Darknet: Besser als sein Ruf

Dem geheimen Teil des Internets haftet ein schäbiger Ruf an. Dabei hat das versteckte Netz auch eine gute Seite: als zensurfreier und geschützter Raum.

Illegal, verrucht, gefährlich: Das Darknet hat als dunkle Ecke des Internets keinen guten Ruf. Dabei ist der Grundgedanke ein guter: Zensurresistenz und Schutz der Kommunikation. Diese Ziele verfolgt etwa das TOR-Netzwerk (“The Onion Router”), das derzeit meistgenutzte Darknet-System. “Tor ist ein Instrument zum Grundrechtsschutz”, sagt der Informatiker Hannes Federrath von der Uni Hamburg. Es sei “hochgradig wichtig, solche Angebote anzubieten” – etwa für Kritiker in autoritären Staaten. Zeitungen wie die Washington Post und der Guardian unterhalten im Darknet anonyme Briefkästen für Whistleblower. Tor-Adressen enden auf .onion, der Inhalt einer Webseite wird dabei über verschlüsselte Zwischenschichten bis zum Empfänger geleitet. Diese Zwiebelstruktur soll verschleiern, wer mit wem kommuniziert. Vermutlich ist das Darknet kleiner als angenommen. Eine Studie des King’s College London fand nur 5200 reagierende .onion-Angebote. Auf etwa der Hälfte dieser “Hidden Services” genannten Seiten findet sich Illegales. Auf dem derzeit größten Marktplatz “Alphabay” erzielen Händler mit illegalen Substanzen rund 94 Millionen US-Dollar Umsatz pro Jahr. Tendenz steigend, doch bislang ein Bruchteil des Straßenhandels, der in Europa auf etwa 24 Milliarden Euro geschätzt wird.

“Wir setzen vor allem verdeckte Ermittler ein”
Oberstaatsanwalt Andreas May in einem Interview 2016. © NDR Andreas May von der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) würde Verdächtige gerne besser überwachen können.
Waffen, Drogen, Kinderpornografie – im Darknet ist alles erhältlich. Welche Möglichkeiten haben die Strafverfolgungsbehörden? Wie verändert das anonyme Netz die Kriminalität? Die ARD Journalisten Annette Dittert und Daniel Moßbrucker haben für die Dokumentation “Das Darknet – Reise in die digitale Unterwelt” (09. Januar, 22.15 Uhr, Das Erste) mit Oberstaatsanwalt Andreas May von der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) gesprochen.

Herr May, Sie ermitteln seit Jahren im Darknet, um unter anderem den Drogen- und Waffenhandel zu bekämpfen. Hat sich die Szene durch Ihre Ermittlungen verändert?

Andreas May: Wir sehen bei Darknet-Angeboten, dass sie vielfältiger geworden sind. Früher gab es dort überwiegend weiche Drogen. Heute sind es Güter und Dienstleistungen aller Art, die dort gehandelt werden. Viele Menschen sehen im Darknet-Handel die Möglichkeit, innerhalb kurzer Zeit viel Geld zu verdienen. In der realen Welt würden sie es vermutlich scheuen, sich im persönlichen Kontakt eine Infrastruktur aufzubauen, Drogen im großen Stil anzukaufen, ein Verteilernetz auszurollen – das fällt bei einer Online-Plattform im Darknet natürlich alles weg.

Das heißt, der Typ Drogendealer verändert sich?

Drogenkauf per Mausklick – im Darkweb kein Problem. Doch vielleicht ist der Verkäufer oder Käufer auch ein verdeckter Ermittler, dann klicken die Handschellen. © NDR Fotograf: ScreenshotDrogenkauf per Mausklick – im Darkweb kein Problem. Doch vielleicht ist der Verkäufer oder Käufer auch ein verdeckter Ermittler, dann klicken die Handschellen.
May: Mit letzter Gewissheit können wir das nicht sagen, weil wir ja – wenn überhaupt – immer nur Einzelpersonen sehen. Die sind häufig aber nicht das, was sich viele unter dem klassischen Drogendealer vorstellen. Das sind eher Geschäftsleute als Menschen, die sich zur Not auch mit Gewalt gegen andere durchsetzen würden.

Im Rahmen unserer Recherchen haben wir einen dieser Händler getroffen. Er meinte, er sei eher Einzelhändler als Dealer.

May: Ja, das passt durchaus ins Bild. Im vergangenen Jahr haben wir einen Drogendealer enttarnt, der eine Art Großlieferant war. Das war der klassische Dealer, der auch offline Drogen verkauft. Aber dann gab es eine zweite Person, die den Online-Handel aufgebaut hat: ein sehr computeraffiner Mann, der den Shop eröffnet und bezogen hat, die Produkte offensiv beworben hat. Der hätte offline wohl nie mit Drogen gehandelt.

Das Darknet ist stark verschlüsselt und anonym. Wie kriegen sie diese Leute trotzdem?

May: Technisch sind Ermittlungen im Darknet hochgradig schwierig. Es ist eigentlich nahezu unmöglich, mit technischen Ermittlungen zum Erfolg zu kommen. Wir setzen vor allem verdeckte Ermittler ein, die Drogen zum Schein ankaufen, um so mit Dealern in Kontakt zu kommen und versuchen, sie in eine Falle zu locken. Wenn das gelingt, können die Behörden unter bestimmten Voraussetzungen den Account übernehmen und so an weitere Personen zu kommen, die in diesem Netzwerk agieren. So kommen wir dann auch an potentielle Kunden der Händler. Aber der Ermittlungsaufwand ist enorm und viel größer als in der realen Welt.

Ist das frustrierend?

Präsentation der sichergestellten Waffen eines festgenommenen Waffenhändlers aus dem Darknet. © NDR Fotograf: ScreenshotPräsentation der sichergestellten Waffen eines festgenommenen Waffenhändlers aus dem Darknet.
May: Überhaupt nicht. Natürlich gibt es eine ganze Reihe von Ermittlungen, die wir irgendwann einstellen müssen. Aber wir haben trotzdem relativ viele Erfolge zu verzeichnen. Besonders stolz sind wir, dass wir einige Waffenhändler identifizieren konnten – denn Waffenhandel birgt natürlich besondere Gefahren.

Es ist kein Geheimnis, dass Sie als Staat im Darknet ermitteln. Wie haben die Kriminellen dort auf Ihre Strategien reagiert?

May: Ich werde hier sicherlich keine Tipps geben, wie man uns entkommen kann. Aber gerade im Bereich des Waffenhandels sind Treffen in der realen Welt mittlerweile total verpönt. Die Gefahr, dass das Gegenüber ein verdeckter Ermittler sein könnte, ist vielen zu groß. Und dann haben wir als Ermittler das “Problem”, dass wir selbst keine Straftaten begehen dürfen.

Wieso ist das ein Problem für Sie?

May: Ich gebe Ihnen ein einfaches Beispiel: Im Bereich der Kinderpornografie ist es üblich, eine “Keuschheitsprobe” ablegen zu müssen. Das heißt, bevor der eigentliche Deal beginnt und User neue Bilder oder Videos austauschen, schicken sie sich kinderpornografisches Material und prüfen so, ob das Gegenüber dazu bereit ist. Das ist natürlich eine Straftat, die wir nicht begehen dürfen.

Das Darknet knacken, indem Sie Verschlüsselung brechen oder Anonymisierung verwässern, können Sie nicht, oder?

May: Nein, das ist weder technisch noch rechtlich möglich.

Würden Sie sich das wünschen?

May: Natürlich würden wir uns das manchmal wünschen, aber wir sollten realistisch bleiben. Mit Anonymisierung muss man leben. Davon wird es immer mehr geben und es hat durchaus auch sehr nachvollziehbare, vernünftige Zwecke. Es macht in vielen Bereichen Sinn, seine Kommunikation zu verschlüsseln. Das sind Technologien, die wir selbst auch nutzen. Aber es macht natürlich den Ermittlungsaufwand deutlich größer und die Ermittlungsmöglichkeiten immer geringer. Aber ein Verbot der Anonymisierung macht keinen Sinn.

Was wünschen Sie sich stattdessen?

Eine Grafik illustriert das Internet: Oben ist das Visible Web, also das normale Internet. Mit dem Tor-Browser können Nutzer dann ins anonyme Darknet abtauchen. User-Anfragen werden über mehrere Knotenpunkte vermittelt, dessen Identität so verschleiert. © NDR Fotograf: ScreenshotDer Tor-Browser verschleiert die Identität der Nutzer, da Anfragen über viele Server anonymisiert vermittelt werden.
May: Anonymisierung sollte legal bleiben. Aber man sollte möglicherweise Anonymisierungs-Dienstleister verpflichten können, ihren Datenverkehr deanonymisiert an uns auszuleiten, wenn es ein unabhängiger Richter genehmigt.

Damit hätte der Dienst aber natürlich seinen Reiz verloren, weil er eben doch nicht komplett anonym ist. Wäre es nicht das Ende der Anonymität?

May: Soweit würde ich nicht gehen. Wir sollen uns aus gesellschaftlicher Perspektive überlegen, ob es nicht einen Kompromiss geben sollte. Rein praktisch haben Sie aber nicht völlig unrecht: Es würde uns wenig bringen, zum Beispiel das Tor-Netzwerk zu entschlüsseln. Innerhalb kürzester Zeit würden fünf neue Darknets entstehen. Und ehrlicherweise müsse wir auch sagen, dass es Drogen, Waffen und Kinderpornografie auch in der sogenannten Underground Economy gibt. Das sind Webshops, die ganz normal über Google aufrufbar sind und mit dem Darknet nichts zu tun haben.

Sie klingen, als seien Sie eigentlich ganz zufrieden mit Ihren technischen und rechtlichen Möglichkeiten. Was würden Sie sich vom Gesetzgeber wünschen?

May: Unsere Arbeit ist kein Wunschdenken. Wir versuchen, mit den Werkzeugen aus unserem Koffer einen guten Job zu machen. Aber natürlich haben wir immer Punkte, wo der Schuh drückt. Vor allem bei der Telefonüberwachung. Durch Verschlüsselung können wir häufig technisch keine Kommunikation überwachen, obwohl uns das rechtlich erlaubt wäre. Daher wäre es sinnvoll, die sogenannte Quellen-Telekommunikationsüberwachung stärker einsetzen zu können. Das heißt, wir spielen unbemerkt eine Software auf den Rechner eines Beschuldigten, der Kommunikation mitschneidet, bevor sie verschlüsselt wird. Damit wird Verschlüsselung nicht geknackt und wir erfahren trotzdem das, was uns in den Ermittlungen möglicherweise den entscheidenden Schritt voranbringt.

Das wäre aber doch ein erheblich stärkerer Eingriff in die Privatsphäre des Menschen als nur seine Kommunikation abzuhören. Immerhin nisten Sie sich auf seinem Computer ein. Dürften Sie das rechtlich überhaupt?

May: Wir meinen, dass das über die Telefonüberwachung legal einsetzbar wäre. Das erlaubt uns die Strafprozessordnung. Allerdings wäre es tatsächlich wünschenswert, hier eine rechtliche Klarstellung vom Gesetzgeber zu erhalten.

Vielen Dank für das Interview.

Das Darknet ist gar nicht so dunkel

Stuttgart – Vom dunklen Teil des Internets hört man immer wieder. Doch was hat es damit auf sich? „Das Wort Darknet ist nicht eindeutig definiert“, sagt René Mayrhofer vom Institut für Netzwerke und Sicherheit der Universität Linz. Manche meinen damit die Möglichkeit, mit spezieller Software unerkannt im Netz auf Seiten zu surfen, die man auch mit einem normalen Internetbrowser erreicht. Andere meinen spezielle Internetseiten, die nur in einem parallelen Netz existieren und die mancher Verbrecher nutzt wie etwa der Attentäter von München, der sich im Darknet seine Waffen besorgte.

Beide Wege funktionieren mit der so genannten Tor-Software und dem zugehörigen Netzwerk: Der Datenverkehr läuft dabei über verschiedene, zufällig ausgewählte Knoten und ist mehrmals verschlüsselt. Diese Knoten sind Computer von Privatpersonen oder Organisationen, die diese freiwillig zur Verfügung stellen. Diese Knoten stimmen sich untereinander ab und transportieren Netzanfragen und Daten jeweils über drei verschiedene Punkte.

Keiner der Beteiligten weiß dabei, welche Daten genau über seinen Rechner laufen. Jeder Knoten entschlüsselt eine Schicht und gibt die darin liegenden wiederum verschlüsselten Daten an den zufälligen nächsten Knoten weiter, der dann die nächste Schicht entschlüsselt und weiterreicht. Daher kommt der Name „onion“ (englisch für Zwiebel), den die Webseiten des Parallelnetzes als Endung tragen: Die Daten sind in mehreren Schichten verpackt. Ein Angreifer oder Spion kann auf diese Weise weder die originalen Daten lesen noch weiß er, welcher Absender welche Webseite zum Ziel hat.

Der Weg ins Netz läuft über verschiedene Rechner, so genannte Knoten

Die Nutzer, die ihre private Rechner für dieses Netzwerk zur Verfügung zu stellen, haben in den wenigsten Fällen Illegales im Sinn. René Mayrhofer betreibt mit seinen Institutskollegen zu Forschungszwecken selbst einen solchen Knoten, einen so genannten Exitnode. Damit ist er einer der zahlenmäßig geringeren Knoten, die an letzter Stelle der Verschleierungskette stehen: Er hat direkten Kontakt zu den Webseiten, die die Nutzer besuchen. „Die letzte ist die gefährlichste Position“, sagt der Forscher, „denn es sieht für das Ziel so aus, als käme die Anfrage von uns.“ Die ein oder andere Anfrage der Ermittlungsbehörden hat er deshalb schon erhalten.

Als das Institut den Knoten einrichtete, verdoppelte sich der Datenverkehr der Universität: Derzeit laufen etwa 1,2 Terabyte pro Tag über den Knoten. „Es gibt zu wenig Exitnodes, weil damit der eigene Rechner direkt in Kontakt mit möglicherweise strafbaren Inhalten kommt“, sagt Mayrhofer. Viele Nutzer bieten lieber einen der mittleren Knoten an, deren Verbindung zu bestimmten Webseiten nicht nachvollzogen werden kann.

Anonyme Surfer umgehen Zensur

Mayrhofer und seine Kollegen kennen zwar die Inhalte nicht, die über ihren Knoten laufen, aber die Art der Daten lassen vermuten, welche Dienste im Tor-Netzwerk schwerpunktmäßig genutzt werden: Video-Streaming. „Die Natur der Datenpakete lässt darauf schließen, dass vieles davon Videos sind, die unverschlüsselt übertragen werden.“ Während die großen Streamingdienste inzwischen verschlüsseln, gibt es eine Branche, der das zu teuer ist: Mayrhofer geht davon aus, dass viele die Anonymität von Tor nutzen, um Pornos zu schauen, weil es ihnen peinlich wäre, dies über einen normalen Browser zu tun.

Die überwiegende Mehrheit der Tor-Nutzer besucht mutmaßlich ganz normale Webseiten. „Viele Menschen, inklusive mir, surfen aus Prinzip anonym, weil sie ihre Daten schützen wollen“, sagt Mayrhofer. So wissen auf diese Weise auch die großen Datensammler wie Google und Facebook nicht, wer hinter einer Anfrage steckt. Die Bedeutung der Schattenwelt mit ihren illegalen Angeboten ist nach den neuesten Forschungen deutlich geringer als viele denken. Und selbst unter den Webseiten, die sich nur mit dem Torbrowser aufrufen lassen und alle auf die Silbe „onion“ enden, sind viele legitim: Diese so genannten „hidden services“ – versteckte Angebote – schützen nämlich auch vor Zensur. „Facebook betreibt wohl einen der größten hidden services“, sagt Mayrhofer: so umgeht das soziale Netzwerk Zensurbestimmungen mancher Regierungen.

Darknet-User sind nicht unbedingt Verbrecher

Forscher des Londoner King’s College beobachteten drei Monate lang etwa 2700 dieser „onion“-Adressen und berechneten, dass etwa 57 Prozent illegale Inhalte enthielten, auf jeder sechsten davon Drogen angeboten wurden und auf jeder achten Finanzgeschäfte wie Geldwäsche oder Kreditkartendaten. Extremismus und Pornografie ordneten sie je fünf Prozent der Seiten zu, Waffenhandel entdeckten sie nur auf 1,5 Prozent der Seiten.

Forscher der amerikanischen Carnegie Mellon University näherten sich den illegalen Marktplätzen ökonomisch und fanden heraus, dass etwa ein Prozent der beobachteten 9000 Händler die Hälfte des gesamten Handelsvolumens verdiente und dabei vorallem Drogen und Medikamente verkaufte. Zigaretten, Elektrogeräte und Waffen fielen unter die sonstigen Güter, die zusammen weniger als fünf Prozent der Umsätze ausmachten. „Solche Zahlen muss man aber mit Vorsicht betrachten, da sie nur einen Ausschnitt wiedergeben können“, warnt Mayrhofer. Niemand hat einen Überblick über das gesamte Darknet.

Auch Geheimdienste betreiben zahlreiche Knoten in der Hoffnung, mehr zu erfahren. Doch nur wer zufällig alle drei Knoten betreibt, über die eine Anfrage läuft, kann Inhalte den Nutzern zuordnen – und das ist mathematisch gesehen äußerst unwahrscheinlich. Eine Studie von Forschern der Georgetown University ergab zwar, dass, wer Zugang zu einer hohen Anzahl an Knoten hat, mit einer hohen Wahrscheinlichkeit auch Nutzer deanonymisieren kann: „Diesen globalen Angreifer gibt es aber im Internet nicht“, sagt Mayrhofer.

Die amerikanische Bundespolizei FBI habe es hin und wieder geschafft, Schadcode einzuschleusen, der dann einzelne Knoten befallen und ausgeschnüffelt habe. Aber als vor einigen Jahren die sogenannte „Silkroad“ von Behörden ausgehoben worden sei, ein großer Umschlagplatz von Drogen und Waffen im Parallelnetz, sei das „klassische Polizeiarbeit“ gewesen: gut koordiniert, aber ohne Tor zu knacken.

 

WSMx345

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

4 + 6 =