Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Threat Intelligence · Darknet

Das Darknet:
Was es ist, wie es funktioniert
und wie du dich schützt.

Das Darknet ist ein verschlüsselter Teil des Internets, der nur über den Tor-Browser erreichbar ist. Es wird von Kriminellen genutzt — aber auch von Journalisten, Whistleblowern und Aktivisten. Für Unternehmen ist es relevant, weil gestohlene Zugangsdaten und Kundendaten dort gehandelt werden. Als Pentest-Firma sehen wir regelmäßig, wie Unternehmensdaten im Darknet landen — oft Monate bevor ein Angriff stattfindet. Dieser Leitfaden erklärt was das Darknet ist, welche Gefahren es gibt und wie Unternehmen sich schützen.

Darknet Monitoring starten Kostenlose Erstberatung
Zuletzt aktualisiert: 19.03.2026 Von zertifizierten Experten verfasst Quellen: BSI, Tor Project, Verizon DBIR
Tor-Nutzer täglich weltweit (Tor Project, 2024)
2,4 Mio.
Deutschland bei globaler Tor-Nutzung (Tor Project)
Top 5
der Datenpannen über gestohlene Credentials als Angriffsvektor (Verizon DBIR 2024)
24 %
Ø bis zur Erkennung eines Datenlecks (IBM Cost of a Data Breach 2024)
194 Tage

Grundlagen

Was ist das Darknet — und was nicht?

Das Darknet ist ein verschlüsselter, anonymisierter Teil des Internets, der ausschließlich über spezielle Software wie den Tor-Browser erreichbar ist. Es besteht aus .onion-Adressen, die nicht über normale DNS-Server aufgelöst werden und damit für Standardbrowser unsichtbar bleiben.

Das häufigste Missverständnis: Deep Web und Darknet sind nicht dasselbe. Das Deep Web umfasst alle Inhalte, die nicht von Suchmaschinen indexiert werden — also E-Mail-Postfächer, Bankkonten, Cloud-Dateien, Intranets. Das macht schätzungsweise 96 % des Internets aus. Das Darknet ist ein kleiner, gezielt anonymisierter Teilbereich davon.

Deutschland gehört zu den Ländern mit der höchsten Tor-Nutzung weltweit — sowohl aus legitimen Datenschutzgründen als auch aus kriminellen Motiven. Das BSI dokumentiert im Lagebericht 2024 eine zunehmende Professionalisierung krimineller Darknet-Dienste, insbesondere von Ransomware-as-a-Service-Angeboten und Credential-Marktplätzen.

Wiki: Darknet-Marktplätze Glossar: Darknet Glossar: Dark Web

Surface Web, Deep Web & Darknet im Vergleich

Surface Web
Zugänglich
Alle Browser
Größe
~4 % des Internets
Beispiele
Öffentliche Websites, Google-Index, Social Media
Deep Web
Zugänglich
Login / Direktlink erforderlich
Größe
~96 % des Internets
Beispiele
E-Mail-Postfächer, Bankkonten, Cloud-Speicher, Intranets
Darknet
Zugänglich
Tor-Browser / I2P / Freenet
Größe
Kleiner Teil des Deep Web
Beispiele
.onion-Seiten, anonyme Foren, kriminelle Marktplätze

Merksatz: Jedes Darknet ist Deep Web. Aber nicht jedes Deep Web ist Darknet. Präziser formuliert: Das Darknet nutzt eine eigene Netzwerk-Infrastruktur (Tor-Onion-Routing) und ist kein bloß „versteckter Bereich" des normalen Internets — sondern ein paralleles Netz, das separate Software erfordert.

Technologie

Wie funktioniert das Darknet technisch?

Das Tor-Netzwerk ist die technische Grundlage des Darknets. Es wurde ursprünglich vom US Naval Research Laboratory entwickelt und 2002 als Open-Source-Projekt veröffentlicht.

Onion Routing: Drei Schichten Verschlüsselung

  1. 1

    Entry Node (Guard)

    Der erste Knotenpunkt kennt Ihre IP-Adresse, aber nicht das Ziel. Der Datenverkehr wird dreifach verschlüsselt, bevor er den Entry Node erreicht.

  2. 2

    Middle Node (Relay)

    Der mittlere Knotenpunkt kennt weder Absender noch Ziel. Er entfernt eine Verschlüsselungsschicht und leitet die Daten weiter.

  3. 3

    Exit Node

    Der letzte Knotenpunkt kennt das Ziel, aber nicht den ursprünglichen Absender. Er entfernt die letzte Verschlüsselungsschicht und stellt die Verbindung zum Zielserver her.

.onion-Adressen erklärt

.onion-Adressen sind kryptografisch generierte, 56-stellige Zeichenketten (v3 Onion Services). Sie werden nicht über normale DNS-Server aufgelöst, sondern direkt im Tor-Netzwerk. Ein Beispiel: duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion ist die offizielle DuckDuckGo-Onion-Adresse.

Alternativen zum Tor-Netzwerk

I2P (Invisible Internet Project)

Stärker auf interne Anonymisierung ausgelegt als Tor. Optimiert für Peer-to-Peer-Kommunikation innerhalb des Netzwerks. Nutzt garlic routing (mehrere Onion-Layer gleichzeitig). Kleineres Netzwerk, schwieriger zu konfigurieren, aber in einigen Angreiferkreisen bevorzugt.

Freenet

Dezentralisiertes, zensurresistentes Dateispeichernetzwerk. Inhalte werden verschlüsselt über das Netzwerk verteilt gespeichert. Primärer Fokus: Meinungsfreiheit und Widerstandsfähigkeit gegen Abschaltung. Weniger für anonymes Surfen geeignet als Tor.

Zugang im Unternehmenskontext

Der Tor-Browser ist der einzige empfohlene Weg zum Darknet-Zugang — kostenlos unter torproject.org downloadbar. Für Sicherheitsforscher und Pentester existieren spezialisierte Betriebssystemdistributionen wie Tails (amnesisches OS) und Whonix, die Tor systemweit einbinden.

Navigation

Suchmaschinen im Darknet

.onion-Adressen sind kryptografisch generierte Zeichenketten — ohne Suchmaschine ist gezieltes Finden im Tor-Netzwerk kaum möglich. Diese sechs Suchmaschinen sind die relevantesten.

DuckDuckGo

Standard im Tor-Browser

duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion

Standardsuchmaschine im Tor-Browser. Eine der wenigen Suchmaschinen mit eigenem Index — auch im normalen Internet unter duckduckgo.com nutzbar. Fokus auf Privatsphäre, kein Tracking.

Torch

Älteste Darknet-Suchmaschine

xmh57jrknzkhv6y3ls3ubitzfqnkrwxhopf5aygthi7d6rplyvk3noyd.onion

Die älteste Suchmaschine im Darknet. Laut Betreibern wird nichts zensiert und kein Tracking der Nutzer durchgeführt. Großer Index, aber keine Qualitätsfilterung.

Ahmia

Auch im Clear Web nutzbar

juhanuouj2nkfnr3wtul6xwtiaq7hlblet23tjbfjn7o7bq6l2lkq3ad.onion

Besonderheit: Zeigt Onion-Links auch im normalen Browser unter ahmia.fi an. Open-Source-Projekt, filtert aktiv illegale Inhalte heraus. Gut für den Einstieg in die Darknet-Recherche.

Haystak

Eigener Index + Premium

haystak5njsmn2hqkewecpaxetahtwhsbsa64jom2k22z5afxhnpxfid.onion

Einzige Darknet-Suchmaschine mit Premium-Modell. Besitzt einen eigenen Index und hebt sich dadurch von anderen Suchmaschinen ab, die lediglich Ergebnisse aggregieren.

Candle

Minimalistisch

Minimalistisches Interface nach Google-Vorbild. Unterstützt nur einfache Stichwortsuche — keine Suchoperatoren oder erweiterte Filter. Einfach, aber funktional.

notEvil

URL- & Titelsuche

Vom Google-Motto „Don't be evil" inspiriert. Durchsucht URLs und Seitentitel im Tor-Netzwerk. Schlichtes Design, aber zuverlässig für einfache Suchanfragen.

Hinweis zur Verfügbarkeit

Darknet-Suchmaschinen sind häufig instabil — Adressen ändern sich, Dienste gehen ohne Vorwarnung offline. Die hier gelisteten .onion-Adressen entsprechen dem Stand März 2026. Für Unternehmens-Recherchen empfehlen wir professionelle Threat-Intelligence-Plattformen statt manueller Darknet-Suche.

Hintergrund

Warum wurde das Darknet entwickelt?

Das Darknet ist kein Produkt der Kriminalität — es wurde für staatliche sichere Kommunikation entwickelt und erst später der Zivilgesellschaft übergeben.

  1. US Naval Research Laboratory

    Onion Routing Paper

    David Goldschlag, Michael Reed und Paul Syverson veröffentlichen das grundlegende Konzept des Onion Routings. Ziel: sichere Kommunikation für US-Geheimdienste, die nicht auf die eigene Infrastruktur angewiesen sein soll. Das Paradox: Anonymisierung funktioniert nur in einem heterogenen Netzwerk — ein reines Behördennetzwerk wäre sofort identifizierbar.

  2. Öffentliche Veröffentlichung

    Tor wird Open Source

    Roger Dingledine und Nick Mathewson veröffentlichen das Tor-Projekt als Open-Source-Software. Mit Unterstützung der Electronic Frontier Foundation (EFF) wächst das Netzwerk rasch. Die Zivilgesellschaft erhält Zugang zu demselben Anonymisierungswerkzeug, das ursprünglich für staatliche Zwecke entwickelt wurde.

  3. Wendepunkt

    Silk Road — Schließung durch FBI

    Im Oktober 2013 schließt das FBI den Darknet-Drogenmarktplatz Silk Road und verhaftet Gründer Ross Ulbricht (Pseudonym "Dread Pirate Roberts"). Silk Road hatte seit 2011 über 200 Mio. USD Umsatz mit illegalen Waren erwirtschaftet. Die Verhaftung belegt erstmals öffentlich, dass Tor keine absolute Anonymität garantiert — operative Sicherheitsfehler führten zur Identifizierung. Für die Öffentlichkeit wird das Darknet zum Synonym für illegale Aktivitäten.

  4. Gegenwart

    Professionalisierung des Cybercrime

    Das Darknet hat sich zu einer professionellen Infrastruktur für Cybercrime entwickelt. Ransomware-as-a-Service, Initial Access Broker, Credential-Marktplätze und DDoS-for-hire sind etablierte Geschäftsmodelle. Gleichzeitig nutzen mehr als 2,4 Mio. Menschen täglich Tor für legitime Zwecke — Datenschutz, Pressefreiheit und Umgehung von Zensur.

Nutzergruppen

Wer nutzt das Darknet — und warum?

Die Darknet-Nutzung ist heterogen. Kriminelle, Journalisten, Aktivisten und Sicherheitsforscher nutzen dieselbe Infrastruktur für grundlegend unterschiedliche Zwecke.

Kriminelle

Hoch

Handel mit gestohlenen Zugangsdaten, Drogenmarktplätze, Ransomware-as-a-Service-Angebote, gefälschte Dokumente und Malware-Kits. Das BSI Lagebericht 2024 dokumentiert steigende Professionalisierung krimineller Darknet-Dienste.

Journalisten & Whistleblower

Kein Risiko

SecureDrop und GlobaLeaks ermöglichen anonyme Hinweisgeberkommunikation. Über 80 Medienorganisationen weltweit (darunter The Guardian, New York Times, Der Spiegel) betreiben Tor-basierte Einreichungsportale für investigativen Journalismus.

Aktivisten in zensierten Ländern

Kein Risiko

In Ländern mit Internetzensur (Iran, China, Russland) ermöglicht Tor den Zugang zu freien Informationen. Auch Facebook und die BBC betreiben offizielle .onion-Adressen, um in zensierten Regionen erreichbar zu bleiben.

Sicherheitsforscher & Pentester

Professionell

Threat Intelligence, Monitoring von Darknet-Foren auf Unternehmenserwähnungen, Analyse von Ransomware-Leak-Sites und kriminellen Marktplätzen. AWARE7 nutzt das Darknet im Rahmen von Penetrationstests und Darknet-Monitoring-Projekten.

Bedrohungslage

Welche Gefahren lauern im Darknet?

Das Darknet birgt für Privatpersonen und Unternehmen unterschiedliche Risiken. Für Unternehmen ist der Credential-Handel das kritischste Thema — gestohlene Zugangsdaten sind die häufigste Ursache für Netzwerkeinbrüche und Ransomware-Angriffe.

01

Malware bei Downloads

Dateien aus dem Darknet sind mit hoher Wahrscheinlichkeit infiziert. Trojanisierte Tools, Backdoors in Software-Cracks und manipulierte Exploit-Kits sind Standard. Selbst vermeintlich legitime Werkzeuge enthalten oft eingebettete Schadsoftware.

02

Phishing durch gefälschte Marktplätze

Gefälschte Kopien bekannter Darknet-Marktplätze stehlen Zugangsdaten und Kryptowährungen. Da .onion-Adressen kryptische Zeichenketten sind, ist Phishing kaum erkennbar. Verweise in Foren führen häufig auf betrügerische Klone.

03

Betrug durch Exit-Scams

Marktplatzbetreiber verschwinden mit dem Treuhandguthaben aller Nutzer — ein sogenannter Exit-Scam. Einige der größten Darknet-Marktplätze haben ihre Nutzer so um Millionen US-Dollar betrogen. Recourse gibt es keinen.

04

Behördliche Überwachung

Strafverfolgungsbehörden betreiben aktiv Honeypots und überwachen Darknet-Marktplätze. Europol und das FBI haben in der Operation SpecTor (2023) 288 Personen verhaftet. Tor bietet keine absolute Anonymität — Timing-Analysen und Metadaten können Nutzer identifizieren.

05

Credential-Handel für Unternehmen

Gestohlene Unternehmens-Zugangsdaten werden systematisch auf Darknet-Marktplätzen verkauft — oft zu Preisen unter 10 USD pro Datensatz. Initial Access Broker (IABs) spezialisieren sich darauf, Netzwerkzugänge zu erwerben und an Ransomware-Gruppen weiterzuverkaufen.

06

Ransomware-Leak-Sites

Ransomware-Gruppen betreiben eigene .onion-Seiten, auf denen sie gestohlene Unternehmensdaten veröffentlichen, wenn das Lösegeld nicht gezahlt wird. Diese "Double Extortion"-Taktik erhöht den Druck erheblich und macht Backups allein zur unzureichenden Gegenmaßnahme.

Praxis

Sind meine Unternehmensdaten im Darknet?

Gestohlene Unternehmensdaten erscheinen im Darknet oft Monate bevor ein Angriff stattfindet. Initial Access Broker kaufen kompromittierte Zugangsdaten, sammeln sie und verkaufen sie gebündelt an Ransomware-Gruppen weiter. Das Fenster zwischen Datenleck und Angriff beträgt laut IBM Cost of a Data Breach Report 2024 im Schnitt 194 Tage bis zur Erkennung.

Was im Darknet gehandelt wird: Login-Daten (E-Mail, VPN, RDP), Kundendatenbanken, interne Dokumente, Quellcode, API-Keys und Bankverbindungen. Die Qualität und der Preis variieren stark — Zugänge zu größeren Unternehmen oder kritischen Systemen erzielen erheblich höhere Preise.

Wie man es herausfindet: Have I Been Pwned (haveibeenpwned.com) bietet kostenlosen Abgleich gegen bekannte Datenpannen. Für Unternehmen ist kontinuierliches Darknet-Monitoring die einzige zuverlässige Frühwarnoption.

Was wird gehandelt?

  • Login-Daten (E-Mail, VPN, RDP, Cloud)
  • Kundendatenbanken mit PII
  • Netzwerkzugänge (Initial Access)
  • Interne Dokumente und Quellcode
  • API-Keys und Zertifikate
  • Ransomware-as-a-Service-Pakete

Darknet Monitoring von AWARE7

Kontinuierliches Monitoring von Credential-Marktplätzen, Paste-Sites und Ransomware-Leak-Pages auf Erwähnungen Ihrer Domains, E-Mail-Adressen und IP-Ranges. Alarm-Benachrichtigung innerhalb von Stunden nach Detektion.

Zum Datenleck-Monitoring

Schutzmaßnahmen

Wie schütze ich mein Unternehmen vor Darknet-Bedrohungen?

Vier Maßnahmen decken den größten Teil des Risikos ab. Sie bauen aufeinander auf: Monitoring für Frühwarnung, MFA um gestohlene Credentials wertlos zu machen, Awareness um Diebstahl zu verhindern, und Pentest um blinde Flecken zu eliminieren.

01

Darknet Monitoring einrichten

Kontinuierliches Monitoring von Darknet-Foren, Credential-Marktplätzen und Ransomware-Leak-Sites auf Erwähnungen Ihres Unternehmens, Ihrer Domains und Ihrer E-Mail-Adressen. Früherkennung ermöglicht proaktive Gegenmaßnahmen.

Datenleck-Monitoring
02

Multi-Faktor-Authentifizierung (MFA) für alle Zugänge

Selbst kompromittierte Passwörter nützen Angreifern wenig, wenn MFA aktiviert ist. MFA ist die effektivste Einzelmaßnahme gegen Credential-basierte Angriffe — BSI empfiehlt TOTP oder FIDO2/Passkeys.

03

Mitarbeiter schulen (Phishing-Awareness)

Der häufigste Weg zu gestohlenen Credentials führt über Phishing. Regelmäßige Simulationen und Awareness-Trainings reduzieren die Erfolgsrate von Phishing-Angriffen nachweislich. Basis für den BSI Grundschutz-Baustein ORP.3.

Security Awareness Training
04

Penetrationstest durchführen lassen

Ein Penetrationstest deckt Schwachstellen auf, bevor Angreifer sie ausnutzen. AWARE7-Pentester nutzen dieselben Informationsquellen wie echte Angreifer — inklusive Darknet-Recherche zu exponierten Assets Ihres Unternehmens.

Penetrationstest beauftragen

Sind Ihre Unternehmensdaten bereits im Darknet?

In einem kostenlosen Erstgespräch analysieren wir Ihre Exposure und zeigen Ihnen, ob Credentials Ihres Unternehmens aktuell auf Darknet-Marktplätzen gehandelt werden.

Kostenloses Erstgespräch

Recht

Was ist in Deutschland legal im Darknet?

Die Nutzung des Tor-Browsers ist legal. Strafbarkeit entsteht durch Inhalte und Handlungen — nicht durch den Weg dorthin. Die folgende Übersicht gilt für Deutschland (keine Rechtsberatung).

Aktivität Rechtslage Hinweis
Tor-Browser herunterladen Legal Download von torproject.org ist in Deutschland uneingeschränkt legal.
Im Darknet surfen / .onion-Seiten aufrufen Grundsätzlich legal Das bloße Aufrufen von .onion-Seiten ist nicht strafbar. Strafbarkeit entsteht durch Inhalte oder Handlungen.
Illegale Inhalte aufrufen (z. B. CSAM) Strafbar §184b StGB: Strafbar bereits bei Aufruf. Kein Vorsatz erforderlich bei wissentlichem Zugriff.
Hacking-Tools kaufen / verkaufen Strafbar §202c StGB: Vorbereitung einer Straftat nach §202a/202b — auch Besitz von "Hackerwerkzeug" strafbar.
Gestohlene Daten kaufen / verwenden Strafbar §202a StGB (Ausspähen), §259 StGB (Hehlerei), §263a StGB (Computerbetrug) — je nach Verwendung.
Betäubungsmittel kaufen Strafbar §29 BtMG: Erwerb von Betäubungsmitteln ist strafbar — unabhängig vom Erwerbsweg.

Hinweis

Diese Übersicht dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die Rechtslage kann sich ändern. Bei konkreten Fragestellungen wenden Sie sich an einen auf IT-Recht spezialisierten Rechtsanwalt.

AWARE7-Perspektive

Das Darknet als Bedrohungsvektor — was wir in Projekten sehen

Im Rahmen von Penetrationstests und Threat-Intelligence-Projekten nutzen AWARE7-Analysten das Darknet als Informationsquelle über die Angriffsfläche unserer Kunden. Wir suchen aktiv nach exponierten Credentials, kompromittierten E-Mail-Konten, internen Dokumenten und Netzwerkinformationen, die über kriminelle Foren oder Marktplätze zugänglich sind.

Was wir dabei regelmäßig beobachten: Die meisten Unternehmen wissen nicht, was über sie im Darknet verfügbar ist. Credentials von ehemaligen Mitarbeitern, VPN-Zugänge aus längst vergessenen Projekten, oder interne Dokumente aus einem Vorfall, der nie öffentlich wurde — die Zeitverzögerung zwischen Datenleck und Erkenntnis beträgt im Schnitt über sechs Monate.

Fallbeispiel (anonymisiert)

Credentials im Darknet — 4 Monate vor dem Angriff

Im Rahmen eines Penetrationstests für ein mittelständisches Industrieunternehmen (ca. 400 MA) identifizierten wir im Vorfeld der technischen Tests aktive Credential-Listen des Unternehmens auf einem spezialisierten Darknet-Forum.

Die Daten stammten aus einem Stealer-Log — Schadsoftware, die Zugangsdaten aus dem Browser-Cache eines Mitarbeiters extrahiert hatte. Darunter: VPN-Zugangsdaten, mehrere interne Portale, sowie ein Admin-Account für das ERP-System.

Der Zeitstempel der Darknet-Veröffentlichung: 4 Monate vor unserem Pentest. Das Unternehmen hatte keine Kenntnis von dem Leck. Wir informierten den Kunden sofort, die VPN-Zugänge wurden gesperrt und alle betroffenen Accounts zurückgesetzt — bevor ein Angreifer sie nutzen konnte.

Penetrationstest beauftragen Darknet Monitoring

Darknet Reconnaissance

Vor jedem Pentest führen wir OSINT-Recherchen durch — inklusive Darknet-Suche nach Credentials, Netzwerkinformationen und internen Dokumenten des Ziels. Was Angreifer wissen, sollten wir vorher wissen.

Threat Intelligence

Monitoring einschlägiger Darknet-Foren und Telegram-Kanäle auf branchenbezogene Bedrohungen, neue Exploits und gezielte Aussagen über spezifische Unternehmen. Relevante Findings fließen in Pentest-Scope und Kundenwarnungen ein.

Incident Response

Bei Sicherheitsvorfällen recherchieren wir im Darknet, ob Daten bereits veröffentlicht wurden, welche Gruppe für einen Angriff verantwortlich ist und ob weitere Unternehmen betroffen sind.

Das Darknet ist ein verschlüsselter Teil des Internets, der ausschließlich über spezielle Software wie den Tor-Browser erreichbar ist. Es besteht aus .onion-Adressen, die über das Tor-Netzwerk aufgelöst werden. Das Darknet ist kein Synonym für das Deep Web: Das Deep Web umfasst alle nicht öffentlich indizierten Inhalte (E-Mails, Bankkonten, Cloud-Dateien), das Darknet ist ein kleiner, anonymisierter Teilbereich davon.
Der Zugang ins Darknet erfolgt über den Tor-Browser, der kostenlos unter torproject.org heruntergeladen werden kann. Der Tor-Browser leitet den Datenverkehr durch drei verschlüsselte Knotenpunkte (Relays) und ermöglicht so den Zugriff auf .onion-Seiten. Der Download und die Nutzung des Tor-Browsers sind in Deutschland legal. Wichtig: Allein der Tor-Browser garantiert keine vollständige Anonymität — Verhalten, installierte Plugins und JavaScript können die Anonymität kompromittieren.
Das bloße Surfen im Darknet ist in Deutschland nicht strafbar. Illegal werden Handlungen durch die aufgerufenen Inhalte oder durchgeführten Aktionen: Das Aufrufen von Kinderpornografie (§184b StGB), der Kauf von Betäubungsmitteln (§29 BtMG), der Erwerb gestohlener Daten (§202a, §259 StGB) oder der Kauf von Hacking-Tools (§202c StGB) sind strafbar — unabhängig davon, ob dies im Darknet oder im normalen Internet geschieht.
Im Darknet sind sowohl legale als auch illegale Inhalte vertreten. Auf der illegalen Seite: gestohlene Zugangsdaten und Kreditkartendaten, Drogenmarktplätze, Schadsoftware und Ransomware-as-a-Service, gefälschte Dokumente sowie Zugang zu kompromittierten Unternehmensnetzwerken (Initial Access Broker). Auf der legalen Seite: anonyme Kommunikationsplattformen, Whistleblower-Portale wie SecureDrop, Foren für politisch Verfolgte und Spiegelseiten zensierter Medien.
Das lässt sich mit kostenlosen Diensten prüfen: Have I Been Pwned (haveibeenpwned.com) enthält Milliarden von Datensätzen aus bekannten Datenpannen. Für Unternehmen bieten spezialisierte Darknet-Monitoring-Dienste kontinuierliche Überwachung von Credential-Marktplätzen und Leak-Datenbanken. Das BSI empfiehlt im Lagebericht 2024 aktives Credential-Monitoring als Basismaßnahme. AWARE7 bietet Darknet-Monitoring als kontinuierlichen Service an.
Für Privatpersonen: Malware-Infektionen bei Downloads, Betrug durch Exit-Scams, Phishing durch gefälschte Marktplätze und das Risiko, unwissentlich illegale Inhalte aufzurufen. Für Unternehmen: Gestohlene Mitarbeiter-Credentials werden auf Marktplätzen gehandelt und für Netzwerkeinbrüche genutzt. Ransomware-Gruppen betreiben Leak-Sites, auf denen gestohlene Daten veröffentlicht werden. Initial Access Broker verkaufen Zugänge zu Unternehmensnetzwerken systematisch.
Die vier effektivsten Maßnahmen: (1) Darknet Monitoring, um gestohlene Credentials frühzeitig zu erkennen — oft Wochen oder Monate vor einem Angriff. (2) Multi-Faktor-Authentifizierung für alle Zugänge, um die Nutzbarkeit gestohlener Passwörter zu eliminieren. (3) Regelmäßige Phishing-Awareness-Trainings, da die meisten Credentials durch Phishing gestohlen werden. (4) Penetrationstest, um bestehende Schwachstellen zu kennen, bevor Angreifer sie finden.
Journalisten nutzen das Darknet primär für sichere Kommunikation mit Quellen in zensierten Ländern und über das Whistleblower-Portal SecureDrop. Über 80 Medienorganisationen weltweit — darunter Der Spiegel, The Guardian und die New York Times — betreiben eigene .onion-Adressen für anonyme Dokumenteneinreichungen. Das schützt Quellen vor Identifizierung durch staatliche Überwachung.

Weiterführende Artikel

Blog-Beiträge, Wiki-Artikel und Glossar-Einträge zum Thema Darknet

Blog

Blog Was ist das Darknet? Grundlagen, Geschichte und Abgrenzung zum Deep Web. Blog Dark Web Monitoring für Unternehmen Stealer Logs, Credential Leaks und kontinuierliche Darknet-Überwachung. Blog Stealer Logs: Passwörter im Darknet Wie Mitarbeiter-Passwörter ins Darknet gelangen und was Unternehmen tun können. Blog Darknet-Marktplätze und das Open Web Wie illegale Dienste aus dem Darknet das normale Internet gefährden.

Wiki

Wiki Darknet-Marktplätze Funktionsweise, Risiken und Behördenoperationen. Wiki Threat Intelligence Angreifer verstehen bevor sie angreifen — inkl. Darknet-Monitoring. Wiki Datenleck-Check So prüfen Sie ob Ihre Daten kompromittiert wurden. Wiki OSINT-Methoden Open Source Intelligence — auch im Darknet-Kontext.

Glossar

Darknet Dark Web Ransomware Credential Stuffing Identitätsdiebstahl Threat Intelligence Malware

Sind Ihre Unternehmensdaten im Darknet?

In einem kostenlosen Erstgespräch prüfen wir, ob Credentials oder Daten Ihres Unternehmens auf Darknet-Marktplätzen kursieren — und zeigen Ihnen konkrete Gegenmaßnahmen.

Kostenloses Erstgespräch vereinbaren Zum Datenleck-Monitoring

Kostenlos · 30 Minuten · Unverbindlich