– und einer der wenigen Wege, um Schwachstellen in der Supply Chain sichtbar zu machen…

Internationale Trends treffen auf Schweizer Realität.

In Zeiten, in denen sich Angriffe in Minuten statt Tagen ausbreiten, braucht es neue Wege in der Cyber-Abwehr. Dark Web Monitoring (DWM) und Identity Threat Detection & Response (ITDR) gehören zu den effektivsten Mitteln, um Risiken nicht nur zu erkennen, sondern ihnen auch proaktiv zu begegnen.

Dieser Artikel zeigt auf:

  • warum kompromittierte Identitäten heute zu den gefährlichsten Einfallstoren gehören
  • wie sich internationale Angriffsmuster auch in der Schweiz bemerkbar machen
  • warum DWM einer der wenigen realistischen Wege ist, um Schwächen in der Supply Chain sichtbar zu machen

Ausserdem beleuchten wir, wie sich ITDR weiterentwickelt – vom heutigen SOC-Handlungsrahmen hin zu vernetzten, intelligenten Sicherheitsstrategien.

„Im Dark Web wurde bei uns noch nie etwas gefunden …“

So oder ähnlich höre ich es oft von Kunden. Dark Web Monitoring wird gerne unterschätzt – weil man selten sofort Funde sieht, und weil viele nicht genau wissen, was sie dann tun sollen.

Doch genau das ist der gefährliche Punkt:
Cybersecurity ist nicht laut. Sie ist leise.
Es ist alles ruhig – bis es das plötzlich nicht mehr ist.

Ein aktuelles Beispiel:

„Oracle privately confirms cloud breach to customers“ – BleepingComputer, März 2025 [1]
Hier geht es mutmasslich um kompromittierte Zugangsdaten – kein Zero-Day, keine neue Malware, sondern schlicht: Identitätsmissbrauch.

Und genau darum geht es in diesem Artikel.

Identitäten: Der neue Perimeter in einer vernetzten Arbeitswelt

Mit Homeoffice, BYOD und Cloud-first-Strategien sind klassische Netzwerkgrenzen längst verschwunden. Zugriffe erfolgen heute meist über zentrale Identity Provider – abgesichert durch 2FA, aber trotzdem nicht unangreifbar.
Ein gestohlenes Passwort – ergänzt durch Cookies oder Session-Tokens – genügt oft, um Zugriff auf kritische Systeme zu erlangen.

Deshalb setzen moderne Organisationen auf Zero Trust: Vertrauen wird nicht vorausgesetzt, sondern durch kontextbasierte Risikoanalysen immer wieder neu bewertet.

Globale Trends: Was der CrowdStrike Global Threat Report 2025 zeigt

Der aktuelle Report von CrowdStrike [2] unterstreicht die Dringlichkeit zu Handeln:

  • 79 % der Angriffe kamen ohne Malware aus → Stattdessen nutzen Angreifer legitime Zugangsdaten.
  • 50 % mehr Access Broker-Aktivität → Der Handel mit kompromittierten Accounts boomt – vor allem im Dark Web.
  • Durchschnittliche Breakout Time: 48 Minuten → In Einzelfällen reichen 51 Sekunden, bis sich ein Angreifer lateral im Netzwerk bewegt.

Fazit: Je schneller kompromittierte Identitäten erkannt werden, desto höher die Chance, Schaden zu verhindern.

Die Bedrohungslage in der Schweiz: Zahlen des NCSC

Auch das NCSC (Nationales Zentrum für Cybersicherheit)[3] sieht eine alarmierende Entwicklung:

  • 34’789 gemeldete Vorfälle im 1. Halbjahr 2024 → Fast doppelt so viele wie im Vorjahr.
  • 6’643 Phishing-Angriffe → +2’800 im Vergleich zur Vorperiode – viele mit dem Ziel, Zugangsdaten zu stehlen.

Gerade gestohlene Identitäten sind ein wachsendes Problem – auch für Schweizer KMUs.

Dark Web Monitoring: Frühwarnsystem für Identitäten und Lieferanten

DWM ist eines der wenigen Instrumente, mit dem Unternehmen auch über ihre eigene Infrastruktur hinausblicken können:

  • Erkennt kompromittierte Zugangsdaten wie E-Mails, Passwörter, Cookies oder ganze Domains
  • Deckt gewisse Risiken von Drittparteien und Partnern auf
  • Bietet einen Frühindikator für potenzielle Angriffe, lange bevor klassische Detection-Methoden anschlagen

DWM ist einer der wenigen Wege, um externe Schwächen – etwa bei Partnern – frühzeitig zu erkennen und in die eigene Sicherheitsstrategie zu integrieren.

ITDR & menschliche Korrelation – und wohin sich das entwickelt

Heute läuft vieles davon noch manuell…

bei vielen landen die DWM-Befunde in einer SIRP-Plattform. Wenn ein Analyst einen verdächtigen Login entdeckt – und gleichzeitig sieht, dass dieselbe Identität kürzlich im Dark Web aufgetaucht ist – kann schneller und gezielter reagiert werden.

Oft läuft (noch) nicht alles automatisch – aber ist eingebettet im jeweiligen Prozess – menschlich, sinnvoll und effizient.

Und gleichzeitig ist klar:

  • Die Richtung ist vorgegeben. Systeme werden intelligenter – und vernetzter.
  • Es ist nur ein kleiner Schritt, bis sich Informationen aus DWM automatisch auf Risk Scores, Zero-Trust Policies und Zugriffskontrollen auswirken.

Ein Schritt, der in vielen Organisationen bereits begonnen hat.

Mehr zu ITDR im Kontext moderner Sicherheitsarchitekturen finden Sie auch in diesem Blogpost auf Tec-Bite: „Identitäten als fehlendes Bindeglied der Sicherheitsstrategie“

Fazit: Der kritische Blick über die eigene Grenze hinaus

Sehr wahrscheinlich haben Sie bereits einmal geprüft, ob Ihre eigenen E-Mail-Adressen, Domains oder Zugangsdaten im Dark Web aufgetaucht sind. Aber haben Sie das auch mal für Ihre Lieferanten nachgeschaut?

Gerade Partner, die man in Sicherheitsüberlegungen nicht sofort als „kritisch“ einstuft – z. B. ERP-, Hosting- oder Datenbankanbieter – können bei einem Leak schnell zum Auslöser grösserer Probleme werden.

Die Erfahrung zeigt: Ein kleiner Eintrag im Dark Web kann eine grosse Wirkung entfalten.

Wichtig bei solchen Untersuchungen ist natürlich auch, mit der Menge an Daten umzugehen – und die richtigen Funde zu erkennen.
Das verlangt nach Erfahrung, Tools und Prozessen. Oder anders gesagt: nach Profis.

Vielleicht ist es also Zeit für eine neue Frage: Sollten wir nicht regelmässig – und gezielt – ins Dark Web schauen?

Nicht nur für uns selbst. Sondern auch für die, auf die wir täglich bauen.