Definition und mehr

Was ist das Darknet?

Berühmt, berüchtigt, unheimlich - so ließe sich zusammenfassen, was die Menschen über das Darknet denken. Lesen Sie, was sich im dunklen Teil des Internets abspielt.
Von  und
CSO | 12. November 2021 04:50 Uhr
  • Die meisten Anwender verwenden dafür den Tor-Browser in Kombination mit einem Virtual Private Network
  • Die Palette der Möglichkeiten reicht vom Waffen- und Drogenkauf bis zu einem harmlosen Schachspiel
  • Wer auf Ordnung und Performance Wert legt, wird die Katakomben des Internet bald wieder verlassen
Das Darknet ist die Schattenseite des Internets. Von Drogen über Waffen bis hin zu Zugangsdaten aller Art – hier gibt es alles. So geordnet wie bei Amazon und eBay geht es hier allerdings nicht zu.
Das Darknet ist die Schattenseite des Internets. Von Drogen über Waffen bis hin zu Zugangsdaten aller Art – hier gibt es alles. So geordnet wie bei Amazon und eBay geht es hier allerdings nicht zu.
Foto: Tero Vesalainen - shutterstock.com

Das Dark Web ist ein versteckter Teil des Internets, der von Suchmaschinen nicht indexiert wird. Es läuft im Tor-Netzwerk, das nur mit einer bestimmten Software erreichbar ist. Die meisten Anwender verwenden dafür den Tor-Browser in Kombination mit einem Virtual Private Network (z.B. NordVPN). Es gibt aber auch andere Browser, beispielsweise UltraSurf, JAP, I2P, Hotspot Shield VPN oder TunnelBear.

Nutzer im Darknet bleiben anonym, die Kommunikation lässt sich nicht zurückverfolgen. Der Datenverkehr ist verschlüsselt und wird über mehrere Rechner umgeleitet, was den Nachteil hat, dass die Performance deutlich eingeschränkt ist. Aufgrund dieser Eigenschaften ist das Darknet - nicht nur, aber auch - eine Tummelwiese und ein beliebter Marktplatz für Kriminelle. Die Forscher Daniel Moore und Thomas Rid vom King's College in London haben 2015 über einen Zeitraum von fünf Wochen die Inhalte von 2.723 Live-Seiten im Dark Web klassifiziert und festgestellt, dass 57 Prozent illegale Inhalte enthielten.

Eine Studie von Michael McGuires von der University of Surrey aus dem Jahr 2019 mit dem Titel "Into the Web of Profit" zeigt, dass sich die Situation noch verschlimmert hat. Die Zahl der Darknet-Angebote, die einem Unternehmen schaden können, ist seit 2016 um 20 Prozent gestiegen.

Im Darknet können Besucher einkaufen wie bei Amazon - allerdings vor allem eben illegale Artikel wie Kreditkartennummern, Benutzernamen und Passwörter, alle Arten von Drogen, Waffen, Falschgeld, gestohlene Zugangsdaten für Abonnements, gehackte Netflix-Konten und Software, mit der fremde Computer gehackt werden können.

Nicht alles im Darknet ist illegal. Wer möchte, kann beispielsweise einem Schachclub beitreten oder sich bei BlackBook anmelden, einem Social Network, das auch als "Facebook of Tor" bezeichnet wird. Aber es lassen sich genauso die Anmeldedaten für ein 50.000-Dollar-Konto bei der Bank of America erwerben, gefälschte 20-Dollar-Noten oder bestimmte Dienstleistungen für Kriminelle, sie sich nicht selbst die Hände schmutzig machen möchten.

Deep Web versus Dark Web

Oft werden die Begriffe Deep Web und Dark Web/Darknet synonym verwendet, aber sie sind nicht identisch. Deep Web bezieht sich auf alles im Internet, was nicht von einer Suchmaschine wie Google indexiert wird und daher nicht über diese zugänglich ist. Hierzu gehören also auch Inhalte, die sich hinter einer Bezahlschranke befinden oder nur über Anmeldedaten erreicht werden können. Und es gehören private Bereiche von Unternehmen dazu, mit Inhalten, die von Webcrawlern nicht erreicht werden, so dass keine Indexierung stattfinden kann.

Medizinische Aufzeichnungen, kostenpflichtige Inhalte, Websites für Mitglieder und vertrauliche Unternehmensseiten sind Beispiele für Deep-Web-Content. Schätzungen gehen davon aus, dass das Deep Web zwischen 96 und 99 Prozent des gesamten Internets ausmacht. Nur ein winziger Teil ist also über einen Standard-Webbrowser zugänglich. Diesen Teil nennt man auch Clear Web.

Das Darknet ist eine versteckte Untergruppe des Deep Web. Niemand weiß genau, wie groß es ist, aber die meisten Schätzungen gehen davon aus, dass es etwa fünf Prozent des gesamten Internets ausmacht. In der bereits genannten Studie Into the Web of Profit werden zwölf Kategorien von Tools und Diensten im Darknet identifiziert, die für Sicherheitsprofis in Unternehmen interessant sind, weil sie Angreifern helfen in Netze einzudrängen und Daten zu kompromittieren.

  • 1. Infektion oder Angriffe inkl. Malware, Distributed Denial of Service (DDoS) und Botnets,

  • 2. Access, inklusive Remote-Access-Trojaner (RATs), Keylogger und Exploits,

  • 3. Spionage, inklusive Dienste, Tarnungen und gezielte Angriffe,

  • 4. Unterstützende Services wie etwa Tutorials,

  • 5. Berechtigungsnachweise (Credentials),

  • 6. Phishing,

  • 7. Rückerstattungen (Refunds),

  • 8. Kundendaten,

  • 9. Betriebliche Daten,

  • 10. Finanzdaten,

  • 11. Geistiges Eigentum/Geschäftsgeheimnisse,

  • 12. Andere neue Bedrohungen.

In dem Bericht werden außerdem drei Risikoklassen für jede Kategorie genannt:

  • Wertverlust des betroffenen Unternehmens, indem etwa das Markenvertrauen untergraben, der Ruf geschädigt oder die Stellung im Wettbewerb beeinträchtigt wird;

  • Störung des Geschäftsbetriebs durch DDoS-Angriffe oder andere Malware;

  • Direkter Schaden zum Beispiel durch den Diebstahl von Werten oder geistigem Eigentum sowie durch Spionage.

Seit einigen Jahren können Cyberkriminelle im Darknet Ransomware-as-a-Service (RaaS)-Kits kaufen. Mit dem Aufkommen spezialisierter krimineller Gruppen wie REvil oder GandCrab sind diese Angebote nochmal viel gefährlicher geworden. Diese Gruppen entwickeln ihre eigene ausgefeilte Malware, manchmal in Kombination mit bereits vorhandenen Tools, und vertreiben sie über Partner. Bei Angriffen mit der Erpressersoftware werden die Daten der Opfer verschlüsselt. Oft wird auch zusätzlich mit der Veröffentlichung sensibler Daten gedroht, wenn die Opfer sich damit zieren, Lösegeld zu zahlen.

Geschäfte mit solchen Cryptolockern sind lukrativ und werden bandenmäßig betrieben. IBM Security X-Force berichtete, dass in 29 Prozent der Ransomware-Vorfälle im Jahr 2020 die Gang REvil involviert war. Solche kriminellen Gruppen, die die Malware entwickelt haben, erhalten einen Anteil an den Einnahmen der Partner, in der Regel zwischen 20 und 30 Prozent. IBM schätzt, dass die Gewinne von REvil im vergangenen Jahr 81 Millionen US-Dollar betrugen.

Die in Russland verortete Cybercrime-Bande, die mit ihren Lieferketten-Angriffen auf das US-Unternehmen Kaseya traurige Berühmtheit erlangte, war Mitte Juli 2021 von der Bildfläche verschwunden, soll nun aber im Darknet wieder erreichbar sein.

Dunkle Webbrowser

Wer sich das Darknet als lebendigen Marktplatz vorstellt, mag denken, dass dort so einfach wie auf einer E-Commerce-Seite zu navigieren wäre, doch dem ist nicht so. Der Ort ist chaotisch und unübersichtlich - so wie man es erwarten kann, wenn jeder anonym bleibt und eine nicht gerade kleine Minderheit darauf aus ist, andere zu betrügen.

Der Zugang zum Darknet verlangt, wie gesagt, einen Browser, in den meisten Fällen wird der Tor-Browser genutzt. Er leitet Webseitenanfragen durch eine Reihe von Proxy-Servern, die von Tausenden von Freiwilligen auf der ganzen Welt betrieben werden. Damit sind IP-Adressen nicht identifizierbar und nicht zurückzuverfolgen. Wer sich über die Anonymität freuen mag, wird schon recht bald feststellen, dass Tor unzuverlässig und langsam ist.

Für diejenigen, die bereit sind, all diese Unannehmlichkeiten in Kauf zu nehmen, bietet das Dark Web allerdings einen so schockierenden wie unvergesslichen Einblick in die Schattenseiten des menschlichen Daseins. Immerhin gehen Nutzer, die sich dort nur umschauen, nicht das Risiko ein, sich in eine dunkle Seitengasse zu bewegen, um dort überfallen und ausgeraubt zu werden.

Suchmaschine im Darknet

Das Darknet verändert sich ständig, da haben auch die einschlägigen Suchmaschinen ihre Schwierigkeiten, am Ball zu bleiben. Die Nutzererfahrung erinnert an die Websuche im Internet der späten 1990er Jahre. Als beste Suchmaschine gilt Torch, doch auch sie liefert zwangsläufig Ergebnisse, die sich wiederholen und oft keine befriedigenden Antworten auf die Anfragen liefern. Linklisten wie "The Hidden Wiki" sind eine Option, aber auch Indizes liefern eine frustrierende Anzahl von zeitlich begrenzten Verbindungen und 404-Fehlern.

Dunkle Websites

Websites im Darknet sehen ähnlich wie herkömmliche Webseiten aus, aber es gibt ein paar wichtige Unterschiede. Einer ist die Namensstruktur. Anstatt auf .com oder .de enden Darknet-Seiten auf .onion. Laut Wikipedia ist das "eine besondere Top-Level-Domain-Endung, die einen anonymen versteckten Dienst bezeichnet, der über das Tor-Netzwerk erreichbar ist". Browser mit dem entsprechenden Proxy können diese Seiten erreichen, andere jedoch nicht.

Darknet-Seiten verwenden auch eine verschlüsselte Namensstruktur, die URLs erzeugt, die man sich nicht merken kann. Eine beliebte Handelswebsite namens Dream Market hat beispielsweise die unverständliche Adresse "eajwlvm3z2lcca76.onion".

Viele Darknet-Seiten werden von Betrügern betrieben. Sie ziehen ständig um, weil sie dem Zorn ihrer Opfer entgehen wollen. Manche E-Commerce-Seiten, die schon seit einem Jahr oder länger bestehen, verschwinden plötzlich von einem Tag auf den anderen, weil die Betreiber ihr kommerzielles Ziel erreicht haben und sich beispielsweise mit Geld aus dem Staub machen, das sie zuvor im Namen ihrer Kunden treuhänderisch verwahrt haben.

Die Strafverfolgungsbehörden haben zuletzt große Fortschritte darin gemacht, illegale Seiten aufzustöbern und strafrechtlich zu verfolgen. Im Sommer 2017 gelang es einem Team von Cyberpolizisten aus drei Ländern, AlphaBay, die größte Quelle für Schmuggelware im Darknet, zu schließen, was das Netzwerk durchaus temporär erschütterte. Doch viele Händler sind einfach zum nächsten Marktplatz weitergewandert.

Die Anonymität des Tor-Netzwerks macht es besonders anfällig für DDoS-Angriffe, sagt Patrick Tiquet, Director of Security & Architecture bei Keeper Security. Er ist der Experte des Unternehmens für dieses Thema. "Websites ändern ständig ihre Adressen, um DDoS zu entgehen. Das führt auch dazu, dass dynamische Veränderungen an der Tagesordnung sind", sagte er. Das hat zur Folge, dass die Qualität der Suche sehr unterschiedlich ist und viel Material veraltet ist".

For Sale im Darknet

Kryptowährungen wie Bitcoin ermöglichen es zwei Parteien, eine vertrauenswürdige Transaktion vorzunehmen, ohne die Identität der anderen Seite zu kennen. "Bitcoin war ein wichtiger Faktor für das Wachstum des Darknet, und das Darknet war ein wichtiger Faktor für das Wachstum von Bitcoin", sagt Tiquet. Fast alle handelsorientierten Websites wickeln Transaktionen in Bitcoin oder einer anderen Kryptowährung ab. Das bedeutet aber nicht, dass es sicher ist, dort Geschäfte zu machen. Die Anonymität des Ortes zieht nun Mal Betrüger und Diebe an. Aber was erwartet man auch, wenn man Waffen oder Drogen kaufen will?

Die Seitenstruktur der Shops im Darknet unterscheidet sich auf den ersten Blick kaum von klassischen E-Commerce-Seiten. Es gibt Warenkörbe, Foren, Bewertungen etc. Wenn allerdings sowohl Käufer als auch Verkäufer anonym und im Zweifel kriminell sind, ist die Glaubwürdigkeit von Rating-Systemen zweifelhaft. Bewertungen sind leicht zu manipulieren, und selbst Verkäufer mit einer langjährigen Erfolgsbilanz verschwinden schon mal von einem Tag auf den anderen mit den Krypto-Coins ihrer Kunden, um dann später unter einem anderen Pseudonym wieder aufzutauchen.

Um in dieser Welt des Misstrauens Geschäfte zu machen, bieten die meisten E-Commerce-Anbieter eine Art Escrow-Service an, der vorsieht, die Kundengelder bis zur Lieferung des Produkts nicht anzutasten. Hier sollten die Handelspartner im Zweifel allerdings lieber nicht auf einen Rechtsstreit hoffen. Im Darknet klären Käufer und Verkäufer ihre Probleme unter sich. Jede Kommunikation ist verschlüsselt, so dass selbst für die einfachste Transaktion ein PGP-Schlüssel erforderlich ist.

Der Abschluss einer Transaktion ist zu allem Überfluss noch keine Garantie dafür, dass die Ware auch ankommt. Viele der Halbwelt-Waren müssen internationale Grenzen überqueren, und dort gehen die Zollbeamten oft hart gegen verdächtige Pakete vor. Auf der Nachrichtenseite Deep.Dot.Web wimmelt es von Berichten über Menschen, die wegen illegaler Käufe verhaftet oder ins Gefängnis gesteckt wurden.

Besonders beliebt im Darknet ist der Kauf gestohlener Daten. Der Preis schwankt je nach Marktlage. Laut dem Dark Web Price Index 2021 von Privacy Affair werden derzeit folgende Preise für Daten und Dienstleistungen gezahlt, die üblicherweise im Darknet gehandelt werden:

  • - Geklonte Kreditkarte mit PIN: 25 bis 35 Dollar;

  • - Kreditkartendaten mit einem Kontostand von bis zu 5.000 Dollar: 240 Dollar;

  • - Gestohlene Online-Banking-Logins mit einem Kontoguthaben von mindestens 2.000 Dollar: 120 Dollar;

  • - PayPal-Überweisungen von gestohlenen Konten: 50 bis 340 Dollar;

  • - Gehacktes verifiziertes Coinbase-Konto: 610 Dollar;

  • - Gehackter Social-Media-Account: 1 bis 60 Dollar;

  • - Gehacktes Gmail-Konto: 80 Dollar;

  • - Gehacktes eBay-Konto mit gutem Ruf: 1.000 Dollar.

Ist das Darknet illegal?

Wie bereits erwähnt ist nicht alles, was im Darknet passiert, anstößig oder illegal. Das Tor-Netzwerk hat als anonymer Kommunikationskanal angefangen und erfüllt immer noch einen wertvollen Zweck, indem es Menschen hilft in Umgebungen zu kommunizieren, die der freien Meinungsäußerung feindlich gegenüberstehen. "Viele Menschen benutzen es in Ländern, in denen es Lauschangriffe gibt oder in denen der Internetzugang kriminalisiert ist", sagt Tiquet.

Es gibt auch viel zu lernen dort: Wenn Sie alles über den Schutz der Privatsphäre oder über Kryptowährungen erfahren möchten, hat das Darknet eine Menge zu bieten. Zudem gibt es eine Vielzahl von privaten und verschlüsselten E-Mail-Diensten, Anleitungen zur Installation eines anonymen Betriebssystems und fortgeschrittene Tipps für Datenschutzbewusste.

Es gibt auch Inhalte, die Nutzer eher im öffentlichen Web erwarten würden, Links zu Volltextausgaben von schwer zu findenden Büchern etwa, Sammlungen politischer Nachrichten von Mainstream-Websites, allerlei Gebrauchsanweisungen etc. Auf Intel Exchange können Nutzer anonym über aktuelle Ereignisse diskutieren. Auch finden sich mehrere Whistleblower-Seiten, darunter eine Darknet-Version von Wikileaks. Pirate Bay, eine BitTorrent-Website, die von den Strafverfolgungsbehörden wiederholt abgeschaltet wurde, ist dort lebendig und aktiv. Sogar Facebook ist im Darknet präsent.

"Immer mehr seriöse Internetunternehmen zeigen sich heute auch im Darknet", beobachtet Tiquet. Sie wollten damit demonstrieren, dass sie sich mit allen Entwicklungen im Internet beschäftigen und auskennen. Und natürlich versuchen sich auch Strafverfolgungsbehörden im Darknet und halten etwa Ausschau nach gestohlenen Daten aus den jüngsten Cyberangriffen, um den Tätern auf die Spur zu kommen. Ebenso tummeln sich einige der Mainstream-Medien im Darknet, um auf den Websites von Whistleblowern Neues zu entdecken.

Security-Profis im Darknet

Patrick Tiquet von Keeper bewegt sich wie viele seiner Kollegen ebenfalls im Darknet. "Ich nutze es, um mir ein Bild von der Lage zu machen, Bedrohungen zu analysieren und zu beobachten, was vor sich geht", sagt er. "Ich möchte wissen, welche Informationen verfügbar sind, und einen Blick darauf haben, welche digitalen Werte gerade zu Geld gemacht werden. So lernen wir, worauf Hacker es abgesehen haben."

Ein Tipp zum Schluss

Wenn Sie die schlechte Performance, die schwankende Verfügbarkeit und die gelegentlichen Schocks ob des Dargebotenen verkraften können, können Sie sich ruhig einmal im Darknet umsehen. Aber kaufen Sie dort nichts! Und sollten Sie bei Ihren Recherchen auf Datensätze stoßen, die Sie selbst betreffen, regen Sie sich nicht zu sehr auf. Sie können nur wenig dagegen tun, aber Sie wissen jetzt zumindest, dass Sie kompromittiert wurden.

Darren Guccione ist freier Autor für CSO.
Heinrich Vaske ist Editorial Director von COMPUTERWOCHE, CIO und CSO sowie Chefredakteur der europäischen B2B-Marken von IDG. Er kümmert sich um die inhaltliche Ausrichtung der Medienmarken - im Web und in den Print-Titeln.