Was im Darknet, dem "dunklen Teil" des Internets, geschieht, dringt eher selten in den Bereich herüber, den seine Nutzer etwas abschätzig das clear net nennen, das normale Internet. Am Wochenende war das anders, da schwappte die Aufregung über: "In einer Razzia, die das FBI mit der Jagd nach Pädophilen begründet, wurde die Hälfte der Websites im Onion-Netzwerk kompromittiert", schrieb zum Beispiel der Hacker S.H.G._Nackt auf Twitter. Viele ähnlich lautende Meldungen machen die Runde. Der Tenor: US-Ermittler scheinen einen Schlag gegen Angebote im anonymen Tor-Netzwerk zu führen, auch Onion Net genannt.

Tor- oder Onion-Netzwerk, das meint die sogenannten Hidden Services, Websites mit kryptischen Adressen wie http://idnxcnkne4qt76tg.onion, die nur über den Anonymisierungsdienst Tor erreichbar sind und deren Betreiber im Normalfall ebenso anonym sind wie seine Besucher. Weil es oft Angebote wie The Silk Road sind, ein Handelsplatz für illegale Drogen, oder auch Kontaktseiten zu angeblichen Auftragskillern oder Seiten mit Bildern und Videos von Kindesmissbrauch, wird dieser Teil des Internets auch Darknet oder Darkweb genannt.

Die Hidden Services werden allerdings auch von Medien wie dem Magazin New Yorker genutzt, um mit Informanten in Kontakt zu bleiben, oder von Dissidenten, die Material unbemerkt an der Zensur vorbei veröffentlichen wollen. Das Tor-Netzwerk galt als einer der letzten mehr oder weniger unkontrollierten Räume des Internets. Menschen wie S.H.G._Nackt fürchten, dass sich das gerade ändert.

Was ist geschehen? Sicher scheint bislang, dass der 28-jährige Eric Eoin Marques in Irland unter dem Vorwurf verhaftet wurde, er habe bei der Verbreitung von Kinderpornografie im Darknet eine wesentliche Rolle gespielt. Marques gilt als Gründer des Untergrund-Providers Freedom Hosting, der die Seiten sehr vieler Hidden Services hostet. Die USA bemühen sich um seine Auslieferung, Marques bleibt so lange in Haft.

Server erst kompromittiert, dann offline

Keine Fragen – so kann man die Geschäftspolitik von Freedom Hosting beschreiben. Zwar haben Provider in den meisten Staaten das Privileg, dass sie für illegale Angebote auf ihren Servern nicht selbst haften müssen. Werden sie jedoch auf solche Angebote aufmerksam gemacht, müssen sie mit den Ermittlungsbehörden kooperieren und alle Daten bereitstellen, die zur Ergreifung der Täter führen. Nicht so bei einem Darknet-Provider: Da er sogar verbirgt, wo sich seine Server befinden, können offizielle Beschwerden gar nicht erst gestellt werden. Wie The Daily Dot berichtet, ging Marques sogar einen Schritt weiter und bot seinen Kunden seit Kurzem auch noch anonymisierte Zahlungsdienste an – Geldwäsche gegen Gebühr. Dies könnte ihm zum Verhängnis geworden sein. 

Das aber war nicht alles. Fast gleichzeitig mit dem Bekanntwerden der Verhaftung entdeckten Kunden von Marques, dass auf ihren Angeboten, also ihren Hidden Services, plötzlich ein verdächtiges Programm installiert war. Zusätzlich zu den eigentlich vorhandenen Inhalten lieferten die kompromittierten Angebote nun ein zusätzliches JavaScript aus, das offenbar ein Schadprogramm herunterladen soll – die Datenspur führt ins Netz des US-Providers Verizon, wie wired.com berichtet.

Einziges Ziel der Attacke war es offenbar, Tor-Nutzer zu deanonymisieren: Informationen über ihre Computer sollten an Tor vorbei ins clear net gesandt werden. Neben klar illegalen Angeboten wie einem Tauschnetzwerk für dokumentierten Kindermissbrauch soll auch Tormail von der Attacke betroffen sein, ein anonymisierter E-Mail-Dienst, der auf den Servern von Freedom Hosting lief. Später hieß es, fast die Hälfte aller Angebote im Tor-Netzwerk seien gar nicht mehr erreichbar – das FBI hat möglicherweise die Server von Marques abgeschaltet.