Ermittler haben den zweitgrößten illegalen Marktplatz im Darknet lahmgelegt. Doch was hat es mit dem dunklen Teil des Internets eigentlich auf sich? Und was haben jene Nutzer im Sinn, die das Darknet nutzen?
Stuttgart - Vom dunklen Teil des Internets hört man immer wieder. Doch was hat es damit auf sich? Im Januar 2017 ist unsere Autorin Eva Wolfangel dieser Frage nachgegangen.
„Das Wort Darknet ist nicht eindeutig definiert“, sagt René Mayrhofer vom Institut für Netzwerke und Sicherheit der Universität Linz. Manche meinen damit die Möglichkeit, mit spezieller Software unerkannt im Netz auf Seiten zu surfen, die man auch mit einem normalen Internetbrowser erreicht. Andere meinen spezielle Internetseiten, die nur in einem parallelen Netz existieren und die mancher Verbrecher nutzt wie etwa der Attentäter von München, der sich im Darknet seine Waffen besorgte.
Beide Wege funktionieren mit der so genannten Tor-Software und dem zugehörigen Netzwerk: Der Datenverkehr läuft dabei über verschiedene, zufällig ausgewählte Knoten und ist mehrmals verschlüsselt. Diese Knoten sind Computer von Privatpersonen oder Organisationen, die diese freiwillig zur Verfügung stellen. Diese Knoten stimmen sich untereinander ab und transportieren Netzanfragen und Daten jeweils über drei verschiedene Punkte.
Keiner der Beteiligten weiß dabei, welche Daten genau über seinen Rechner laufen. Jeder Knoten entschlüsselt eine Schicht und gibt die darin liegenden wiederum verschlüsselten Daten an den zufälligen nächsten Knoten weiter, der dann die nächste Schicht entschlüsselt und weiterreicht. Daher kommt der Name „onion“ (englisch für Zwiebel), den die Webseiten des Parallelnetzes als Endung tragen: Die Daten sind in mehreren Schichten verpackt. Ein Angreifer oder Spion kann auf diese Weise weder die originalen Daten lesen noch weiß er, welcher Absender welche Webseite zum Ziel hat.
Der Weg ins Netz läuft über verschiedene Rechner, so genannte Knoten
Die Nutzer, die ihre private Rechner für dieses Netzwerk zur Verfügung zu stellen, haben in den wenigsten Fällen Illegales im Sinn. René Mayrhofer betreibt mit seinen Institutskollegen zu Forschungszwecken selbst einen solchen Knoten, einen so genannten Exitnode. Damit ist er einer der zahlenmäßig geringeren Knoten, die an letzter Stelle der Verschleierungskette stehen: Er hat direkten Kontakt zu den Webseiten, die die Nutzer besuchen. „Die letzte ist die gefährlichste Position“, sagt der Forscher, „denn es sieht für das Ziel so aus, als käme die Anfrage von uns.“ Die ein oder andere Anfrage der Ermittlungsbehörden hat er deshalb schon erhalten.
Als das Institut den Knoten einrichtete, verdoppelte sich der Datenverkehr der Universität: Derzeit laufen etwa 1,2 Terabyte pro Tag über den Knoten. „Es gibt zu wenig Exitnodes, weil damit der eigene Rechner direkt in Kontakt mit möglicherweise strafbaren Inhalten kommt“, sagt Mayrhofer. Viele Nutzer bieten lieber einen der mittleren Knoten an, deren Verbindung zu bestimmten Webseiten nicht nachvollzogen werden kann.
Anonyme Surfer umgehen Zensur
Mayrhofer und seine Kollegen kennen zwar die Inhalte nicht, die über ihren Knoten laufen, aber die Art der Daten lassen vermuten, welche Dienste im Tor-Netzwerk schwerpunktmäßig genutzt werden: Video-Streaming. „Die Natur der Datenpakete lässt darauf schließen, dass vieles davon Videos sind, die unverschlüsselt übertragen werden.“ Während die großen Streamingdienste inzwischen verschlüsseln, gibt es eine Branche, der das zu teuer ist: Mayrhofer geht davon aus, dass viele die Anonymität von Tor nutzen, um Pornos zu schauen, weil es ihnen peinlich wäre, dies über einen normalen Browser zu tun.
Die überwiegende Mehrheit der Tor-Nutzer besucht mutmaßlich ganz normale Webseiten. „Viele Menschen, inklusive mir, surfen aus Prinzip anonym, weil sie ihre Daten schützen wollen“, sagt Mayrhofer. So wissen auf diese Weise auch die großen Datensammler wie Google und Facebook nicht, wer hinter einer Anfrage steckt. Die Bedeutung der Schattenwelt mit ihren illegalen Angeboten ist nach den neuesten Forschungen deutlich geringer als viele denken. Und selbst unter den Webseiten, die sich nur mit dem Torbrowser aufrufen lassen und alle auf die Silbe „onion“ enden, sind viele legitim: Diese so genannten „hidden services“ – versteckte Angebote – schützen nämlich auch vor Zensur. „Facebook betreibt wohl einen der größten hidden services“, sagt Mayrhofer: so umgeht das soziale Netzwerk Zensurbestimmungen mancher Regierungen.
Darknet-User sind nicht unbedingt Verbrecher
Forscher des Londoner King’s College beobachteten drei Monate lang etwa 2700 dieser „onion“-Adressen und berechneten, dass etwa 57 Prozent illegale Inhalte enthielten, auf jeder sechsten davon Drogen angeboten wurden und auf jeder achten Finanzgeschäfte wie Geldwäsche oder Kreditkartendaten. Extremismus und Pornografie ordneten sie je fünf Prozent der Seiten zu, Waffenhandel entdeckten sie nur auf 1,5 Prozent der Seiten.
Forscher der amerikanischen Carnegie Mellon University näherten sich den illegalen Marktplätzen ökonomisch und fanden heraus, dass etwa ein Prozent der beobachteten 9000 Händler die Hälfte des gesamten Handelsvolumens verdiente und dabei vorallem Drogen und Medikamente verkaufte. Zigaretten, Elektrogeräte und Waffen fielen unter die sonstigen Güter, die zusammen weniger als fünf Prozent der Umsätze ausmachten. „Solche Zahlen muss man aber mit Vorsicht betrachten, da sie nur einen Ausschnitt wiedergeben können“, warnt Mayrhofer. Niemand hat einen Überblick über das gesamte Darknet.
Auch Geheimdienste betreiben zahlreiche Knoten in der Hoffnung, mehr zu erfahren. Doch nur wer zufällig alle drei Knoten betreibt, über die eine Anfrage läuft, kann Inhalte den Nutzern zuordnen – und das ist mathematisch gesehen äußerst unwahrscheinlich. Eine Studie von Forschern der Georgetown University ergab zwar, dass, wer Zugang zu einer hohen Anzahl an Knoten hat, mit einer hohen Wahrscheinlichkeit auch Nutzer deanonymisieren kann: „Diesen globalen Angreifer gibt es aber im Internet nicht“, sagt Mayrhofer.
Die amerikanische Bundespolizei FBI habe es hin und wieder geschafft, Schadcode einzuschleusen, der dann einzelne Knoten befallen und ausgeschnüffelt habe. Aber als vor einigen Jahren die sogenannte „Silkroad“ von Behörden ausgehoben worden sei, ein großer Umschlagplatz von Drogen und Waffen im Parallelnetz, sei das „klassische Polizeiarbeit“ gewesen: gut koordiniert, aber ohne Tor zu knacken.