Das Darknet

Rauschgift, Waffen, Falschgeld, Ausweise – das digitale „Kaufhaus“ der Kriminellen?

2.2 Darknet – Funktion

Zur Nutzung des Darknet wird überwiegend der Tor-Browser verwendet. TOR war ursprünglich ein Akronym für „The Onion Routing“ oder „The Onion Router“ (engl. Onion = Zwiebel). Das aktuelle Projekt „The Tor Project“ ist als gemeinnützige Organisation eingestuft und widmet sich der Forschung, der Entwicklung und der Schulung zum Thema Internetanonymität und Datenschutz.
Die Kommunikation zwischen Client und hidden service läuft immer über mehrere Server im Tor-Netzwerk. Der Client handelt mit dem hidden service einen sog. Rendezvous-Punkt (auf einem Tor-Server) aus, an dem sich die beiden Gegenstellen treffen. Die jeweiligen Routen des Datenverkehrs von Client bzw. hidden service zum Rendezvous-Punkt werden durch den Durchlauf mehrerer Tor-Knoten so stark verschleiert, dass eine Verfolgung dieses Datenverkehrs nicht möglich ist und somit auch kein Rückschluss auf den Datenursprung gezogen werden kann.5
Anders als im Clearnet gibt es im Tor-Netzwerk zudem keine Möglichkeit, eine Domain zu einer IP-Adresse aufzulösen. Zu einer Onion-Domain gibt es auch keine Dienste, die weitere Infos über diese Domain ausgeben (Whois-Server).
Insgesamt nutzen nach eigenen Angaben des Tor-Projekts durchschnittlich zwei Millionen Menschen täglich den Tor-Browser. Davon kommen 10 Prozent (200.000) aus Deutschland.6

2.3 Darknet – Aufbau

Im Oktober 2013 verkündete das FBI die Sicherstellung des Darknet-Forums Silk Road, sowie die Festnahme seines Betreibers. Silk Road war bis dahin der größte Drogenumschlagplatz im Netz. Darüber hinaus waren Angebote aus den Bereichen Fälschungs- und Geldwäschekriminalität umfasst. Laut FBI wurde über Silk Road ein Umsatz von über 1,2 Milliarden US-Dollar7 (monatlich zwei Millionen8 US-Dollar) generiert.
Silk Road ist nur ein Beispiel für einen kriminellen Online-Marktplatz im Darknet. Je nach Markt werden Betäubungsmittel, Arzneimittel, Waffen, Falschgeld, Dokumente, elektronische Daten, Software sowie Kinder- und Jugendpornografie u.v.m. zum Kauf angeboten. Die Zahlungen werden über sog. Krypto-Währungen wie Bitcoin (BTC) geleistet, wobei teilweise durch die Marktplatzbetreiber ein Treuhandservice angeboten wird (sog. Escrow).
Die Angebote und Kommunikation über die Marktplätze und Foren werden überwiegend in englischer Sprache verfasst, in vielen Plattformen lässt sich jedoch ein Bezug nach Deutschland feststellen (z.B. Versand aus Deutschland, Anfragen in deutscher Sprache). Aktuell geht das BKA von etwa 50 Plattformen (Marktplätze und Foren) mit Deutschlandbezug aus.
Es wird unterschieden zwischen Marktplätzen mit oder ohne begleitendes Forum, jenen mit besonderen Zugangsberechtigungen und solchen, die zum Erhebungszeitraum nicht erreichbar waren. Etwa 20 Marktplätze weisen eine operative Bedeutung für das BKA aus.
DreamMarket ist ein Beispiel der Plattformen mit begleitendem Forum. Der Marktplatz weist ca. 55.000 Kaufangebote auf und verzeichnet ca. 20.000 Nutzer. Alphabay9 listete im Zeitraum Juni/Juli 2016 ca. 66.000 Kaufangebote bei einer Nutzerzahl von über 75.000. Betäubungsmittel machen hierbei den größten Anteil an Kaufangeboten aus (ca. 52.000), darüber hinaus werden unter anderem Waffen (ca. 500), Falschgeld (ca. 300), Daten und Arzneimittel angeboten. Ca. 3.500 der Betäubungsmittel-Angebote und ca. 90 der Waffen-Angebote scheinen aus Deutschland zu kommen.
In Deutschland im Deep Web werden Betäubungsmittel, Arzneimittel, Falschgeld und Waffen gehandelt. Darüber hinaus gibt es verschiedene Themenbereiche wie Religionen, Sport, Politik und Wirtschaft, in welchen die Mitglieder diskutieren.
Bei der Anzahl der Plattformen ist ein leichter Rückgang festzustellen. Daraus ist jedoch kein Rückgang der Benutzerzahlen oder Angebote abzuleiten. Möglich ist, dass sich Nutzer, beispielsweise in Folge einer Abschaltung einer etablierten Plattform, temporär auf bestimmte andere Plattformen konzentrieren.10

Die Landschaft der kriminellen/inkriminierten Kommunikations- und Handelsplattformen unterliegt grundsätzlich einer großen Dynamik und Fluktuation. Eine Lagedarstellung kann demnach nur eine Momentaufnahme darstellen.
Der mehr als rege Handel mit illegalen oder inkriminierten Gütern im Darknet hat innerhalb der letzten Jahre eine enorme Entwicklung durchlaufen. Mittlerweile hat sich eine globale Industrie entwickelt, die nahezu keinen Kundenwunsch offen lässt. Marktplätze übernehmen dabei bekannte Strukturen von legalen Plattformen wie ebay und Amazon, die Produkte werden mit Fotos und Beschreibungen aufgelistet, die Community diskutiert sehr intensiv über die Vertrauenswürdigkeit von Händlern11 und es gibt einen 24/7-Kundensupport. „Crime-as-a-Service“-Angebote haben sich sowohl im Deepweb als auch im Darknet als feste Komponenten in Angebots- und Produktpaletten etabliert. Hierbei werden Dienstleistungen zur Verfügung gestellt, die die Durchführung jeder Art von Cybercrime ermöglichen bzw. erleichtern. Dies gestattet interessierten Kriminellen ohne technische Vorkenntnisse und mit vergleichsweise geringem Aufwand Zugang zu hochentwickelten Cyber-Werkzeugen und macht damit das Darknet zu einem Einkaufszentrum für jedermann.Der bereitgestellte Support umfasst beispielsweise Updates für Schadsoftware, Beratungsdienste, Anti-Erkennungsmechanismen sowie die Hilfestellung bei technischen Problemen.
Weiterhin werden „Infection on Demand“ (Verteilung von Schadsoftware auf Anforderung/Abruf) sowie Test-Portale angeboten. Hier können die von den Tätern erworbenen oder selbst programmierten Schadsoftware-Varianten auf Detektierbarkeit durch aktuelle Cyber-Sicherheitsprodukte wie z.B. Antivirenprogramme getestet werden, um durch Anpassungen die Erfolgsaussichten für eine „Verteileroffensive“ zu verbessern.
Besonders attraktiv in der Produktpalette zu Cybercrime-as-a-Service ist die Mitgestaltungskomponente. Im Jahr 2015 wurde ein „digitaler Erpressungsdienst“ festgestellt, der über das Tor-Netzwerk erreichbar ist. Dieser ermöglicht eine kostenlose und mit geringem Aufwand verbundene individuelle Zusammenstellung von Malware (sog. Toolkits). Die Anbieter des Dienstes erhalten bei einer erfolgreichen Lösegeldzahlung eine Umsatzbeteiligung, wobei die Lösegeldzahlung in der Regel in Form von Bitcoin über den Schadsoftwareanbieter selbst abgewickelt wird. Über eine vom Schadsoftwareanbieter zur Verfügung gestellte Kontrollplattform kann der Nutzer des Toolkits die von ihm hervorgerufenen Infektionen einsehen und seinen verbliebenen Anteil an den Lösegeldern an sich selbst auszahlen. Für die Verbreitung der Schadsoftware werden ebenfalls Dienstleistungen angeboten. Auch hier kann der Kunde selbst bestimmen, wen die Schadsoftware angreifen soll.