Darknet: Was sich wirklich in der Schattenwelt des Internets verbirgt

Spätestens seit bekannt wurde, dass der Attentäter von München seine Waffen im Darknet besorgt hatte, ist dieser dunkle Teil des Internets jedem bekannt. Doch wissen die wenigsten, um was es sich dabei handelt. Und auch der Begriff ist umstritten: „Ich rate, das Wort Darknet nicht zu verwenden“, sagt René Mayrhofer vom Institut für Netzwerke und Sicherheit der Johannes-Kepler-Universität Linz. „Er ist uneindeutig definiert.“

Während manche damit die Möglichkeit meinen, mit spezieller Software unerkannt im Netz auf Webseiten zu surfen, die man auch mittels normaler Internetbrowser erreicht, meinen andere spezielle Internetseiten, die nur in einem parallelen Netz existieren. Diese können klassische Suchmaschinen nicht finden.

Beide Wege funktionieren mit der sogenannten Tor-Software und dem zugehörigen Netzwerk. Der Datenverkehr läuft dabei über verschiedene, nach dem Zufallsprinzip ausgewählte Stationen und ist mehrmals verschlüsselt.

Diese Stationen, die sogenannten Knoten, sind Computer von Privatpersonen oder Organisationen, die diese freiwillig zur Verfügung stellen. Die Knoten stimmen sich untereinander ab und transportieren Netzanfragen und Daten jeweils über drei verschiedene Punkte.

Keiner der Beteiligten weiß dabei, welche Daten genau über seinen Rechner laufen. Jeder Knoten entschlüsselt eine Schicht und gibt die darin liegenden wiederum verschlüsselten Daten an den zufälligen nächsten Knoten weiter, der dann die nächste Schicht entschlüsselt und weiterreicht.

Daher kommt der Name „onion“ – englisch für Zwiebel – den die Webseiten des Parallelnetzes als Endung tragen, denn die Daten sind in mehreren Schichten verpackt. Ein Angreifer oder Spion  kann so weder die originalen Daten lesen noch weiß er, welcher Absender welche Webseite zum Ziel hat.

Die wenigsten Nutzer haben Illegales im Sinn

Manche warnen davor, private Rechner für dieses Netzwerk zur Verfügung zu stellen, da man sich damit mitschuldig an möglichen illegalen Aktivitäten mache. Jedoch zeigen aktuelle Forschungen, dass wohl die wenigsten Nutzer Illegales im Sinn haben. René Mayrhofer betreibt mit seinen Institutskollegen zu Forschungszwecken selbst einen solchen Knoten im Darknet, einen sogenannten Exitnode.

Damit ist er einer der zahlenmäßig geringeren Knoten, die an letzter Stelle der Verschleierungskette stehen. Er hat direkten Kontakt zu den Webseiten, die die Nutzer besuchen und zu den Inhalten, die sie von dort herunterladen. „Der Letzte zu sein, das ist die gefährlichste Position“, sagt der Forscher, „das sieht für das Ziel so aus, als käme die Anfrage von uns.“

Die eine oder andere Anfrage der Ermittlungsbehörden hat er deshalb schon erhalten. Da der Aufbau und das Projekt sehr gut dokumentiert sind, konnte er diese schnell davon überzeugen, dass die Daten nicht für ihn waren und dass er nicht einmal weiß, welche Inhalte über seinen Server laufen. „Wir tracken bewusst nicht, welche Daten über unseren Knoten laufen“, sagt Mayrhofer.

Für ihn ist das eine Sache des Datenschutzes. Dabei würden diese Informationen selbst Behörden und Geheimdiensten wenig nützen, da man die Daten aufgrund der Anonymisierung keinem Nutzer zuordnen kann. Als das Institut den Knoten einrichtete, verdoppelte sich der Datenverkehr der Universität prompt.

Derzeit laufen etwa 1,2 Terabyte pro Tag über den Knoten. „Es gibt zu wenige Exitnodes, weil damit der eigene Rechner direkt in Kontakt mit möglicherweise strafbaren Inhalten kommt“, sagt Mayrhofer. Viele Nutzer gehen auf Nummer sicher und bieten lieber einen der mittleren Knoten an, deren Verbindung zu bestimmten Webseiten nicht nachvollzogen werden kann.

Mayrhofer und seine Kollegen kennen zwar die Inhalte nicht, die über ihren Knoten laufen, aber ihre Informationen über die Art der Daten lassen einige Rückschlüsse zu, welche Dienste im Tor-Netzwerk häufig genutzt werden, wie zum Beispiel Video-Streaming. „Der größte Teil ist ganz normaler Webtraffic“, sagt der Forscher.

Pornos aus Scham verschlüsselt anschauen

„Die Natur der Datenpakete lässt darauf schließen, dass viele davon Videos sind, die unverschlüsselt übertragen werden.“ Während die großen Streaming-Dienste inzwischen verschlüsseln, gibt es eine Branche, der das zu teuer ist: sogenannte Erwachsenenvideos. Mayrhofer geht davon aus, dass viele Nutzer schlicht Pornos schauen, und das über Tor tun, weil es ihnen peinlich ist. Sie könnten diese aber ebenfalls über einen gängigen Browser abrufen – dann eben nicht anonym.

Die überwiegende Mehrheit der Tor-Nutzer besucht vermutlich normale Webseiten und kommt mit kriminellen Angeboten so überhaupt nicht in Berührung. „Viele Menschen, auch ich, surfen aus Prinzip anonym, weil sie ihre Daten schützen wollen“, sagt Mayrhofer. Das berüchtigte Darknet dient also auch der persönlichen Datenhygiene, ein durchaus legitimer Ansatz: Schließlich wissen auf diese Weise auch die großen Datensammler wie Google und Facebook nicht, wer hinter einer Anfrage steckt.

Viele Angebote sind durchaus sinnvoll

Die Bedeutung der Schattenwelt mit ihren illegalen Angeboten ist den neuesten Forschungserkenntnissen zufolge deutlich geringer als viele denken. Und selbst unter diesen Webseiten, die sich nur mit dem Torbrowser aufrufen lassen und alle auf die Endung .onion enden, finden sich viele aus berechtigten Gründen.

Diese „hidden services“ – also versteckte Angebote – schützen nämlich auch vor Zensur. „Facebook betreibt wohl einen der größten hidden services“, sagt Mayrhofer. So umgeht das soziale Netzwerk Zensurbestimmungen mancher Regierungen. Nutzer aus diesen Ländern können den Dienst dank des Parallelnetzes dennoch nutzen.

Auch andere Forscher betreiben selbst Knoten, sodass es einige Abschätzungen gibt über die Inhalte der .onion-Seiten. Wissenschaftler vom Londoner Kings College beobachteten drei Monate lang etwa 2700 Adressen und berechneten über eine automatische Analyse – um selbst nicht die Inhalte zu sehen und sich womöglich strafbar zu machen –, dass etwa 57 Prozent illegale Inhalte enthielten, etwa auf jeder sechsten davon Drogen angeboten wurden und auf jeder achten Finanzgeschäfte wie Geldwäsche und Kreditkartendaten.

Drogen und Medikamente verkauft

Extremismus und Pornografie ordneten sie je fünf Prozent der Seiten zu, Waffenhandel entdeckten sie nur auf  1,5 Prozent der Seiten. Forscher der amerikanischen Carnegie Mellon University näherten sich den illegalen Marktplätzen ökonomisch und fanden über verschiedene Rückschlüsse heraus, dass etwa ein Prozent der beobachteten 9000 Händler die Hälfte des gesamten Handelsvolumens verdiente und dabei vor allem Drogen und Medikamente verkaufte.

Zigaretten, Elektrogeräte und Waffen fielen unter die sonstigen Güter, die zusammen weniger als fünf Prozent der Umsätze ausmachten. „Solche Zahlen muss man aber mit Vorsicht betrachten, da sie nur einen Ausschnitt wiedergeben können“, warnt Mayrhofer. Niemand hat einen Überblick über das gesamte Darknet.

Hundertprozentig sicher ist Tor auch nicht

Auch Geheimdienste betreiben zahlreiche Knoten in der Hoffnung, mehr zu erfahren. Doch nur wer zufällig alle drei Knoten betreibt, über die eine Anfrage laufen, kann Inhalte den Nutzern zuordnen – und das ist mathematisch gesehen äußerst unwahrscheinlich. Eine Studie von Forschern der Georgetown University ergab zwar, dass jemand, der Zugang zu einer gewissen Anzahl von Knoten hat, die Identität eines Nutzers mit hoher Wahrscheinlichkeit herausfinden kann. 

Dafür bräuchte derjenige aber das Wissen über sehr viele Knoten. „Diesen globalen Angreifer gibt es im Internet nicht“, sagt Mayrhofer. Dennoch sei die NSA vermutlich nah dran, da sie einen Großteil der Verbindungen im Netz kennt. „Durch einen Korrelationsangriff kann sie vermutlich einen gewissen Prozentsatz der Verbindungen deanonymisieren.“ Hundertprozentig sicher ist Tor also auch nicht. „Aber das Beste, was wir derzeit haben.“

Die amerikanische Bundespolizei FBI habe es hin und wieder geschafft, einen Schadcode einzuschleusen, der dann einzelne Knoten befallen und ausgeschnüffelt habe. Aber als vor einigen Jahren die sogenannte Silkroad von Behörden ausgehoben wurde, ein großer Umschlagplatz von Drogen und Waffen im Parallelnetz, sei das aber vor allem klassische Polizeiarbeit gewesen – zwar gut koordiniert, doch ohne dabei die Software Tor an sich zu knacken.