Das Darknet hat einen zweifelhaften Ruf als Tummelplatz für Päderasten und Kriminelle aller Art. Tatsächlich ist es aber auch für Journalisten hochinteressant. Wir erklären wie es funktioniert und wie der Zugang klappt.

Von Peter Welchering, Medienjournalist, Stuttgart

Den Durchbruch brachten Dokumente, die auf einem Server im Dark Web gespeichert waren. Unter der komplizierten Web-Adresse zqwtlvo7fecvo6ri.onion* fanden die Journalisten des Deutschlandfunks im Sommer 2015 Dokumente, aus denen genau hervorging, wie Schlepperbanden ihr Geschäft aufgebaut und organisiert hatten. Die Übergabezeiten und -orte einzelner Flüchtlingsgruppen an die nächste Schleusereinheit waren zum Beispiel akribisch auf sogenannten „Transfer-Bögen“ verzeichnet. Die wurden von Verwaltungsmitarbeitern in der Schleuserzentrale im gleichnamigen Verzeichnis abgelegt. Die Einsatzleiter der Schleuser vor Ort hatten Zugriff auf den Kommunikationsserver im sogenannten Dark Web.

In diesem Schattenreich des Internet sind die Server nur via Web-Adressen erreichbar, die aus Prüfsummen über einen öffentlichen Krypto-Schlüssel gebildet werden. Die Entwickler des TOR-Netzwerkes trauen nämlich den herkömmlichen Zertifizierungsstellen für Verschlüsselung nicht. Die wurden zu oft gehackt oder haben unberechtigte Zertifikate ausgestellt, so dass die darüber abgesicherte Datenkommunikation nicht mehr sicher war. Nachrichtendienste, Kriminelle und teilweise sogar Privatdetektive konnten mitlesen.

Kryptische Adressen sorgen für Sicherheit

Deshalb werden die Namen für die Web-Adressen im TOR-Netzwerk so aufwändig aus Prüfsummen berechnet. Das macht sie ausgesprochen kryptisch. Web-Adressen im TOR-Netzwerk kann man sich auch deshalb nur schwer merken. Facebook hat für seine Web-Adresse im TOR-Netzwerk viele tausend Rechenstunden aufgewendet, um mehrere Millionen von Schlüsseln zu erzeugen, bis die einigermaßen sinnvolle und noch gerade merkbare Zeichenkette „facebookcorewwwi“ dabei herausgekommen ist – ihre Adresse im Darknet.

Die Abkürzung TOR steht für „The Onion Routing“, und bei diesem Onion-Routing werden die Datenpäckchen tatsächlich mit so einer Art Onion- oder Zwiebelschicht überzogen. Die Datenpäckchen, die zum Beispiel via TOR-Netzwerk transportiert werden, werden in der Regel über drei Anonymisierungsserver geschickt.

Jedes Mal werden die ankommenden Datenpäckchen auf einem solchen Anonymisierungsserver noch einmal extra verschlüsselt und in ein Tarn-Datenpäckchen eingebettet. Dabei werden auch die ursprünglichen Kopfdaten des Datenpäckchens, wie zum Beispiel die Original-Internet-Protokolladresse des Absenders verschlüsselt und durch die Nutzung des Tarn-Datenpäckchens gegen eine andere Adresse ausgetauscht.

Browser als TOR zum Darknet

Image by B_A from Pixabay

Im TOR-Netzwerk kennt jeder Netzwerkknoten nur den vorherigen und den nächsten Netzknoten, über den das Datenpäckchen verschickt wird. Deshalb hat sich das TOR-Netzwerk zu einem attraktiven Kommunikationsmedium ganz unterschiedlicher Aktivistengruppen entwickelt.

Um sich im TOR-Netzwerk zu bewegen, brauchen Internet-Surfer den TOR-Browser. Das ist eine angepasste Version eines Firefox-Browsers, mit dem alle Server mit der Endung .onion angesurft werden können. Die gesamte Kommunikation im Onion-Netzwerk alias Darknet läuft über den TOR-Browser. Und ein großer Teil der Informationen, die dort verfügbar sind, ist für die journalistische Arbeit hochrelevant.

Unverzichtbare Informationen für jeden Journalisten

Redaktionen, die davon profitieren wollen, schicken nicht nur ihre Redakteure auf Recherchereisen ins Darknet, sondern unterhalten dort auch eigene Briefkästen, damit Informanten unüberwacht Dokumente und anderes Material schicken können. Nicht nur die New York Times hat solch einen Briefkasten, auch der Heise-Verlag mit seinen Technik-Fachzeitschriften. Facebook bietet seinen Nutzern unter der bekannten Adresse facebookcorewwwi.onion einen „Hidden Service“, also versteckten Dienst an, um sicherzustellen, dass Sicherheitsbehörden nicht überwachen können, wer gerade auf welche Facebook-Seite oder -Gruppe zugreift.

Recherche-Start im Darknet
Den TOR-Browser kann man sich vom Server des TOR-Projektes „torproject.org“ herunterladen. Alle wichtigen Erweiterungen sind hier schon zu einem Paket zusammengeschnürt. Nach der Installation des TOR-Browser-Pakets kann es dann losgehen mit den Recherchen. Die Adresse „zqktlwi4fecvo6ri.onion“ bietet dabei eine Online-Enzyklopädie zum Darknet, genannt Hidden-Wiki. Es ist über die Web-Adresse „zqktlwi4fecvo6ri.onion/wiki/index.php/Main Page“ direkt aufrufbar.

Die Suchmaschine Not Evil bietet etwa rudimentäre Suchdienste im Darknet. Sie ist unter der Adresse „hss3uro2hsxfogfq.onion“ verfügbar. Torch ist eine weitere Darknet-Suchmaschine, aufrufbar unter „xmh57jrzrnw6insl.onion“.

Das IT-Sicherheitsunternehmen Hyperion Gray hat im Januar 2018 Screenshots von knapp 7.000 Onion-Websites gemacht und daraus eine Art Scroll-Karte erstellt. Sie ist abrufbar unter www.hyperiongray.com/dark-web-map.

Kriminelle Cybercrime-Profis lassen nur wenig Chancen für Europol

Die Anonymität des Nutzers selbst ist zwar spätestens mit der Anmeldung bei Facebook aufgehoben. Wichtig ist hier nur, dass kein Dritter sehen kann, dass da jemand Facebook nutzt. Für diesen Hidden Service setzt Facebook dieselben Methoden ein, wie sie auch die anderen Darknet-Dienste oder -Marktplätze nutzen. Genau diese haben auch Schleuser-Organisationen genutzt. Um recherchieren zu können, wie die Schleuser genau vorgehen, waren also Recherchen auf diesen Marktplätzen nötig.

Europol hatte deshalb die in Italien angesiedelte Ermittlereinheit gegen Schleuserkriminalität auch extra um Cybercrime-Experten erweitert. Gemeinsam mit Finanzspezialisten versuchen sie, die Hintermänner der Schlepperorganisationen ausfindig zu machen, indem sie Zahlungs- und Datenströme aufdecken und verfolgen. Doch der Zugriff auf die Dateien der Schleuser war mehrfach abgesichert. Nur hin und wieder, wenn ein Mitarbeiter einer Schlepperorganisation mal schlampig gearbeitet und die Excel-Liste mit Namen, Routen und der zeitlichen Zuordnung zu einzelnen Schleppereinheiten nicht ordentlich gesichert hatte, fanden die Fahnder von Europol solche Dokumente.

Werbung, Organisation der Routen, Abrechnung und die Betreuung der potenziellen oder bereits geworbenen Flüchtlinge – alles wurde online abgewickelt. Zugriff auf die Organisationspläne dafür, auf Kalkulationen für die Schleusungen und auf sogenannte Transit-Ablaufpläne bekamen die an der Schlepper-Story recherchierenden Journalisten erst, nachdem ihnen ein Informant die Serveradresse im Darknet und die Zugangsdaten verraten hatte.

Oft steht und fällt der Recherche-Erfolg mit TOR

Image by Markus Spiske from Pixabay

Im Schleusergeschäft wurden 2015 sehr erfolgreich Crowdworking-Modelle angewandt. Der Übersetzer, der den Facebook-Post mit den aktuellen Reiserouten ins Arabische übersetzte, war via Twitter angeheuert worden. Die Schleusereinheiten, die Flüchtlinge jeweils auf einer Teilroute begleiteten, erhielten ihre Jobs nicht nur durch die direkte persönliche Ansprache, sondern auch per WhatsApp.

Die IT-Experten, die dann die gesamte Kommunikationsstruktur auf Facebook und Twitter, via WhatsApp und die Server im Darknet betreuten, wurden auf denselben Dienstleistungsplattformen im Internet angeheuert, auf denen auch Entwickler von Schadsoftware ihre Dienstleistungen anboten und noch heute anbieten.

Doch das Geschäft stand und fiel mit dem erfolgreichen Verkauf der Passagen. Hier fuhren die Schlepperorganisationen zweigleisig. Neben direkten Angeboten vor allem auf Facebook veröffentlichten sie auch gezielt Tweets und Posts von zum Beispiel angeblich in Deutschland Angekommenen, die ein völlig unrealistisches Bild von den hiesigen Verhältnissen zeichneten.

Für die Verkaufswerbung hatten die Chefs der Schlepperorganisation regelrechte Mediapläne ausgearbeitet. Auch die waren auf dem Server im TOR-Netzwerk abgespeichert. Ebenso fanden sich Excel-Arbeitsblätter mit den Verkaufszahlen der einzelnen „Vertriebsbeauftragten“ der Schlepperorganisation. Nur weil die Schlepperorganisation ihre Verwaltungsunterlagen so akribisch auf einem Darknet-Server gespeichert hatte, konnten die recherchierenden Journalisten sich ein umfassendes Bild über den „illegalen Reisekonzern“ der Schlepper machen. Für Journalisten sind solche Server wahre Fundgruben. Wer über die relevanten gesellschaftlichen, wirtschaftlichen und politischen Ereignisse umfassend berichten will, kommt um Recherchen in diesen Netzwerken nicht herum. „Wir nennen es das Darknet“, meint Martin McKeay vom Web-Sicherheitsexperten Akamai und erläutert diesen unzugänglichen Bereich des Internet so: „Das ist eine Reihe von Systemen rund um den Globus mit geheimen Internet-Protokoll-Adressen und besonders abgesicherten Zugangsroutinen.“

Online-Kriminelle nutzen solche versteckten Server als Sammelstellen für erbeutete Passwörter, Kreditkartendaten oder Zugangsinformationen für das Online-Banking. Sie infizieren Anwender-PCs mit Computerviren. Diese Viren laden weitere Schadsoftware herunter. Und diese Schadsoftware wiederum spioniert persönliche Zugangsdaten aus, damit andere Täter mit diesem Wissen später Bankkonten leer räumen, Mail-Postfächer kidnappen, Rechner kapern und in ein Botnetz übernehmen können und vieles mehr.

Die von Anwender-PCs frisch erbeuteten Zugangsdaten, zum Beispiel Kontodaten mit persönlicher Identifikationsnummer (PIN), werden verschlüsselt an ein Dutzend unterschiedliche Sammelserver geschickt. Weil dieser verschlüsselte Versand aber keinen sehr hohen Schutz vor Entdeckung bietet, werden diese Kontendaten von den Sammelservern in besondere Tarn-Datenpäckchen mit gefälschter Internet-Protokoll-Adresse im Absender- und Empfängerfeld gepackt und dann an Hochsicherheitsserver im Darknet weitergeschickt.

Deshalb werden diese Sammelserver auch als Eingangstore ins Darknet bezeichnet. Denn der besonders getarnte Weiterversand der Beutedaten, die noch einmal extra verschlüsselt werden, ist nur mit einem enorm großen Aufwand nachzuverfolgen. So getarnt landen die Daten schließlich auf speziellen Auktionsservern. Kontenzugangsdaten von Girokonteninhabern bei deutschen Sparkassen werden hier für Preise zwischen 0,85 und 1,50 Dollar gehandelt. Kontenzugangsdaten bei exklusiveren Bankhäusern bringen es auch schon einmal auf 5 bis 6 Dollar.

Vom Hacker bis zum Bürgerrechtler

Wer bei diesen Auktionen mitbieten will, braucht eine Internet-Protokoll-Adresse im Darknet, muss also von einem Server aus operieren können, dessen Internet-Protokoll-Adresse gleichfalls unveröffentlicht ist und der nur über besonders gesicherte Zugangsrouten zu erreichen ist.

Eine solche Zugangsroute bieten beispielsweise Anonymisierungsnetzwerke und Dienste wie TOR, Pemar oder Mixminion. Damit sind die Versandrouten von Daten praktisch nicht mehr nachzuverfolgen, weil jedes Datenpäckchen mehrfach verschlüsselt und alle Angaben über Empfänger, Absender, Beförderungsweg und -art bewusst verfälscht werden, um Datenspione und -Detektive in die Irre zu führen.

Solche Anonymisierungsserver und eigene virtuelle private Netzwerke, die extrem gut getarnt sind, nutzen aber nicht nur Online-Kriminelle. Auch Cybermilitärs aus rund 150 Staaten dieser Erde bevölkern mit ihren Angriffsservern das Darknet. Schließlich sind dort auch noch zahlreiche Bürgerrechtler, Netzaktivisten und Hacker unterwegs.

Syrische Oppositionsgruppen betreiben etwa mit Unterstützung westeuropäischer Aktivisten Server im Darknet, um Dokumentationsvideos mit Gräueltaten von Regierungstruppen außer Landes schaffen zu können und um die unterschiedlichen Widerstandsgruppen in Syrien zu koordinieren. Berichte aus der Türkei über Verhaftungen von oppositionellen Politikern und Journalisten erreichen Redaktionen in Westeuropa oftmals über Darknet-Kommunikationskanäle. Auch die Wikileaks-Betreiber hatten ihre Dateien mit belastendem Material auf eigens gesicherte Server im Darknet gespeichert. Die NSA-Dokumente von Edward Snowden dürften auch an einem solch sicheren und dunklen Ort im Netz der Netze liegen.

Geschützte Kommunikation
Ein Briefkasten für Redaktionen im Darknet, den Whistleblower nutzen können, ohne ihre Anonymität zu gefährden, bietet die Freedom of the Press Foundation mit Securedrop an. Die aktuelle Version stammt aus dem Juli 2019. Eine andere Möglichkeit bietet Securedrop.org oder secrdrop5wyphb5x.onion. Als Direkteinstieg für geschützte Chats mit Informanten und anderen empfiehlt sich MadIRC, erreichbar unter qj3m7wxqk4pfqwob.onion

Sichere Kanäle nach Syrien

Whistleblower haben übrigens das Darknet „gegründet“. „Die ersten Darknet-Server sind 1999 von Programmierern auf Wave und Freenet eingerichtet worden, um Whistleblower besser schützen zu können“, berichtet der amerikanische Programmierer Matt Wood.

Matt Wood und sein Kollege Billy Hoffmann haben mit Veiled eine sehr weit verbreitete Darknet-Software programmiert, mit der Zugangswege Browser basiert mit erträglichem Programmieraufwand abgesichert werden können. Das erlaubt auch Anwendern, die nicht gerade über ausgebuffte Hacker-Kenntnisse verfügen, sich Wege ins Darknet zu bannen und die dort verfügbaren sicheren Server zu nutzen.

Die Nachfrage nach solcher Software steigt. Denn Menschenrechtsorganisationen, Aktivistengruppen und Oppositionsbewegungen wollen sich besser gegen die Überwachung von Geheimdiensten absichern und schützen. Auch die ersten forschungsintensiven Unternehmen haben inzwischen nach den Enthüllungen über die Datenspionage der NSA und anderer Dienste mit Veiled und verschiedenen Anonymisierungsdiensten einen Teil ihrer Datenhaltung und Kommunikation ins Darknet verlegt. Sie wollen damit der Industriespionage vorbeugen, handeln sich dafür aber eine nicht immer unproblematische Nachbarschaft ein.

Wer also recherchieren will, welche Hacks gerade angesagt sind, wie Waffenlieferungen für Terroranschläge verlaufen, wer Dokumente von Whistleblowern erhalten will, die großen Wert auf den Schutz ihrer Identität legen, der braucht einen Zugang ins TOR-Netzwerk. „Für die Kommunikation mit Bürgerrechtlern ist das TOR-Netzwerk häufig alternativlos“, meint Robert Dingledine, einer der Entwickler des Anonymisierungsnetzwerkes.

Nachrichtendienste nutzen TOR – Sicherheitsanforderungen für Journalisten

Das haben längst auch Nachrichtendienste und Sicherheitsbehörden diverser Staaten erkannt. Sie versuchen immer wieder, die Darknet-Technologien besser zu kontrollieren. Die amerikanische National Security Agency (NSA) hat damit angefangen, das TOR-Netzwerk zu unterwandern. Sie richteten einfach eigene TOR-Ausgangsserver ein, um darüber spionieren zu können. Das haben die meisten Nachrichtendienste inzwischen nachgemacht.

Denn wenn die Kommunikationsdaten das TOR-Netzwerk über einen solchen Ausgangsserver verlassen, um an eine herkömmliche Internet-Adresse geschickt zu werden, kann der Betreiber des TOR-Ausgangsservers die Zieladresse ermitteln. Er weiß allerdings nichts über den Absender. Dennoch können solche Aktionen zur Enttarnung eines Whistleblowers führen.

Deshalb haben die Betreiber des TOR-Netzwerks ein Schutzwerkzeug gegen Ausgangsserver entwickelt, die von Nachrichtendiensten oder Sicherheitsbehörden betrieben werden. Das Tool heißt TOR consensus health und sucht stündlich nach neu eingerichteten Ausgangsservern. „Stellt TOR consensus health dann Unregelmäßigkeiten fest, schauen wir uns die Ausgangsserver genauer an“, meint TOR-Entwickler Robert Dingledine. So soll das TOR-Netzwerk geheimdienstfrei bleiben.

Dennoch ist Vorsicht angesagt. „Zum Beispiel Journalisten müssen bei ihrer Arbeit im TOR-Netzwerk einige Sicherheitsanforderungen beachten, damit sie ihre Recherchen oder Informanten nicht gefährden“, meint der Informatik-Professor Hartmut Pohl aus Sankt Augustin bei Bonn. Pohl hat mit den Mitarbeitern seines Sicherheitsunternehmens Softscheck GmbH schon so manches Medienhaus beraten. So sollten etwa Smartphones beim Surfen mit dem TOR-Browser im Darknet einige Meter von Laptop oder PC entfernt liegen.

Gewusst wo und wie: Recherchieren in Darkzones
Darknet-Server und Server-Gruppen werden auch Darkzones genannt. Das sind zum einen reine Sammelstellen im Netz, die beispielsweise alle von Spionagesoftware erbeuteten Zugangsdaten speichern und verstecken. Dabei werden die Dateien mit etwa erbeuteten Kreditkarteninformationen in mehrere kleine Dateien aufgeteilt und verschlüsselt auf verschiedenen Servern gespeichert. Auf alle dieser Server kann über eine einheitliche Internet-Protokolladresse zugegriffen werden. Dabei werden die Internet-Protokolle des World Wide Web und die File Transfer Protokolle (FTP) genutzt. Das Inhaltsverzeichnis der zerstückelten verschlüsselten Datei liegt auf einem eigenen Server. Ohne dieses Inhaltsverzeichnis kann eine solche in der Darkzone gespeicherte Datei nicht wieder zusammengesetzt werden.

Das Dark Web steckt voller Geschichten mit großer Relevanz

Mit der von Vasilios Mavroudis entwickelten Methode kann nämlich sonst die persönliche Identität des Journalisten vor dem Computer ermittelt werden. Die von Mavroudis entwickelte Methode erzeugt für den Menschen nicht hörbare Ultraschallsignale. Die Website, die der Journalist in seinem Browser gerade aufgerufen hat, sendet diese Signale über den Lautsprecher des Computers an das Smartphone des vor dem Rechner sitzenden Journalisten und ermittelt über diesen Kommunikationskanal die Gerätenummer und auch die Telefonnummer.

Wer aber solche Sicherheitsanforderungen bei seinen Recherchen bedenkt und seine journalistische Arbeit verantwortungsvoll absichert, kann mit dem TOR-Browser sichere Kommunikation mit seinen Informanten aufbauen. Die ganze Informationsfülle des Darknet steht hier recherchierenden Journalisten zur Verfügung.

Damit Medien im demokratischen Rechtsstaat ihre Wächterfunktion wahrnehmen können, sind Recherchen im Darknet unverzichtbar. Wie zum Beispiel die Geschichte über den Jugendlichen, der bei einem Amoklauf im Juli 2016 neun Menschen im Münchner Olympia-Einkaufszentrum tötete. Wie der an seine Waffe gekommen ist, konnte erst durch Darknet-Recherchen aufgedeckt werden.

Auch was zur Zeit in Syrien passiert, mit welchen üblen Methoden die türkische Regierung Journalisten verfolgt, was wirklich bei Demonstrationen in Moskau geschieht – alle diese Geschichten wurden erst über Recherchen mit dem TOR-Browser und im TOR-Netzwerk möglich. ●

NSA-Fahndungssoftware XKeyscore spioniert im Dunklen
Richtig wehmütig wirkte Troels Oerting, Leiter des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität der europäischen Polizeibehörde Europol mit Dienstsitz in Den Haag, als er gefragt wurde, ob seine Behörde nicht schon seit Jahren gegen die US-amerikanische National Security Agency (NSA) wegen Datenspionage ermitteln würde. Das Mandat von Europol decke derartige Ermittlungen nicht ab. Gleichwohl ließ Troels Oerting keinen Zweifel daran, dass er weitere Details zur Leistungsfähigkeit des NSA-Überwachungsprogramms XKeyscore gern ermitteln würde. Denn die 700 Überwachungsserver, auf denen XKeyscore an 150 Standorten weltweit installiert ist, können Anonymisierungsserver identifizieren und die dort gespeicherten Daten mitlesen. Das machte die Darknet-Server angreifbar. Inzwischen ist aber die Zugangssoftware zum Darknet über solche Anonymisierungsserver aufgerüstet worden. Die Verpackung der Datenpäckchen in Tarn-Datenpäckchen findet inzwischen nicht erst auf dem Anonymisierungsserver statt, sondern bereits auf dem PC des Darknet-Besuchers. Auf dem Anonymisierungsserver wird dann ein weiteres Mal getarnt und natürlich auch verschlüsselt. Inzwischen dürfte ein Teil des Darknet auch für die Datenspione von der NSA tatsächlich wieder ein dunkler Ort sein, in den sie nicht hineinschauen und mitlesen können.



Dieser Beitrag ist zuvor bereits in der Printausgabe der impresso 03/2019 erschienen.