zunächst einmal ist es ein Rückzugsort für viele Nutzer- aber es gibt sehr viele unterschiedliche Bewohner mit ganz verschiedenen Interessen

Cybermilitärs, Online-Kriminelle, aber auch Hacktivisten und Bürgerrechtler sind in einem eigenen Schattenreich des Netzes zu Hause. „Wir nennen es das Darknet“, meint Martin McKeay vom Web-Sicherheitsexperten Akamai und erläutert diesen unzugänglichen Bereich des Internet so: „Das ist eine Reihe von Systemen rund um den Globus mit geheimen Internet-Protokoll-Adressen und besonders abgesicherten Zugangsroutinen.“

Online-Kriminelle nutzen solche versteckten Server als Sammelstellen für erbeutete Passwörter, Kreditkartendaten oder Zugangsinformationen für das Online-Banking. Sie infizieren Anwender-PCs mit Computerviren. Diese Viren laden weitere Schadsoftware herunter. Und diese Schadsoftware wiederum spioniert persönliche Zugangsdaten aus, damit andere Täter mit diesem Wissen später Bankkonten leer räumen, Mail-Postfächer kidnappen, Rechner kapern und in ein Botnetz übernehmen können und vieles mehr.

Die von Anwender-PCs frisch erbeuteten Zugangsdaten, zum Beispiel Kontodaten mit persönlicher Identifikationsnummer (PIN), werden verschlüsselt an ein Dutzend unterschiedliche Sammelserver geschickt. Weil dieser verschlüsselte Versand aber keinen sehr hohen Schutz vor Entdeckung bietet, werden diese Kontendaten von den Sammelservern in besondere Tarn-Datenpäckchen mit gefälschter Internet-Protokoll-Adresse im Absender- und Empfängerfeld gepackt und dann an Hochsicherheitsserver im Darknet weitergeschickt.

Deshalb werden diese Sammelserver auch als Eingangstore ins Darknet bezeichnet. Denn der besonders getarnte Weiterversand der Beutedaten, die noch einmal extra verschlüsselt werden, ist nur mit einem enorm großen Aufwand nachzuverfolgen.

So getarnt landen die Daten schließlich auf speziellen Auktionsservern. Kontenzugangsdaten von Girokonteninhabern bei deutschen Sparkassen werden hier für Preise zwischen 85 US-Cent und 1,50 Dollar gehandelt. Kontenzugangsdaten bei exklusiveren Bankhäusern bringen es auch schon einmal auf fünf bis sechs Dollar.

Wer bei diesen Auktionen mitbieten will, braucht eine Internet-Protokoll-Adresse im Darknet, muss also von einem Server aus operieren können, dessen Internet-Protokoll-Adresse gleichfalls unveröffentlicht ist und der nur über besonders gesicherte Zugangsrouten zu erreichen ist.

Eine solche Zugangsroute bieten beispielsweise Anonymisierungsnetzwerke und Dienste wie TOR, Pemar oder Mixminion. Damit sind die Versandrouten von Daten praktisch nicht mehr nachzuverfolgen, weil jedes Datenpäckchen mehrfach verschlüsselt und alle Angaben über Empfänger, Absender, Beförderungsweg und –art bewusst verfälscht werden, um Datenspione und –Detektive in die Irre zu führen.

Solche Anonymisierungsserver und eigene virtuelle private Netzwerke, die extrem gut getarnt sind, nutzen aber nicht nur Online-Kriminelle. Auch Cybermilitärs aus mittlerweile 150 Staaten dieser Erde bevölkern mit ihren Angriffsservern das Darknet.

Schließlich sind dort auch noch zahlreiche Bürgerrechtler und Netzaktivisten unterwegs. Syrische Oppositionsgruppen betreiben etwa mit Unterstützung westeuropäischer Aktivisten einige Server im Darknet, um Dokumentationsvideos mit Greueltaten von Regierungstruppen außer Landes schaffen zu können und um die unterschiedlichen Widerstandsgruppen in Syrien koordinieren zu können.

Auch die Wikileaks-Betreiber um Julian Assange hatten ihre Dateien mit belastendem Material auf eigens gesicherte Server im Darknet gespeichert. Die NSA-Dokumente von Edward Snowden dürften auch an einem solch sicheren und dunklen Ort im Netz der Netze liegen.

Whistleblower haben übrigens das Darknet sozusagen gegründet. „Die ersten Darknet-Server sind 1999 von Programmierern auf Wave und Freenet eingerichtet worden, um Whistlelower besser schützen zu können“, berichtet der amerikanische Programmierer Matt Wood.

Matt Wood und sein Kollege Billy Hoffmann haben mit Veiled eine sehr weit verbreitete Darknet-Software programmiert, mit der Zugangswege browserbasiert mit erträglichem Programmieraufwand abgesichert werden können. Das erlaubt auch Anwendern, die nicht gerade über ausgebuffte Hacker-Kenntnisse verfügen, sich Wege ins Darknet zu bannen und die dort verfügbaren sicheren Server zu nutzen.

Die Nachfrage nach solcher Software steigt. Denn Menschenrechtsorganisationen, Aktivistengruppen und Oppositionsbewegungen wollen sich besser gegen die Überwachung von Geheimdiensten absichern und schützen. Auch die ersten forschungsintensiven Unternehmen haben inzwischen nach den Enthüllungen über die Datenspionage der NSA und anderer Dienste mit Veiled und verschiedenen Anonymisierungsdiensten einen Teil ihrer Datenhaltung und Kommunikation ins Darknet verlegt. Sie wollen damit der Industriespionage vorbeugen, handeln sich dafür aber eine nicht immer unproblematische Nachbarschaft ein.

Darknet-Server und Server-Gruppen werden auch Darkzones genannt. Das sind zum einen reine Sammelstellen im Netz, die alle von Spionagesoftware erbeuteten Zugangsdaten speichern und verstecken. Dabei werden die Dateien mit zum Beispiel erbeuteten Kreditkarteninformationen in mehrere kleine Dateien aufgeteilt und verschlüsselt auf verschiedenen Servern gespeichert. Auf alle dieser Server kann über eine einheitliche geheime Internet-Protokolladresse zugegriffen werden. Dabei werden die Internet-Protokolle des World Wide Web und die File Transfer Protokolle (FTP) genutzt. Das Inhaltsverzeichnis der zerstückelten verschlüsselten Datei liegt auf einem eigenen Server. Ohne dieses Inhaltsverzeichnis kann eine solche in der Darkzone gespeicherte Datei nicht wieder zusammengesetzt werden.

Richtig wehmütig wirkte Troels Oerting, Leiter des neu geschaffenen Europäischen Zentrums zur Bekämpfung der Cyberkriminalität der europäischen Polizeibehörde Europol mit Dienstsitz in Den Haag, als er vor einigen Wochen gefragt wurde, ob seine Behörde nicht gegen die National Security Ageny wegen Datenspionage ermitteln würde. Das Mandat von Europol decke derartige Ermittlungen nicht ab. Gleichwohl ließ Troels Oerting keinen Zweifel daran, dass er weitere Details zur Leistungsfähigkeit des NSA-Überwachungsprogramms XKeyscore gern ermitteln würde. Denn die 700 Überwachungsserver, auf denen XKeyscore an 150 Standorten weltweit installiert ist, können Anonymisierungsserver identifizieren und die dort gespeicherten Daten mitlesen. Das machte die Darknert-Server angreifbar. Inzwischen ist aber die Zugangssoftware zum Darknet über solche Anonymisierungsserver aufgerüstet worden. Die Verpackung der Datenpäckchen in Tarn-Datenpäckchen findet inzwischen nicht erst auf dem Anonymisierungsserver statt, sondern bereits auf dem PC des Darknet-Besuchers. Auf dem Anonymisierungsserver wird dann ein weiteres Mal getarnt und natürlich auch verschlüsselt. Inzwischen dürfte ein Teil des Darknet auch für die Datenspione von der NSA tatsächlich wieder ein dunkler Ort sein, in den sie nicht hineinschauen und mitlesen können.