Was ist eigentlich das Darknet?

G DATA Ratgeber

Viren, Auftragskiller, Gift und Drogen: Im Darknet blüht der Handel mit Waren, die viele Menschen bloß aus Krimis kennen. Aber was ist das Darknet eigentlich? Ist es die dunkle Seite des Internets – oder wird es lediglich von Kriminellen für deren Zwecke missbraucht? Ohne die nötige Software oder eine bestimmte Browser-Konfiguration entzieht sich das Darknet den Blicken gewöhnlicher Internetnutzer. Deshalb wird das Darknet gelegentlich auch als Teil des Invisible Web (unsichtbares Netz) bezeichnet. Unser Ratgeber bringt Licht ins Dunkel des Darknets.

Wie bleiben die Nutzer anonym?

In die geheime Welt des Darknets geht es nicht durch irgendein Tor, sondern durch den TOR: TOR steht für "The Onion Router" (engl. "Der Zwiebel-Router"). Das Wort "Zwiebel" weist auf die Schichten hin, die die Daten durchdringen müssen: Anders als beim gewöhnlichen Surfen verbindet sich der Computer nicht direkt mit dem Server, auf dem die Website liegt. Stattdessen sind eine ganze Reihe von Servern in die Verbindung involviert, um größtmögliche Anonymität herzustellen.

Die Schichten der "Onion"

Der Ausgangspunkt

Auf Ihrem Computer startet Ihre Reise zu einer Deep Web-Seite.

Die erste Schicht: Entry-Point

Der Einstiegspunkt (Server 1) ins TOR-Netzwerk erhält die IP-Adresse von Ihrem Computer. Der TOR-Client verbindet dann Ihren Computer mit einem weiteren Server (Server 2), dem Knoten. Alle Daten werden auf dem Weg zu diesem Knoten verschlüsselt.

Die zweite Schicht: TOR-Knoten:

Der Knoten (Server 2) kennt nur den Entry-Node – aber nicht Ihren Computer oder Ihre IP-Adresse. Die über ihn verschickten Daten sind verschlüsselt und können daher auch nicht vom Knoten gelesen werden. Neben dem Entry-Point ist dem TOR-Knoten nur noch der Exit-Node (Server 3) bekannt, also der Server, der Sie schließlich mit der gewünschten Seite verbindet.

Die dritte Schicht: Exit-Node

Der Exit-Node (Server 3) stellt die eigentliche Verbindung zum Webserver her, auf der die aufzurufende Zielseite liegt. Vom Exit-Node gelangen Sie zu den legitimierten Diensten, die auf .onion enden. Außerhalb des TOR-Netzwerks sind Dienste mit der .onion-Endung nicht erreichbar.

Das Ziel: Webserver

Hier endet Ihre Reise – Sie haben Ihr Ziel erreicht. Hier ist die Deep Web-Seite gespeichert, die Sie aufrufen wollen. Dieser Webserver kennt nur die IP-Adresse vom Exit-Node. Die anderen Server oder Ihren Computer lernt der Webserver nicht kennen.

 

Die Datenpakte werden zwischen Laptop und Entry-Point verschlüsselt. Der Entry-Point nimmt das verschlüsselte Paket entgegen, verpackt es nochmals, schreibt die Adresse des TOR-Knoten drauf und seine eigene IP Adresse als Absender. Dann schickt er das Päckchen an den TOR-Knoten und der macht im Prinzip dasselbe: Er öffnet das Paket nicht, sondern vermerkt seine eigene IP-Adresse als Absender und verschickt das Ganze weiter an die Adresse des Exit-Nodes. Auf diese Weise bleibt die IP Adresse des Ausgangsgeräts sicher, da die Website nur die Adresse des Exit-Modes kennt und jede der einzelne Instanzen nur ihren nächsten Nachbarn kennt. So bleibt der User anonym.

Natürlich kann man über den TOR-Browser auch "normale" Clear Web-Seiten aufrufen. Bei gewöhnlichen Webseiten verhält sich TOR wie ein gewöhnlicher Browser. Bei Deep Web-Seiten sieht es da etwas anders aus: Bei der Komplexität und hohen Zahl an nötigen Verbindungen wundert es kaum, dass das Aufrufen einer Deep Web-Seite deutlich länger dauert, als das bei einer normalen Website der Fall ist.

HTTP vs. HTTPS

HTTP

  • HyperText Transfer Protocol (HTTP) 
  • Vor der eigentlichen URL taucht oben in der Adressleiste des Browsers das Kürzel HTTP auf.
  • Die Verbindung ist nicht verschlüsselt. Hacker haben leichtes Spiel, die Daten abzufangen, mitzulesen und zu manipulieren.
  • Der TOR-Browser setzt HTTP-Verbindungen ein Ende. Der Browser fordert auch nach der Eingabe einer HTTP-Adresse eine sicher verschlüsselte HTPPS-Version der Seite an.

HTTPS

  • HyperText Transfer Protocol Secure (HTTPS)
  • Vor der URL erscheint HTTPS und in der Regel auch ein kleines Schloss-Symbol, um die Sicherheit der Verbindung deutlich zu machen.
  • Um die Sicherheit von HTTP-Verbindungen zu steigern, wurde das SSL Zertifikat hinzugefügt. Die miteinander kommunizierenden Computer verständigen sich auf einen gemeinsamen Schlüssel, der die Verbindung schützt.
  • Die Macher von TOR halten HTTP für derart unsicher, dass sie jede HTTP-Verbindung automatisch mit einem Zertifikat versehen und so in eine HTTPS-Verbindung verwandelt.

Ist der Nutzer mit TOR völlig geschützt?

Der TOR-Browser und ähnliche Anwendungen anonymisieren den Wege, den die Daten nehmen. Die darüber gesendeten Daten sind trotzdem nicht zwingend sicher. Beispielsweise können Log-In Daten, Kreditkarteninformationen oder Adressen bei der Eingabe in ein Webformular auch trotz TOR ausgelesen werden. Außerdem kann die Anonymität der TOR-Kommunikation auch aufgehoben werden, wenn jemand sich Zugriff zum TOR-Browser verschafft, denn auch dieser ist wie jede andere Software manipulierbar. Dasselbe gilt natürlich auch für Server, über die TOR die User leitet oder auf denen die Deep Web-Seiten gespeichert sind. 

Zwei Alternativen zu TOR

Auch wenn TOR das bekannteste Verfahren zur Anonymisierung von Web-Traffic ist, ist es nicht das einzige Protokoll, das für die Anonymität der User im Deep Web sorgen kann.

Hornet (Highspeed Onion Routing Network)

Das von Forscher des University College London und der ETH Zürich entwickelte Anonymisierungsnetzwerk ähnelt TOR in der Funktionsweise, arbeitet jedoch schneller.

I2P (Invisible Internet Project)

I2P dagegen funktioniert im Prinzip wie ein virtuelles privates Netzwerk – und unterscheidet sich damit von TOR und Hornet.

Was ist der Unterschied zwischen Darknet und Deep Web?

In den meisten deutschsprachigen Populärmedien werden die Begriffe Darknet und Deep Web synonym verwendet. In Wirklichkeit sind Darknet und Deep Web aber keineswegs identisch. Denn das Darknet ist nur ein kleiner Teil des Deep Web. Bildlich können wir uns das Internet also so vorstellen: Das gewöhnliche Internet, das wir mit Google und Co. durchsuchen können, die Spitze des Eisbergs ist. Der Teil unter Wasser, den wir nur mit speziellen Mitteln sehen können, ist das Deep Web. Und das Darknet die Unterseite des im Meer schwimmenden Eisbergs.

Um die unter der Wasseroberfläche befindlichen Teile des Eisbergs zu sehen, ist eine spezielle "Taucherausrüstung" nötig – der TOR-Browser. Um vom Deep Web ins Darknet zu gelangen, ist jedoch noch einiges mehr erforderlich. Während das Visible Web – sprich das für uns gewohnte, sichtbare und durch Suchmaschinen erfasste Internet – mit einem gewöhnlichen Browser zugänglich ist, findet das Deep Web versteckt unter der Oberfläche des Netzes statt. Um die Seiten des Deep Web aufzurufen ist eine Verschlüsselung, das TOR-Netzwerk, notwendig, die die Anonymität beim Surfen sicherstellt. Einziger Zugangsschlüssel zum Deep Web ist eine bestimmte Software und die passenden Browser-Einstellungen.

Wer nutzt das Darknet?

Anonymität ist vor allem für zwei Gruppen interessant: Auf der einen Seite stehen Menschen, die den Schutz des Deep Web für Ihre Kommunikation benötigen. Sie teilen sensible Daten und Informationen und müssen zum Teil um ihr eigenes Leben oder das ihrer Informanden fürchten, wenn sie sich nicht im Schutz des Deep Web austauschen. Zu dieser Gruppe gehören politisch Unterdrückte oder Dissidenten, Oppositionelle aus diktaturgeführten Länder oder Journalisten und Whistleblower. Über das Deep Web können sie auch auf Inhalte zugreifen, die ihnen im sichtbaren Netz durch politische Restriktionen nicht zur Verfügung stehen, die zensiert sind oder den Informanden in Lebensgefahr bringen würden.

Die Anonymisierung hilft Journalisten dabei, Ihre Quellen zu schützen. So konnten beispielsweise die Aktivisten des Arabischen Frühlings über das TOR-Netzwerk auf Social Media Kanäle zugreifen und ihre Informationen über die Revolution verbreiten. Und auch Whistleblower wie Edward Snowden nutzen das Deep Web, um brisante Informationen an die Öffentlichkeit zu bringen. Diese erste Gruppe schützt sich mit der Flucht ins Deep Web vor negativen Konsequenzen und Verfolgung.

Und auch die zweite Gruppe nutzt die Anonymität des Deep Web, um negativen Konsequenzen zu entgehen – und sich einer Strafverfolgung zu entziehen. Diese Gruppe setzt sich aus Menschen zusammen, deren Aktivitäten im sichtbaren Internet sehr schnell zu einer Anzeige sowie Geld- und Haftstrafen führen würden. Im Darknet finden sich Foren, Webshops und Handelsplattformen für Dienstleistungen und Waren, die sonst entweder illegal oder strengen gesetzlichen Regelungen unterworfen sind. 

Was sind Hidden Services?

Hidden Services sind Rechner, die ihre Funktionalität innerhalb des TOR-Netzwerks zur Verfügung stellen und deren Adresse auf .onion endet. Ihre Funktion kann ein einfacher WebServer sein oder eine komplexe Dienstleistung, die aus vielen Modulen besteht. Zu den Hidden Services gehören alle Webinhalte, die nicht über Suchmaschinen auffindbar sind. Dazu gehören auch Seiten des Clear Web, die nicht für Google und Co. indexiert werden. Wer die URL, also die www.-Adresse solcher Seiten kennt, kann sie problemlos aufrufen – über Google lässt sich eine solche dagegen nicht finden. Genau genommen, gehören selbst solche vergleichsweise einfach aufzuspürenden Seiten bereits zum Deep Web.

Vor allem Seiten mit illegalen Inhalten, wie Umschlagplätze für Waffen und Drogen oder Webseiten für Kinderpornografie, zählen zu den sogenannten „Hidden Services“ (versteckte Dienste) des Deep Web: Sie sind weder über einen normalen Browser erreichbar noch werden sie von gewöhnlichen Suchmaschinen erfasst. Doch nicht alle Hidden Services sind illegal: Manche E-Mail-Anbieter nutzen die Hidden Services, um einen hochgradig gesicherten Mail-Verkehr zu ermöglichen. Wie das Deep Web haben auch die Hidden Services zwei Seiten.

Und was machen Kriminelle im Darknet?

Nicht registrierte Waffen, Drogen, gefälschte und gestohlene Dokumente oder Kreditkarten: Im Darknet gibt es alles, was es nach dem geltenden Gesetz gar nicht geben dürfte. Zunehmend bieten auch IT-Experten mit kriminellen Ambitionen ihre Dienste im Darknet an. Von Überlastangriffen (DDoS-Attacken), die gezielt Websites und Internetdienste lahmlegen sollen über Viren-Baukästen bis zu Spam-Kampagnen – das Darknet ist ein Einkaufsparadies für Cyberkriminelle. Bezahlt wird meist in einer der zahlreichen elektronischen Crypto-Währungen, die ebenfalls auf Anonymität ausgelegt sind.

Viele der Untergrundforen nutzen ein Empfehlungssystem für die Zulassung neuer Händler. Neue Nutzer werden dann nur als Händler zugelassen, wenn sie von anderen, bereits aktiven Händlern als 'vertrauenswürdig' eingestuft wurden. Auch die Kunden müssen in einigen Fällen durch den Betreiber erst freigegeben werden, einen „Mitgliedsbeitrag“ oder eine Kaution zahlen, bevor sie auf der Seite etwas zu sehen bekommen und einkaufen dürfen.

Da sich die User im Darknet nahezu spurlos bewegen, können Ermittler die Täter hinter den kriminellen Angeboten, Online-Shops oder Forums im Darknet nur nach langwieriger Recherche aufspüren. Ermittlungsbehörden haben aus diesem Grund Spezialeinheiten gegründet, deren Aufgabe es ist, in die illegalen Bereiche des Darknets einzudringen. Auch klassische Überwachungsarbeit gehört zu den eingesetzten Werkzeugen, um die Täter zu fassen: Oft werden zum Beispiel Drogengeschäfte über Packstationen abgewickelt, wie im Fall „Moritz“. Dass für derartige Transaktionen häufig gestohlene und im Darknet verkaufte Zugangskarten für die Packstation genutzt werden, macht das kriminelle Geflecht des Darknets deutlich.

 

Was ist im Darknet möglich?

Im Darknet ist alles möglich, was auch im frei zugänglichen Internet geht. Zusätzlich eröffnet die Anonymität des Darknet schier unbegrenzte Möglichkeiten, illegale Dienstleistungen, Morde, Waffen und Drogen anzubieten oder pornografische Inhalte jederart und Videos von Morden und Misshandlungen zu teilen oder zu erwerben.

Was man unter anderem im Darkweb kaufen kann:

Tödliches Gift

In den USA machte ein Fall Schlagzeilen: Ein junger Mann besserte sein Taschengeld mit der Herstellung und dem Verkauf von Ricin auf. Ricin ist ein aus einem Wolfsmilchgewächs gewonnenes Protein, das in kurzer Zeit menschliche Zellen absterben lässt und schon in winzigen Mengen tödlich wirkt.

Kreditkartennummern

Diese können zum Beispiel über Phisihing-Webseiten, Keylogger oder den klassischen Diebstahl der Karte in die Hände der Kriminellen gelangt sein. Mit diesen Daten können die Täter auf Kosten der Karteninhaber einkaufen. Meist werden die Nummern gleich in Massen verkauft. So ist die Wahrscheinlichkeit erhöht, dass wenigstens einige der Karten noch nicht gesperrt sind.

Waffen und Kampfmittel

Im Darknet findet sich nahezu alles, was Kriminelle suchen. Unter anderem bieten einschlägige Deep Web-Sites Sprengstoffe an. Neben C4 Plastiksprengstoff lassen sich im Darkent auch Raketenwerfer und zahlreiche andere Waffen erstehen.

Gefälschte Ausweise

Eine Darknet-Seite namens "Fake Documents Service" behauptet, gestohlene Pässe und Dokumente aus fast jedem Land anbieten zu können. Einen Pass eines Bürgers aus den USA gibt es dort schon für unter tausend Dollar.

Marihuana

Die Frage "How to buy weed on the Deep Web" (engl.: Wie kaufe ich Gras im Deep Web) führt zu fast einer Million Treffer in der gewöhnlichen Google-Suche. Wo eine derart rege Nachfrage ist, findet sich auch ein nahezu unerschöpfliches Angebot: Im Darknet bieten Dealer verschiedenste Sorten und Formen des Rauschgifts an. Dasselbe gilt auch für diverse andere Drogen. Alles, was sich auf den Straße in Umlauf befindet, hat längst auch seinen Weg ins Deep Web gefunden.

Gefälschte Universitätsurkunden

Das Darknet ist bekannt für sein großes Angebot an Fälschungen aller Art. Kein Wunder also, dass sich dort auch vergleichsweise unkompliziert Urkunden erstehen lassen. Dies ist allerdings keine Spezialität des Deep Web: Längst bieten Kriminelle auch im über Google navigierbaren Internet allerhand Fälschungen an.

Auftragskiller

Im Darknet gibt es zahlreiche Angebote, gegen Geld einen Menschen zu töten. Es ist jedoch unklar, wie viele dieser Angebote echt sind oder ein Fake. 

Viren und Schadsoftware

Durch das Darknet wird auch die Cyberkriminalität gefördert: Mit sogenannten Crimewarekits können die Täter Viren und Schadsoftware nach ihren eigenen Wünschen ganz einfach mit wenigen Klicks konfigurieren – ohne dafür tiefgreifende Kenntnisse zu besitzen.

Uran

In einer Welt, in der sich nahezu alles kaufen lässt, wundert es kaum, dass auch zu Waffen verarbeitbares Uranerz im Darknet zu erhalten ist. Die Washington Posthat derartige Angebote untersucht. Dabei haben die Redakteure festgestellt, dass die Uranerze in den geringen Mengen, wie sie im Darknet angeboten werden, auch bei Amazon erhältlich ist.

Welche Suchmaschinen gibt es für das Darknet?

Diese Suchmaschinen durchsuchen das Dark Web auf versteckte Services und damit auf Webseiten, die auf ".onion" enden.

Grams

Die wohl bekannteste Suchmaschine für das Darknet heißt Grams. Ihr Logo ist farblich an das Google-Logo angelehnt und auch im Aufbau der Ergebnisseiten ist die Bedienung ähnlich simpel wie Google. Während Grams Google optisch ähnelt, stellen sich die eigentlichen Suchergebnisse weniger konventionell dar: Denn Grams wird vorwiegend für Suchanfragen im Umkreis des Drogenhandels genutzt, aber auch für die Suche nach Waffen, gestohlenen Kreditkarten, Hackerdiensten und Auftragsmorden.

 

ahmia.fi

Ahmia hat es sich zur Aufgabe gemacht, alle Ergebnisse zu Kinderpornografie aus ihren Suchergebnissen herauszufiltern und entsprechend nicht anzuzeigen. Damit zieht Ahmia.fi als eine der wenigen Deep Web Suchmaschinen zumindest eine dünne ethische Grenze. Mit den passenden technischen Voraussetzungen, lässt sich Ahmia auch als Add-On in die meisten gängigen Browser integrieren.

 

Torch

Die Suchergebnisse sind optisch so aufgemacht wie bei Google. Nach eigenen Angaben hat Torch über zehn Million aktive User, was nicht zu letzt an der Werbung für Torch auf der File-Sharing-Website The Pirate Bay liegt. Die Betreiber der auf .onion endenden Dienste müssen ihre Seiten aktiv in ein Verzeichnis eintragen, das dann von Suchmaschinen wie Torch, Grams und ahmia.fi durchsucht werden kann. 

Mache ich mich strafbar, wenn ich im Darknet surfe?

Suchmaschinen wie Grams, ahimia.fi und Torch helfen den Usern das bislang noch recht unüberschaubare Darknet gezielt zu durchsuchen – genau so wie Google und Co. die Suche nach Webinhalten erleichtern. Sowohl die Suche als auch das Surfen im Dark Web kann schnell gefährlich werden: Auch ohne den Kauf von illegalen Waren und Dienstleistungen können sich User im Darknet strafbar machen, wenn die Thumbnails, also die kleinen Vorschaubildchen der Suchergebnisse im Browser-Cache landen und damit auf dem Computer – wenn auch nur vorübergehend – gespeichert werden. Finden Ermittler solche Thumbnails von illegalen Inhalten wie Kinderpornografie, reicht dies bereits für eine Anzeige. Um dies zu umgehen, nutzen die User in der Regel ein virtuelles privates Netzwerk (VPN), das die beiläufige Speicherung von Daten unterbindet. Das eigentliche Surfen im Darknet ist folglich nicht per se illegal – es kommt darauf an, was man dort macht.