Die Waffe, mit der David S. bei seinem Amoklauf neun Menschen und zuletzt sich selbst erschoss, soll aus den Tiefen des Darknets stammen. Unter dem Pseudonym "Maurächer" scheint er in geschützten Chatforen auf die Suche nach einer Pistole gegangen zu sein. Das zeigt die Auswertung seines Computers. Ob er sie dort auch bekommen hat, ist nach aktuellem Ermittlungsstand noch offen.

Darknet. Für die Beamten verheißt das nichts Gutes, denn zu perfekt verwischt das anonyme Parallelnetz die Spuren seiner Akteure. Manche sehen im dunklen "Netz-im-Netz" einen wichtigen Schutzraum für Dissidenten, politische Aktivisten und Whistleblower. Hier können Verfolgte weitgehend frei kommunizieren, Informationen austauschen oder Dokumente übergeben.

Doch viel prominenter noch ist sein anderes Gesicht. Das Darknet bietet einen nahezu rechtsfreien Raum für die übelsten Tätigkeiten und Typen: für Kinderpornografie, die in geheimen Foren getauscht wird, für den Handel mit gefährlichen Mordwerkzeugen oder gar das Anheuern eines Killers. All das gibt es auf den Websites mit der charakteristischen Endung .onion zu finden.

Denjenigen Wissenschaftlern, die die Schalen dieser Zwiebel durchdrungen haben, zeigt sich ein weiteres Bild: das einer großen, unkonventionellen Einkaufsmeile, die der legalen Netzwirtschaft überraschend ähnlich sieht.

Eine illegale Einkaufsmeile

Wie bei Amazon oder E-Bay können auch im Darknet die Käufer ihre Kommentare zu einzelnen Produkten und Händlern hinterlassen. Viele Marktplätze haben sich zudem klare Regeln gegeben, oft ist etwa der Handel mit Waffen, mit Gift, mit Auftragsmorden oder mit menschlichen Organen verboten. Bezahlt wird in der Kryptowährung Bitcoin, die bei entsprechenden Vorsichtsmaßnahmen Anonymität von Käufern und Verkäufern gewährleistet. Die Shops befinden sich zwar im "Dunkeln" des Darknets, suchen aber dennoch oft die Öffentlichkeit. Einige Marktplätze haben beispielsweise Pressesprecher oder Kunden-werben-Kunden-Programme.

Und eher selten wechseln hier realweltliche oder digitale Angriffswerkzeuge den Besitzer, sondern vor allem Aufputsch-, Party- und Entspannungsdrogen. Eine Reihe hoch professioneller Marktplätze wie "Alphabay", "The Real Deal" oder "Darknet Heroes League" bieten eine breite Palette illegaler Produkte an: Neben weichen und harten Drogen sind auch verschreibungspflichtige Medikamente zu haben, Falschgeld und gefälschte Pässe, Tutorials für den Einstieg in die Cyberkriminalität oder nachgemachte Markenprodukte.

In den digitalen Regalen liegen mitunter auch Waffen, da nicht alle Marktplätze deren Handel untersagen. Nach ersten Erkenntnissen der Polizei hatte auch der Amokläufer von München sein Mordwerkzeug hier bezogen, eine reaktivierte Theaterwaffe. Laut Bundeskriminalamt hat sich ein spezielles Geschäftsmodell etabliert: Eigentlich schussunfähig gemachte Dekorations- und Salutwaffen werden umgerüstet, so dass sie wieder funktionsfähig sind. Dann bietet man sie auf Darknet-Marktplätzen an. Das Übel des Waffenhandels unter .onion hat also mindestens zwei Wurzeln: dass sie dort ge- und verkauft werden können und dass überhaupt Waffen in den Verkehr gebracht werden dürfen, die nur vermeintlich harmlos sind. Derzeit gibt es in Deutschland nach Auskunft des BKA 80 Verfahren wegen Waffen- und Sprengstoffhandels im Darknet. Die Behörde betont allerdings, dass im Vergleich mit dem Drogen- oder Falschgeldhandel das Problem sehr überschaubar sei. Zudem seien viele Angebote schlicht Fake, bei denen die Käufer Geld überweisen, die gewünschte Ware aber nie erhalten.

Im Schutz der Zwiebel

Technisch gesehen gibt es diverse Möglichkeiten, ein verstecktes, "dunkles" Netz im Netz zu konstruieren. Durchgesetzt hat sich allerdings vor allem eine Lösung: das Darknet à la Tor, eine kostenlos downloadbare Software, die von der US-Organisation Tor Project entwickelt wird. Nur sie ermöglicht dem Nutzer den Zugriff auf Seiten mit der Endung .onion; für handelsübliche Browser wie Firefox und auch für Suchmaschinen wie Google sind diese Inhalte unsichtbar.

Schon die erste und naheliegendste Frage ist nur bedingt zu beantworten: Wie groß ist das Darknet überhaupt?

Vor allem aber erlaubt sie das anonyme Surfen im Netz. Bei Tor-basierten Internetbrowsern wird jede Anfrage über mehrere global verteilte Internetknoten geleitet. Die verräterische IP-Adresse eines Nutzers, die ihn sonst gläsern macht, ist dadurch nicht mehr sichtbar. Der Name "onion" ist dabei nicht zufällig gewählt. Die Erfinder von Tor hatten sich die Architektur ihrer Technologie als Zwiebelsystem vorgestellt, basierend auf mehreren übereinanderliegenden Schichten.

Wer in diesem System selbst Inhalte anbieten möchte, muss sich lediglich einen Server einrichten und diesen dann mit der Tor-Software verbinden. Anders als im normalen Netz wählt man seine Webadresse jedoch nicht selbst aus. Stattdessen wird sie von der Tor-Software erzeugt und besteht aus einer kryptischen Kombination von Zeichen, etwa mprt35sjunnxfa76.onion. Wer hinter einer solchen Seite steckt? Das ist in den seltensten Fällen bekannt. Praktisch unmöglich ist es außerdem, eine solche Seite zu blockieren, zu zensieren oder gar vom Netz nehmen zu lassen.

Auf der anderen Seite macht die Geheimniskrämerei das Finden von Darknet-Seiten zu einer Herausforderung für sich. Google listet keine .onion-Seiten auf. Dafür gibt es spezialisierte Darknet-Suchmaschinen wie Candle oder Torch (.onion-Links), die allerdings eher schlecht als recht funktionieren. Die Suchmaschine Ahmia hat auch eine Präsenz im normalen Netz. Über die illegalen Marktplätze wird sich vor allem auf dem US-amerikanischen Diskussionsportal Reddit oder auf dem "Branchenblog" Deepdotweb ausgetauscht.

Für Wissenschaftler, die sich der Erforschung des verborgenen Netzes verschrieben haben, ist aus all diesen Gründen schon die erste und naheliegendste Frage nur bedingt zu beantworten: Wie groß ist das Darknet überhaupt?

Ohne ein zentrales Verzeichnis von onion-Webadressen lassen sich die Websites nicht systematisch absuchen. Und vor allem: Auch die vielen Knoten des Tor-Netzwerks, die die Anfragen nach Darknet-Seiten vermitteln, kennen jeweils nur einen kleinen Teil der Gesamtheit.

Um trotzdem an einigermaßen verlässliche Zahlen zu kommen, bitten die Entwickler die Knotenbetreiber um Mitarbeit, erklärt Kate Krauss, Sprecherin des Tor-Projekts. Etwa die Hälfte der Server, die sich am Tor-Netzwerk beteiligen, nennen dann eine ungefähre Anzahl der Adressen, die sie innerhalb der letzten 24 Stunden beobachtet haben. Das wird in Relation zum Anteil der Server an der Gesamtarchitektur des Netzwerks gesetzt. "So erhalten wir eine Schätzung. Diese Zahl bereinigen wir dann noch ein bisschen, indem wir die kleinsten und größten Zahlen rauswerfen." Ergebnis ist ein tagesaktueller Wert von .onion-Seiten, zurzeit sind es knapp unter 60 000.

Ermitteln lässt sich dabei allerdings immer nur die Zahl der "aktiven" Seiten, die ihre Existenz bei einem der Knoten melden. Wie viele Adressen jemals vergeben wurden, aber nun vorübergehend oder dauerhaft stillliegen oder nie genutzt wurden, weiß keiner.

Und präzise Zahlen über die Besucher des .onion-Darknets hat die Tor Foundation gar nicht. Sie können nur ermitteln, wie viele Leute die Tor-Software verwenden. Weltweit sind es täglich etwas weniger als 1,8 Millionen Leute, in Deutschland etwa 170 000 User. Offen ist, wie viele damit einfach nur anonym im normalen Netz surfen oder tatsächlich das Darknet besuchen. Schätzungen zufolge liegt weltweit der Anteil der .onion-Besuche am Gesamtvolumen der Tor-Nutzung im einstelligen Prozentbereich.

Spionage im Dienst der Wissenschaft

Wissenschaftler, die nicht die Autorität der Tor-Stiftung hinter sich haben, müssen nach kreativen Möglichkeiten suchen, das Darknet zu erforschen. Einen umstrittenen Weg gingen Forscher der britischen University of Portsmouth. Für ihre Studie stellten sie über einen Zeitraum von sechs Monaten 40 Tor-Knoten zur Verfügung. Die halfen dabei, den Traffic zwischen Usern und .onion-Seiten zu vermitteln. Anders als eigentlich vorgesehen, protokollierten sie nebenbei aber auch alle beobachteten Seiten.

So kamen Gareth Owen und Nick Savage auf etwa 80 000 .onion-Adressen, die allerdings oft sehr kurzlebig waren und sich nur wenige Tage lang beobachten ließen. Das Forscherduo ordnete die gefundenen Seiten inhaltlichen Kategorien zu (siehe Grafik). Eine Quantifizierung nach Legalität der Inhalte wollten die Autoren nicht vornehmen, da es in verschiedenen Rechtssystemen unterschiedliche Auffassungen dazu gebe, etwa bei Whistleblower-Seiten. Sie kamen trotzdem zu folgendem Schluss: "Die Mehrheit der Seiten schien von zweifelhafter Legalität und Moral zu sein."

Allerdings addieren sich die Anteile der legalen oder zumindest nicht eindeutig illegalen Kategorien doch auf immerhin knapp 45 Prozent. Darunter waren mit jeweils um die 5 Prozent Maildienste, Whistleblower-Seiten, Wikis, Foren und Anonymisierungsdienste und mit etwas niedrigerer Häufigkeit auch Blogs, Darknet-Suchmaschinen und Chats.

Ein bemerkenswertes Ergebnis erhielten die britischen Wissenschaftler, als sie schauten, wie sich die Abrufe von Darknet-Seiten auf die verschiedenen Kategorien verteilten. Nach ihren Erhebungen ging es in mehr als 80 Prozent der Abfragen um Inhalte aus der Kategorie Missbrauch, während alle anderen Kategorien lediglich in Bereichen von eins bis fünf Prozent vor sich hin dümpelten. Wird tatsächlich in einem solchen Ausmaß im Darknet Kinderpornografie abgerufen? Die Wissenschaftler räumten ein, dass die Traffic-Zahlen eventuell verfälscht sein könnten. Gerade Missbrauchsseiten werden zum einen regelmäßig von Ermittlern beobachtet und damit auch aufgerufen, zum anderen fahren Netzaktivisten immer wieder forcierte Massenabfragen, mit dem Ziel, kinderpornografische Seiten lahmzulegen. Dennoch halten die Wissenschaftler ihre Zahlen prinzipiell für aussagekräftig. Hinweise auf eine so starke Nutzung des .onion-Darknets für Missbrauchszwecke hat sonst jedoch keine größere Studie gefunden.

Mit ihrer Veröffentlichung sorgten sie für heftige Diskussionen, für Widerspruch und für öffentlich vorgetragene Zweifel an den Möglichkeiten und Grenzen der Erhebungsmethode. Ist es vertretbar, als Beobachter eigene Netzknotenpunkte verfügbar zu machen und sich damit gewissermaßen aktiv am illegalen Geschehen zu beteiligen? Darf man durch das Protokollieren der Adressen die Sicherheitsbestimmungen umgehen, die ja auch zum Schutz von Dissidenten und anderweitig Verfolgten vorgesehen sind? Auf diese Fragen fanden Fachkollegen und Netzaktivisten noch keine abschließende Antwort.

Vor allem geht es um Drogen

Explizit für die illegalen Marktplätze im Darknet interessierten sich Kyle Soska und Nicolas Christin von der US-amerikanischen Carnegie Mellon University in ihrer Studie. In einer Langzeiterhebung haben sie zwischen Januar 2013 und Juni 2015 insgesamt 35 verschiedene illegale Marktplätze analysiert und diese durchschnittlich alle drei Tage mit allen Unterseiten gescannt.

Um abschätzen zu können, wie viel Umsatz im Darknet gemacht wird, erfassten sie, was ein Produkt kostete und wie oft es von Nutzern bewertet wurde – Letzteres sollte ihnen einen ungefähren Hinweis auf die Verkaufshäufigkeit geben. Sie fanden heraus, dass auf den größeren Marktplätzen rund 300 000 bis 600 000 Dollar pro Tag umgesetzt wurden, bei den kleineren waren es täglich nur wenige Tausende. Zudem schauten die Wissenschaftler auf die Landschaft der Darknet-Händler: Etwa 9000 verschiedene Akteure haben sie insgesamt gezählt, im Schnitt boten diese ihre Waren auf drei Marktplätzen parallel an. Fast zwei Drittel des Handels machten jedoch in den zweieinhalb Jahren der Studie kaum mehr als 1000 US-Dollar Umsatz, es dürfte sich folglich eher um Hobbyhändler handeln, meinen die Forscher. Nur zwei Prozent der Verkäufer kamen über die 100 000 Dollar. Und ein weiteres Prozent war für die gesamte übrige Hälfte des Handelsvolumens verantwortlich.

Über den virtuellen Ladentisch wanderten dabei vor allem gängige Drogen, beobachteten Soska und Christin. Sie machten im letzten erfassten Monat etwa zwei Drittel der Umsätze aus: Cannabishaltige Substanzen, MDMA-Produkte wie Ecstasy und Kokain standen umsatzmäßig an der Spitze. Nennenswert war zudem die Kategorie der Medikamente. Sonstige Güter kamen auf insgesamt weniger als fünf Prozent, dazu zählten sie Equipment zum Konsum von Drogen, Elektrogeräte, Zigaretten und auch Waffen.

Wie legal oder illegal ist das Darknet denn nun genau?

Welches Ausmaß die Illegalität unter .onion annimmt, ermittelten Daniel Moore und Thomas Rid vom britischen King's College London, indem sie aus bereits existierenden .onion-Verzeichnissen 5615 Adressen sammelten und dann Crawler-Suchprogramme losschickten, allen dort verzeichneten Links zu folgen. So kamen sie zwischen Januar und März 2015 auf insgesamt etwa 300 000 Adressen.

Wie Owen und Savage merkten die beiden aber schnell, dass .onion-Adressen oft nicht lange existieren. Die meisten ließen sich technisch gar nicht mehr aufrufen. Nur ein Bruchteil der erfassten Adressen war tatsächlich auch online, und von denen enthielt wiederum nur die Hälfte Inhalte. Diese 2723 Adressen haben sie dann ausgelesen, automatisiert analysiert und einer von zwölf Kategorien zugeordnet. Dabei haben ihre Crawler nur Texte, aber keine Mediendateien heruntergeladen, damit sich die Forscher selbst nicht strafbar machen. Von den aktiven Seiten enthielten etwa 57 Prozent illegale Inhalte. Um Drogen ging es etwa auf jeder sechsten, um Finanzgeschäfte wie Geldwäsche, Handel mit Kreditkartendaten oder Falschgeld bei jeder achten. "Extremismus", womit die Autoren terroristische Hetze oder Aufrufe zu Gewalt meinten, und illegale Pornografie nahmen jeweils fünf Prozent der Seiten ein. Waffenhandel fand lediglich auf 1,5 Prozent der Seiten statt.

Heller wird es wohl nicht

Auch hier zeigte sich allerdings wieder: Der Anteil der Seiten mit im Grunde völlig legalen Inhalten ist auch im Darknet nicht verschwindend gering. 43 Prozent der .onion-Adressen subsumierten die Moore und Rid unter "Sonstiges": ideologische oder politische Inhalte, Whistleblower-Postfächer und legale Dienstleistungen.

Die Forscher vom Londoner King's College sind davon überzeugt, dass sie mit ihrer Methode den größten Teil der Darknet-Seiten gefunden haben, die auch menschliche Nutzer im Untersuchungszeitraum hätten besuchen können. Wirklich Licht ins Dunkel des Darknets wird sich allerdings nie bringen lassen, meint Koautor Moore. Als Kartograf des Darknets müsse man eben mit einer Sache leben lernen: "Man muss akzeptieren, dass man sich in einer Welt bewegt, über die man niemals alles herausfinden wird."