Die meisten Menschen haben schon einmal vom Dark Web gehört, aber nur wenige wissen, wie es tatsächlich aussieht oder was dort vor sich geht. Um Fakten von Fiktion zu trennen, hat unser Forschungsteam 48 Stunden lang das Dark Web aus erster Hand erkundet und unsere Erkenntnisse dokumentiert.
Das Dark Web ist nicht von Natur aus schlecht. Es dient auch legitimen Zwecken und bietet Journalisten, Whistleblowern, Aktivisten und anderen, die anonym kommunizieren müssen, einen zusätzlichen Schutz ihrer Privatsphäre. Für den Zugriff ist in der Regel der Tor-Browser erforderlich, und eine Reihe seriöser Organisationen betreibt offizielle Dark-Web-Seiten. So ist beispielsweise die Nachrichten-Website der BBC über die folgende Tor-Adresse erreichbar: http://bbcweb3hytmzhn5d532owbu6oqadra5z3ar726vq5kgwwn6aucdccrad.onion
Doch neben diesen legitimen Nutzungszwecken gibt es ein florierendes kriminelles Ökosystem.
Was wir entdeckt haben, war eine organisierte, aktive Schattenwirtschaft, die auf eine Weise funktioniert, die sich die meisten Menschen gar nicht vorstellen können. Cyberkriminelle arbeiten nicht allein. Sie treffen sich in Untergrundforen für Cyberkriminalität, wo sie neue Angriffsmethoden diskutieren, Techniken austauschen und gemeinsam Wege erarbeiten, um Menschen auf der ganzen Welt ins Visier zu nehmen.
Stellen Sie sich das weniger als eine dunkle Gasse vor, sondern eher als ein professionelles Netzwerk für Cyberkriminelle.
Über diese Foren hinaus stießen wir auf spezielle Marktplätze für Cyberkriminalität. Diese funktionieren wie Online-Shops, in denen hackers Betrüger eine Vielzahl von gestohlenen digitalen Gütern kaufen und verkaufen können – von gestohlenen Zugangsdaten bis hin zu Hacking-Tools –, wobei alle Transaktionen anonym über Kryptowährungen abgewickelt werden.
Wissenswertes: Viele dieser Marktplätze sind nach bekannten Persönlichkeiten benannt, darunter auch US-Präsident Donald Trump.
Der Dark-Web-Kompass
Cyberkriminelle kommen aus allen Teilen der Welt, und wie jede globale Gemeinschaft brauchen auch sie eine Möglichkeit, sich gegenseitig zu finden. Hier kommen Link-Boards ins Spiel.
Link-Boards sind Verzeichnisse, die Hunderte von Underground-Foren und Marktplätzen zusammenfassen. Sie sind nach Sprachen geordnet und dienen als Orientierungshilfe im Dark Web.
Ein Cyberkrimineller kann sich in einer Community bewegen, in der seine Muttersprache gesprochen wird, oder sich größeren englischsprachigen Foren anschließen, die ein internationales Publikum anziehen.
Allerdings haben nicht alle Foren das gleiche Gewicht. Im Jahr 2026 konzentriert sich die Community weitgehend auf dominante Plattformen wie BreachForums und DarkForums. Exklusivere russischsprachige Foren wie Exploit und XSS ziehen eher die versierteren Cyberkriminellen der Untergrundszene an.
Gefährdete Daten: Ihre Daten könnten bereits im Umlauf sein
Die meisten Menschen haben keine Ahnung, wie viele ihrer persönlichen Daten bereits im Dark Web im Umlauf sind. In vielen Fällen besteht die erste Herausforderung einfach darin, herauszufinden, ob die eigenen Daten überhaupt offengelegt wurden. Hier können Sie Ihre Daten überprüfen.
Um das Ausmaß des Problems zu verstehen, ist es hilfreich, das, was öffentlich bekannt ist, mit dem zu vergleichen, was wir unter der Oberfläche entdeckt haben.
Öffentlich gemeldete Datenschutzverletzungen sind nur ein Teil des Gesamtbildes. Seit Anfang 2026 haben Malwarebytes mehr als 7.500 kompromittierte Datensätze mit über 8,4 Milliarden Datensätzen identifiziert. Dazu gehören Daten, die bei Datenschutzverletzungen gestohlen, im Rahmen von Phishing-Kampagnen gesammelt, aus Online-Diensten abgegriffen und durch falsch konfigurierte Systeme offengelegt wurden.
Zu den betroffenen Unternehmen zählen bekannte Namen wie SoundCloud, ADT, Hallmark, Amtrak, Vimeo und Instagram.
Doch so aussagekräftig diese Zahlen auch sind, sie geben nur einen Teil des Gesamtbildes wieder.
Bei der Durchsicht des Datenbankbereichs auf DarkForums, einer der aktivsten Plattformen der Untergrundszene, fanden wir 63 Seiten mit Einträgen, die seit Anfang 2026 veröffentlicht worden waren. Bei 20 Einträgen pro Seite sind das über 1.200 kleine und mittelgroße Datenlecks, von denen die meisten nie in den öffentlichen Schlagzeilen auftauchten.
Auf BreachForums bot sich ein ähnliches Bild. Seit Jahresbeginn sind auf der Plattform 37 Seiten mit Datenbanklisten zusammengekommen, die jeweils 20 Einträge enthalten, wodurch der ohnehin schon riesige Bestand an gestohlenen Daten um mehr als 700 weitere kompromittierte Datenbanken erweitert wurde.
Rechnet man alles zusammen, sind die öffentlich gemeldeten Datenschutzverletzungen nur die Spitze des Eisbergs. Ein Großteil der gestohlenen personenbezogenen Daten, die online gehandelt werden, wechselt still und unbemerkt den Besitzer.
US-Identitäten zu verkaufen
Eines der im Cyberkriminalitäts-Untergrund durchweg begehrtesten Güter ist das, was hackers „Fullz“ hackers : ein vollständiges Paket mit den Identitätsdaten einer realen Person. Im Jahr 2026 sind US-Identitäten aufgrund der Finanzinfrastruktur des Landes, der hohen Kreditlimits und des breiten Angebots an Dienstleistungen, die für Betrugszwecke ausgenutzt werden können, nach wie vor besonders wertvoll.
Ein typisches „Fullz“-Paket enthält den vollständigen Namen, die Sozialversicherungsnummer (SSN), das Geburtsdatum, die Adresse und weitere persönliche Daten. In den falschen Händen sind diese Informationen ein fertiges Instrumentarium für Identitätsbetrug. Sie ermöglichen es Cyberkriminellen, betrügerische Kreditkonten zu eröffnen, gefälschte Steuererklärungen einzureichen, auf Finanzkonten zuzugreifen oder sogar medizinische Leistungen unter dem Namen einer anderen Person in Anspruch zu nehmen.
Was „Fullz“ besonders gefährlich macht, ist die Tatsache, dass die Betroffenen oft erst lange nach dem entstandenen Schaden bemerken, dass ihre Identität missbraucht wurde. Manchmal geschieht dies erst Monate oder sogar Jahre später, wenn Inkassounternehmen anrufen oder ein Kreditantrag unerwartet abgelehnt wird.
Es ist keine Überraschung, dass die USA nach wie vor zu den Ländern gehören, die am stärksten von Identitätsdieben ins Visier genommen werden. Allein in den ersten drei Quartalen des Jahres 2025 wurden der Federal Trade Commission (FTC) mehr als 1,15 Millionen Fälle von Identitätsdiebstahl gemeldet, womit die Gesamtzahl der im gesamten Jahr 2024 gemeldeten Fälle bereits übertroffen wurde.
Im Rahmen unserer Recherchen stießen wir auf „9-Digits Market“, einen von vielen Dark-Web-Marktplätzen, die sich auf den Verkauf gestohlener Identitätsdaten spezialisiert haben. Was dabei besonders auffiel, war der Preis. Ein vollständiges US-Identitätsprofil wurde bereits für 0,95 US-Dollar angeboten.
Für weniger als den Preis einer Tasse Kaffee kann sich ein Cyberkrimineller genügend Informationen beschaffen, um das finanzielle Leben eines Menschen zu ruinieren.
Wie Cyberkriminelle Malware einsetzen, um Ihren Computer anzugreifen
Datenlecks sind nicht der einzige Weg, auf dem Ihre persönlichen Daten im Dark Web landen. Manchmal liegt die Quelle viel näher: Ihr eigener Computer. Während unserer Zeit im Dark Web sind wir auf die Entwickler einer besonders gefährlichen Kategorie von Malware gestoßen, die als „Infostealer“ oder einfach nur „Stealer“ bekannt ist. Das Prinzip ist einfach, was zum Teil auch der Grund für seine große Wirksamkeit ist.
Nach der Installation durchsucht ein Infostealer unbemerkt ein Gerät nach wertvollen Daten. Dazu können gespeicherte Benutzernamen und Passwörter, Daten für die automatische Ausfüllfunktion, gespeicherte Zahlungsdaten, Kryptowährungs-Wallets und andere sensible Informationen gehören. Diese gestohlenen Daten werden anschließend an den Angreifer zurückgesendet.
Im Folgenden finden Sie einen kleinen Einblick in das STORM-Stealer-Panel, das einen Computer in den USA kompromittiert und 87 Benutzernamen-Passwort-Kombinationen von dem Gerät gestohlen hat.
Am beunruhigendsten ist vielleicht, wie leicht zugänglich diese Art von Malware mittlerweile geworden ist. Im Jahr 2026 kann jeder angehende Cyberkriminelle einen Infostealer im Abonnement mieten, wofür nur wenig technisches Wissen und keine nennenswerten finanziellen Investitionen erforderlich sind. „Cybercrime-as-a-Service“ hat die Eintrittsbarriere drastisch gesenkt.
Die gestohlenen Daten werden anschließend in Untergrundforen und auf Schwarzmarktplattformen verkauft oder veröffentlicht. Wir waren schockiert über das schiere Ausmaß der betroffenen Datenmenge.
Jeden Tag werden Millionen gestohlener Zugangsdaten über diese Plattformen weitergegeben. Hinter jeder dieser Zeilen steht ein echter Mensch, der keine Ahnung davon hat, dass sein digitales Leben auseinandergenommen und wie eine Ware gehandelt wird.
Scheininvestitionen und Kryptowährungsbetrug
Nicht jede Cyberkriminalität dreht sich um gestohlene Passwörter oder durchgesickerte Datenbanken. Manche Kriminelle streben durch sorgfältig geplante Social-Engineering-Betrugsmaschen nach weitaus lukrativeren Gewinnen. Eines der raffiniertesten und schädlichsten Beispiele, auf das wir gestoßen sind, waren Betrugsmaschen im Zusammenhang mit Krypto-Investitionen, auch bekannt als pig butchering“.
Die dahinterstehende Taktik ist äußerst effektiv. Kriminelle investieren viel Zeit und Mühe darin, über Dating-Apps, soziale Medien oder Messaging-Plattformen eine scheinbar echte Beziehung zu ihrem Opfer aufzubauen.
Sie sind geduldig, freundlich und überzeugend und gewinnen über Tage oder sogar Wochen hinweg langsam das Vertrauen des Opfers. Erst nachdem sie Vertrauen aufgebaut haben, stellen sie eine scheinbar spannende Investitionsmöglichkeit vor. Wenn das Opfer schließlich merkt, dass etwas nicht stimmt, ist sein Geld bereits weg, und die Person, der es vertraut hat, ist spurlos verschwunden.
Im Rahmen unserer Recherchen haben wir eine bereits voll funktionsfähige, groß angelegte Krypto-Betrugsmasche beobachtet, die mit ausgefeilten, hochwertig gestalteten gefälschten Investitionsplattformen neue Opfer anvisiert – diese Plattformen wurden speziell darauf ausgelegt, die Opfer über lange Zeiträume hinweg zu binden.
Das Angebot umfasste:
- Umfassende Dokumentation, Skripte und Elemente zur Glaubwürdigkeit. Alles, was man braucht, um vom ersten Tag an seriös zu wirken.
- Sorgfältig ausgearbeitete Kommunikationsleitfäden und Social-Engineering-Strategien, die darauf abzielen, die Opfer psychologisch unter Druck zu setzen, damit sie ihre Kreditkarten bis zum Limit ausschöpfen, Kredite aufnehmen und immer wieder mehr Geld investieren.
- Interne Entwicklungsteams, die gefälschte Handelsplattformen erstellen, die seriöse Anlagedienste sehr genau nachahmen.
Unseren Forschern gelang es zudem, Zugang zu einer dieser betrügerischen Plattformen zu erlangen, und wir waren von der Raffinesse dieser Plattform erschüttert.
Das sind keine Amateur-Aktionen. Es handelt sich um gut finanzierte, professionell geführte kriminelle Organisationen, die Täuschung als Geschäft betrachten.
In nur 48 Stunden stießen wir auf gestohlene Identitäten, im Auftrag verbreitete Malware, durchgesickerte Passwörter und Betrugsoperationen im industriellen Maßstab. Die meisten Menschen werden das Dark Web wohl nie besuchen, doch dessen Auswirkungen können sie dennoch in Form von Datenlecks, Malware-Infektionen und Betrugsversuchen erreichen.
Malwarebytes vor all diesen Bedrohungen. Unser Dienst zur Überwachung von Datenlecks benachrichtigt Sie, wenn Ihre persönlichen Daten in einem bekannten Datenleck auftauchen. Theft überwacht sensible Daten, darunter Ihre Sozialversicherungsnummer, während Scam Guard mithilfe von KI verdächtige SMS, E-Mails, Links und Telefonnummern identifiziert, bevor diese Schaden anrichten können.
Das Dark Web lebt von gestohlenen Informationen. Zu wissen, wann Ihre Daten offengelegt werden, ist der erste Schritt, um dem einen Schritt voraus zu sein.
