Darknet und Deep Web - 22. Juli 2021

Ein gefährliches Terrain

Wenn über kriminelle Ecken des Internets geredet wird, fallen in den Medien häufig Begriffe, um die sich viele Mythen ranken: Darknet und Deep Web. Viel wichtiger ist die Frage, welche Gefahren von ihnen ausgehen.

Das Clearnet oder Surface Web ist das, was wir beim täglichen Surfen häufig besuchen. Suchmaschinen wie Google oder Bing liefern uns Links auf Seiten im Surface Web, also Seiten, die relativ mühelos gefunden und besucht werden können. Das Deep Web ist meist nur einen Login vom Surface Web entfernt. Es bezeichnet die Seiten, die von einer Suchmaschine zum Beispiel mangels Anmeldedaten nicht indiziert werden können. Auch dynamisch generierte Inhalte finden sich nicht notwendigerweise in der Liste der Suchergebnisse, ebenso wenig wie die Informationen auf Social-Media-Seiten von Personen, die ihre Daten nur Freunden zugänglich machen.

Mit regulärem Browser nicht zu erreichen

Es gibt wenig aktuelle Studien zum Verhältnis der Datenmengen von Clearnet und Deep Web, aber generell wird geschätzt, dass das Clearnet maximal 15 Prozent, eher aber nur zwei bis drei Prozent des World Wide Web ausmacht. In Wikipedia wird nur eine 20 Jahre alte Studie aufgeführt. Eine genaue Prozentangabe ist also schwer zu bestimmen, aber letzten Endes auch nicht wichtig. Signifikant ist der überwältigende Anteil an Informationen der für Suchmaschinen nicht direkt zugänglich ist. Darknet ist ein Begriff, der meist mit dem Tor-Netzwerk gleichgesetzt wird. Es existieren noch andere Darknets, aber Tor ist das populärste und meist genutzte. Mit einem regulären Browser ist es nicht erreichbar. Es bedarf hier eines speziellen Browsers, da hier andere Technologien zum Einsatz kommen als beim regulären Websurfen. Tor-Adressen erkennt man einfach: sie enden auf „.onion“.

Legale Anwendungen treten in den Hintergrund

Viele Nutzerinnen und Nutzer des Darknets weisen darauf hin, dass es nicht notwendigerweise um illegale Inhalte geht, sondern auch um Anonymität. Aufgrund der technischen Realisierung der Kommunikation zwischen Person und Server ist es so beinahe unmöglich, eine Person zu identifizieren – auch wenn es theoretische, sehr aufwändige Szenarien gibt, mit denen einzelne User identifiziert werden könnten. Diese dürften, selbst wenn sie durchführbar sind, aufgrund des hohen Aufwands und der notwendigen Zusammenarbeit verschiedenster Behörden nur für kriminelle Schwergewichte eingesetzt werden. Legale Anwendungen treten allein aufgrund der Menge in den Hintergrund. Andere Nutzarten reichen von Umgehung der Zensur in autoritären Staaten über anonyme Kommunikation zum Beispiel für Whistleblower bis zu illegalen Marktplätzen. Auch wissenschaftliche Arbeiten und Abhandlungen, die im regulären Netz teuer bezahlt werden müssen, sind im Darknet frei erhältlich. Eine Fundgrube für Wissenschaftler, deren Budget es nicht erlaubt, einem Portalbetreiber mehrstellige Beträge für den Zugriff auf die Forschungsergebnisse anderer zu zahlen. Die Benutzerzahlen für Tor schwanken zwischen circa zwei bis zweieinhalb Millionen, und das Angebot umfasst momentan knappe 200.000 Seiten. Marktplätze aller Arten von Gütern, Foren und Wissensdatenbanken für Diskussion und Informationsaustausch und auch pornografische Inhalte machen davon einen Großteil aus. Die Marktplätze handeln üblicherweise mit den Gütern und Dienstleistungen, die in den meisten Ländern illegal sind: Drogen oder Waffen. Informationen über bis dato unbekannte Sicherheitslücken in Software oder Zugangsdaten zu diversen Diensten sind ebenfalls beliebt.

Gefahren für Unternehmen und Kanzleien

Bekannt sind nützliche Webseiten wie „Have I been pwned?“, bei denen man prüfen kann, ob die eigene Email-Adresse bei einem Datenleck eines Internet-Dienstes wie Adobe oder LinkedIn abhandengekommen ist. Kriminelle haben diese Daten aber längst für ihre eigenen Zwecke missbraucht und gespeichert. Hier wird auch deutlich, welche Gefahr für Unternehmen und Kanzleien vom Darknet ausgeht. Es werden dort möglicherweise Informationen gehandelt, die zum Schaden der eigenen Firma eingesetzt werden könnten. Das kann allerdings auch über jedes andere Medium geschehen, auch über Telefon, Fax oder andere analoge Wege wie etwa mit Briefen. Das Darknet ist nur das geeignetste Medium, wenn man Bezahlung, Anonymität und Bequemlichkeit mit einbezieht. Jeder Austausch findet mehrfach verschlüsselt über eine Anzahl von mindestens drei „Hops“ statt, Servern, die jeweils eine Verschlüsselungsschicht entfernen, den nächsten Hop auslesen und das Paket weiterschicken. Diese Zwiebelstrategie gibt Tor auch seinen Namen: The Onion Router. Keiner der beteiligten Hops hat alle Informationen über Client und Server, ein Abhören wird dadurch nahezu unmöglich. Die Anonymität gilt natürlich nur, solange man sich nicht mit echten Daten einloggt; Facebook hat beispielsweise auch einen Auftritt im Darknet, aber sobald man sich dort mit seinem Namen und Passwort anmeldet, kennt Facebook auch die Identität. Bei Untergrundforen verwendet aber niemand echte Namen; es geht ja gerade um Anonymität. Und je nach Art der Transaktion werden nur wenige echte Daten benötigt; für einen Drogendeal sollte zumindest die Empfängeradresse stimmen. Für den Verkauf eines Angriffs auf ein Unternehmen oder eine Kanzlei muss nur das Ziel bekannt gegeben werden, und für den Kauf einer Angriffssoftware genügt ein einmalig verwendetes E-Mail-Postfach. Bezahlt wird üblicherweise mit Bitcoin; einen Zusammenhang zwischen Bitcoin-Wallet – quasi dem Konto – und Wallet-Inhaber herzustellen, ist ebenfalls mit hohem Aufwand verbunden. Durch den Aufbau und die mehrfache Verschlüsselung ist das Darknet kein schnelles Medium, aber einmal eingerichtet nahezu so bequem wie reguläres Websurfen. Natürlich weiß man bei dem Gegenüber nicht, mit wem man es zu tun hat – Drogendealer, Scharlatan, oder FBI -, aber das ist eine Kehrseite der Anonymität, die den Vorteilen gegenüber in den Hintergrund tritt. Um trotzdem einschätzen zu können, wie zuverlässig ein Käufer oder Verkäufer ist, verfügen Darknet-Marktplätze über Bewertungssysteme wie zum Beispiel eBay; und wenn mehrere Verkäufer dieselbe Ware anbieten, gewinnt meist der mit dem besten Ruf.

Unzensierte Version des World Wide Web

Nicht nur vom Darknet oder dem Deep Web gehen Gefahren aus, sondern vielmehr von kriminellen Gruppierungen, die Unternehmen und Institutionen im Visier haben. Hier muss zwischen denen unterschieden werden, die sich spezifisch für angebotene Produkte interessieren, um diese zu stehlen, und Angreifern, die gefundene Sicherheitslücken ausnutzen, ohne die wirtschaftliche Ausrichtung des betroffenen Unternehmens zu beachten. Das Darknet ist in gewissem Sinne eine unzensierte Version des World Wide Web, mit allen Vor- und Nachteilen, die eine fehlende Kontrolle mit sich bringt. Die häufig polarisierte Darstellung, es sei die Wurzel allen Übels, trifft nicht zu. Selbst wenn es gelänge, diese Kommunikationsplattform zu schließen, würden die Kommunikation sowie die kriminellen Aktivitäten über andere Wege fortgeführt. Das Darknet ist lediglich Mittel zum Zweck.

Selbstgemachtes Problem?

Übrigens: Die technisch nötige Infrastruktur für das Tor-Netzwerk wird unter anderem von diversen Geheimdiensten gestellt, zum Beispiel der NSA. Auch der BND hat öffentlich erwogen, Exit-Nodes zu betreiben – also Server, die einen Übergang zwischen Darknet und regulärem Clearnet herstellen. Details über Betreiber dieser Server in verlässlicher Anzahl herauszufinden – welcher Geheimdienst ist involviert, welche Firmen, welche Privatpersonen – ist aufgrund der Struktur des Tor-Netzwerks alles andere als einfach.

Was kann man tun, um sich besser zu schützen? Der Spruch „Was ich nicht weiß, macht mich nicht heiß“ ist hier leider unzutreffend – gerade das, was man nicht weiß, wird in Bezug auf das Darknet schnell ein beeindruckendes Schreckensszenario. Was dort und an anderen Plätzen an Informationen ausgetauscht wird, ist außer den Beteiligten niemandem zugänglich. Es bleiben also nur die üblichen Strategien. Man sollte alle mit dem Internet verbundenen Komponenten, Software und Hardware, auf einem aktuellen Stand halten und Logins nicht nur mit Passwörtern absichern, sondern auch mit einer Besitzkomponente wie Smartcards, oder auch Einmal-Tokens über das Smartphone. Das verhindert nicht jeden Angriff, legt die Hürde für Angreifer aber deutlich höher. Ein weiterer Vorteil ist, dass es unerheblich ist, ob ein Angriff im Darknet oder an anderer Stelle vorbereitet wurde. Eine gute Vorbereitung durch die Umsetzung gängiger Security-Standards erschwert Sicherheitsvorfälle in Kanzleien und Unternehmen.

Zum Autor

SH
Stefan Hager

DATEV eG, Bereich Internet Security

Weitere Artikel des Autors