Deine Daten. Deine Wahl.

Wenn du nur das Nötigste wählst, erfassen wir mit Cookies und ähnlichen Technologien Informationen zu deinem Gerät und deinem Nutzungsverhalten auf unserer Website. Diese brauchen wir, um dir bspw. ein sicheres Login und Basisfunktionen wie den Warenkorb zu ermöglichen.

Wenn du allem zustimmst, können wir diese Daten darüber hinaus nutzen, um dir personalisierte Angebote zu zeigen, unsere Webseite zu verbessern und gezielte Werbung auf unseren und anderen Webseiten oder Apps anzuzeigen. Dazu können bestimmte Daten auch an Dritte und Werbepartner weitergegeben werden.

ImpressumDatenschutzerklärung
Hintergrund
51

Bezahlschrankenumgeher am Limit: archive.today und die DDoS‑Affäre

Martin Jud
12.2.2026
Bilder: Martin Jud

Archive.today archiviert seit Jahren Webseiten – kompromisslos, anonym und technisch brillant. Der Dienst gilt vielen als Bezahlschrankenumgeher, doch nun nutzt der Projektbetreiber ihn, um die Browser seiner Besucher für DDoS‑Anfragen zu missbrauchen.

Es beginnt harmlos. Ein Link, ein Klick, ein eigentlich hinter einer Paywall liegender Artikel erscheint – sauber archiviert, vollständig lesbar, als wäre das die normalste Sache der Welt. Nicht zu verwechseln mit der Wayback Machine von archive.org: Sie respektiert Opt‑outs und löscht auf Anfrage. Archive.today bietet solche Opt‑outs nach aktuellem Kenntnisstand nicht an. Seit 2012 speichert der Dienst Webseiten konsequent und in grossem Umfang. Ein Unbekannter hält das Archiv am Leben.

Über ein Jahrzehnt lang bleibt seine Anonymität unbedroht. Dann wird eine FBI‑Anordnung bekannt. Ein Warn-Post bricht die Stille. Und im Januar 2026 zeigt sich, dass der Betreiber nicht nur archiviert, sondern seine Infrastruktur auch für Angriffe nutzt – und dass die Browser seiner Besucher «unbemerkt» in diese Angriffe einbezogen wurden.

Das Ein‑Mann‑Projekt mit Spuren in alle Richtungen

Archive.today wirkt wie ein Werkzeug aus einer anderen Zeit. Ein Link rein, ein vollständiger Artikel raus – Paywall egal. Der Dienst startet 2012 unter archive.is. Registriert ist er von einem «Denis Petrov». Ein Name, der keine verifizierbare Zuordnung erlaubt. Die Spurensuche führt zu Domains unklarer Herkunft, russischen Foren, deutschen Sprachmustern, Berliner IP‑Adressen und einer OSINT‑Spur zu einem NixOS‑Contributor mit der Handle «volth» – alles Fährten, die nicht verifiziert werden können. Diese Zusammenhänge beschreibt der Entwickler und Autor Jani Patokallio in seiner Analyse von 2023 – bis heute die detaillierteste technische Spurensuche zu archive.today.

Was man sicher weiss: Hinter archive.today steckt kein Team, keine Stiftung, kein Unternehmen. Es ist ein Ein‑Mann‑Projekt. Ein Mensch, der seit über einem Jahrzehnt für die Archivierung von Inhalten arbeitet – und jüngst Konflikte mit einem Webseitenbetreiber und Medien eingeht.

Die Maschine im Hintergrund

Technisch ist archive.today beeindruckend. Patokallio beschreibt, dass der Betreiber Hadoop, Accumulo und HDFS einsetzt – Big‑Data‑Werkzeuge, die normalerweise in Unternehmen laufen, nicht in einem Ein‑Mann‑Projekt. Das Archiv nutzt zwei europäische Rechenzentren, mit dreifacher Redundanz für Text und doppelter für Bilder. 2012 sind es 10 Terabyte, 2021 bereits ein Petabyte.

Der entscheidende Teil passiert beim Scraping. Seit 2021 soll archive.today ein verteiltes System aus zahlreichen automatisierten Chrome‑Instanzen einsetzen, die Webseiten wie reguläre Browseraufrufe laden – nur im Sekundentakt und aus ständig wechselnden Netzen. Sie wechseln zwischen IP‑Adressen, rufen Seiten automatisiert ab und umgehen dabei clientseitige Paywalls. Patokallio spricht von einem Botnetz, der Betreiber von archive.today bestreitet dies. Am Ende ist es ein verteiltes System, das sich wie ein Botnetz verhält – und für Webseitenbetreiber gleichermassen zum «Problem» werden kann.

Die Frage nach dem Geld

Der Betrieb ist teuer. Speicherplatz in dieser Grössenordnung kostet, Server kosten, Bandbreite kostet. Gemäss Patokallio behauptete der Betreiber 2023, dass Spenden und Werbung weniger als 20 Prozent der Kosten decken. Er zitiert ihn mit den Worten, er könne PayPal «nicht mehr aufladen» – was ein Hinweis darauf sein könnte, dass er über ein Land agiert, das vom internationalen Zahlungsverkehr abgeschnitten ist. Damit bleiben nur Dienste wie Liberapay und BuyMeACoffee. Patokallio vermutet eine weitere Einkommensquelle. Der Betreiber schweigt.

Der Moment, in dem alles kippt: Das FBI interessiert sich für den Betreiber

Ende Oktober 2025 taucht nach langer Funkstille ein einzelner, mittlerweile gelöschter Post im offiziellen X‑Account des archive.today‑Betreibers auf. Ironischerweise ist er auf archive.today weiterhin archiviert abrufbar. Der Betreiber nutzt den Kanal nur selten, die bisherigen Posts wirken ereignisbezogen. Diesmal schreibt er – in Anlehnung an den Vogel, der früher in Minen vor gefährlichem Gas warnte:

«canary: https://pdflink.to/1e0e0ecd/»

Der Link führt zu einer richterlichen Anordnung (archiviert hier abrufbar), die die US‑Ermittlungsbehörde FBI erwirkt hat. Sie weist den kanadischen Provider Tucows an, umfassende Daten über den Kunden auszuhändigen, der hinter archive.today steckt: Adress‑ und Verbindungsdaten, Zahlungsinformationen, technische Identifikatoren.

Warum der Betreiber den Link teilt, bleibt offen. Canary‑Posts werden traditionell genutzt, wenn Betroffene nicht offen über Ermittlungen sprechen können oder wollen. Ob das der Fall ist, lässt sich nicht verifizieren. Klar ist nur: Der Betreiber bringt den Vorgang mit einer Bedrohung in Verbindung. Seine Anonymität gerät unter Druck.

Der Betreiber adressiert den Konflikt offen

Am 28. Januar 2026 schreibt er auf Tumblr über deutsche Medien, Paywalls, «Teutonic order» und «hookers». Im Eintrag verweist er auf den Fall Hunter Biden, um zu illustrieren, wie die Veröffentlichung privater oder peinlicher Inhalte genutzt werden kann, um Menschen öffentlich zu diskreditieren. Er beschwert sich über Löschanfragen und erklärt, die gefährlichsten Inhalte seien nicht politisch, sondern persönliche Skandale.

Später folgt ein weiterer Tumblr‑Post. Darin behauptet der Betreiber, ein Interview mit der Legal Tribune sei «unterdrückt» worden – und liefert die Gründe dafür. Er beschreibt sich als jemanden, dessen Sichtweise nicht gehört werde, und erklärt, dass nicht archive.today das Geschäftsmodell deutscher Medien gefährde. Sie würden sich selbst gefährden, weil sie mit jeder Berichterstattung über Paywalls erst auf deren Umgehbarkeit aufmerksam machten. Deutschland habe ohnehin ein Bibliothekssystem, das «jeder Paywall überlegen» sei, und wer das Problem bei Archiven suche, habe das Prinzip nicht verstanden.

Im selben Post verschiebt er die Debatte ins Persönliche. Er behauptet, deutsche Medien wollten vor allem jene Artikel aus dem Archiv löschen, die sie selbst bereits entfernt hätten – Geschichten über reiche Familien, beschädigte Reputationen und «wayward scions». Die Wortwahl wird konfrontativer.

In dieser Phase beginnt der Betreiber auch, gezielt Medienhäuser zu blockieren – darunter Condé Nast und Heise, deren Firmennetze und Mailserver er per IP‑Sperre vom Zugriff auf archive.today ausschliesst.

Die Eskalation 2026: E‑Mails, Identi­täten, Drohungen

Parallel zu seinen öffentlichen Äusserungen wendet sich der Betreiber direkt an Kritiker. Dies beginnt damit, dass am 8. Januar 2026 bei Patokallio eine Anfrage nach der europäischen Datenschutz‑Grundverordnung landet, eingereicht von einer «Nora Puchreiner». Zwei Tage später folgt eine persönliche E‑Mail des Betreibers selbst: Er bittet darum, den Artikel von 2023 «für ein paar Monate» offline zu nehmen.

Als Patokallio antwortet, kippt der Ton. Die nächsten Nachrichten kommen wieder von «Nora Puchreiner». Gleichzeitig taucht auf Hacker News ein Nutzer namens «rabinovich» auf, ein Alias, der von Beobachtern mit archive.today in Verbindung gebracht wird. Aus Frankreich meldet sich die Organisation WAAD, die «Hilfe» anbietet und dabei Identitätsprüfungen ins Spiel bringt.

Die Abfolge dieser Ereignisse beschreibt Patokallio später ausführlich in einem Blogpost am 1. Februar 2026. Dort rekonstruiert er den zeitlichen Ablauf, zitiert aus den erhaltenen Nachrichten und dokumentiert, wie sich der Konflikt zuspitzt.

Ein Tumblr‑Post vom 4. Februar zeigt, wie persönlich der Konflikt inzwischen geworden ist. Der Betreiber greift Patokallio direkt an, fabuliert über dessen angebliche Familienverbindungen, unterstellt ihm politische und wirtschaftliche Motive und bezeichnet ihn als jemanden, der «für Klicks doxt». Es ist ein Angriff, der mehr über die Eskalation des Konflikts aussagt als über Patokallio. Die Aussagen werden schärfer, die Positionen widersprüchlicher, und die Kommunikation des Betreibers wirkt zunehmend unübersichtlich.

In wenigen Tagen entsteht das Bild eines Betreibers, dessen Kommunikation sich stark verdichtet: wechselnde Absender, unterschiedliche Rollen, widersprüchliche Aussagen und ein zunehmend konfrontativer Ton.

Und dann kommt der DDoS – gezielt, technisch, persönlich

Um den 11. Januar 2026 beginnt archive.today, seine Besucher in einen Angriff einzubeziehen. Nach aktueller Beobachtung scheint dieser inzwischen beendet. Eine auf der Website integrierte Captcha‑Seite führt beim Laden automatisch ein JavaScript‑Snippet aus. Dieses führt dazu, dass der Browser unbemerkt vom Nutzer wiederholt Anfragen an Patokallios Website gyrovague.com sendet. Die Anfragen sind jeweils mit einem Zufallsparameter versehen, damit sie nicht aus dem Cache bedient werden. Im Script ist ein Intervall von 300 Millisekunden festgelegt.

Das ist ein klassischer DDoS‑Mechanismus. Eine Website wird nicht mit einem einzigen grossen Schlag überlastet, sondern mit einer Flut aus vielen kleinen Anfragen, die sich zu einer Welle auftürmen. Hier kommt diese Welle nicht von Bots, sondern von echten Menschen, deren Browser «unbemerkt» als Verstärker dienen.

Patokallio analysiert den Code direkt im HTML der Captcha‑Seite und beschreibt, wie präzise der Angriff gegen seinen Blog gerichtet ist. Er stellt fest, dass der Code bewusst implementiert wurde. In mehreren europäischen Ländern entsteht dabei eine rechtliche Grauzone: Nutzer können theoretisch in eine Unterstützungshandlung geraten, sobald ihnen bewusst wird, dass ihr Browser Teil eines Angriffs wird – auch wenn eine tatsächliche Strafverfolgung als unwahrscheinlich gilt.

Kurz darauf veröffentlicht ein Nutzer auf der Mastodon‑Instanz infosec.exchange eine E‑Mail‑Korrespondenz mit dem Betreiber von archive.today. Darin begründet der Betreiber den Angriff erneut mit der Behauptung, Patokallios Webseite «doxxe» ihn, und erklärt, man wolle ihn «nicht ddossen, um zu töten, sondern nur die Hosting‑Rechnung erhöhen».

Patokallio selbst erklärt, dass ihm der Angriff finanziell nichts ausmacht, da sein Hosting pauschal abgerechnet wird und Adblocker wie uBlock Origin potenzielle Anfragen inzwischen ohnehin blockieren.

5 Personen gefällt dieser Artikel

User Avatar
User Avatar
Martin Jud
Senior Editor
martin.jud@digitecgalaxus.ch

Der tägliche Kuss der Muse lässt meine Kreativität spriessen. Werde ich mal nicht geküsst, so versuche ich mich mittels Träumen neu zu inspirieren. Denn wer träumt, verschläft nie sein Leben.

Hintergrund

Interessantes aus der Welt der Produkte, Blicke hinter die Kulissen von Herstellern und Portraits von interessanten Menschen.

Alle anzeigen

Diese Beiträge könnten dich auch interessieren

  • Hintergrund

    Endstation Pädo-Deepfakes? Die Grok-Krise und ihre Folgen

    von Florian Bodoky

  • Hintergrund

    7 Fragen und Antworten zu DeepSeek

    von Samuel Buchmann

  • Hintergrund

    «Powerwash Simulator» und Co: Warum wir in Games gerne langweilige Arbeiten ausführen

    von Rainer Etzweiler

1 Kommentar

Avatar
later