Darknet Monitoring ist für Schweizer Unternehmen keine theoretische Disziplin mehr, sondern eine operative Notwendigkeit. Gestohlene Zugangsdaten, vertrauliche Dokumente und Netzwerkzugänge werden täglich auf kriminellen Marktplätzen gehandelt, oft bevor das betroffene Unternehmen den Vorfall überhaupt bemerkt. Infostealer‑Malware, Initial Access Broker und automatisierte Credential‑Märkte haben ein Ökosystem geschaffen, das Cyberangriffe industrialisiert. In diesem Beitrag erklären wir, wie Schweizer Firmendaten ins Darknet gelangen, welche konkreten Risiken daraus entstehen und warum systematisches Darknet Monitoring für CISOs und Verwaltungsräte heute unverzichtbar ist.
📑 Inhaltsübersicht
Was ist das Darknet und warum betrifft es Schweizer Unternehmen? · Wie Schweizer Firmendaten ins Darknet gelangen · Bedrohungslage Schweiz: Zahlen und Vorfälle · Wie Darknet Monitoring funktioniert · Warum klassische Schutzmassnahmen nicht mehr genügen · Handlungsempfehlungen für CISOs und Verwaltungsräte · Häufig gestellte Fragen
Was ist das Darknet und warum betrifft es Schweizer Unternehmen?
Das Internet lässt sich in drei Schichten unterteilen. Das sogenannte Clear Web umfasst alles, was über herkömmliche Suchmaschinen auffindbar ist. Das Deep Web bezeichnet Inhalte hinter Logins und Paywalls, etwa Intranets, Datenbanken und geschützte Portale. Das Darknet schliesslich ist ein bewusst anonymisierter Teil des Internets, der nur über spezialisierte Netzwerke wie Tor erreichbar ist und in dem ein florierendes Ökosystem für den Handel mit gestohlenen Daten, Zugangsdaten und Angriffswerkzeugen existiert.
Für Unternehmen ist das Darknet nicht wegen seiner Existenz relevant, sondern wegen der konkreten Bedrohungen, die dort ihren Ursprung nehmen. Auf kriminellen Marktplätzen werden täglich Millionen gestohlener Zugangsdaten gehandelt, Netzwerkzugänge zu Unternehmen versteigert und Ransomware‑Angriffe vorbereitet. Ohne Darknet Monitoring bleiben diese Aktivitäten für betroffene Organisationen unsichtbar, bis der Schaden bereits eingetreten ist.
Gestohlene Firmendaten werden auf Darknet‑Marktplätzen innerhalb von Stunden zum Verkauf angeboten
Warum Darknet Monitoring für jedes Schweizer Unternehmen relevant ist
Die Schweiz ist als hochvernetzter Wirtschaftsstandort mit einer starken Finanz‑, Pharma‑ und Technologiebranche ein attraktives Ziel für Cyberkriminelle. Im Jahr 2024 wurden 175 bestätigte Cyber‑Incidents in der Schweiz über Darknet‑Leak‑Sites und Untergrundforen nachverfolgt. Laut Check Point verzeichnete die Schweiz im ersten Quartal 2025 den weltweit höchsten prozentualen Anstieg von Cyberangriffen: +113 % im Jahresvergleich.
Die Realität ist eindeutig: Schweizer Firmendaten befinden sich bereits im Darknet. Die Frage ist nicht ob, sondern in welchem Umfang. Systematisches Darknet Monitoring macht diese Exposition sichtbar und gibt Unternehmen die Möglichkeit zu reagieren, bevor Angreifer die gestohlenen Daten einsetzen.
Wie Schweizer Firmendaten ins Darknet gelangen: Vom Infostealer zum Marktplatz
Der Weg von Unternehmensdaten ins Darknet folgt einem zunehmend industrialisierten Prozess. Drei Akteure und Mechanismen spielen dabei die zentrale Rolle. Ihr Zusammenspiel erklärt, warum kontinuierliches Darknet Monitoring heute zu den Grundlagen eines wirksamen Cyber‑Risikomanagements gehört.
Infostealer‑Malware: Der dominierende Angriffsvektor
Infostealer sind spezialisierte Schadprogramme, die gespeicherte Browser‑Passwörter, Cookies, Autofill‑Daten, Kreditkarteninformationen, VPN‑Zugangsdaten und Authenticator‑Backups extrahieren. Ihr Prinzip ist «smash and grab»: Die Daten werden innerhalb von Sekunden gestohlen und als sogenannte «Stealer Logs» an Command‑and‑Control‑Server, Telegram‑Bots oder Cloud‑Speicher übermittelt. Im Jahr 2024 wurden durch Infostealer weltweit 2,1 Milliarden Zugangsdaten gestohlen, das entspricht fast zwei Dritteln aller 3,2 Milliarden global kompromittierten Credentials. IBM X‑Force verzeichnete einen Anstieg von Infostealer‑Infektionen via Phishing um 84 %, mit einer weiteren Verdreifachung Anfang 2025. Besonders alarmierend: 54 % der infizierten Geräte hatten zum Zeitpunkt der Infektion Antivirus‑ oder Endpoint Detection and Response‑Lösungen installiert. Die aktivsten Familien sind derzeit Lumma Stealer, RedLine und StealC.
Initial Access Broker: Professionelle Türöffner für Ransomware‑Gruppen
Initial Access Broker (IABs) haben sich als eigenständige Branche innerhalb des kriminellen Ökosystems etabliert. Sie spezialisieren sich auf den Ersteinbruch in Unternehmensnetzwerke und verkaufen den Zugang anschliessend an Ransomware‑Gruppen oder andere Bedrohungsakteure. Der IAB‑Markt erhielt 2025 mindestens 14 Millionen USD an On‑Chain‑Zahlungen. Der Durchschnittspreis für einen Unternehmenszugang liegt bei 2’700 USD, wobei 71 % der Angebote privilegierte Zugangsdaten (häufig Domain‑Admin‑Rechte) beinhalten. Die Konsequenz ist messbar: Zwischen dem Verkauf eines Zugangs durch einen IAB und dem Erscheinen des Opfers auf einer Ransomware‑Leak‑Site vergehen typischerweise nur 23 bis 36 Tage.
Darknet‑Marktplätze: Wo gestohlene Daten zur Handelsware werden
Der Russian Market ist 2025 der dominante Marktplatz für gestohlene Zugangsdaten. Frische Daten erscheinen dort innerhalb von Stunden nach dem Diebstahl. Die Preisstruktur ist differenziert: Einfache Kontodaten kosten 1 bis 15 USD, Corporate‑VPN‑ oder RDP‑Zugänge 50 bis 500 USD, frische Stealer Logs mit Session‑Cookies 10 bis 100 USD und Bankzugänge 500 bis 2’000 USD. Besonders gefährlich sind Session‑Cookies, die eine Übernahme aktiver Sitzungen ermöglichen und dabei Multi‑Faktor‑Authentifizierung vollständig umgehen. Für Unternehmen ohne Darknet Monitoring bleiben diese Angebote unsichtbar, während Angreifer die gekauften Zugangsdaten nutzen, um in Netzwerke einzudringen.
Bedrohungslage Schweiz: Warum Darknet Monitoring jetzt Priorität haben muss
Die Schweiz steht im Fokus internationaler und zunehmend auch staatlich unterstützter Cyberkrimineller. Die folgenden Zahlen und Vorfälle verdeutlichen, warum gerade jetzt der richtige Zeitpunkt ist, Darknet Monitoring in die Sicherheitsstrategie zu integrieren.
2,9 Milliarden kompromittierte Credential‑Sets wurden 2024 im kriminellen Untergrund identifiziert. Diese Zahl umfasst Zugangsdaten von Unternehmen und Privatpersonen weltweit, darunter auch Schweizer Organisationen.
54 % aller Ransomware‑Opfer hatten laut Verizon DBIR 2025 vor dem Angriff Infostealer‑Credential‑Dumps in ihren Domains. Der Zusammenhang zwischen exponierten Zugangsdaten im Darknet und anschliessenden Ransomware‑Angriffen ist statistisch belegt.
49 % der Unternehmen haben bereits unternehmensbezogene Daten oder Credentials im Darknet entdeckt. Die jährlichen Kosten durch Insider‑Vorfälle, die häufig auf kompromittierte Zugangsdaten zurückgehen, liegen bei durchschnittlich 17,4 Millionen USD pro Unternehmen.
26 Milliarden Credential‑Stuffing‑Versuche pro Monat registrierte Akamai im Jahr 2024. IBM beziffert den durchschnittlichen Schaden pro Breach durch Credential Stuffing auf 4,81 Millionen USD.
Die Kettenreaktion von gestohlenen Zugangsdaten zu realen Angriffen illustriert der Snowflake‑Breach 2024 eindrücklich: Der Bedrohungsakteur UNC5537 nutzte Infostealer‑Zugangsdaten, teilweise aus dem Jahr 2020, um 165 Snowflake‑Kundenumgebungen zu kompromittieren. Betroffen waren unter anderem AT&T mit nahezu allen US‑Mobilfunkkunden‑Records und Ticketmaster mit 590 Millionen Datensätzen. Über 80 % der kompromittierten Accounts waren zuvor in Infostealer‑Dumps exponiert. Kein einziger hatte Multi‑Faktor‑Authentifizierung aktiviert.
In der Schweiz selbst bleibt der Xplain‑Vorfall von 2023 die eindrücklichste Mahnung. Beim Berner IT‑Dienstleister für Bundesbehörden stahl die Play‑Ransomware‑Gruppe 1,3 Millionen Dateien, darunter 5’182 Dateien mit Personendaten und 121 klassifizierte Dokumente. 2024 und 2025 folgten Angriffe auf BERNINA International durch ALPHV/BlackCat (200 GB gestohlene Daten), auf TAG Aviation durch Black Basta (1,5 TB) sowie massive DDoS‑Kampagnen der Gruppe NoName057(16) gegen Bundeswebsites, SBB, Banken und 318 Gemeinden. Insgesamt wurden 2025 bereits 58 Schweizer Organisationen als Ransomware‑Opfer bestätigt, wobei Akira, Qilin und Play die aktivsten Gruppen im Land sind.
Wie Darknet Monitoring funktioniert: Von der Quellenabdeckung bis zur Reaktion
Professionelles Darknet Monitoring arbeitet in vier aufeinander aufbauenden Phasen. Zusammen bilden sie einen kontinuierlichen Kreislauf, der Bedrohungen im kriminellen Untergrund sichtbar, bewertbar und handhabbar macht.
Phase 1, Quellenabdeckung: Eine wirksame Darknet‑Monitoring‑Lösung überwacht ein breites Spektrum krimineller Quellen: offene und geschlossene Untergrundforen, Invite‑Only‑Communities, Telegram‑Kanäle, Stealer‑Log‑Marktplätze, Ransomware‑Leak‑Sites und Paste‑Sites. Führende Plattformen wie BitSight decken über 1’000 Untergrund‑Foren und ‑Marktplätze ab und sammeln täglich 7 Millionen Intelligence‑Items aus dem kriminellen Untergrund.
Phase 2, Datenerfassung und Analyse: Die gesammelten Rohdaten werden automatisiert gefiltert, dedupliziert und dem überwachten Unternehmen zugeordnet. Dabei werden nicht nur Username‑Passwort‑Paare erkannt, sondern auch Session‑Token‑Expositionen, gehashte Passwörter (idealerweise in Klartext konvertiert) und kontextuelle Informationen wie die Herkunft der Daten und der Zeitpunkt der Kompromittierung.
Phase 3, Alerting und Priorisierung: Nicht jede exponierte Information stellt dasselbe Risiko dar. Professionelles Darknet Monitoring priorisiert Funde kontextbasiert: Ein frischer VPN‑Zugang mit aktiven Session‑Cookies erfordert sofortiges Handeln, während ein drei Jahre altes Passwort für einen inaktiven Account eine tiefere Priorität erhält. Die Zeit zwischen dem Erscheinen von Daten auf kriminellen Märkten und der Alarmierung sollte bei führenden Lösungen im Bereich von Minuten bis wenigen Stunden liegen.
Phase 4, Reaktion und Remediation: Darknet Monitoring liefert die Entscheidungsgrundlage, nicht die vollständige Antwort. Die Reaktion umfasst typischerweise das erzwungene Zurücksetzen kompromittierter Zugangsdaten, die Invalidierung exponierter Session‑Tokens, die Überprüfung betroffener Systeme auf unbefugte Zugriffe sowie die Integration der Erkenntnisse in das Incident Response und die Bedrohungsabwehr.
Der Wert von Darknet Monitoring liegt in der Frühwarnung: Es zeigt nicht, wie Sie Ihre IT selbst sehen, sondern was Angreifer bereits über Ihr Unternehmen wissen. Und diese Perspektive kann den Unterschied zwischen einem abgewendeten und einem erfolgreichen Angriff ausmachen.
Warum klassische Schutzmassnahmen für das Darknet nicht mehr genügen
Viele Unternehmen vertrauen auf bewährte Sicherheitsmassnahmen: Firewalls, Endpoint Detection and Response, regelmässige Passwortrichtlinien und Multi‑Faktor‑Authentifizierung. Diese Instrumente sind nach wie vor unverzichtbar, weisen jedoch einen systematischen blinden Fleck auf: Sie schützen die Infrastruktur, überwachen aber nicht, was ausserhalb des eigenen Perimeters mit gestohlenen Unternehmensdaten geschieht.
Klassische Sicherheit vs. Darknet Monitoring: Vier entscheidende Unterschiede
Sichtfeld: Klassische Sicherheitswerkzeuge schützen die bekannte Infrastruktur innerhalb des Unternehmensnetzwerks. Darknet Monitoring überwacht das kriminelle Ökosystem ausserhalb des Perimeters und erkennt exponierte Daten, die dort gehandelt werden.
Zeitpunkt: Firewalls und EDR reagieren auf Angriffe, die bereits stattfinden. Darknet Monitoring erkennt die Vorbereitung eines Angriffs, etwa wenn Zugangsdaten oder Netzwerkzugänge zum Verkauf stehen, und ermöglicht so ein präventives Eingreifen.
Abdeckung: Passwortrichtlinien und MFA schützen nur Accounts, die dem Unternehmen bekannt und aktiv verwaltet sind. Stealer Logs enthalten jedoch häufig Zugangsdaten für vergessene Accounts, Testumgebungen oder persönliche Geräte von Mitarbeitenden, die mit Firmenressourcen verbunden waren.
Kontext: Klassische Sicherheitssysteme kennen die eigene Infrastruktur, aber nicht die Absichten externer Bedrohungsakteure. Darknet Monitoring liefert Threat Intelligence über gezielte Angriffe, Ransomware‑Verhandlungen und Supply‑Chain‑Targeting, die das eigene Unternehmen oder seine Lieferanten betreffen können.
Das bedeutet nicht, dass Darknet Monitoring klassische Sicherheitsinstrumente ersetzt. Es ergänzt sie um eine entscheidende Dimension: die Sicht auf das, was ausserhalb Ihres Netzwerks mit Ihren Daten geschieht. Erst wer weiss, welche Zugangsdaten kompromittiert sind und wo sie gehandelt werden, kann gezielt handeln, bevor der Angriff beginnt.
Handlungsempfehlungen für CISOs und Verwaltungsräte
Die Überwachung des Darknets ist keine rein technische Aufgabe. Sie berührt Governance, regulatorische Pflichten und die Frage, wie ein Unternehmen sein Cyberrisiko strategisch steuert. Die folgenden Massnahmen sollten Entscheider jetzt priorisieren.
Empfohlene Massnahmen: Von der Erstanalyse bis zur strategischen Integration
1) Initiale Darknet‑Exposition ermitteln: Beauftragen Sie eine erste Analyse Ihrer Darknet‑Exposition. Führende Anbieter können innerhalb weniger Tage aufzeigen, ob und in welchem Umfang Zugangsdaten, Dokumente oder Netzwerkzugänge Ihres Unternehmens im kriminellen Untergrund kursieren. Die Ergebnisse liefern den Ausgangspunkt für alle weiteren Massnahmen.
2) Kompromittierte Zugangsdaten sofort adressieren: Identifizierte exponierte Credentials müssen umgehend zurückgesetzt werden. Priorisieren Sie Accounts mit privilegierten Rechten, VPN‑ und RDP‑Zugängen sowie Zugangsdaten mit aktiven Session‑Cookies. Prüfen Sie parallel, ob bereits unautorisierte Zugriffe über diese Accounts stattgefunden haben.
3) Kontinuierliches Darknet Monitoring implementieren: Eine einmalige Analyse genügt nicht. Stealer Logs erscheinen innerhalb von Stunden auf Marktplätzen, und neue Daten werden täglich veröffentlicht. Investieren Sie in eine Lösung, die das Darknet kontinuierlich überwacht und in Echtzeit alarmiert. Achten Sie bei der Anbieterwahl auf die Breite der Quellenabdeckung, die Geschwindigkeit der Alarmierung und die Fähigkeit, Session‑Token‑Expositionen zu erkennen.
4) Darknet‑Intelligence in bestehende Prozesse integrieren: Darknet Monitoring entfaltet seinen vollen Wert erst, wenn die Erkenntnisse in bestehende Incident‑Response‑, SIEM/SOAR‑ und Third‑Party‑Risk‑Management‑Workflows einfliessen. Automatisierte Alerts sollten direkt Tickets im Security Operations Center auslösen und in die Risikobewertung von Lieferanten einfliessen.
5) Mitarbeitende sensibilisieren: Infostealer gelangen häufig über Phishing, kompromittierte Software‑Downloads und infizierte Werbeanzeigen auf Endgeräte. Schulen Sie Mitarbeitende gezielt zu diesen Vektoren. Etablieren Sie klare Richtlinien für die Nutzung von Passwort‑Managern und untersagen Sie das Speichern von Firmenzugangsdaten im Browser.
6) Regulatorische Pflichten vorbereiten: Das nDSG verlangt die unverzügliche Meldung von Datenschutzverletzungen an den EDÖB. Die obligatorische BACS‑Meldepflicht fordert von Betreibern kritischer Infrastrukturen eine Meldung innerhalb von 24 Stunden. Darknet Monitoring liefert die Frühwarnung, die für die Einhaltung dieser Fristen entscheidend sein kann.
Schlussfolgerung
Das Darknet ist kein abstraktes Phänomen am Rand des Internets. Es ist ein hocheffizientes Ökosystem, in dem Schweizer Firmendaten aktiv gehandelt und für Angriffe vorbereitet werden. Infostealer stehlen Zugangsdaten in Sekunden, Initial Access Broker monetarisieren den Zugang zu Netzwerken innerhalb von Tagen, und Ransomware‑Gruppen nutzen diese Vorarbeit für Angriffe, die Unternehmen Millionen kosten können.
In einer Schweiz, die 2025 den weltweit stärksten Anstieg von Cyberangriffen verzeichnet, regulatorische Anforderungen verschärft und zunehmend ins Visier internationaler Bedrohungsakteure gerät, ist Darknet Monitoring keine optionale Ergänzung, sondern ein Grundpfeiler der Cyberverteidigung. Es liefert die Frühwarnung, die klassische Sicherheitsinstrumente nicht bieten können, und ermöglicht fundierte Entscheide auf CISO‑ und Verwaltungsratsebene.
Ihre Darknet‑Exposition kennenlernen
Sie möchten wissen, ob Zugangsdaten, Dokumente oder Netzwerkzugänge Ihres Unternehmens bereits im Darknet gehandelt werden? Als Beratungspartner für Cyber‑Risikointelligenz unterstützen wir Sie bei der ersten Darknet‑Analyse, der Bewertung Ihrer Exposition und der Implementierung einer nachhaltigen Monitoring‑Strategie.
🎯 Key Take‑Aways für Entscheider
Zusammenfassung für Verwaltungsrat, Geschäftsleitung und CISO:
✓ Schweizer Firmendaten sind bereits im Darknet: 2024 wurden 2,9 Milliarden kompromittierte Credential‑Sets im kriminellen Untergrund identifiziert. 49 % der Unternehmen haben eigene Daten im Darknet entdeckt.
✓ Infostealer sind der dominierende Angriffsvektor: 2,1 Milliarden Zugangsdaten wurden 2024 allein durch Infostealer gestohlen. 54 % der infizierten Geräte hatten Antivirus‑ oder EDR‑Lösungen installiert.
✓ Gestohlene Credentials führen zu Ransomware: 54 % aller Ransomware‑Opfer hatten vorab Credential‑Dumps in ihren Domains. Zwischen IAB‑Verkauf und Ransomware‑Angriff vergehen typischerweise nur 23 bis 36 Tage.
✓ Darknet Monitoring ist Frühwarnung: Es erkennt exponierte Zugangsdaten, Session‑Tokens und Netzwerkzugänge, bevor Angreifer sie nutzen, und ergänzt klassische Sicherheitsinstrumente um eine entscheidende Dimension.
✓ Regulatorischer Druck steigt: nDSG, FINMA‑Rundschreiben und die obligatorische BACS‑Meldepflicht verlangen schnelle Erkennung und Reaktion. Darknet Monitoring liefert die Grundlage dafür.
Häufig gestellte Fragen: FAQ zu Darknet Monitoring
Was ist Darknet Monitoring?
Darknet Monitoring ist die systematische und kontinuierliche Überwachung krimineller Foren, Marktplätze, Telegram‑Kanäle und Leak‑Sites im Darknet auf Unternehmensdaten. Ziel ist es, gestohlene Zugangsdaten, exponierte Dokumente und zum Verkauf stehende Netzwerkzugänge frühzeitig zu erkennen, damit Unternehmen reagieren können, bevor Angreifer die Daten einsetzen.
Wie gelangen Schweizer Firmendaten ins Darknet?
Der häufigste Weg führt über Infostealer‑Malware, die Zugangsdaten aus Browsern, VPN‑Clients und Authentifizierungssystemen stiehlt. Diese Daten werden als Stealer Logs auf Darknet‑Marktplätzen verkauft. Initial Access Broker nutzen die gestohlenen Zugangsdaten, um in Unternehmensnetzwerke einzudringen, und verkaufen den Zugang anschliessend an Ransomware‑Gruppen. Zwischen Diebstahl und Weiterverkauf vergehen oft nur wenige Stunden.
Warum reichen Antivirus und Firewall für den Schutz vor dem Darknet nicht aus?
Klassische Sicherheitswerkzeuge schützen die eigene Infrastruktur, überwachen jedoch nicht, was ausserhalb des Unternehmens mit gestohlenen Daten geschieht. Die Zahlen belegen dies: 54 % der von Infostealer infizierten Geräte hatten Antivirus‑ oder EDR‑Lösungen installiert. Darknet Monitoring ergänzt den Perimeterschutz um die Aussenperspektive und erkennt exponierte Daten im kriminellen Untergrund, bevor sie für Angriffe genutzt werden.
Ist Darknet Monitoring auch für Schweizer KMU relevant?
Ja. Infostealer unterscheiden nicht zwischen Grossunternehmen und KMU. Gerade kleinere Organisationen verfügen oft über weniger Ressourcen zur Überwachung kompromittierter Zugangsdaten und sind daher besonders gefährdet. Schweizer KMU sind zunehmend Ziel von Ransomware‑Angriffen, weil Angreifer bei kleineren Organisationen geringere Schutzmassnahmen erwarten. Darknet Monitoring ermöglicht es, mit vertretbarem Aufwand die grössten Expositionen zu identifizieren und gezielt zu adressieren.
Wie hängen Darknet Monitoring und die Schweizer Meldepflicht zusammen?
Seit dem 1. April 2025 müssen Betreiber kritischer Infrastrukturen Cyberangriffe innerhalb von 24 Stunden dem BACS melden. Das nDSG verlangt die unverzügliche Meldung von Datenschutzverletzungen an den EDÖB. Darknet Monitoring ermöglicht die frühzeitige Erkennung von Kompromittierungen und schafft damit die Voraussetzung, Vorfälle rechtzeitig zu identifizieren und fristgerecht zu melden. Ohne diese Überwachung fehlt oft die Grundlage für eine effektive Incident Detection.
