Nach den Terroranschlägen von Paris breitet sich die Terrormiliz Islamischer Staat auch ins Tor-Netzwerk aus. Ein IT-Experte nennt ein IS-Portal "amateurhaft" gesichert. Wenige Tage später kapern Hacker es - und ermutigen Besucher zum Kauf von Viagra.

Eine Woche lang war die Website "Isdarat" der Terrormiliz Islamischer Staat im Darknet verfügbar - vor wenigen Tagen haben Angreifer den Auftritt des IS ersetzt, meldet "International Business Insider". Statt islamistischer Propaganda ist einem Screenshot zufolge nun eine weiße Seite mit einfacher Schrift und einem Werbebanner für "CoinRx.com" zu sehen. CoinRx ist ein Online-Shop, der sich "Die Nummer 1 Bitcoin Apotheke" nennt.

Die Nachricht der mutmaßlichen Mitglieder des Hacker-Netzwerkes Anonymous auf der gekaperten Tor-Website lautet: "Zu viel ISIS. Werdet ruhiger. Zu viele Leute stehen auf ISIS. Bitte guckt euch diese reizende Werbung an, damit wir unsere Infrastruktur verbessern und euch Inhalte zu ISIS geben können, nach denen ihr euch sehnt." Gegen Bitcoin und andere digitale Währungen verkauft der Shop Produkte wie das Antidepressiva Prozac, oder das Potenzmittel Viagra.

Analysten hatten schon wenige Tage nach den Anschlägen von Paris über den Rückzug der Islamisten in das wesentlich schwieriger zu kontrollierende Tor-Netzwerk spekuliert. Die Ersteller der Seiten hätten "dumme Anfängerfehler" gemacht, schrieb der Sicherheitsexperte Scot Terban bereits am 18. November auf seinem Blog, und wies zugleich auf lückenhaften Schutz hin. "Das System hinter der Datenquelle (könnte) anfällig für manche Angriffe sein." Auch eine Aufforderung zum Hack fehlt in der Analyse nicht.

Betriebssystem: Windows

Terban erkannte in einer der Seiten eine Kopie von isdarat.tv, ein Videoportal aus dem regulär zugänglichen Internet. Es wurde etwa im Mai 2015 bekannt, ist aber auch im regulären Internet nicht mehr online. Es bot Videos in Arabisch, Türkisch, Russisch, Französisch und Englisch an. Die Kopie im Darknet bewertet Terban als nur amateurhaft abgesichert. Der Server der Seite befindet sich demnach in Amsterdam, das Betriebssystem ist Windows.

Es könnte sich um die Seite handeln, die nun ersetzt wurde. Die Seite im Tor-Netzwerk selbst anzugreifen, war wohl nicht nötig - sondern nur den Server zu attackieren, von dem die Inhalte ausgelesen wurden. Die Datenquelle befand sich Terban zufolge im allgemein zugänglichen Internet. Auch andere Seiten, etwa ein Forum für Islamisten, sollen inzwischen im Darknet vefügbar sein.

Die Übernahme von "Isdarat" reiht sich in Aktionen von Hacktivisten gegen den IS ein: Schon wenige Tage nach den Anschlägen von Paris hatte das Hacker-Netzwerk Anonymous bekannt gegeben, ab jetzt "Krieg" gegen die Terrormiliz Islamischer Staat zu führen. Tausende Twitter-Konten vermeintlicher IS-Anhänger sind im Namen von "#OpParis", "#OpIsis" und "#OpIceIsis" seither verschwunden, ebenso wie Hunderte Websites. Die Aktionen werden nicht koordiniert durchgeführt, sondern von einzelnen Gruppen, die eigenständig agieren.

Vor wenigen Tagen lobte Großbritanniens Sicherheitsminister John Hayes das Engagement von Hackern gegen die Islamisten. Andere kritisieren die Eigeninitiative jedoch scharf, da Informationen und mögliche Anhaltspunkte über Verdächtige verloren gingen, etwa wer mit wem kommuniziert. "Dies war nach den Anschlägen von Paris der Fall", zitiert die "International Business Times" einen Sicherheitsberater des US-Kongresses.