Im Schatten-Netz

Bereits der Name macht es etwas gefährlich: das Darknet. Seine Bekanntheit hat es in den vergangenen Jahren insbesondere durch Cybergangster, Kriminelle und sogenannte APT-Gruppen (Advanced Persistent Threat; Hacker-Gruppen) erlangt.

Eigentlich steht das «Dark» für «wenig Licht auf die Besucher». Denn im Darknet geht es um die Anonymität. So nutzen die Bürger vieler autoritärer Staaten das Darknet, um Informationen über die Grenzen hinweg zu tauschen, da die anderen Kanäle überwacht werden; etwa in China, da dort das Internet durch die Great-Chinese-Firewall kontrolliert und zensiert wird – bis zur letzten Webseite. Hier sind Zugänge zum Darknet der einzige Ausweg, um gesichert oder anonym mit anderen zu kommunizieren, da selbst gesicherte VPN-Verbindungen (virtuelles privates Netzwerk) vom Staat gekappt werden.

In vielen Medien war in den vergangenen Jahren das Darknet das Thema, da dort keinerlei Recht herrschen soll, es Waffen, Drogen und andere verbotene Dinge gibt. Auch die sogenannten Leak-Seiten der Hacker sind dort zu finden, auf denen die mit Ransomware oder Infostealer erpressten Opfer an den Pranger gestellt werden, um den Druck zu erhöhen. Zahlt ein Opfer nicht, finden sich auf der Leak-Seite meist die gestohlenen Datenpakete zum Download für jedermann, Bild 1.

Natürlich überwiegt die Berichterstattung über Cyberkriminelle und deren Angebote im Darknet. Denn über geheime Datenräume für Besprechungen und zum Datentausch von Dissidentengruppen oder Journalisten und Whistleblowern lässt sich schlecht berichten. Sie sind nicht so offen zugänglich wie diverse Marktplätze für verbotene Waren.

Was viele nicht wissen: Seit 2014 ist Facebook über das Tor-Netzwerk (dazu später mehr) erreichbar, damit das soziale Netzwerk auch in autokratischen Ländern verfügbar ist. Bereits 2019 stellten die BBC und die Deutsche Welle ihre Homepages über das Tor-Netzwerk bereit, um Zensurannahmen von antidemokratischen Staaten zu umgehen, Bild 2. Im Jahr 2022 folgte X (ehemals Twitter) infolge des russischen Überfalls auf die Ukraine.

Das Darknet ist eine Grauzone, in der es aber auch viele strafbare Bereiche gibt. Das blosse Surfen im Darknet ist legal, aber weitere illegale Handlungen bleiben natürlich strafbar. Es gibt Situationen, die harmlos aussehen, aber heikel sind. Ein Beispiel: Man besucht die Leak-Seite einer Hackergruppe, auf der das Unternehmen kurz vorgestellt wird. Da das Opfer nicht gezahlt hat, bietet man dort die gestohlenen Datenpakete in einer Liste zum Download an. Bis dahin ist alles in Ordnung. Lädt man sich aber nun aus Neugier die Datenpakete herunter, landen gestohlene Daten auf Ihrem PC und das könnte man Ihnen als strafbar auslegen.

Viele Nutzer lassen sich etwas verwirren, wenn bezüglich Darknet gleichzeitig vom Tor-Netzwerk (siehe auch Box links) gesprochen wird. Die Erklärung ist einfach: Das Darknet ist ein technisch eigenes Netz und nur via Tor-Netzwerk mit seinen Tor-Zugangsknoten und per Tor-Browser erreichbar. Jeder Zugangsknoten ist gleichzeitig ein Server, der zu anderen Servern führt. Die Kommunikation läuft über viele Server und soll so nicht mehr nachverfolgbar sein (sogenanntes Onion-Routing; englisch onion = Zwiebel). Das stimmt aber nur teilweise (dazu später noch mehr).

Für den Zugang zum Tor-Netzwerk müssen Sie einen Tor-Browser installieren. Diesen gibt es für viele Betriebssysteme wie Windows, macOS, Linux und Android. Am sichersten lädt man sich den Browser beim Tor-Projekt via Link torproject.org he­runter, da diese Versionen sauber von Malware sind, Bild 3.

Nach der Installation verbindet sich der Tor-Browser auf Wunsch und findet automatisch einen passenden Tor-Zugangsknoten. Allerdings: Auf diese Weise landet Ihre IP-Adresse automatisch beim ersten Zugangsknoten. Normalerweise werden diese Adressen nach kürzester Zeit wieder gelöscht. Allerdings werden einige der Tor-Server von Sicherheitsunternehmen und auch von diversen Regierungsorganisationen unter dem Deckmantel der Anonymität betrieben. Sie zeichnen dabei oft Zugangs-IPs auf, wie aufgedeckte Fälle aus der Vergangenheit zeigen (siehe Box «Bin ich anonym im Darknet?»). Daher aktivieren Profis vor der Einwahl eine VPN-Software. Diese schirmt die eigene IP-Adresse ab und man geht über einen gesicherten Kanal in das Tor-Netzwerk.

Das ist der normale Zugang. Technisch gesehen haben Sie den Eingangsknoten passiert. Nun geht es weiter über die mittleren Relays. Das sind Zwischenserver, die eine Anfrage weiterleiten, wobei jede Station nur den vorherigen und den nächsten Knoten kennt. Das Ganze endet am Austrittsknoten, über den der Zugriff auf das eigentliche Ziel (zum Beispiel eine Webseite) erfolgt. Damit ist das Ziel erreicht und die Verbindung nutzt eine Ende-zu-Ende-Verschlüsselung.

Einmal eingetreten, steht man vor einer leeren Browserseite, denn Google oder Bing bieten hier keine Dienste an. Es gibt zwar einige Helfer für das Darknet, aber viele sind relativ suspekt, einige blenden Werbung und strafbare Seiten aus. Am bekanntesten ist die Suchmaschine DuckDuckGo (duckduckgo.com), die auch im normalen Internet ihre Dienste anbietet, Bild 4. Sie ist im Tor-Browser standardmässig voreingestellt und erscheint auch in der Regel nach dem Browserstart. Aber wer hier etwas sucht, bekommt meist nur herkömmliche Webseiten gelistet, die zum Beispiel auf normale Domains wie .ch oder .com zugreifen. Das ist der Zugang für die anonyme Nutzung des normalen Internets.

Die Adresse einer Darkweb-Seite hat sehr kryptische Namen mit Zahlen, Buchstaben und der Endung .onion, zum Beispiel http://zervmwoc5flabhlh3heegnspbpoebbgr3kgkaarkpnz2gtsuunlxgqyd.onion – das ist die Webseite der Tageszeitung taz.de im Darknet. Ein «https» gibt es nicht, da es für diese Seiten keine Sicherheitszertifikate mit SSL gibt.

Es gibt zwar Suchmaschinen für das Darknet, aber nur sehr kleine Suchindexe. Denn viele Seiten wollen nicht so einfach gefunden werden. Teilweise gibt es im normalen Internet Webseiten, die Onion-Adressen auflisten, etwa Ransomware.live für Leakseiten von Ransomware-Gruppen, Bild 5. Doch Vorsicht! Viele Links, über die sie stolpern, können gefährlich sein. Eventuell bietet man Software an, die mit Malware verseucht ist.

Zahlreiche Nutzer verwenden auch die Torch Search Engine. Die dazugehörige Onion-Link-Adresse muss man sich erst einmal mit der normalen Suchmaschine suchen. Ab da geht es weiter zu vielen illegalen Inhalten, die wir hier weder weiter beschreiben noch deren Adressen nennen.

Zahlreiche Shops im Darknet kennen keine Grenzen in ihrem Angebot – ob sie es auch wirklich liefern, sobald bezahlt wird, haben wir natürlich nicht getestet, Bild 6. Aber Bilder von Shops zeigen Angebote mit jeder Art von Drogen, gefälschten Papieren und Ausweisen, Falschgeld in allen Währungen, gehackten Account-Daten von allen möglichen Internetservices oder Social-Media-Konten – und ein grosses Angebot an Waffen jeder Art; von der Pistole bis hin zur Panzerfaust. Dieses illegale Angebot ist durch den Krieg in der Ukraine wohl weiter angestiegen, Bild 7.

Zusätzlich gibt es noch viele digitale Services im Angebot. So lassen sich etwa Botnetze für Überlastungsangriffe auf Webseiten (sogenannte DDoS-Attacken) buchen – bereits ab 99 Dollar. Es gibt aber auch Seiten, auf denen Ransomware-as-a-Service verkauft wird. Grosse APT-Gruppen vermieten ihre Serverstruktur und ihre Abrechnungssysteme für Erpresser und deren Opfer. Die Angriffe führen die «Partner» mit angepasster Ransomware aus und zahlen für diesen Dienst mit einem hohen Anteil der Erpressungssumme.

Weiter gibt es Baukastensysteme für Malware, in denen man sich je nach investierter Summe eine neue Malware-Variante basteln kann. Ganz neu sind auch KI-Tools zur Code- und Script-Entwicklung. Etwa FraudGPT, ein im Darknet unmoderierter Chatbot, der speziell auf kriminelle Inhalte trainiert wurde. Unter anderem ist FraudGPT in der Lage, Phishing-Mails zu schreiben oder andere Angriffs-Tools zu entwickeln, Bild 8. Denn würden die Angreifer diesen Code in öffentlichen KI-Tools wie ChatGPT generieren, so wäre er bereits bekannt respektive würde von der KI abgefangen und nicht ausgeliefert.

Cyberkriminelle betreiben im Darknet mit anderen Cyberkriminellen ihr Business. Sie nutzen dabei Treuhänder für ihre Zahlungen. Aber auch im Darknet gibt es betrügerische Treuhänder. Einen Ehrenkodex oder gar eine Ganovenehre existiert nicht.

Zwischen 2020 und 2022 wurden im Darknet mehr als eine Million Nachrichten zu Vermittler- beziehungsweise Treuhanddiensten gepostet. Laut einer aktuellen Kaspersky-Analyse unterstützen Treuhänder als Drittvermittler Cyberkriminelle, die Daten und Dienstleistungen kaufen, verkaufen oder eine Partnerschaft eingehen möchten. Sie sollen die Erfüllung von Vereinbarungen kontrollieren und das Betrugsrisiko verringern. Solche Treuhänder erhalten für diese Dienste zwischen drei bis 15 Prozent pro Transaktion. Dabei scheinen jedoch nicht alle ihren Verpflichtungen nachzukommen: So soll ein Treuhänder 170 000 US-Dollar einbehalten haben.

In einem anderen Fall haben Cybergangster einen Marktplatz betrieben, über den andere Händler zu ihren Kunden den Kontakt hatten. Alle Zahlungen wurden über den Marktplatz abgerechnet. Nach etwa einem Jahr haben die Marktplatzbetreiber monatelang kein Geld mehr weitergeleitet, sondern sich abgesetzt.

Sicher: Die vielen teils extremen, offenen Angebote von Drogen, Waffen oder gestohlenen Daten finden einige Nutzer recht faszinierend. Die Seiten live besuchen muss man allerdings nicht unbedingt. Denn viele dieser Webseiten sind mit Viren verseucht oder schicken Besuchern mal schnell einen Drive-by-Download mit einer Malware.

Immer wieder fordern offizielle Stellen die Abschaffung oder bessere Überwachungsmöglichkeiten des Tor-Netzwerks. Allerdings würde dies die Möglichkeit der Anonymität vernichten, die Surfer in autoritären Staaten benötigen. Auch Whistleblower hätten es viel schwerer, Journalisten zu kontaktieren, Bild 9 und Bild 10. Leider gibt es kein Patentrezept, wie man das besser gestalten könnte. Vielleicht fällt einer KI eines Tages etwas ein.