, Forschungsergebnisse, Herstellungsverfahren und Preiskalkulationen
  • Mitarbeiterdaten — HR-Daten, Gehaltsabrechnungen, Personalakten aus kompromittierten HR-Systemen

Bedrohungsinformationen und Angriffsankündigungen

Das Darknet ist auch eine Quelle für vorausschauende Bedrohungserkennung:

  • Angriffsankündigungen — Geplante Angriffe auf bestimmte Branchen oder Unternehmen in Hackerforen
  • Ransomware-Leak-Sites — Prüfung, ob Ihr Unternehmen auf einer Ransomware-Leak-Seite gelistet ist
  • Zero-Day-Exploits — Werden Schwachstellen für Ihre eingesetzte Software im Darknet angeboten?
  • Initial Access Broker — Verkäufer, die Zugänge zu Unternehmensnetzwerken an Ransomware-Gruppen weiterverkaufen
  • Phishing-Kits — Werden Phishing-Templates erstellt, die Ihre Marke imitieren?

Wie funktioniert Dark Web Monitoring?

Schritt 1: Assets definieren

Zunächst werden die zu überwachenden digitalen Assets festgelegt: E-Mail-Domains, IP-Adressbereiche, Markenname, Schlüsselpersonen (Geschäftsführung, IT-Leitung), spezifische Technologien und Produkte.

Schritt 2: Quellen scannen

Professionelle Monitoring-Dienste durchsuchen kontinuierlich eine Vielzahl von Darknet-Quellen:

  • Tor-basierte Marktplätze — Illegale Handelsplattformen für gestohlene Daten und Zugänge
  • Underground-Foren — Cyberkriminelle Diskussionsforen (XSS, Exploit.in, BreachForums)
  • Telegram-Gruppen — Zunehmend genutzter Kanal für Datenhandel und Infostealer-Logs
  • Paste Sites — Pastebin und Alternativen, auf denen gestohlene Daten veröffentlicht werden
  • Leak-Datenbanken — Sammlungen aus vergangenen Datenlecks (Combolists, Credential Dumps)
  • IRC-Channels — Klassische Kommunikationskanäle für Cyberkriminelle

Schritt 3: Matching und Alarmierung

Die gesammelten Daten werden automatisiert mit den definierten Assets abgeglichen. Bei einem Treffer erfolgt eine sofortige Benachrichtigung mit Kontext: Welche Daten wurden gefunden? Aus welcher Quelle? Wie aktuell sind sie?

Schritt 4: Validierung und Reaktion

Nach einem Fund muss validiert werden, ob die Daten echt und aktuell sind. Anschließend werden Gegenmaßnahmen eingeleitet — von Passwort-Resets über Account-Sperrungen bis hin zum vollständigen Incident Response.

Infostealer — Die größte Quelle für Credential Leaks

Ein Großteil der im Darknet angebotenen Zugangsdaten stammt heute von Infostealer-Malware (RedLine, Raccoon, Vidar, Lumma). Diese Schadsoftware wird über Phishing, gefälschte Software-Downloads und Malvertising verbreitet und stiehlt:

  • Alle gespeicherten Browser-Passwörter und Autofill-Daten
  • Session Cookies (auch für Dienste mit aktivierter MFA)
  • Krypto-Wallet-Daten
  • VPN-Konfigurationen und gespeicherte Zugangsdaten
  • Screenshots und Systeminformationen

Infostealer-Logs werden in Echtzeit über Telegram-Bots und spezialisierte Marktplätze verkauft. Ein einzelner Infostealer-Log kann dutzende Zugangsdaten enthalten — ein Fund in einem solchen Log erfordert sofortiges Handeln.

Services und Tools für Dark Web Monitoring

Enterprise-Lösungen

  • Recorded Future — Umfangreichste Threat Intelligence Plattform mit Deep-Web- und Darknet-Abdeckung
  • SpyCloud — Fokus auf gestohlene Credentials mit automatisierter Remediation und Infostealer-Erkennung
  • CrowdStrike Falcon Recon — Darknet-Monitoring als Teil der CrowdStrike-Plattform
  • Mandiant Advantage — Threat Intelligence und Digital Risk Protection von Google/Mandiant
  • Flashpoint — Spezialisiert auf Threat Intelligence aus dem Deep und Dark Web

Für KMU

  • Have I Been Pwned — Kostenlose E-Mail-Prüfung, Domain-Search für Unternehmen (ab $3.50/Monat für Domain-Monitoring)
  • Passwort-Manager ReportsPasswort-Manager wie 1Password und Dashlane mit integrierter Breach-Erkennung
  • Flare — Erschwingliches Darknet-Monitoring speziell für mittelständische Unternehmen
  • SOCRadar Free Edition — Grundlegendes Digital Risk Monitoring mit kostenloser Einstiegsversion

Was tun bei einem Fund im Darknet?

  1. Validierung — Sind die Daten echt und aktuell? Stammen sie aus einem bekannten, älteren Breach oder sind sie frisch?
  2. Sofortiger Passwort-Reset — Alle betroffenen Zugangsdaten sofort ändern, nicht nur die gefundenen
  3. MFA aktivierenMulti-Faktor-Authentifizierung für alle betroffenen Konten erzwingen
  4. Session-Invalidierung — Alle aktiven Sessions widerrufen (besonders wichtig bei Infostealer-Funden)
  5. Systeme prüfen — Wurden die Credentials bereits für unbefugte Zugriffe genutzt? Log-Analyse durchführen
  6. DSGVO-Meldepflicht prüfen — Bei personenbezogenen Daten: 72-Stunden-Frist beachten (Art. 33 DSGVO)
  7. Betroffene informieren — Bei hohem Risiko für Rechte und Freiheiten: Betroffene benachrichtigen (Art. 34 DSGVO)
  8. Incident Response — Bei Anzeichen aktiver Kompromittierung: IR-Plan aktivieren

Dark Web Monitoring und DSGVO

Dark Web Monitoring hat direkte Relevanz für die DSGVO-Compliance. Wenn personenbezogene Daten im Darknet gefunden werden, liegt eine meldepflichtige Datenschutzverletzung vor. Die 72-Stunden-Meldefrist nach Art. 33 DSGVO beginnt mit der Kenntnisnahme. Professionelles Dark Web Monitoring stellt sicher, dass Sie Datenlecks schnell erkennen und die Meldefristen einhalten können.

Dark Web vs. Deep Web — Der Unterschied

Die Begriffe werden häufig verwechselt, bezeichnen aber unterschiedliche Bereiche des Internets:

  • Surface Web — Der von Suchmaschinen indexierte Teil des Internets (ca. 4-5% des gesamten Web-Inhalts). Alles, was über Google, Bing etc. auffindbar ist
  • Deep Web — Inhalte, die nicht von Suchmaschinen indexiert werden: passwortgeschützte Bereiche, Datenbanken, Intranets, Webmail. Der größte Teil des Internets, aber nicht per se illegal
  • Dark Web — Ein kleiner Teil des Deep Web, der nur über spezielle Software (Tor, I2P) erreichbar ist. Bietet Anonymität, wird sowohl für legitime Zwecke (Journalismus, Whistleblowing) als auch für illegale Aktivitäten genutzt

Dark Web Monitoring konzentriert sich auf den Dark-Web-Anteil sowie auf bestimmte Deep-Web-Quellen wie geschlossene Foren und Telegram-Gruppen, die nicht über normale Suchmaschinen erreichbar sind.

Integration in bestehende Sicherheitsprozesse

Dark Web Monitoring entfaltet seinen vollen Nutzen erst durch die Integration in bestehende Sicherheitsprozesse:

  • SIEM-Integration — Darknet-Funde als Events in das Security Information and Event Management einspeisen. Korrelation mit Login-Versuchen und anderen Sicherheitsereignissen
  • Vulnerability Management — Wenn Exploits für eingesetzte Software im Darknet auftauchen, Patch-Priorisierung anpassen
  • Threat Intelligence — Darknet-Erkenntnisse in die Bedrohungsanalyse und Risikobewertung einfließen lassen
  • Identity & Access Management — Automatisierte Passwort-Resets bei Credential-Funden auslösen
  • Security Awareness — Reale Darknet-Funde (anonymisiert) als Schulungsmaterial verwenden, um die Bedrohungslage greifbar zu machen

Typische Darknet-Marktplätze und Foren

Das Ökosystem der Darknet-Marktplätze ist dynamisch — Plattformen werden von Strafverfolgungsbehörden geschlossen und neue entstehen. Zu den wichtigsten Kategorien gehören:

  • Credential Markets — Spezialisiert auf den Handel mit Zugangsdaten, oft automatisiert über Bots
  • Ransomware Leak Sites — Von Ransomware-Gruppen betriebene Seiten, auf denen gestohlene Daten veröffentlicht werden, wenn kein Lösegeld gezahlt wird
  • Exploit-Foren — Handel mit Schwachstellen und Exploit-Code, einschließlich Zero-Days
  • Carding-Foren — Handel mit gestohlenen Kreditkartendaten und zugehörigen Tools
  • Initial Access Broker — Spezialisten, die kompromittierte Zugänge zu Unternehmensnetzwerken verkaufen (VPN, RDP, Citrix)

Häufig gestellte Fragen (FAQ)

Wie schnell tauchen gestohlene Daten im Darknet auf?

Bei Infostealer-Malware können gestohlene Daten innerhalb von Minuten bis Stunden im Darknet erscheinen. Bei größeren Datenlecks dauert es typischerweise Tage bis Wochen, bis die Daten zum Verkauf angeboten werden. Manchmal werden Daten erst Monate später veröffentlicht, wenn Erpressungsversuche scheitern.

Kann man gestohlene Daten aus dem Darknet entfernen lassen?

Nein, in der Regel ist es nicht möglich, einmal im Darknet veröffentlichte Daten zu entfernen. Der Fokus muss auf der schnellen Reaktion liegen: Passwörter ändern, kompromittierte Zugänge sperren und Betroffene informieren. Takedown-Anfragen an Hosting-Provider können in Einzelfällen erfolgreich sein, aber Daten werden schnell kopiert und weiterverbreitet.

Reicht Have I Been Pwned als Dark Web Monitoring?

Have I Been Pwned ist ein hervorragender kostenloser Einstieg, deckt aber nur einen Teil der Darknet-Quellen ab. Für Unternehmen mit sensiblen Daten empfiehlt sich ein professioneller Monitoring-Dienst, der auch Telegram-Gruppen, Underground-Foren und Infostealer-Logs überwacht.

Was kostet Dark Web Monitoring für Unternehmen?

Die Kosten variieren stark je nach Anbieter und Umfang. Einstiegslösungen für KMU beginnen ab ca. 100 € pro Monat. Enterprise-Lösungen mit vollständiger Threat Intelligence können mehrere tausend Euro pro Monat kosten. Als Teil eines Managed Security Service ist Dark Web Monitoring oft bereits enthalten.

Best Practices für effektives Dark Web Monitoring

Um den maximalen Nutzen aus Dark Web Monitoring zu ziehen, sollten Unternehmen folgende Best Practices beachten:

  • Vollständige Asset-Inventarisierung — Nur was überwacht wird, kann erkannt werden. Alle E-Mail-Domains, Sub-Domains, IP-Bereiche und Markenbezeichnungen erfassen
  • Definierte Reaktionsprozesse — Vor dem ersten Fund festlegen, wer bei einem Darknet-Fund was tut. Eskalationswege, Verantwortlichkeiten und Zeitvorgaben dokumentieren
  • Regelmäßige Überprüfung — Monitoring-Assets mindestens quartalsweise aktualisieren, insbesondere nach Übernahmen, neuen Domains oder Personalwechseln in Schlüsselpositionen
  • Kontextualisierung — Nicht jeder Fund ist gleich kritisch. Alte Credential-Dumps bewerten und von frischen Infostealer-Logs unterscheiden. Risikobewertung nach Aktualität, Datentyp und Ausnutzbarkeit
  • Metriken und Reporting — Anzahl der Funde, Reaktionszeiten und behobene Vorfälle tracken. Management-Reports erstellen, die den Wert des Monitorings belegen
  • Kombination mit anderen Maßnahmen — Dark Web Monitoring ist eine Ergänzung zu, kein Ersatz für EDR, starke Passwort-Policies und Security Awareness

DATUREX GmbH — Dark Web Monitoring

  • Credential Monitoring — Laufende Überwachung Ihrer E-Mail-Domains und kritischen Zugangsdaten
  • Brand Monitoring — Erwähnung Ihres Unternehmens in Underground-Foren und Leak-Sites
  • Infostealer-Erkennung — Spezialisierte Suche in Infostealer-Logs nach Ihren Unternehmens-Credentials
  • Incident Response — Sofortige Reaktion bei bestätigten Datenlecks
  • DSGVO-Meldung — Unterstützung bei der Erfüllung der Meldepflichten nach Art. 33/34 DSGVO
  • Threat Intelligence — Darknet-Erkenntnisse in Ihr SIEM einspeisen
📞 0351 / 79 59 35 13 Angebot anfragen