{"id":4939,"date":"2025-09-19T04:00:00","date_gmt":"2025-09-19T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=4939"},"modified":"2025-09-19T04:00:00","modified_gmt":"2025-09-19T04:00:00","slug":"bedrohungs-monitoring-die-10-besten-tools-zur-darknet-uberwachung","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=4939","title":{"rendered":"Bedrohungs-Monitoring: Die 10 besten Tools zur Darknet-\u00dcberwachung"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Lesen Sie, worauf es beim Darknet-Monitoring ankommt und welche Tools daf\u00fcr am besten geeignet sind.<\/p>\n

Foto: sashk0 \u2013 shutterstock.com<\/p>\n<\/div>\n

Das Dark Web<\/a> ist ein Ort, von dem jeder CISO hofft, dass die Daten seines Unternehmens dort nicht landen. Es besteht aus Websites, die von g\u00e4ngigen Suchmaschinen wie Google nicht indiziert werden. Dieser dunkle Teil des Internets umfasst Marktpl\u00e4tze f\u00fcr Daten, die in der Regel durch einen Cyberangriff erlangt wurden, zum Beispiel kompromittierte Benutzerkonten, Identit\u00e4tsinformationen oder andere vertrauliche Unternehmensdaten.<\/p>\n

Zu wissen, welche Daten auf diesen Websites angeboten werden, ist entscheidend f\u00fcr die Abwehr von Cyberkriminellen. Diese nutzen kompromittierte Konten, um Angriffe zu erm\u00f6glichen, Betrug zu begehen oder Kampagnen mit Spear-Phishing<\/a> oder Brand-Spoofing durchzuf\u00fchren. Das Dark Web ist auch zudem eine Quelle f\u00fcr Informationen \u00fcber die Operationen, Taktiken und Absichten von kriminellen Gruppen. F\u00fcr diese Zwecke gibt es Tools, die das Darknet auf kompromittierte Daten \u00fcberwachen.<\/p>\n\n

\n<\/div>\n

Wer braucht Tools zur \u00dcberwachung des Dark Web?<\/h3>\n

Da Dark-Web-Sites h\u00e4ufig nur auf Einladung zug\u00e4nglich sind, muss man sich in der Regel als b\u00f6swilliger Benutzer oder als Initial Access Broker<\/a> (IAB) tarnen, um Zugang zu erhalten. Dies erfordert Personen oder Dienste, die nicht nur in der Lage sind, diese Websites zu identifizieren, sondern auch Daten zu beschaffen, die f\u00fcr den Schutz von Unternehmensidentit\u00e4ten oder -daten relevant sind.<\/p>\n

Die meisten Unternehmen m\u00fcssen dazu allerdings keine direkten Recherchen im Dark Web durchf\u00fchren. Stattdessen k\u00f6nnen sie Tools und Dienste nutzen, die das Dark Web scannen. Tools wie Extended Detection and Response<\/a> (XDR) oder Dienste wie Managed Detection and Response<\/a> (MDR) nehmen in der Regel Daten aus Quellen im Dark Web auf, um kompromittierte Konten zu identifizieren, das Risiko zu berechnen und Kontext zu liefern.<\/p>\n

Einige Branchen, insbesondere Beh\u00f6rden, Finanzinstitute und bestimmte hochkar\u00e4tige IT-Sicherheitsunternehmen, ben\u00f6tigen m\u00f6glicherweise einen direkteren Zugang zu Informationen, die nur direkt aus Quellen im Dark Web verf\u00fcgbar sind, so Gartner-Analyst Mitchell Schneider gegen\u00fcber CSO. In vielen F\u00e4llen sind diese Unternehmen nicht nur auf der Suche nach geleakten Zugangsdaten oder Unternehmensdaten. Vielmehr ben\u00f6tigen sie Informationen \u00fcber Bedrohungsakteure, sich entwickelnde Angriffsvektoren oder Exploits.<\/p>\n

Andere Gesch\u00e4ftsbereiche wie der Einzelhandel oder die Pharmaindustrie sind anf\u00e4lliger f\u00fcr nicht-traditionelle Angriffe wie Marken-Sspoofing in Form von gef\u00e4lschten Domains oder Phishing-Angriffen<\/a>, so Schneider. Seiner Ansicht nach ist die \u00dcberwachung des digitalen Fu\u00dfabdrucks ein besonders wertvolles Instrument, das oft auch eine Dark-Web-Komponente enth\u00e4lt. Au\u00dferdem sind Takedown-Services ein nat\u00fcrlicher Schritt \u00fcber die \u00dcberwachung hinaus. Im Allgemeinen verf\u00fcgen einzelne Unternehmen nicht \u00fcber die erforderlichen Kontakte zu Internetanbietern, Cloud-Hosting-Plattformen und sogar Strafverfolgungsbeh\u00f6rden, um selbst Takedowns durchzuf\u00fchren. Digital Risk Protection Services (DRPS) f\u00fcllen diese L\u00fccke, indem sie servicebasierte L\u00f6sungen anbieten, die auf den Schutz Ihrer Marke durch die \u00dcberwachung des Internets, des Surface Web und des Dark Web abzielen, sowie praktische Methoden, wie zum Beispiel Website-Takedown-Services.<\/p>\n

Im Folgenden finden Sie die beliebtesten Tools zur \u00dcberwachung des Dark Web<\/a>.<\/p>\n

Brandefense<\/h3>\n

Brandefense<\/a> ist eine KI-gesteuerte DRPS-L\u00f6sung (=<\/strong>Digital Risk Protection Service) die das frei zug\u00e4ngliche Web und das Dark Web scannt. Die Aufgabe des Tools ist es, Details zu Angriffsmethoden oder Datenschutzverletzungen zu sammeln, diese Daten zu korrelieren und zu kontextualisieren. Anschlie\u00dfend werden Warnungen gesendet, wenn ein Vorfall f\u00fcr das Unternehmen relevant ist. Brandefense kann auch Takedowns gegen Bedrohungsakteure erleichtern, falls dies notwendig sein sollte, so dass Sie Ihre Sicherheitspersonal nicht erst auf aktive Angriffe reagieren muss, sondern sich bereits darauf einstellen kann.<\/p>\n

Die Sicherheit von hochrangigen F\u00fchrungskr\u00e4ften \u2013 oder VIPs \u2013 ist ein weiterer Schwerpunkt von Brandefense, da diese Personen oft nicht nur Teil Ihrer Unternehmensmarke sind, sondern auch ein h\u00e4ufiges Angriffsziel. Ihre Namen und E-Mails werden auch h\u00e4ufig in Spear-Phishing-Angriffen<\/a> gegen Mitarbeiter oder Kunden verwendet.<\/p>\n

CTM360 CyberBlindspot und ThreatCover<\/h3>\n

CTM360 bietet zwei verschiedene L\u00f6sungen an, die das Dark Web \u00fcberwachen. Ziel ist es, Ihr Unternehmen vor neuen Bedrohungen zu sch\u00fctzen. CyberBlindspot<\/a> konzentriert sich auf Informationen, die sich direkt auf Ihre Unternehmensressourcen beziehen. Das Tool erweitert dabei das Konzept der Kompromittierungsindikatoren (Indicators of Compromise, IOC), um Warn- oder Angriffsindikatoren aufzudecken. Diese erm\u00f6glichen es, Bereiche, die f\u00fcr Ihr Netzwerk von Belang sind, noch proaktiver zu identifizieren.<\/p>\n

ThreatCover<\/a> bietet Tools f\u00fcr Sicherheitsanalysten, mit denen sie in Bedrohungsdaten-Feeds eintauchen k\u00f6nnen, um so eine optimale Datenqualit\u00e4t und einen optimalen Kontext zu erhalten. Auf deren Grundlage k\u00f6nnen Incident-Response-Teams eine Reaktion auf Vorf\u00e4lle einleiten. CTM360 kann \u00fcber seinen Takedown++-Service auch internationale Takedowns erm\u00f6glichen.<\/p>\n

IBM X-Force Exchange<\/h3>\n

IBM X-Force Exchange<\/a> ist in erster Linie eine Plattform f\u00fcr die gemeinsame Nutzung von Daten. Dabei werden die Bedrohungs- und Intelligence-Feeds in einer interaktiven, durchsuchbaren Datenbank zusammengef\u00fchrt. Diese kann auch \u00fcber APIs und automatische Warnmeldungen in Ihr bestehendes Sicherheitssystem integriert werden. Viele der von IBM angebotenen Tools sind kostenlos, ohne dass eine Registrierung erforderlich ist. Allerdings sollten Sie sich registrieren, um Ihr Portal durch das Speichern relevanter Suchvorg\u00e4nge und das Verfolgen von Feeds, die sich auf relevante Dom\u00e4nen und Marken beziehen, individuell anzupassen. F\u00fcr den API-Zugang, erweiterte Analysen und Premium-Bedrohungsdatenberichte ist ein Abonnement erforderlich.<\/p>\n

IntSights Threat Intelligence Platform<\/h3>\n

IntSights Threat Intelligence Platform<\/a> bietet ganzheitliche externe Bedrohungsdaten und \u00dcberwachung f\u00fcr das IOC. Da die Anwendung jetzt zur Rapid7-Familie geh\u00f6rt, durchsucht sie das Dark Web nach Bedrohungsdaten wie Taktiken, Techniken und Verfahren, Bedrohungsakteuren und Malware-Varianten. Diese Art von Intelligenz hilft Sicherheitsexperten, \u00fcber die sich entwickelnden Angriffsmethoden auf dem Laufenden zu bleiben. Zudem k\u00f6nnen sie damit ihre Abwehrma\u00dfnahmen anpassen. Das Produkt von IntSights bietet auch einen Einblick in aktive Konversationen im Dark Web, die sich auf Unternehmensmarken oder -dom\u00e4nen beziehen. Das erm\u00f6glicht Anwendern, proaktiv auf Bedrohungen zu reagieren, anstatt auf den Beginn eines Angriffs zu warten.<\/p>\n

Malware Information Sharing Platform (MISP)<\/h3>\n

Bei der Malware Information Sharing Platform<\/a> (MISP) handelt es sich um eine Open-Source-Plattform, die auf der Idee der gemeinsamen Nutzung von Bedrohungsdaten basiert. Die quelloffene Software kann in Ihrem Rechenzentrum oder auf verschiedenen Cloud-Plattformen installiert werden. Dabei werden Open-Source-Protokolle und -Datenformate genutzt, die mit anderen MISP-Benutzern geteilt. Diese k\u00f6nnen auch in alle g\u00e4ngigen IT-Sicherheits-Tools integriert werden. Die Unterst\u00fctzung f\u00fcr die MISP-Integration wird h\u00e4ufig als Merkmal anderer L\u00f6sungen in dieser Liste genannt. MISP-Bedrohungsstr\u00f6me werden zwar nicht auf dieselbe Weise kuratiert wie kommerzielle Tools, aber es ist eine kosteng\u00fcnstige M\u00f6glichkeit f\u00fcr Unternehmen, eine interne Dark-Web-\u00dcberwachungsl\u00f6sung einzurichten.<\/p>\n

Mandiant Digital Threat Monitoring<\/h3>\n

Mandiant Digital Threat Monitoring<\/a> bietet Einblicke in Informationen \u00fcber Bedrohungen und durchgesickerte Anmeldedaten oder andere Unternehmensgeheimnisse im offenen Internet oder im Dark Web. Diese Daten werden durch maschinelles Lernen (ML) kontextbezogen aufbereitet und liefern relevante, priorisierte Warnmeldungen, die den Triage-Prozess erleichtern. Neben der Marken\u00fcberwachung (einschlie\u00dflich VIP-Schutz) bietet die L\u00f6sung auch die \u00dcberwachung anderer Unternehmen, mit denen Sie vertrauensvolle Beziehungen unterhalten. Dadurch k\u00f6nnen Sie Ihre Lieferkette weiter absichern und dom\u00e4nen\u00fcbergreifende Angriffe verhindern, die das Potenzial haben, bestehende Sicherheitskontrollen zu umgehen.<\/p>\n

Mandiant bietet das Monitoring-Tool auch als Zusatzmodul zu Advantage Threat Intelligence an, das viele dieser \u00dcberwachungsfunktionen f\u00fcr das Dark Web in Ihre Threat Intelligence-Funktionen integriert.<\/p>\n

OpenCTI<\/h3>\n

OpenCTI<\/a> ist eine weitere Open-Source-Option f\u00fcr die Sammlung, Verwaltung und Interaktion mit Intelligence-Daten. Das Programm wurde von Filigran entwickelt und kann als Docker-Container eingesetzt werden, wodurch es plattformunabh\u00e4ngig ist. Zudem bietet die L\u00f6sung eine Vielzahl von Konnektoren zu anderen Sicherheitsplattformen und Software-Tools, um den OpenCTI-Datenstrom zu integrieren und zu bereichern.<\/p>\n

Der Funktionsumfang von OpenCTI umfasst eine rollenbasierte Zugriffskontrolle f\u00fcr Ihr Security-Team, standardbasierte Datenmodelle und Attributdaten, die den Ursprung des Fundes angeben. Mit dem OpenCTI-Client f\u00fcr Python, der OpenCTI-APIs mit Hilfsfunktionen und einem benutzerfreundlichen Framework, das die schnelle Entwicklung benutzerdefinierter Logik auf der Grundlage von Ereignisdaten erm\u00f6glicht, lassen sich alle Arten von Automatisierung realisieren.<\/p>\n

Palo Alto Networks AutoFocus<\/h3>\n

AutoFocus<\/a> bietet tiefgreifenden Kontext und Einblicke, die es Sicherheitsanalysten erm\u00f6glichen, Ereignisse zuzuordnen und Priorit\u00e4ten f\u00fcr die Reaktion zu setzen. Palo Alto Networks sammelt die Informationen dabei nicht nur aus Datenbest\u00e4nden im offenen Internet und im Dark Web, sondern korreliert und kontextualisiert sie anhand von Daten, die aus dem globalen Ger\u00e4te- und Service-Footprint des Herstellers stammen.<\/p>\n

Recorded Future Intelligence Cloud Plattform<\/h3>\n

Die von Recorded Future angebotene Intelligence Cloud Platform<\/a> bietet eine st\u00e4ndige \u00dcberwachung von mehr als 300 staatlichen Akteuren, drei Millionen bekannten kriminellen Handelesforen, Milliarden von Domains und Hunderten von Millionen von IP-Adressen im Internet und Dark Web. Diese gewaltige Datenmenge wird in Analyse-Ttools eingespeist, die den Datensatz kategorisieren und in einen Kontext setzen. Anschlie\u00dfend werden die Daten in Modulen pr\u00e4sentiert, die sich auf Ihre Unternehmensmarke, Bedrohungen und Schwachstellen, Identit\u00e4ten und verschiedene andere Bereiche konzentrieren. Jedes Modul liefert verwertbare Informationen, die es Ihnen erm\u00f6glichen, Ihre Reaktion auf der Grundlage von Gesch\u00e4ftsanforderungen und Risiken zu priorisieren, die Reaktionszeit zu minimieren und eine effiziente Abhilfe zu schaffen.<\/p>\n

SOCRadar RiskPrime<\/h3>\n

SOCRadar bietet verschiedene Dienste und Tools f\u00fcr Sicherheitsexperten an, darunter eine Reihe kostenloser Tools, die Sie f\u00fcr manuelle, einmalige \u00dcberpr\u00fcfungen von Dom\u00e4nennamen oder IP-Adressen verwenden k\u00f6nnen, zum Beispiel einen Dark-Web-Bericht. F\u00fcr eine umfassendere, wiederkehrende \u00dcberwachung sollten Sie den RiskPrime<\/a>-Service von SOCRadar abonnieren. Dieser bietet eine \u00dcberwachung auf PII (pers\u00f6nlich identifizierbare Informationen), verfolgt aber auch kompromittierte VIP-Konten und f\u00fchrt eine Reputations\u00fcberwachung und Phishing-Erkennung durch. Takedown-Services sind \u00fcber RiskPrime verf\u00fcgbar, kosten aber zus\u00e4tzlich, sofern Sie nicht den Enterprise-Service in Anspruch nehmen. Die \u00dcberwachungsdienste f\u00fcr das Dark Web sind im Preis inbegriffen und werden je nach Servicestufe umfangreicher. (jm)<\/p>\n\n

<\/div>\n\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Lesen Sie, worauf es beim Darknet-Monitoring ankommt und welche Tools daf\u00fcr am besten geeignet sind. Foto: sashk0 \u2013 shutterstock.com Das Dark Web ist ein Ort, von dem jeder CISO hofft, dass die Daten seines Unternehmens dort nicht landen. Es besteht aus Websites, die von g\u00e4ngigen Suchmaschinen wie Google nicht indiziert werden. Dieser dunkle Teil des […]<\/p>\n","protected":false},"author":0,"featured_media":1725,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-4939","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4939"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4939"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4939\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1725"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4939"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4939"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4939"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}