Was ist das Dark Web?

Das Darknet beherbergt Webseiten, Messenger-Dienste, Dateiaustauschnetzwerke und andere Dienste, ähnlich dem regulären oder „offenen“ Web. Der Unterschied besteht darin, dass sich die Inhalte des Dark Web in Darknets befinden, anonymen Teilbereichen des Internets mit besonderen Zugangsvoraussetzungen. Einige Darknets sind nur auf Einladung zugänglich. Andere können mit den richtigen Netzwerkeinstellungen oder Software, wie dem Tor-Browser, erreicht werden. 

Die Anonymität ist der größte Reiz des Dark Web. Dark-Web-Netzwerke verwenden Methoden wie mehrschichtige Verschlüsselung und indirektes Routing, um die Identitäten der Nutzer zu verbergen. Sowohl die Besucher von Darknet-Websites als auch die Betreiber dieser Websites lassen sich nicht ohne Weiteres identifizieren. 

Cyberkriminelle profitieren von dieser Anonymität, um ihre illegalen Aktivitäten zu verschleiern. Journalisten, Whistleblower und gewöhnliche Internetnutzer können das Dark Web nutzen, um nicht von feindseligen Regierungen, Großunternehmen, Werbenetzwerken, Vorhersagealgorithmen und anderen neugierigen Blicken verfolgt zu werden.

Cybersicherheit-Experten beobachten das Dark Web außerdem als wichtige Quelle für Threat-Intelligence. Sie können sehen, was Hacker treiben, über Cyberangriffsziele und -techniken auf dem Laufenden bleiben und neue sowie anhaltende Datenschutzverletzungen verfolgen.  

Trotz der Verbindung mit illegalen Aktivitäten und illegalen Inhalten ist der bloße Zugriff auf das Dark Web in vielen Gerichtsbarkeiten nicht unbedingt illegal.

Das Darknet ist die Netzwerkinfrastruktur – die miteinander verbundenen Computer und andere Geräte –, die den Zugriff auf Dark-Web-Inhalte ermöglicht.

Die Begriffe „Darknet“ und „Dark Web“ werden oft synonym verwendet, ähnlich wie die Begriffe „Internet“ und „Web“ synonym verwendet werden. Aber technisch gesehen ist das Internet ein Netzwerk vernetzter Geräte, und das Web ist eine Informationsebene (Websites, Apps und andere Dienste), auf die Menschen über das Internet zugreifen können. 

Die gleiche Unterscheidung gilt für das Darknet und das Dark Web. Das Darknet ist die Infrastruktur, und das Dark Web ist der Inhalt, der über diese Infrastruktur zugänglich ist.

Es gibt viele verschiedene Darknets, wobei das Tor-Netzwerk das bekannteste ist. (Weitere Informationen finden Sie unter „Was ist Tor?“) Weitere Darknets sind das Invisible Internet Project (I2P) und Hyphanet. 

Die meisten Darknets sind Overlay-Netzwerke, unterschiedliche Subnetze, die innerhalb eines größeren Netzwerks existieren. Dieses größere Netzwerk ist typischerweise das Internet selbst. 

Aber Darknets sind vom öffentlichen Internet isoliert, und Benutzer können sie nicht einfach über normale Browser wie Google Chrome, Mozilla Firefox oder Microsoft Edge erreichen. Benutzer benötigen spezielle Software, Berechtigungen oder Konfigurationen, um in ein Darknet zu gelangen.

Viele Darknets, wie zum Beispiel Tor, werden von Freiwilligen und gemeinnützigen Organisationen betrieben, wobei Menschen ihre eigenen Rechner freiwillig als Netzwerkknoten zur Verfügung stellen. Andere sind dezentrale Peer-to-Peer-Netzwerke oder private Netzwerke, die nur auf Einladung zugänglich sind.

Eine weitere Sache unterscheidet Darknets vom breiteren Internet und anderen Overlay-Netzwerken. Darknets verbergen absichtlich die Identitäten der Nutzer durch mehrschichtige Verschlüsselung, Onion-Routing und andere Methoden. 

Tor, die Abkürzung für „The Onion Router“, kann sich auf ein Netzwerk, einen Browser und ein Unternehmen beziehen.

Der Tor-Browser ist vielleicht der beliebteste Dark-Web-Browser, aber er ist nicht die einzige Möglichkeit, auf das Dark Web zuzugreifen. Das Tor-Netzwerk ist auch nicht das einzige Netzwerk für Dark-Web-Inhalte. Manchmal werden Tor und das Darknet als ein und dasselbe betrachtet, aber Tor ist nur eines von vielen Darknets.

Wenn man versteht, wie Tor funktioniert, kann man jedoch besser verstehen, wie das Dark Web im Allgemeinen funktioniert.

Das Kernprinzip des Tor-Netzwerks ist das sogenannte Onion Routing, mit dem Tor IP-Adressen maskiert und die Anonymität der Nutzer gewährleistet. Das erstmals in den 1990er Jahren vom US Naval Research Laboratory entwickelte Onion Routing wendet mehrere Verschlüsselungsebenen auf den Datenverkehr an. Diese Schichten geben der Technik ihren „Zwiebel“-Namen. 

Anstatt die Nutzer direkt zu ihrem Ziel zu leiten, werden sie beim Onion Routing zunächst über eine Reihe von Zwischenknoten geleitet. Jeder Knoten kann nur eine einzige Schicht der Verschlüsselung des Verkehrs entschlüsseln, sodass kein einzelner Knoten die Reise des Verkehrs von Anfang bis Ende kennt.  

Selbst die Betreiber von Darknet-Seiten wissen nicht, woher ihre Besucher kommen, und auch die Besucher wissen nicht, wo die Seiten gehostet werden. 

Das Dark Web, das Deep Web und das Surface Web sind drei unterschiedliche Teile des Webs. Das Surface Web ist das, was Nutzer über jede Suchmaschine finden können. Das Deep Web ist vor Suchmaschinen verborgen, aber ein Großteil davon kann über jeden Browser mit der richtigen Authentifizierung aufgerufen werden. Für Dark-Web-Inhalte ist eine spezielle Einrichtung erforderlich.

Das Surface Web, auch Open Web genannt, ist der Teil des Internets, der von regulären Suchmaschinen wie Google und Bing indiziert wird. Social-Media-Websites, YouTube-Videos, öffentliche Blogs und Amazon-Angebote: All dies sind Beispiele für Surface-Web-Inhalte.

Das Surface Web ist einer der kleinsten Teile des Internets und macht schätzungsweise 5 % des gesamten Inhalts im Internet aus. 

Das Deep Web ist der Teil des Internets, der von Suchmaschinen nicht indexiert wird – dazu gehört der Großteil der Webinhalte. Das Deep Web umfasst zwar auch das Dark Web, aber der größte Teil des Deep Web ist über einen normalen Webbrowser mit Standardkonfiguration zugänglich: passwortgeschützte Websites, kostenpflichtige Nachrichtenartikel und private Datenbanken.

Das Dark Web ist zwar Teil des Deep Web, aber in wichtigen Punkten unterscheiden sie sich.

Das Dark Web ist der Teil des Deep Webs, der in Darknets existiert. Daher ist der Zugriff nur über Dark Web-Browser, richtig konfigurierte Proxys oder andere Mittel möglich. Die meisten Deep-Web-Inhalte können mit den richtigen Zugangsdaten über das offene Internet abgerufen werden. Das Dark Web anonymisiert die Nutzer absichtlich, während das Deep Web dies nicht tut. 

Das Dark Web ähnelt dem offenen Internet sehr: Diskussionsforen, Nachrichtenseiten, Marktplätze und vieles mehr. Einige Surface-Websites – wie Facebook – haben sogar offizielle Dark-Web-Versionen.

Darknet-Websites bieten oft weniger Funktionen als offene Websites, was unter anderem daran liegt, dass die Leistung im Darknet tendenziell weniger zuverlässig ist. Techniken wie das Onion Routing wahren die Anonymität, allerdings auf Kosten der Verlangsamung der Verbindungen. 

„Man kann das Dark Web als ein chaotisches alternatives Web-Ökosystem denken“, sagt Robert Gates, leitender X-Force Threat Intelligence Analyst bei IBM. „Es ist eine abgespeckte Version der im Internet üblicherweise anzutreffenden E-Commerce-Websites mit Produktseiten, Anbietern und Feedback. Es gibt zwar Treuhanddienste und Bewertungssysteme, aber diese Systeme werden oft von den Verkäufern ausgenutzt.“

Darknet-Websites haben in der Regel lange, komplizierte URLs, die man sich nur schwer merken kann. Um im Dark Web zu navigieren, greifen Benutzer in der Regel auf Dark-Web-Suchmaschinen oder Linklisten wie das Hidden Wiki zu. 

Zu den häufigsten Arten von Dark-Web-Sites gehören:

Auf Dark-Web-Marktplätzen werden viele verschiedene Dinge verkauft.

• Malware wie Infostealer, Loader, Trojaner und Ransomware. Viele Cyberkriminelle nutzen Malware-as-a-Service-(MaaS)-Modelle. MaaS-Banden entwickeln und warten Malware-Tools und -Infrastrukturen, die sie an andere Hacker verkaufen, sogenannte „Affiliates“. Die Affiliates nutzen die Malware, um Opfer anzugreifen und teilen ihre Beute oft mit der MaaS-Bande. Ransomware as a Service (RaaS) ist besonders beliebt. 

• Andere Tools und Techniken für Cyberangriffe, wie zum Beispiel der Verleih von Botnetzen für DDoS-Angriffe und Phishing-Kits.

• Zugang. Access-Broker brechen in Netzwerke ein, in der Regel indem sie Schwachstellen ausnutzen und Hintertüren einbauen, und verkaufen diese Zugangspunkte dann an andere Cyberkriminelle.

• Daten wie gestohlene Bankkonten, Kreditkartendaten, Anmeldedaten und andere sensible Informationen, die Kriminelle für Identitätsdiebstahl verwenden können.  

• Illegale Waren, einschließlich gefälschter Dokumente und illegaler Drogen.

Die meisten Transaktionen auf Dark-Web-Plattformen verwenden Kryptowährungen wie Bitcoin, um die Anonymität von Käufern und Verkäufern zu wahren.

Silk Road wurde 2011 gegründet und gilt weithin als der erste und bekannteste Darknet-Marktplatz. Im Jahr 2013 wurde es vom FBI beschlagnahmt und stillgelegt.

Professionelle Cyberkriminelle und Hobby-Hacker versammeln sich in Dark-Web-Foren, wo sie Tipps, neue Schwachstellen und Informationen über potenzielle Ziele teilen – und mit ihren Erfolgen prahlen.

Auch Cybersicherheitsexperten beobachten diese Foren, um sich über die Cyberbedrohungslage auf dem Laufenden zu halten.

Auf sogenannten Leak-Websites stellen Hacker die Daten zur Schau, die sie bei Datenlecks gestohlen haben. Die Cyberkriminellen veröffentlichen Proben ihrer Daten und verlangen von ihren Opfern die Zahlung eines Lösegelds – andernfalls werden sie den Rest freigeben.

Manche Banden unterhalten ihre eigenen Leak-Websites. Andere haben ein Modell namens „Erpressung als Dienst“ eingeführt, bei dem größere Banden es Partnern und Verbündeten erlauben, gestohlene Daten auf ihren Websites zu hosten. Die Nutzung einer bekannteren Veröffentlichungsseite einer größeren Gang kann den Druck auf die Opfer erhöhen, zu zahlen. Wie bei anderen „as-a-Service“-Modellen behält die größere Bande üblicherweise einen Teil des Lösegelds ein.

Whistleblower – egal ob sie über Unternehmen, Regierungen oder andere Institutionen berichten – nutzen oft Dark-Web-Foren und Messagingdienste, um ihre Informationen anonym an die Öffentlichkeit zu bringen. 

Ebenso nutzen Journalisten häufig Dark-Web-Dienste, um mit Quellen in Kontakt zu treten, die Anonymität benötigen. Aktivisten können das Dark Web nutzen, um der Zensur und Überwachung von Regierungen zu entgehen.

Andere Darknet-Websites sind viel banaler. Es handelt sich dabei um Social-Media-Seiten, Nachrichtenseiten und andere typische Dienste, die das Dark Web nutzen, um zu verhindern, dass ihre Eigentümer und Nutzer verfolgt werden.

Da es keine rechtliche oder behördliche Aufsicht gibt und in dem Netzwerk jeder anonym ist, funktioniert das Dark Web nach dem Prinzip der sogenannten „Reputationsökonomie“, wie Gates es nennt. Hacker und Händler nutzen ihre früheren Aktivitäten, um Glaubwürdigkeit aufzubauen. Viele Marktplätze verfügen über Reviews, und einige bieten Treuhanddienste an, um sicherzustellen, dass die Leute bezahlt werden.

Diese Reputationsökonomie gibt Cyberkriminellen jedoch auch den Anreiz, sowohl ihre Opfer als auch einander zu belügen. Zum Beispiel könnten sie behaupten, mehr beeindruckende Datensätze gestohlen zu haben, als sie tatsächlich haben, um Geschäfte zu machen, Opfer unter Druck zu setzen oder kompetenter zu erscheinen. 

Und mit dem Aufkommen von generativer KI können sie ihre Lügen noch überzeugender machen, indem sie gefälschte Daten erstellen, um Sicherheitslücken größer erscheinen zu lassen, als sie tatsächlich sind. 

„Sie können einer KI die vorhandenen Dokumente und Daten zur Verfügung stellen und ihr sagen: ‚Erweitere diesen Datensatz und lass ihn wie eine größere Sammlung aussehen‘“, erklärt Gates. „Viele der Daten erweisen sich als gefälscht, aber man kann den Unterschied kaum erkennen.“ 

Und Cyberkriminelle scheuen sich nicht davor, sich gegenseitig direkt zu betrügen. 

„Wir haben Fälle gesehen, in denen die Administratoren eines bestimmten Forums eine Art Ausstiegsplan verfolgen, bei dem sie genug Geld gesammelt haben und einfach verschwinden“, sagt Gates. „Der Markt wird geschlossen, und alle sind ratlos, was passiert ist.“

Das Ergebnis all dieser schmutzigen Machenschaften und des Doppelspiels ist, dass das Dark Web eine erhebliche Fluktuation erlebt. Webseiten und Cyberkriminalitätsbanden tauchen ständig auf und verschwinden wieder. Zum Teil, weil die Strafverfolgungsbehörden sie zu Fall bringen, aber oft auch, weil sie sich gegenseitig in den Rücken fallen.

„Das Kräfteverhältnis im Dark Web verschiebt sich ständig“, sagt Gates. „Verbrannte Affiliates haben sich abgespalten, um ihre eigenen Unternehmen zu gründen. Irgendjemandes Ego steht im Weg, oder es kommt zu einem zwischenmenschlichen Konflikt zwischen ihnen.“  

Obwohl die Anonymität der größte Vorteil des Dark Web ist, gibt es Möglichkeiten, die Identität eines Benutzers aufzudecken. Beispielsweise können Strafverfolgungsbehörden und Sicherheitsexperten durch die Korrelation des Datenverkehrs, den jemand an das Tor-Netzwerk sendet, mit dem Datenverkehr zu einer bestimmten Website auf der Grundlage von Zeitstempeln hypothetisch feststellen, was dieser Benutzer tut. 

Vergiftete Knoten – kompromittierte Knoten in einem Netzwerk, die heimlich den Datenverkehr überwachen – können ebenfalls ein Loch in die Anonymität reißen. Benutzer können auch ihre eigene Identität verraten, indem sie einen Dark-Web-Browser oder ein Netzwerk falsch konfigurieren oder unsachgemäß verwenden. 

Die Überwachung des Dark Web ist eine zentrale Komponente vieler Threat-Intelligence-Anstrengungen. Durch die Beobachtung von Dark Web und sozialen Netzwerken können Threat-Intelligence-Analysten über die neueste Malware, aktuell ausgenutzte Sicherheitslücken und andere Trends auf dem Laufenden bleiben. 

Cybersicherheitsexperten können auch von den Folgen von Rivalitäten zwischen verschiedenen Gruppen profitieren, die oft dazu führen, dass Hacker die Websites der anderen beschädigen, sich gegenseitig verraten oder Quellcode veröffentlichen. Im Februar 2025 beispielsweise veröffentlichte eine rivalisierende Bande den Quellcode der neuesten Version der berüchtigten Lockbit-Ransomware.

„Das schafft Möglichkeiten für die Verteidiger“, sagt Gates. „Plötzlich gibt es eine Menge Nachahmer-Software, aber vielleicht sind deren OPSEC oder deren Verständnis davon, wie die Malware selbst funktioniert, nicht so gut wie das der Leute, die sie entwickelt haben. Vielleicht nutzen sie es also nicht richtig.“ 

Die Verteidiger können sich dann den Quellcode – oder andere durchgesickerte Informationen – beschaffen und selbst untersuchen. 

Die genaue Überwachung des Dark Web kann Cybersicherheitsteams auch dabei helfen, Hackerangriffe früher zu erkennen. Je früher Unternehmen wissen, dass eine Sicherheitsverletzung stattgefunden hat, desto schneller können sie Maßnahmen zu deren Eindämmung ergreifen. Jede Sekunde zählt, denn laut dem IBM Data Breach Kostenreport dauert es durchschnittlich 241 Tage, eine Datenschutzverletzung zu erkennen und einzudämmen.