Tokelau, eine Kette von drei winzigen Atollen mitten im Pazifik, liegt so abgelegen, dass es erst 1997 ans Telefonnetz angeschlossen wurde – als letzter Ort der Erde. Nur drei Jahre später erhielten die Insulaner ein Fax mit einem unglaublichen Geschäftsvorschlag. Er kam von einem gewissen Joost Zuurbier aus Amsterdam. Er bot Geld dafür an, Tokelaus Internet-Domain .tk vermarkten zu dürfen. Bis dahin wusste man in Tokelau nicht einmal, dass man überhaupt eine eigene Domain zugewiesen bekommen hatte.

Das Ganze klang wie ein guter Deal. Tokelau, das formell zu Neuseeland gehört, hatte ohnehin nicht die Ressourcen, seine Domain selbst zu betreiben. Das Geschäftsmodell von Zuurbiers Unternehmen Freenom besteht darin, Nutzern kostenlose .tk-Adressen anzubieten und im Gegenzug auf den entsprechenden Websites Werbung zu schalten. Wer die Werbung loswerden wollte, konnte eine Gebühr entrichten.

In den folgenden Jahren wurde das winzige Archipel zu einem Internet-Giganten – aber nicht so, wie es sich das vielleicht erhofft hatte. Bis vor Kurzem hatte seine Domain mehr Nutzer als die jedes anderen Landes: sage und schreibe 25 Millionen. Aber nur eine einzige Adresse davon ist tatsächlich auf Tokelau verortet, nämlich die des einzigen Telekom-Providers Teletok. Die meisten anderen gehören Spammern, Phishern und weiteren Cyberkriminellen.

Jeder ist im Netz schon einmal einer .tk-Adresse begegnet – oft ohne es zu merken. Durch das praktisch unbegrenzte Angebot an kostenlosen Webadressen wurde Tokelau schnell zum unfreiwilligen Gastgeber für die Unterwelt. Sie benutzt die Adressen zum Abfangen von Passwörtern oder Zahlungsinformationen, zur Ausspielung von Pop-up-Werbung oder zur Verbreitung von Malware.

Die Tokelauer wussten jahrelang bestenfalls vage, was da vor sich ging. Nun ist ihr Image ramponiert. In der Tech-Szene unterstellen ihnen viele, gut an dem ganzen Lug und Betrug zu verdienen. Auch in den Medien wird gelegentlich berichtet, dass die Domain Tokelau Millionen einbringt. Zuurbier selbst behauptet auf seiner LinkedIn-Seite, dass sein Geschäft mehr als zehn Prozent zum Bruttoinlandsprodukt des Archipels beiträgt. „Bullshit“, sagt Tealofi Enosa. Er war ein Jahrzehnt lang Leiter von Teletok, bis er 2023 zurücktrat. „Das ist eine Lüge.“

Die langfristigen Schäden sind schwer zu beziffern. Jetzt versucht Tokelau verzweifelt, seinen Ruf als globale Hauptstadt des Spams loszuwerden. Sogar seine künftige Souveränität könnte davon abhängen.

Um zu verstehen, wie es so weit kommen konnte, muss man in die chaotischen Anfangsjahre des Internets zurückgehen. Ende der Neunziger war Tokelau die zweitkleinste Gemeinschaft, der die Domain-Verwaltung ICANN eine eigene Länderdomäne zugestand. In anderen Ländern werden die Domains meist von Stiftungen, Behörden oder inländischen Providern verwaltet. Sie verlangen in der Regel ein paar Dollar für die Registrierung einer Webadresse – und ein paar Daten über die Antragsteller, um Missbrauch zu verhindern.

Aber Tokelau mit seinen nur 1400 Einwohnern hatte weder das Geld noch das Know-how dafür, erklärt Enosa. „Am besten wäre es, wenn jemand von außerhalb sie managen und damit Geld einbringen würde.

Also jemand wie Zuurbier. Der Holländer war auf der Suche nach der nächsten großen Internetidee auf Tokelau gestoßen. Er war überzeugt, dass die Menschen, die sich damals bereits millionenfach kostenlose E-Mail-Adressen zugelegt hatten, als nächsten Schritt ihre eigenen kostenlosen Websites haben wollten. Alles, was er brauchte, war eine Länder-Domain, die noch keinen eigenen Verwalter hatte. Tokelau, wo es bis in die Siebzigerjahre nicht einmal Radio gab und wo die meisten Menschen noch nie eine Webseite gesehen hatten, war der perfekte Partner.

Vertreter von Tokelau trafen sich 2001 auf Hawaii mit Zuurbier und schlossen einen Vertrag ab. Damit Tokelau – wo um Mitternacht der Strom abgeschaltet wurde – eine zuverlässige Internetverbindung bekam, nahm Zuurbier 2003 eine zermürbende 36-stündige Bootsfahrt von Samoa nach Tokelau auf sich, um dort Router zu installieren, die er für 50 Dollar bei eBay gekauft hatte.

In Tokelau war die Moderne eingetroffen. „Er stellte die gesamte Ausrüstung und sorgte dafür, dass alle drei Atolle ans Netz angeschlossen wurden“, sagt Aukusitino Vitale, damaliger Geschäftsführer von Teletok. Außerdem stellte Zuurbier Mittel zur Verfügung, mit denen Vitale unter anderem kostenlose Internetcafés für alle Bewohner einrichtete. Zum ersten Mal konnten nun Tausende von Exil-Tokelauern in Neuseeland problemlos mit ihrer Heimat in Verbindung treten.

Viele der ersten .tk-Domains gehörten völlig harmlosen Urlaubs- oder Gaming-Bloggern oder Kleinunternehmern. Zuurbier schickte Teletok regelmäßig Berichte über das Wachstum der Domain. Aus ihnen ging hervor: Das Modell funktionierte besser als erwartet. Das winzige Tokelau wurde weltweit bekannt. „Wir waren größer als China“, sagt Vitale. „Aber wir sind blind hineingegangen. Uns war wichtig, dass wir Geld bekamen, um den Dörfern zu helfen. Die andere Seite der Medaille kannten wir damals noch nicht.“

Es dauerte bis in die späten 2000er, bis Vitale erkannte, dass etwas gewaltig schieflief. Nachdem die ersten Probleme aufgetreten waren, lud Zuurbier Minister und Berater aus Tokelau in die Niederlande ein, bezahlte ihre Flüge, erklärte ihnen die Grundlagen seines Geschäfts. Zusammen besuchten sie während der Rugby-Weltmeisterschaft in Frankreich ein Spiel von Samoa. „Zuurbier schien ein wirklich netter Mensch zu sein“, erinnert sich Vitale. „Da waren all diese schönen Dinge, die sich heimelig anfühlten.“ Die Tokelau-Domain hatte inzwischen eine Million Nutzer erreicht.

Doch schon bald nach dieser Reise, sagt Vitale, sei Zuurbier mit der Zahlung von Hunderttausenden Dollar in Verzug geraten. (TR bat Zuurbier um ein Interview. Er sagte zunächst zu, reagierte dann aber nicht mehr auf Anrufe und Nachrichten.) Währenddessen häuften sich Beschwerden aus der Internet-Community über kriminelle Machenschaften auf .tk-Seiten – Pornografie, Dschihadisten, Ku-Klux-Klan, chinesische Hacker. „Satanisches Zeug“, nennt es Vitale, „das nicht zu unserer Kultur und unserem Christentum passt.“

„Es war von Anfang an klar, dass das nicht gut gehen würde“, meint John Levine, Experte für Internetkriminalität und Mitautor des Buches Internet für Dummies. „Das Modell mit den kostenlosen Domains funktioniert einfach nicht. Die einzigen Leute, die solche Domains wollen, sind Gauner. Die Kosten für die Adresse sind winzig im Vergleich zu dem, was man sonst noch in eine Website stecken muss. Wenn man also nicht gerade etwas Seltsames tut, für das man viele Adressen braucht – was in der Regel etwas Kriminelles ist –, dann ist eine kostenlose Domain unwichtig.“

Da Zuurbier auf besorgte E-Mails nicht antwortete, wandte sich Vitale an Internet NZ, die Registrierungsstelle für Neuseelands blitzsaubere .nz-Domain. Er wollte herauszufinden, wie sich Tokelau aus dem Deal mit Zuurbier wieder herauswinden könnte. Bis zu seinem Ausscheiden bei Teletok gelang es ihm nicht, eine Antwort zu bekommen.

Sein Nachfolger Enosa versuchte, die Beziehung zu Zuurbier auf eine neue Grundlage zu stellen. Er unterzeichnete neue Verträge mit der Bedingung, die Domain sauber zu halten. Dies geschah jedoch nie. Eine von Enosas letzten Handlungen als Teletok-Geschäftsführer im Sommer 2023 war die Wiederaufnahme von Verhandlungen mit Internet NZ.

Währenddessen waren sich die meisten Einwohner von Tokelau nicht einmal bewusst, wie sehr das Ganze ihrer Heimat schadete. Die Journalistin Elena Pasilio etwa erfuhr davon erst während ihres Studiums in Neuseeland vor ein paar Jahren. Leute, die wussten, dass sie aus Tokelau stammte, begannen, sich bei ihr über die .tk-Domain zu beschweren. Zunächst war sie verwirrt; es dauerte eine Weile, bis sie überhaupt erkannte, dass .tk für Tokelau steht. „Es war mir peinlich, weil unser Name mit Verbrechen in Verbindung gebracht wurde, die die Menschen hier nicht einmal ansatzweise verstehen würden“, erzählt sie.

Sowohl Vitale als auch Enosa hatten das Gefühl, dass es Zuurbier wenig kümmerte, wie der Ruf Tokelaus in den Schmutz gezogen wurde. „Ich habe mich mit Joost gestritten“, sagt Enosa – und er habe ihn daran erinnert, dass er der Treuhänder eines Rechtsguts sei, das allein Tokelau gehöre. Laut Enosa habe er daraufhin zurückgeschossen: „Ich habe diese Infrastruktur aus meiner eigenen Tasche aufgebaut. Ich habe Millionen von Dollar dafür ausgegeben. Glauben Sie, das war einfach? Glauben Sie, dass Tokelau diese Infrastruktur selbst hätte bauen können?“

„Okay“, sagt Enosa. „So sehen die weißen Männer die Dinge. Ich verstehe.“

Tokelau ist kein Einzelfall. Auch über die Domains anderer kleiner Inseln kursieren zahlreiche Geschichten. Tuvalu etwa hat es geschafft, mit seiner .tv-Domain etwa zehn Prozent seines Bruttoinlandsprodukts zu erwirtschaften. Mikronesiens .fm-Domain ist bei Radiosendern und Podcastern sehr beliebt, Tongas .to-Domain bei Torrent- und illegalen Streaming-Websites. Anguilla in der Karibik bewirbt seine Domain .ai intensiv bei Technologie-Start-ups.

Doch diese Erfolgsgeschichten scheinen die Ausnahme zu sein. 2016 stellte die Anti-Phishing Working Group fest, dass neben .tk und .com die australischen Cocos-Inseln (.cc) und Palau (.pw) zusammen 75 Prozent aller Domains ausmachten, die etwa zum Phishing oder zum Verbreiten von Kinderpornos missbraucht wurden.

Auch die mit Neuseeland verbundene Pazifikinsel Niue verlor die Kontrolle über ihre Domain .nu, nachdem sie Ende der 1990er-Jahre von einem Amerikaner „gestohlen“ wurde. So jedenfalls erzählt es der Schwede Pär Brumark, der Niue im Ausland vertritt. „Es gab diese Internet-Cowboys, die herumliefen und sich überall Domains nahmen“, sagt er. Die Verwaltung der .nu-Domain sei 2013 in einem „dubiosen Deal“ an die Swedish Internet Foundation übergeben worden, die auch die schwedische Domain .se verwaltet. (.nu ist in Schweden sehr beliebt, da es in der Landessprache „jetzt“ bedeutet.) „Digitaler Kolonialismus“, nennt Brumark das. „Sie beuten Ressourcen eines anderen Landes aus, ohne etwas zurückzugeben. Sie haben nie mit der Regierung gesprochen. Sie haben keine Genehmigungen.“ Derzeit führt Niue vor schwedischen Gerichten einen Kampf à la David gegen Goliath. Es fordert bis zu 20 Millionen Dollar Entschädigung für entgangene Einnahmen. Das entspricht fast dem Bruttoinlandsprodukt.

Zumindest im Fall von Freenom könnten Domain-Grabber nun zur Verantwortung gezogen werden. Freenom vermarktet nach dem Modell von Tokelau mittlerweile auch die Domains von Gabun, Äquatorialguinea, der Zentralafrikanischen Republik und Mali. Niederländische Gerichte stellten fest, dass Freenom gegen Meldevorschriften verstoßen hatte, und stellten es unter Aufsicht.

Im März dieses Jahres verklagte zudem Meta – Mutterkonzern von Facebook, Instagram und WhatsApp – Freenom auf Schadensersatz. Der Vorwurf: Unter dessen Domains werde „Cybersquatting“ betrieben, also die Irreführung von Nutzern durch leicht verwechselbare Adressen wie faceb00k.tk, whatsaap.tk oder Instaqram.tk. In einem Interview mit der niederländischen Zeitung NRC wies Zuurbier die Vorwürfe zurück. Das Cybercrime Information Center berichtet aber, dass Freenom-Domains in den vergangenen Jahren „für 14 Prozent aller Phishing-Angriffe weltweit“ verwendet wurden. Im November 2022 war Freenom gar für 60 Prozent aller in Phishing-Attacken verwickelten Länder-Domains verantwortlich.

Zuurbier entgegnet, dass Freenom mehr als 90 vertrauenswürdigen Organisationen, darunter auch Meta, eine Schnittstelle verschafft habe, um kriminelle Websites selbst ausschalten zu können – und dass Meta sie bisher nicht benutzt habe. Viele in der Tech-Branche sind jedoch verärgert darüber, dass Freenom die Überwachung seiner Domains auf andere abwälzt.

Seit Januar 2023 ist es nicht mehr möglich, eine .tk-Domäne zu registrieren. Die vier afrikanischen Staaten – tausendmal größer als Tokelau – haben ihre Beziehungen zu Freenom abgebrochen. Tokelau, das anscheinend nicht wusste, dass andere Länder im selben Boot sitzen, versucht immer noch herauszufinden, was zu tun ist.

Freenom als Unternehmen scheint jedenfalls am Ende zu sein. Aber Enosa glaubt nicht, dass dies Zuurbier davon abhalten wird, weitere dubiose Pläne zu verfolgen. „Joost gewinnt immer“, sagt er.

Ohne unbegrenzten Zugang zu kostenlosen Webadressen sind viele Cyberkriminelle gezwungen, sich anzupassen. Bestimmte Varianten des Spammings und Phishings werden wahrscheinlich aus der Mode kommen. „Spammer sind ziemlich rational“, erklärt Experte Levine. „Wenn die Adressen kostenlos sind, können sie es sich leisten, viel Spam zu verschicken, auch bei niedriger Erfolgsquote. Wenn sie aber für die Domains bezahlen müssen, werden sie wahrscheinlich viel gezielter vorgehen.“

„Üble Dinge im Internet erfordern irgendwann einen Domain-Namen“, sagt Carel Bitter, Leiter der Datenabteilung des Spamhaus-Projekts. „Etwa, damit Leute irgendwo ihre Kontodaten eingeben können.“ Selbst wenn Domains nur einen US-Dollar kosten, könne dies den Schaden schon begrenzen. „Jedes Cybercrime-Unternehmen, das auf Domain-Namen angewiesen ist, wird eine Art natürliches Limit dafür haben, wie viel sie dafür ausgeben können“, sagt Bitter.

Wahrscheinlich werden kriminelle Kleinunternehmer – sogenannte „Wadenbeißer“ – den größten Druck spüren. „Leute, die nur damit herumdaddeln, werden das Geld nicht aufbringen wollen“, bestätigt Dave Piscitello, Forschungsleiter des Cybercrime Information Center. „Aber die Profis werden nicht verschwinden. Sie werden woanders hingehen. Wer eine Revolution anzetteln will, während die Kosten für eine Kalaschnikow von 150 auf 250 US-Dollar steigen, der wird nicht einfach sagen: ,Vergiss es.‘“ Analysten haben nun einen verstärkten Missbrauch von neuen billigen Domains wie .xyz, .top und .live festgestellt, deren Ruf ebenfalls bereits ruiniert ist.

Trotz Einführung des Internets bleiben Tokelaus Inseln isoliert. Es dauerte Wochen, mit Pasilio und anderen Quellen dort in Kontakt zu treten. Interviews wurden wegen der teuren Datenpakete immer wieder verschoben. Das Internet in Tokelau gehört zu den teuersten der Welt, und Datenpakete für umgerechnet 60 US-Dollar reichen manchmal nur für 24 Stunden. Telefonanrufe aus Europa nach Tokelau kamen nicht zustande.

„Unser Tokelau tut mir leid“, sagt Pasilio. „Man hat uns ausgenutzt. Ich glaube, die Leute wären schockiert, wenn sie wüssten, was mit .tk passiert ist.“

Selbst viele Tokelau-Älteste hatten das Thema nicht ganz verstanden, zumindest bis vor Kurzem. Mittlerweile wurde es im Parlament angesprochen, was zeigt, dass es endlich aus seiner technischen Nische in die breite Öffentlichkeit gelangt ist. „Sie würden sich lieber um Dinge kümmern, die sie physisch sehen können und über die sie mehr wissen, als sich gegen diese .tk-Sache zu wehren“, so Pasilio. Das Archipel hat schließlich noch weitaus existenziellere Probleme, etwa Klimawandel und Auswanderung. „Unsere Inseln schrumpfen schon jetzt, da der Meeresspiegel steigt“, sagt Pasilio. Ihr Vater erzählte ihr von Riffen und Sandbänken, die im Pazifik versunken sind.

Und dann ist da noch die künftige Beziehung zu Neuseeland. Tokelau wird von den Vereinten Nationen als „nicht selbstverwaltetes Gebiet“ eingestuft und steht unter der Aufsicht des Sonderausschusses für Dekolonisierung. 2006 und 2007 wurde ein Referendum darüber abgehalten, ob Tokelau in eine „freie Assoziation“ mit Neuseeland eintreten sollte – ein Schritt Richtung Unabhängigkeit. Aber die nötige Wahlbeteiligung kam nicht zustande. Ein weiteres Referendum soll jetzt 2025 abgehalten werden, zum hundertjährigen Jubiläum der neuseeländischen Herrschaft über Tokelau.

Wenn die Atolle ernsthaft um ihre Souveränität kämpfen wollen, müssen sie auch ihren ramponierten Ruf wiederherstellen. Vitale ist jetzt Generaldirektor der Regierung von Tokelau und möchte der .tk-Domain eine triumphale Rückkehr verschaffen, um deutlich zu machen, dass die Inseln ein neues Kapitel aufschlagen. „Wir sind dabei, eine Nation aufzubauen“, erklärt er. „Wir befinden uns auf einem Weg zur Selbstbestimmung. Wir wollen .tk als Katalysator nutzen, um unsere Nationalität zu fördern und stolz darauf zu sein.“

Alle E-Mail- und Website-Adressen von Tokelau werden derzeit unter der neuseeländischen .nz-Domain gehostet. „Was bedeutet das für die Menschen? Es bedeutet, dass wir in Neuseeland sind“, seufzt Vitale. „Wir sollten uns als Tokelau verkaufen, denn .tk ist die Domain – und die Identität – von Tokelau.“