Was ist das Darknet?

Das Dark Web ist ein versteckter Teil des Internets, der von Suchmaschinen nicht indexiert wird. Es läuft im Tor-Netzwerk, das nur mit einer bestimmten Software erreichbar ist. Die meisten Anwender verwenden denn auch den Tor-Browser in Kombination mit einem Virtual Private Network (z.B. NordVPN). Es gibt aber auch andere Zugangsmöglichkeiten, beispielsweise UltraSurf, JAP, I2P, Hotspot Shield VPN oder TunnelBear.

Nutzer im Darknet bleiben anonym, die Kommunikation lässt sich nicht zurückverfolgen. Der Datenverkehr ist verschlüsselt und wird über mehrere Rechner umgeleitet, was den Nachteil hat, dass die Performance deutlich eingeschränkt ist. Aufgrund dieser Eigenschaften ist das Darknet - nicht nur, aber auch - eine Tummelwiese und ein beliebter Marktplatz für Kriminelle. Die Forscher Daniel Moore und Thomas Rid vom King's College in London haben 2015 über einen Zeitraum von fünf Wochen die Inhalte von 2.723 Live-Seiten im Dark Web klassifiziert und festgestellt, dass 57 Prozent illegale Inhalte enthielten.

Eine Studie von Michael McGuire von der University of Surrey aus dem Jahr 2019 mit dem Titel Into the Web of Profit zeigt, dass sich die Situation noch verschlimmert hat. Die Zahl der Darknet-Angebote, die einem Unternehmen schaden können, ist seit 2016 um 20 Prozent gestiegen.

Im Darknet können Besucher einkaufen wie bei Amazon - allerdings vor allem eben illegale Artikel wie Kreditkartennummern, Benutzernamen und Passwörter, alle Arten von Drogen, Waffen, Falschgeld, gestohlene Zugangsdaten für Abonnements, gehackte Netflix-Konten und Software, mit der fremde Computer geknackt werden können.

Nicht alles im Darknet ist illegal. Wer möchte, kann beispielsweise einem Schachclub beitreten oder sich bei BlackBook anmelden, einem Social Network, das auch als "Facebook of Tor" bezeichnet wird. Aber es lassen sich genauso die Anmeldedaten für ein 50.000-Dollar-Konto bei der Bank of America erwerben, gefälschte 20-Dollar-Noten oder bestimmte Dienstleistungen für Kriminelle, sie sich nicht selbst die Hände schmutzig machen möchten.

Deep Web versus Dark Web

Oft werden die Begriffe Deep Web und Dark Web/Darknet synonym verwendet, aber sie sind nicht identisch. Deep Web bezieht sich auf alles im Internet, was nicht von einer Suchmaschine wie Google indexiert wird und daher nicht über diese zugänglich ist. Hierzu gehören also auch Inhalte, die sich hinter einer Bezahlschranke befinden oder nur über Anmeldedaten erreicht werden können. Und es gehören private Bereiche von Unternehmen dazu, mit Inhalten, die von Webcrawlern nicht erreicht werden, so dass keine Indexierung stattfinden kann.

Medizinische Aufzeichnungen, kostenpflichtige Inhalte, Websites für Mitglieder und vertrauliche Unternehmensseiten sind Beispiele für Deep-Web-Content. Schätzungen gehen davon aus, dass das Deep Web zwischen 96 und 99 Prozent des gesamten Internets ausmacht. Nur ein winziger Teil ist also über einen Standard-Webbrowser zugänglich. Diesen Teil nennt man auch Clear Web.

Das Darknet ist eine versteckte Untergruppe des Deep Web. Niemand weiß genau, wie groß es ist, aber die meisten Schätzungen gehen davon aus, dass es etwa fünf Prozent des gesamten Internets ausmacht. In der bereits genannten Studie Into the Web of Profit werden zwölf Kategorien von Tools und Diensten im Darknet identifiziert, die für Sicherheitsprofis in Unternehmen interessant sind, weil sie Angreifern helfen in Netze einzudrängen und Daten zu kompromittieren.

• Infektion oder Angriffe inkl. Malware, Distributed Denial of Service (DDoS) und Botnets,

• Access, inklusive Remote-Access-Trojaner (RATs), Keylogger und Exploits,

• Spionage, inklusive Dienste, Tarnungen und gezielte Angriffe,

• Unterstützende Services wie etwa Tutorials,

• Berechtigungsnachweise (Credentials),

• Phishing,

• Rückerstattungen (Refunds),

• Kundendaten,

• Betriebliche Daten,

• Finanzdaten,

• Geistiges Eigentum/Geschäftsgeheimnisse,

• Andere neue Bedrohungen.

In dem Bericht werden außerdem drei Risikoklassen für jede Kategorie genannt:

• Wertverlust des betroffenen Unternehmens, indem etwa das Markenvertrauen untergraben, der Ruf geschädigt oder die Stellung im Wettbewerb beeinträchtigt wird;

• Störung des Geschäftsbetriebs durch DDoS-Angriffe oder andere Malware;

• direkter Schaden, etwa durch den Diebstahl von Werten oder geistigem Eigentum sowie durch Spionage.

Darknet-Geschäftsmodell Ransomware as a Service

Seit einigen Jahren können Cyberkriminelle im Darknet Ransomware-as-a-Service (RaaS)-Kits kaufen. Mit dem Aufkommen spezialisierter krimineller Gruppen wie REvil oder GandCrab sind diese Angebote nochmal viel gefährlicher geworden. Diese Gruppen entwickeln ihre eigene ausgefeilte Malware, manchmal in Kombination mit bereits vorhandenen Tools, und vertreiben sie über Partner. Bei Angriffen mit der Erpressersoftware werden die Daten der Opfer verschlüsselt. Oft wird auch zusätzlich mit der Veröffentlichung sensibler Daten gedroht, wenn die Opfer sich zieren, Lösegeld zu berappen.

Geschäfte mit solchen Cryptolockern sind lukrativ und werden bandenmäßig betrieben. IBM Security X-Force berichtete, dass in 37 Prozent aller Ransomware-Vorfälle im Jahr 2021 die Gang REvil involviert war. Solche kriminellen Gruppen, die die Malware entwickelt haben, erhalten einen Anteil an den Einnahmen der Partner, in der Regel zwischen 20 und 30 Prozent. Ransomware-Gangs bleiben im Durchschnitt 17 Monate aktiv, bevor sie verschwinden oder unter einem anderen Namen weitermachen. Die REvil-Gruppe, die ihre finsteren Aktivitäten im Oktober 2021 beendete, hielt immerhin 31 Monate durch.

Ransomware-Angreifer verschaffen sich meistens - in 41 Prozent der Fälle - über Phishing-Angriffe Zugang zu einem Netzwerk. Die Attacken richten sich laut IBM heute vorzugsweise gegen Fertigungsunternehmen (23 Prozent), in den Jahren zuvor waren eher Finanzunternehmen betroffen. Sehr häufig spähen die Angreifer SCADA-Modbus-OT-Geräte aus, die über das Internet zugänglich sind. Im vergangenen Jahr hat sich diese Angriffsmethode mehr als verzwanzigfacht.

Dunkle Webbrowser

Wer sich das Darknet als lebendigen Marktplatz vorstellt, mag denken, dass dort so einfach wie in einem Online-Shop zu navigieren wäre, doch dem ist nicht so. Der Ort ist chaotisch und unübersichtlich - so wie man es erwarten kann, wenn Menschen anonym bleiben wollen und oft darauf aus sind, andere zu betrügen.

Der Zugang zum Darknet verlangt, wie gesagt, einen Browser, in den meisten Fällen wird der Tor-Browser genutzt. Er leitet Webseitenanfragen durch eine Reihe von Proxy-Servern, die von Tausenden von Freiwilligen auf der ganzen Welt betrieben werden. Damit sind IP-Adressen nicht identifizierbar und lassen sich nicht zurückverfolgen. Wer sich über die Anonymität freuen mag, wird allerdings schon recht bald feststellen, dass der Preis dafür hoch ist: Tor ist unzuverlässig und langsam.

Für diejenigen, die bereit sind, all diese Unannehmlichkeiten in Kauf zu nehmen, bietet das Darknet allerdings einen so schockierenden wie faszinierenden Einblick in die Schattenseiten des menschlichen Daseins. Immerhin gehen Nutzer, die sich dort nur umschauen, anders als in der realen Welt nicht das Risiko ein, in einer dunklen Seitengasse überfallen und ausgeraubt zu werden.

Suchmaschine im Darknet

Das Darknet verändert sich ständig. Da haben auch die einschlägigen Suchmaschinen ihre Schwierigkeiten, am Ball zu bleiben. Die Nutzererfahrung erinnert an die Websuche im Internet der späten 1990er Jahre. Als beste Suchmaschine gilt Torch, doch auch sie liefert zwangsläufig Ergebnisse, die sich wiederholen und oft keine befriedigenden Antworten auf die Anfragen liefern. Linklisten wie "The Hidden Wiki" sind eine Option, aber auch Indizes liefern eine frustrierende Anzahl von zeitlich begrenzten Verbindungen und 404-Fehlern.

Dunkle Websites

Websites im Darknet sehen ähnlich wie herkömmliche Webseiten aus, aber es gibt ein paar wichtige Unterschiede. Einer ist die Namensstruktur. Anstatt auf .com oder .de enden Darknet-Seiten auf .onion. Laut Wikipedia ist das "eine besondere Top-Level-Domain-Endung, die einen anonymen versteckten Dienst bezeichnet, der über das Tor-Netzwerk erreichbar ist". Browser mit dem entsprechenden Proxy können diese Seiten erreichen, andere jedoch nicht.

Darknet-Seiten verwenden auch eine verschlüsselte Namensstruktur, die URLs erzeugt, die man sich nicht merken kann. Eine beliebte Handelswebsite namens Dream Market hat beispielsweise die unverständliche Adresse "eajwlvm3z2lcca76.onion".

Viele Darknet-Seiten werden von Betrügern betrieben. Sie ziehen ständig um, weil sie dem Zorn ihrer Opfer entgehen wollen. Manche E-Commerce-Seiten, die schon seit einem Jahr oder länger bestehen, verschwinden plötzlich von einem Tag auf den anderen, weil die Betreiber ihr kommerzielles Ziel erreicht haben und sich mit dem Geld aus dem Staub machen, das sie zuvor für ihre Kunden "treuhänderisch verwahrt" haben.

Die Strafverfolgungsbehörden haben zuletzt große Fortschritte darin gemacht, illegale Seiten aufzustöbern und strafrechtlich zu verfolgen. Im Sommer 2017 gelang es einem Team von Cyberpolizisten aus drei Ländern, AlphaBay, die größte Quelle für Schmuggelware im Darknet, zu schließen, was das Netzwerk durchaus temporär erschütterte. Doch viele Händler sind dann aber einfach zum nächsten Marktplatz weitergewandert.

Die Anonymität des Tor-Netzwerks macht es besonders anfällig für DDoS-Angriffe, sagt Patrick Tiquet, Director of Security & Architecture bei Keeper Security. Er ist der Experte des Unternehmens für dieses Thema. "Websites ändern ständig ihre Adressen, um DDoS zu entgehen. Das führt auch dazu, dass dynamische Veränderungen an der Tagesordnung sind", sagte er. "Das hat zur Folge, dass die Qualität der Suche sehr unterschiedlich ist und viel Material veraltet ist".

For Sale im Darknet

Das Aufkommen von Kryptowährungen wie Bitcoin war ein Seegen für den Handel im Untergrund. Damit können zwei Parteien eine vertrauenswürdige Transaktion vornehmen, ohne die Identität der anderen Seite zu kennen. "Bitcoin war ein wichtiger Faktor für das Wachstum des Darknet, und das Darknet war ein wichtiger Faktor für das Wachstum von Bitcoin", sagt Tiquet. Fast alle handelsorientierten Websites wickeln Transaktionen in Bitcoin oder einer anderen Kryptowährung ab. Das bedeutet aber nicht, dass es sicher ist, dort Geschäfte zu machen. Die Anonymität des Ortes zieht nun Mal Betrüger und Diebe an. Aber was erwartet man auch, wenn man Waffen oder Drogen kaufen will?

Die Seitenstruktur der Shops im Darknet unterscheidet sich auf den ersten Blick kaum von klassischen E-Commerce-Seiten. Es gibt Warenkörbe, Foren, Bewertungen etc. Wenn allerdings sowohl die Käufer als auch die Verkäufer anonym agieren und im Zweifel kriminell sind, dann ist die Glaubwürdigkeit von Rating-Systemen mehr als zweifelhaft. Bewertungen sind leicht zu manipulieren, und selbst Verkäufer mit einer langjährigen Erfolgsbilanz verschwinden schon mal von einem Tag auf den anderen mit den Krypto-Coins ihrer Kunden, um dann später unter einem anderen Pseudonym wieder aufzutauchen.

Um in dieser Welt des Misstrauens Geschäfte zu machen, bieten die meisten Shop-Betreiber eine Art Escrow-Service an, der vorsieht, die Kundengelder bis zur Lieferung des Produkts nicht anzutasten. Hier sollten die Handelspartner im Zweifel allerdings nicht auf einen Rechtsstreit verlassen. Im Darknet klären Käufer und Verkäufer ihre Probleme unter sich. Jede Kommunikation ist verschlüsselt, so dass selbst für die einfachste Transaktion ein PGP-Schlüssel erforderlich ist.

Der Abschluss einer Transaktion ist zu allem Überfluss noch keine Garantie dafür, dass die Ware auch ankommt. Viele der Produkte aus der digitalen Halbwelt müssen internationale Grenzen überqueren, und dort gehen die Zollbeamten oft konsequent gegen verdächtige Sendungen vor. Auf der Nachrichtenseite Deep.Dot.Web wimmelt es von Berichten über Menschen, die wegen illegaler Käufe verhaftet oder ins Gefängnis gesteckt wurden.

Besonders beliebt im Darknet ist der Kauf gestohlener Daten. Der Preis schwankt je nach Marktlage. Laut dem Dark Web Price Index 2021 von Privacy Affair werden derzeit folgende Preise für Daten und Dienstleistungen gezahlt, die üblicherweise im Darknet gehandelt werden:

• Geklonte Kreditkarte mit PIN: 25 bis 35 Dollar;

• Kreditkartendaten mit einem Kontostand von bis zu 5.000 Dollar: 240 Dollar;

• Gestohlene Online-Banking-Logins mit einem Kontoguthaben von mindestens 2.000 Dollar: 120 Dollar;

• PayPal-Überweisungen von gestohlenen Konten: 50 bis 340 Dollar;

• Gehacktes verifiziertes Coinbase-Konto: 610 Dollar;

• Gehackter Social-Media-Account: 1 bis 60 Dollar;

• Gehacktes Gmail-Konto: 80 Dollar;

• Gehacktes eBay-Konto mit gutem Ruf: 1.000 Dollar.

Ist das Darknet illegal?

Wie bereits erwähnt ist nicht alles, was im Darknet passiert, anstößig oder illegal. Das Tor-Netzwerk hat als anonymer Kommunikationskanal angefangen und erfüllt immer noch einen wertvollen Zweck, indem es Menschen hilft in Umgebungen zu kommunizieren, die denen freie Meinungsäußerung nicht gewünscht ist. "Viele Menschen benutzen es in Ländern, in denen es Lauschangriffe gibt oder wo der Internetzugang überwacht wird", sagt Tiquet.

Es gibt auch viel zu lernen dort: Wenn Sie alles über den Schutz der Privatsphäre oder über Kryptowährungen erfahren möchten, hat das Darknet eine Menge zu bieten. Zudem findet sich eine Vielzahl von privaten und verschlüsselten E-Mail-Diensten, Anleitungen zur Installation eines anonymen Betriebssystems und fortgeschrittene Tipps für Datenschutzbewusste.

Oft finden sich dort auch Inhalte, die Nutzer eher im öffentlichen Web erwarten würden: Links zu Volltextausgaben von schwer zu findenden Büchern etwa, Sammlungen politischer Nachrichten von Mainstream-Websites, allerlei Gebrauchsanweisungen etc. Auf "Intel Exchange" können Nutzer anonym über aktuelle Ereignisse diskutieren. Auch finden sich mehrere Whistleblower-Seiten, darunter eine Darknet-Version von Wikileaks. Pirate Bay, eine BitTorrent-Website, die von den Strafverfolgungsbehörden wiederholt abgeschaltet wurde, ist dort lebendig und aktiv. Sogar Facebook ist im Darknet präsent.

"Immer mehr seriöse Internetunternehmen zeigen sich heute auch im Darknet", beobachtet Tiquet. Sie wollten damit demonstrieren, dass sie sich mit allen Entwicklungen im Internet beschäftigen und auskennen. Und natürlich versuchen sich auch Strafverfolgungsbehörden im Darknet und halten beispielsweise Ausschau nach gestohlenen Daten aus den jüngsten Cyberangriffen, um den Tätern auf die Spur zu kommen. Ebenso tummeln sich einige der Mainstream-Medien im Darknet, um auf den Websites von Whistleblowern Neues zu entdecken.

Security-Profis im Darknet

Patrick Tiquet von Keeper bewegt sich wie viele seiner Kollegen ebenfalls im Darknet. "Ich nutze es, um mir ein Bild von der Lage zu machen, Bedrohungen zu analysieren und zu beobachten, was vor sich geht", sagt er. "Ich möchte wissen, welche Informationen verfügbar sind, und einen Blick darauf haben, welche digitalen Werte gerade zu Geld gemacht werden. So lernen wir, worauf Hacker es abgesehen haben."

Ein Tipp zum Schluss

Wenn Sie die schlechte Performance, die schwankende Verfügbarkeit und die gelegentlichen Schocks ob des Dargebotenen verkraften können, können Sie sich ruhig einmal im Darknet umsehen. Aber kaufen Sie dort nichts! Und sollten Sie bei Ihren Recherchen auf Datensätze stoßen, die Sie selbst betreffen, regen Sie sich nicht zu sehr auf. Sie können nur wenig dagegen tun, aber Sie wissen jetzt zumindest, dass Sie kompromittiert wurden.