FILE://01 — THE-SCENE

Wer
raubt
Hollywood?

Eine Reise in die geschlossene Welt, die jeden Netflix-Stream, jede Kino-Premiere und jede Anime-Folge im Usenet erscheinen lässt — manchmal Stunden bevor sie offiziell startet.

Subjekt
The Scene / Warez Subkultur
Aktiv seit
~1980, BBS-Ära
Größe
~2.000 aktive Mitglieder
Zugang
Strikt nur per Vouch
// NAVIGATION · KLICK FÜR DETAILS
§ 01 — DEFINITION

Eine Subkultur, kein Marktplatz.

Was du im Usenet siehst, ist nur die Schaufensterauslage. Das eigentliche Geschäft passiert in einem geschlossenen Netzwerk, das du nie betreten wirst.

Die Scene operiert auf Topsites — privaten FTP-Servern in Hochleistungs-Rechenzentren, oft mit 10 bis 40 Gigabit Anbindung. Diese Server haben keine Webseite, keine Suchmaschine, keine Anmeldung. Wer Zugang will, muss von zwei bestehenden Mitgliedern gevouched werden, eine Probezeit bestehen, und sich beweisen.

Auf der gesamten Welt schätzt man etwa 30 bis 50 aktive Topsites zu jedem Zeitpunkt. Die Mitglieder kennen einander nur per Handle — Real-Namen sind tabu. Eine Scene-Gruppe besteht typischerweise aus 5 bis 30 Personen mit klar verteilten Rollen, die sich oft nie persönlich treffen.

Das Bemerkenswerteste: Es geht ihnen nicht um Geld. Verkaufen ist innerhalb der Scene strikt verboten — wer Releases monetarisiert wird gebannt, manchmal sogar gedoxxt. Es geht um Geschwindigkeit, Reputation, und Handwerk. Wer ein Release zuerst rausbringt, gewinnt Status. Es ist kompetitives Hobby auf einem Niveau, das Außenstehende meist unterschätzen.

Stell dir die Scene vor wie eine geheime Speedrun-Community, nur dass das Speedrun-Material die gesamte Unterhaltungsindustrie ist — und der Highscore in Sekunden gemessen wird, die zwischen offiziellem Release und Topsite-Drop liegen. — Eine plausible Analogie
// HIERARCHIE.MAP
┌── [SCENE]
├─▶ Topsite Operators
└── Server-Admins
├─▶ Release Groups
├── Suppliers
├── Encoders
├── Crackers
└── Couriers
└─▶ [LEAK BOUNDARY]
    
     P2P Networks
     Usenet Posters
     You

// LAYER 01

The Inner Circle

Topsite-Betreiber und vertraute Release-Groups. Hier entstehen Releases. Geschlossen, anonym, hoch-organisiert. Du kommst nie rein, es sei denn jemand bürgt für dich.

EST. ~2.000 PERSONEN WELTWEIT

// LAYER 02

P2P-Mittelsmänner

Bots und semi-trusted Personen, die Scene-Releases von Topsites in öffentliche Netze (Usenet, Private Tracker) leaken. Diese Schicht ist die "letzte Meile" des Leaks.

AUTOMATISIERT // SECONDS-LATENCY

// LAYER 03

Public Indexers

Indexer wie nzbgeek, DrunkenSlug, NZBPlanet crawlen das Usenet, kategorisieren Releases und stellen sie via API zur Verfügung. Das ist die Schicht, mit der du tatsächlich interagierst.

DEINE EBENE // POLLED VIA SONARR
§ 02 — DRAMATIS PERSONAE

Die Crew hinter einem Release.

Ein einzelner Mensch baut keine 1080p-WEB-DL einer Netflix-Serie binnen Minuten nach Premierenstart. Es braucht ein Team, eine Pipeline, und Spezialisierung.

// ROLE 01
Supplier
aka. The Source
Beschafft den Rohcontent. Hat Zugang zu Streaming-Plattformen, Review-Screenern, Cinema-Equipment, oder Industry-Material. Oft Insider mit physischem Zugang zu unveröffentlichten Medien.
RISK
// ROLE 02
Encoder
aka. The Craftsman
Konvertiert Rohcontent in das standardisierte Scene-Format. Kennt x264/x265-Settings auswendig, optimiert Quality vs. Filesize, und stellt sicher, dass das Release Scene-Regeln entspricht. Pure Handarbeit.
RISK
// ROLE 03
Cracker
aka. The Locksmith
Bei Software/Spielen: knackt DRM-Schutz (Denuvo, etc.). Bei Streaming: arbeitet mit Widevine-CDM-Keys oder hardware-extrahierten Schlüsseln. Hochspezialisiertes Reverse-Engineering, oft Wochen Arbeit pro Schutzsystem.
RISK
// ROLE 04
QC Tester
aka. The Inspector
Quality Control. Prüft das fertige Release gegen die Scene-Rules: Auflösung, Bitrate, Container-Format, Naming Convention, Sample-File. Wird ein Standard verletzt, kommt das Release als "nuked" mit Schimpf-Vermerk zurück.
RISK
// ROLE 05
Courier
aka. The Runner
Hochautomatisiert: verteilt fertige Releases auf Topsites — oft in Sekunden, per Race-Skripten. Wer schneller ist, gewinnt. Mehrere Topsites parallel beliefern, Bandbreite ist alles.
RISK
// ROLE 06
Site Op
aka. The Gatekeeper
Topsite-Administrator. Verwaltet Server, Bandbreite, User-Accounts, Quotas (Upload-zu-Download-Ratios). Entscheidet, welche Gruppen und Couriers Zugang bekommen. Die graue Eminenz im Hintergrund.
RISK
§ 03 — DIE QUELLEN

Wo der Content wirklich herkommt.

Brandneue Filme im Usenet sind keine Magie. Sie haben einen messbaren, oft mundanen Ursprung — und die Methode hinterlässt fast immer Spuren im Release-Format.

TagQuelleWie es entstehtQualitätLatenz
CAMKino-MitschnittCamcorder im Kinosaal, oft mit beschissenem Audio-Direkt-Mitschnitt. Schwankendes Bild, Köpfe im Vordergrund, Lacher im Saal hörbar.PFUIStunden nach Premiere
TS / TCTelesync / TelecineDirekter Audio-Tap aus der Kinoanlage, Bild trotzdem von Kamera. Bessere Tonqualität als CAM, Bild noch immer aus dem Saal.SCHLECHTTage nach Premiere
SCREENERAward-Voter-LeakStudios verschicken Vorabkopien an Oscar-/BAFTA-/Golden-Globe-Voter. Manche dieser Voter (oder Leute in der Distribution) leaken sie. Oft mit eingeblendetem "Property of XYZ"-Watermark.OK BIS GUTWochen vor offizieller VOD-Release
WORKPRINTStudio-InsiderUnfertige Schnittfassung direkt aus dem Studio. Sehr selten, sehr wertvoll. Berühmtester Fall: X-Men Origins: Wolverine 2009, einen Monat vor Kinostart.VARIIERTVor Kinostart, sehr selten
WEB-DLStreaming-Rip (lossless)Direkt vom Streaming-Anbieter heruntergeladen mit voller Original-Bitrate, nach DRM-Entschlüsselung. Mit korrektem Toolset technisch eine 1:1-Kopie der Netflix-/Disney+-Datei.EXZELLENTInnerhalb Minuten nach Stream-Release
WEB-RIPStreaming-Re-EncodeWie WEB-DL, aber re-encoded mit eigenen Settings. Spart Filesize bei meist marginalen Qualitätsverlusten.SEHR GUTStunden nach Stream-Release
BluRayDisc-RipPhysische Blu-ray, mit MakeMKV o.ä. das AACS-DRM entfernt, dann mit x264/x265 encoded. Oft Promo-Discs aus Replikationswerken vor Verkaufsstart.REFERENZVor oder kurz nach Verkaufsstart
HDTVTV-CaptureLive-Aufnahme von TV-Sendung über Sat-Receiver, Cable-Box oder OTA-Tuner. Klassische Quelle für Sport, alte Animes, Live-Events.SOLIDEWährend/nach Ausstrahlung
DVDSCRDVD-ScreenerDVD-Version eines Award-Voter-Screeners. Heute fast ausgestorben, früher der Goldstandard für Vorab-Releases.OKHistorisch — kaum noch relevant
Die Pipeline für einen WEB-DL-Stream einer Netflix-Premiere kann unter zehn Minuten vom offiziellen Release bis zum Topsite-Drop sein. Bei populären Serien (Stranger Things, House of the Dragon) ist das die Norm, nicht die Ausnahme. — Beobachtbar an Pre-DB-Zeitstempeln
§ 04 — DAS TOOLKIT

Die Werkzeuge, im Detail.

Manche dieser Tools sind komplett legal und für Endkunden gedacht — sie werden nur zweckentfremdet. Andere existieren explizit für die Scene. Hier die wichtigsten, und wie sie technisch funktionieren.

MakeMKV
LEGAL · SHAREWARE
Blu-ray und DVD-Discs in MKV-Files konvertieren.
MakeMKV nutzt einen integrierten AACS-Decryption-Layer, der die Schlüssel aus dem Disc-Header extrahiert und live entschlüsselt. AACS (das DRM auf Blu-rays) ist seit ca. 2007 effektiv geknackt — die "Device Keys", mit denen Player-Software die Discs entschlüsselt, sind in den Player-Firmware-ROMs enthalten und wurden mehrfach extrahiert und veröffentlicht.
Das Tool liest also die verschlüsselte Disc, holt den Title-Key mittels eines dieser kompromittierten Device-Keys, entschlüsselt den Stream im RAM, und schreibt ihn als unverschlüsselte MKV-Datei. Keine Re-Encodierung — die Original-Streams (H.264/HEVC, DTS-HD, TrueHD) bleiben bit-genau erhalten.
INPUT: Blu-ray / DVD / 4K UHD Disc
OUTPUT: MKV (lossless, ~25–60 GB)
SPEED: ~2–4× Disc-Read-Speed
USED BY: Endkunden (Backup) + Scene (Source)
x264 / x265
LEGAL · OPEN SOURCE
Video-Encoder für H.264 und HEVC.
Die De-facto-Standards der Scene für Re-Encoding. Beide sind open-source und werden auch von Netflix, Streaming-Plattformen und großen Hollywood-Studios benutzt — die Scene nutzt schlicht dieselben Tools.
Encoder werden mit hochkomplexen Parameter-Sätzen aufgerufen, die seit Jahren in der Scene optimiert werden: 2-Pass-Encoding mit Constant-Rate-Factor, spezifische Tune-Settings (film, animation, grain), Psychovisual-Optimierungen. Eine gute Encoder-Pipeline ist eine Kunst — die Settings einer Top-Group sind intern Geheimnisse.
CODECS: H.264 (x264) · HEVC (x265)
TYPICAL: 1080p WEB-DL ~6 GB pro Stunde
TYPICAL: 2160p HEVC ~15 GB pro Stunde
SPEED: Stunden bis Tage pro Film
Widevine L3 Decryptors
VERBOTEN · UNDERGROUND
Streaming-DRM von Google entschlüsseln.
Widevine ist Googles Streaming-DRM und schützt fast alles: Netflix, Disney+, Prime Video, HBO Max in Browsern und auf Android. Es hat drei Sicherheitsstufen: L1 (Hardware-isoliert in Trusted Execution Environment), L2, L3 (reine Software-Implementierung). L3 wurde mehrfach geknackt.
Die Scene nutzt extrahierte CDM-Module (Content Decryption Modules) aus älteren Android-Geräten oder Browser-Builds. Mit einem CDM können sie die für ihren Account gültigen "Content-Keys" von Netflix anfordern — und damit die heruntergeladenen verschlüsselten Stream-Segmente entschlüsseln. Das Ergebnis: eine bit-genaue Kopie dessen, was Netflix dir streamen würde.
Wenn ein CDM "burned" wird (Google revokt den Schlüssel, weil er irgendwo missbraucht wurde), wechselt die Scene zum nächsten. Es ist ein katz-und-maus-Spiel, das die Scene seit Jahren gewinnt.
TARGET: Widevine L3 streams
RESULT: Bit-perfect WEB-DL
LIMIT: Meist max. 1080p (4K oft L1)
LEGAL: DMCA §1201 violation (USA)
N_m3u8DL-RE
GRAUZONE · OPEN SOURCE
Streaming-Manifests downloaden & muxen.
Netflix, Disney+, etc. liefern ihre Streams in HLS (.m3u8) oder DASH (.mpd) Manifesten — Playlist-Dateien, die auf einzelne Video- und Audio-Segmente (oft 4-10 Sekunden lang) verweisen. N_m3u8DL-RE ist ein Open-Source-Tool, das diese Manifeste parst und alle Segmente in höchstmöglicher Qualität herunterlädt.
Per se vollkommen legal — wird auch für Backup von eigenen IPTV-Streams oder Bildungsvideos genutzt. Die Scene kombiniert es mit einem Widevine-Decryptor: erst Manifest holen, dann verschlüsselte Segmente downloaden, dann CDM benutzen um Decryption-Keys zu erhalten, dann Segmente entschlüsseln, dann mit FFmpeg muxen in eine finale MKV/MP4-Datei.
INPUT: HLS / DASH manifest URL
OUTPUT: Encrypted segments → MKV
PIPELINE: + Widevine CDM + FFmpeg
LEGAL: Tool legal, Nutzung kontextabhängig
FFmpeg
LEGAL · OPEN SOURCE
Das Schweizer Taschenmesser für alles Audio/Video.
Pflichtwerkzeug für Endnutzer und Scene gleichermaßen. Wird genutzt zum Muxen (mehrere Streams in einen Container packen), De-Muxen (Streams aus Containern extrahieren), Re-Encoden, Subtitle-Bearbeitung, Audio-Sync, Frame-Extraction — wirklich alles.
Im Scene-Workflow oft als finaler Schritt: nachdem WEB-DL-Segmente entschlüsselt und x264/x265-encoded wurden, baut FFmpeg daraus die finale MKV mit Video, mehreren Audio-Spuren (5.1 Surround, Stereo, Director's Commentary), Untertiteln, Chapter-Markers und Metadaten. Kein Re-Encoding bei reinem Muxen — Streams werden 1:1 in den neuen Container kopiert.
USE: Universalwerkzeug
FORMATS: Praktisch jedes Audio/Video-Format
FILE: Command-Line, scriptbar
USED BY: JEDE Pipeline weltweit
SRRDB / Pre-DB
GRAUZONE · WEBSITE
Datenbank aller Scene-Releases mit Zeitstempeln.
Pre-Databases sind öffentliche Verzeichnisse, die jeden Scene-Release mit exaktem Pre-Zeitstempel erfassen — bis auf die Sekunde genau. Wird ein Release auf Topsites gepusht, taucht der Eintrag innerhalb von Sekunden auf.
Sie enthalten NICHT den eigentlichen Content (legal entscheidend), sondern nur Metadaten: Release-Name, Größe, Group, Pre-Zeitstempel, ggf. NFO-Files (Texte mit Group-Branding und Release-Info). Indexer wie nzbgeek nutzen diese DBs, um neue Releases automatisch zu erkennen und im Usenet zu finden.
CONTAINS: Metadata only, NO content
LATENCY: Sekunden nach Topsite-Pre
POPULAR: srrdb.com, predb.net, predb.de
USE: Indexer-Sync, Race-Tracking
DRM Removers (Books)
VERBOTEN · TOOLS
eBook-DRM von Kindle, Adobe, Kobo entfernen.
Tools wie DeDRM als Calibre-Plugin entfernen Adobe-ADEPT, Kindle-AZW und ähnliche eBook-DRM-Schichten. Funktioniert ähnlich wie bei Video: Tool extrahiert den Decryption-Key aus deinem authorized Reader/Account, entschlüsselt die Datei, schreibt unverschlüsseltes EPUB raus.
Scene-Equivalent für eBooks ist die "BookScene" mit eigenen Standards und Regeln, deutlich kleiner als die Movie-Scene. Hörbücher haben ihre eigene Sub-Scene mit DRM-Removal-Pipeline für Audible.
FORMATS: AZW3 → EPUB · ACSM → PDF
REQUIRES: Authorized account/device
SCENE: BookScene (eBooks), MABS (Audio)
LEGAL: DMCA §1201 violation
PAR2 / RAR
LEGAL · OPEN SOURCE
Splitting und Fehlerkorrektur für Usenet-Posts.
Usenet ist eine alte Technologie und Nachrichten haben Größenlimits (typischerweise ~50 MB pro Artikel). Releases werden daher in RAR-Archive aufgeteilt, oft 50 oder 100 MB pro Teil. Dazu kommen PAR2-Dateien — clevere Reed-Solomon-basierte Fehlerkorrektur.
Bei einem Release mit 10% PAR2-Coverage kannst du bis zu 10% der RAR-Dateien verlieren und das Release trotzdem komplett rekonstruieren. Das ist genau, warum dein SABnzbd "Repair" macht, wenn nach dem Download Files fehlen — es benutzt die PAR2-Files, um die fehlenden Bytes mathematisch zu rekonstruieren.
SPLIT: RAR multi-volume
REPAIR: PAR2 Reed-Solomon FEC
TYPICAL: 5–15% PAR coverage
USE: Resilience gegen Article-Loss
Widevine im Detail
// DAS DRM-SYSTEM HINTER 90% ALLER WEB-DLS
L1
// HARDWARE-ISOLIERT
STATUS: SICHER (MEISTENS)
Decryption läuft in einer Trusted Execution Environment (TEE) — einem isolierten Prozessor-Bereich, auf den weder OS noch Apps zugreifen können. Genutzt auf modernen Smartphones, Smart-TVs, dedizierten Streaming-Boxen. Voraussetzung für 4K-Streams auf Netflix & Co.
L2
// HYBRID
STATUS: SELTEN GENUTZT
Mittlere Stufe: Decryption in Software, aber Crypto-Operationen in Hardware. Heute praktisch obsolet — Geräte sind entweder L1 oder L3.
L3
// PURE SOFTWARE
STATUS: KOMPROMITTIERT
Komplett in Software. Decryption-Keys sind theoretisch vom OS extrahierbar. Genutzt für Browser-Streams (Chrome, Firefox) und ältere Android-Geräte. Begrenzt auf 1080p — deshalb ist 4K-WEB-DL in der Scene seltener als 1080p (für 4K wird L1 benötigt, das schwerer zu kompromittieren ist).

Wenn du in einem Browser auf Netflix bist und 1080p siehst, läuft das durch Widevine L3. Genau hier setzt die Scene an. Die Pipeline grob:

1. CDM (Content Decryption Module) aus einem alten Android-Gerät oder Browser-Build extrahieren — diese CDMs enthalten den privaten Schlüssel, mit dem das Gerät sich gegenüber Google authentifiziert.

2. Mit dem CDM und einem gültigen Netflix-Account: License-Request an Netflix senden. Netflix antwortet mit dem Content-Key für das angefragte Movie.

3. Verschlüsselte Stream-Segmente direkt von Netflix-CDN herunterladen.

4. Mit Content-Key entschlüsseln. Heraus kommt der bit-genaue Original-Stream — exakt das, was Netflix dir streamen würde.

5. Mit FFmpeg muxen, NFO und Sample erstellen, in RAR splitten, PAR2 generieren, auf Topsite hochladen. Done.

Wenn ein CDM "burned" wird, weil Google den Key revokt, dauert es Stunden bis Tage, bis ein neuer auftaucht. Der Cat-and-Mouse läuft seit Jahren — und die Scene gewinnt aktuell.

§ 05 — DAS 4K-PROBLEM

Wenn L1 doch fällt.

Wenn Widevine L1 hardware-isoliert ist und 4K-Streams ausschließlich über L1 laufen — wie kommen dann tausende 4K-WEB-DLs ins Usenet? Es gibt drei Wege. Jeder hat seinen Preis.

Erst die Klarstellung, warum das überhaupt eine Hürde ist: Netflix, Disney+, Amazon und Apple TV+ liefern 4K-Streams nur an Geräte, die L1-zertifiziert sind. Dein Browser? Nur 1080p. Standard-Android-Smartphone? Nur 1080p. 4K-Streams bekommen ausschließlich Geräte mit Trusted Execution Environment — moderne Smart-TVs, Apple TV 4K, dedizierte Streaming-Boxen, manche High-End-Smartphones.

Die Verschlüsselung selbst (AES-128) ist mathematisch nicht zu knacken. Was die Scene macht, ist drumherum arbeiten — sie zwingt L1-Hardware dazu, das Material trotzdem rauszugeben. Drei Methoden haben sich etabliert:

01
EXPERTEN
Hardware-Exploit / CDM-Dump
// Königsdisziplin · Goldstandard
+

Die Königsdisziplin der WEB-DL-Pipeline. Sicherheitsforscher und Scene-affine Reverse-Engineers finden Schwachstellen in der Trusted Execution Environment (TEE) bestimmter Hardware — typischerweise ältere Qualcomm-Chipsätze oder spezifische Smart-TV-Modelle, deren Firmware-Sicherheit nicht mehr aktiv gepatcht wird.

Mit einer solchen Schwachstelle gelingt es, den privaten L1-Schlüssel direkt aus dem Hardware-Keystore zu extrahieren — der Schlüssel, der eigentlich das Hardware-Modul nie verlassen sollte. Sobald dieser Key extrahiert ist, kann er auf einer normalen Workstation eingesetzt werden, um sich gegenüber Netflix als "vertrauenswürdiges 4K-fähiges Gerät" auszugeben.

// Beispiel: Wideshears (2021)

Genau das hat Qi Zhao 2021 auf der Black Hat Asia gezeigt — die wohl bekannteste öffentliche Demonstration eines Widevine-L1-Bypasses. Mehr Details im eigenen Wideshears-Tab. Privat, in der Scene, gibt es weitere derartige Exploits — die werden aber nie öffentlich publiziert.

Pirates don't bother cracking the AES-128 algorithm itself. That would take millennia with current computing power. Instead, they're looking for ways around it. — Sicherheitsforschung 2026
// Was ein L1-Key ermöglicht

Sobald der Key gedumped ist, kann die Scene-Software Netflix-Server davon überzeugen, dass ihr Computer ein zertifiziertes Smart-TV ist. Der Server sendet dann den Video-Stream in höchstmöglicher Qualität — 4K, HDR10, Dolby Vision, Dolby Atmos — den die Pirates mit dem extrahierten Key entschlüsseln und unverschlüsselt speichern. Das ist eine bit-genaue Kopie dessen, was dein eigenes 4K-Apple-TV streamen würde.

// SAVING AMMO Sobald die Scene 4K-Releases mit einem L1-Key publiziert, erkennen Netflix & Co. das kompromittierte Gerät und blockieren den Schlüssel innerhalb von Stunden bis Tagen. Daher werden gute L1-Keys für Premiere-Großereignisse aufgespart — Stranger Things, House of the Dragon. Weniger wichtige Serien bekommen nur 1080p mit L3-Keys, die billiger zu ersetzen sind. Scene-Slang: "Saving ammo."
// Warum es so selten ist

Hardware-Exploits zu finden ist Wochen bis Monate Reverse-Engineering durch jemanden mit ARM-Assembly-Skills, TEE-Kenntnissen und Hardware-Hacking-Equipment. Die Anzahl Personen weltweit, die das können, ist klein — niedrige zweistellige Zahl, vielleicht. Wenn ein neuer L1-Exploit auftaucht, wird er innerhalb der Scene gehortet wie ein Schatz und nur an die wichtigsten Groups verteilt.

02
FORTGESCHRITTEN
HDMI-Capture mit HDCP-Stripper
// Brute-Force · WEB-Rip-Pipeline
+

Wenn niemand einen aktuellen L1-Key hat, kommt Plan B: das Bild physisch zwischen Streaming-Box und TV abgreifen. Hier wird die Tatsache ausgenutzt, dass ein 4K-Apple-TV das Material zwar L1-entschlüsselt, aber dann unverschlüsselt über HDMI zum TV sendet — dort ist es theoretisch durch HDCP (High-bandwidth Digital Content Protection) geschützt, aber HDCP ist seit über einem Jahrzehnt geknackt.

// Das Setup

Ein 4K-Streaming-Gerät (Apple TV 4K, Nvidia Shield, ein zertifizierter Smart-TV) wird angeschaltet, der Stream gestartet. Zwischen Gerät und TV schaltet die Pirate-Pipeline einen HDCP-Stripper ein — ein kommerziell erhältliches Gerät (oft als "HDMI-Splitter" verkauft, weil direkter Verkauf von "HDCP-Strippern" rechtlich heikel ist), das das HDCP-Signal entfernt und ein unverschlüsseltes HDMI-Signal weiterleitet.

Dieses unverschlüsselte Signal geht dann in eine professionelle Capture-Card (z.B. Magewell Pro Capture HDMI 4K Plus, Blackmagic DeckLink), die das 4K/HDR-Signal ohne weitere Re-Komprimierung als uncompressed Datenstrom aufzeichnet — ergibt schnell 300–400 GB für einen Spielfilm.

// Der Re-Encode

Diese Riesendatei wird dann mit x265 auf vernünftige Größe runter-encoded (~15–25 GB für einen 4K-Film). Hier liegt auch der einzige Qualitätsverlust gegenüber WEB-DL: das Material wurde einmal von Netflix encoded (Streaming), dann von der Scene re-encoded — also two generations of compression. Mit professionellen Settings ist der Verlust minimal, aber er ist da.

// Das Ergebnis: WEB-Rip statt WEB-DL

Genau deshalb gibt es die Unterscheidung in Release-Tags: WEB-DL ist eine bit-genaue Kopie ohne Re-Encoding (Methode 01 oder 03). WEB-Rip ist die HDMI-Capture-Variante mit Re-Encode. Scene-Puristen sehen WEB-Rip als minderwertig — aber wenn keine L1-Keys verfügbar sind, ist es die einzige Möglichkeit für 4K-Releases.

When Netflix and others win, pirate groups are forced to release a file labeled WEB-Rip. Although these devices are equipped with HDCP, there are splitters that remove this protection. — Branchen-Analyse 2026
// Skalierungsproblem

Diese Methode ist nicht automatisierbar — jeder Stream muss in Echtzeit gecapturet werden. Ein 90-Minuten-Film braucht 90 Minuten Capture-Zeit. Eine 10-Episoden-Serie braucht 10 Stunden. Top-Groups haben daher Capture-Farmen — Räume mit 10+ Streaming-Boxen, die parallel verschiedene Inhalte mitschneiden.

03
SITUATIV
Plattform-spezifische Schwachstellen
// Glück gehabt · iTunes-Style-Exploits
+

Die dritte Quelle: nicht-Widevine-DRM-Systeme mit eigenen Schwächen. Apple, Sony, manche regional kleinere Plattformen nutzen eigene DRM-Lösungen (FairPlay bei Apple, Marlin bei manchen TVs), die teils anders aufgebaut sind als Widevine — und teils einfacher angreifbar.

// Der iTunes-Vektor (historisch)

iTunes hat über Jahre eine relativ alte FairPlay-DRM-Implementation für 4K-Movies-Downloads gehabt, deren Schwächen öffentlich dokumentiert waren. Eine Zeit lang konnte man iTunes-Downloads auf einem Mac entschlüsseln, was eine ganze Welle von iTunes 4K WEB-DLs in der Scene erzeugte. Apple hat diese Lücke zwar geschlossen, aber es gab Phasen, in denen iTunes die primäre Quelle für 4K-Releases war — bevor Widevine-L1-Exploits den Standard übernahmen.

// Smart-TV-Plattform-Exploits

Manche ältere Smart-TVs (Tizen auf älteren Samsungs, WebOS auf älteren LGs, Roku TVs) hatten in bestimmten Firmware-Versionen schwächere DRM-Implementierungen als ihre aktuellen Pendants. Die Scene findet solche Geräte, kauft sie auf, und nutzt sie als Decryption-Workstations — das Smart-TV bekommt den 4K-Stream legitim, und durch eine Firmware-Schwäche kann der entschlüsselte Stream abgegriffen werden, bevor er auf dem Bildschirm erscheint.

// Regionale Plattformen

Streaming-Dienste außerhalb der großen vier (Netflix/Disney/Amazon/Apple) haben oft schwächere Sicherheit — sei es weil sie weniger Investment in DRM haben, oder weil sie ältere Versionen einsetzen. Plattformen wie Hotstar (Indien), iView (Australien), iQiyi (China) sind regelmäßig Quellen für 4K-Inhalte, die später als internationale Versionen recycled werden.

The tools work by downloading the encrypted video stream from the streaming site, and reverse engineering the encryption. These tools are extremely private, and only a handful of people in the world have access to the latest versions. — TorrentFreak Quelle, Scene-Insider
// Warum diese Methode an Bedeutung verliert

Streaming-Plattformen härten ihre DRM kontinuierlich. Was 2020 noch lief, läuft 2026 nicht mehr. Apple hat FairPlay verschärft, Smart-TV-Hersteller auditen Firmware besser, regionale Plattformen migrieren zu Widevine L1 oder ähnlichen modernen Standards. Dieser Pfad zu 4K-Content trocknet langsam aus — was den Druck auf Methoden 01 (L1-Hardware-Exploits) erhöht.

Die offene Frage in der Scene-Community ist gerade: Wie lange noch? Google patcht Widevine, Hardware-Hersteller patchen TEEs, Streaming-Anbieter verbessern Anomalie-Erkennung. Manche prognostizieren, dass die L1-Pipeline binnen weniger Jahre zusammenbricht und 4K-WEB-DLs zu einer Seltenheit werden — andere sagen, das hat man auch schon vor fünf Jahren gesagt, und die Scene findet immer einen Weg. — Wiederkehrende Diskussion in Underground-Foren
CASE STUDY · DEEP DIVE · BLACK HAT ASIA 2021

Wideshears

Wie ein Sicherheitsforscher in Beijing demonstrierte, dass Qualcomms Trusted Execution Environment nicht so vertrauenswürdig ist — und damit die theoretische Grundlage für jede 4K-WEB-DL der letzten Jahre lieferte.

// PUBLIKATION
Black Hat Asia 2021
// DATUM
06. Mai 2021
// FORSCHER
Qi Zhao (Hyrathon)
// AFFILIATION
360 Alpha Lab, Beijing
// TARGET
Qualcomm QTEE + Widevine TA
// IMPACT
L1 Keybox Extraction
// AFFECTED
Milliarden Geräte
// VENDOR
Verantwortlich gemeldet
// CHAPTER 01 — DER KONTEXT

Warum Wideshears Geschichte schrieb.

Wideshears ist der Name eines Vortrags und der zugrundeliegenden Forschungsarbeit, die 2021 auf der Black Hat Asia präsentiert wurde — einer der weltweit wichtigsten Sicherheits-Konferenzen. Der Vortrag dauerte 27 Minuten, aber die Implikationen halten bis heute an.

Was Wideshears bewies: Qualcomms Trusted Execution Environment (QTEE) — die Hardware-Sicherheits-Schicht, auf die sich Google, Netflix, Disney+ und alle anderen Streaming-Anbieter verlassen — hat ausnutzbare Schwachstellen. Konkret in der Widevine Trusted Application, die innerhalb des QTEE läuft und L1-Decryption durchführt.

Bis dahin galt: Widevine L1 ist sicher. Wenn ein Gerät ein QTEE-fähiges Qualcomm-SoC hatte und von Google L1-zertifiziert war, dann war es vertrauenswürdig genug für 4K-Streams mit DRM-Schutz. Wideshears hat diese Annahme öffentlich, technisch detailliert, mit Proof-of-Concept widerlegt.

// THE RESEARCHER
Qi Zhao
a.k.a. Hyrathon · @JHyrathon
Sicherheitsforscher beim chinesischen 360 Alpha Lab. Master in Information Security an der Beijing University of Posts and Telecommunications. Spezialisiert auf mobile Plattformen — TrustZone, NFC, Media Codecs. Hat dutzende Schwachstellen an Google, Huawei und Qualcomm gemeldet. Vorher schon HITCON 2019 als Speaker, 2020 in Googles "Vulnerability Reward Program Year in Review" erwähnt.
// THE TEAM
360 Alpha Lab
// Qihoo 360, Beijing
Sicherheitsforschungs-Team des chinesischen Cybersicherheits-Riesen Qihoo 360. Bilanz: 300+ Schwachstellen bei Top-Vendors anerkannt, zweimal den höchsten Bug-Bounty-Reward bei Google's Android Security Reward Program gebrochen, Rekordhalter mit 8 Exploits bei Google. Erfolgreiche Pwner bei Pwn2Own und Tianfu Cup — den olympischen Spielen der Hacking-Community.
// CHAPTER 02 — DAS ZIEL

Was ist eine Trusted Application?

Um zu verstehen, was Wideshears geknackt hat, muss man die Architektur von ARM TrustZone und Qualcomms QTEE kennen. Vereinfacht gesagt: dein Smartphone hat zwei voneinander getrennte "Welten" auf demselben Chip — die Normal World (in der Android, Apps, dein Browser laufen) und die Secure World (in der hochsensible Operationen stattfinden).

┌──────────────────────────────────────────────────────────────────┐ NORMAL WORLD (EL-0/EL-1) SECURE WORLD (TEE) ───────────────────────── ──────────────────── Android OS QTEE Kernel └─ Netflix App └─ Trusted Apps (TAs) └─ Media Player ├─ Widevine TA └─ CDM (L1 client) ├─ KeyMaster TA └─ PlayReady TA ↓↑ SMC calls SFS = Secure File System (controlled gateway) └─ keybox_lvl1.dat └─ keybox_lvl3.dat └─ device_id.dat └──────────────────────────────────────────────────────────────────┘ # Die "║" in der Mitte ist die Hardware-Grenze. # Selbst Kernel-Code in der Normal World kann NICHT in die Secure World schauen. # Kommunikation läuft AUSSCHLIESSLICH über kontrollierte SMC-Calls.

In der Secure World — also innerhalb der TEE — laufen Trusted Applications (TAs). Das sind kleine Programme, die hochsensible Operationen durchführen: das Validieren von Fingerabdrücken, das Speichern von Bezahl-Keys, das Verschlüsseln von Drive-Encryption — und eben das Decrypten von Widevine-DRM-Streams.

Die Widevine TA ist also das Herzstück von L1. Wenn dein Smartphone einen 4K-Netflix-Stream entschlüsselt, geht der verschlüsselte Stream durch eine SMC-Bridge in die Secure World, wird dort von der Widevine TA mit dem L1-Schlüssel entschlüsselt, und nur das fertige Bild kommt wieder raus — der Schlüssel selbst verlässt die Secure World nie.

So ist es gedacht. Wideshears hat gezeigt, wie man trotzdem rankommt.

// HIGH-VALUE TARGET

Milliarden Geräte

Qualcomm-SoCs laufen auf einer überwältigenden Mehrheit aller Android-Smartphones weltweit. Ein Bug in der Widevine TA betrifft Milliarden Geräte gleichzeitig.

// CLOSED SOURCE

Schwer zu auditen

QTEE und seine TAs sind komplett proprietär. Kein Source-Code, keine Debugging-Hooks, keine offiziellen Dokumentationen. Pure Reverse-Engineering-Arbeit.

// LAST PUBLIC EXPLOIT

Seit 2016

Vor Wideshears war der letzte öffentlich publizierte erfolgreiche QTEE-Exploit Gal Beniaminis Arbeit von 2016. Qualcomm hatte 2017–2018 eine Welle aggressiver Hardening-Patches durchgezogen ("Annihilation").

// DE FACTO STANDARD

Widevine = DRM

Widevine ist die meistgenutzte DRM-Lösung für Android-OEMs/ODMs. Wer Widevine knackt, knackt potenziell den Schutz von Netflix, Disney+, Amazon Prime, HBO Max in einem Aufwasch.

// CHAPTER 03 — DIE SCHWACHSTELLE

Ein Path-Traversal mit Folgen.

Das Herzstück von Wideshears ist eine geradezu klassische Schwachstelle: ein Path-Traversal-Bug in einer Funktion namens OEMCrypto_Dash_GetDeviceID innerhalb der Widevine Trusted Application. Diese Funktion ist eigentlich dafür da, eine Geräte-ID zurück an die Normal World zu geben.

Aber die Funktion macht intern etwas Merkwürdiges: sie öffnet eine Datei aus dem QTEE Secure File System (SFS) — dem "vertrauenswürdigen Speicher", in dem die wertvollsten Geheimnisse liegen. Die Pfadangabe für diese Datei stammt aus einem writable segment, also einem Speicherbereich, den der Angreifer manipulieren kann. Klassischer Fehler.

// Die Datei-Pfade in der Widevine TA — alle gemeinsam in einem manipulierbaren Segment: g_playready_aes_key_file_path = "usr_sfs:/persist/data/app_ms/app_ms/aeskey.dat" g_wv_dash_keybox_file_path = "/persist/data/app_g/sfs/keybox_lvl1.dat" g_wv_keybox_lv3_file_path = "/persist/data/app_g/sfs/keybox_lvl3.dat" g_wv_keybox_lv1_file_path = "/persist/data/app_g/sfs/keybox_lvl1.dat" ← THE PRIZE g_wv_device_id_file_path = "/persist/data/app_g/sfs/device_id.dat" // Die verwundbare Funktion (vereinfacht): OEMCrypto_Dash_GetDeviceID(rsp_buf, size, *rsp_size) { qsee_sfs_open(g_wv_device_id_file_path); // öffnet "device_id.dat" pvVar3 = qsee_malloc(...); // Speicher allokieren qsee_sfs_read(pvVar3, ...); // Datei einlesen // → returned via rsp_buf an Non-Secure World } // Das Problem: // `g_wv_device_id_file_path` ist in einem WRITABLE Segment. // Wenn man den Wert auf "/persist/data/app_g/sfs/keybox_lvl1.dat" überschreibt, // liest die Funktion den L1 KEYBOX statt der Geräte-ID. // Und schreibt ihn brav zurück in die Normal World.

Mit anderen Worten: Die Funktion vertraut darauf, dass der Datei-Pfad immer auf die harmlose device_id.dat zeigt. Wenn ein Angreifer diesen Pfad aber auf keybox_lvl1.dat umlenken kann, liest die Funktion fröhlich den L1-Schlüssel-Container aus dem Secure File System und gibt ihn an die Normal World zurück.

Das ist Vertrauensbruch auf höchstem Niveau. Die Trusted Application sollte den L1-Keybox als das absolut Heiligste behandeln. Stattdessen kann sie überredet werden, ihn auszuhändigen, weil sie keine ordentliche Pfad-Validierung macht.

Das ist die Stelle, an der Sicherheitsforscher schmunzeln und Streaming-Anbieter weinen. Eine der wertvollsten Datenstrukturen der gesamten DRM-Industrie — geschützt durch Hardware-Isolation, Trusted Execution Environment, mehrere Compliance-Audits — fällt einer Schwachstelle zum Opfer, wie man sie aus Web-Security-Tutorials von 2005 kennt. — Eine wiederkehrende Erkenntnis in Security Research
// CHAPTER 04 — DIE EXPLOIT-CHAIN

Drei Probleme, ein Schlüssel.

Eine Schwachstelle zu finden ist eine Sache. Sie zuverlässig auszunutzen, ist eine andere. Wideshears musste drei zusätzliche Hürden überwinden, bevor der Path-Traversal-Bug tatsächlich den L1-Schlüssel ausspuckte:

Memory-Model verstehen
QTEE Trusted Applications kommunizieren mit der Normal World über SMC-Calls mit geteiltem Speicher. Die Kommandos werden über Shared Buffers übergeben, die zwischen den beiden Welten gemappt sind. Erst musste Qi Zhao das exakte Memory-Model der Widevine TA reverse-engineeren — wie Kommandos ankommen, wie Buffer verwaltet werden, wie Antworten zurückgehen. Eine zweite Schwachstelle (Information Leak) wurde dabei entdeckt und für die nächsten Schritte mitgenutzt.
ASLR brechen
Address Space Layout Randomization: bei jedem Boot lädt QTEE die TAs an zufällige Speicheradressen, damit Exploits nicht "raten" können, wo Code oder Daten liegen. Wideshears musste eine Methode finden, um die tatsächliche Lade-Adresse der Widevine TA zu erfahren. Mit der Information-Leak-Schwachstelle aus Schritt 1 konnten Pointer aus dem TA-Speicher ausgelesen werden, was Rückschlüsse auf die Base-Adresse erlaubte.
Memory-Layout finden
Der eigentliche Path-Traversal-Bug erfordert, dass der Angreifer den File-Path an einer bestimmten Stelle im Speicher überschreiben kann. Das setzt voraus, dass diese Stelle aus der Normal World erreichbar ist. Wideshears fand ein spezifisches Memory-Layout, in dem die Pfad-Variable durch user-controlled-data erreicht und überschrieben werden konnte — der missing link zwischen Theorie und Exploit.
L1 Keybox extrahieren
Mit allen Vorbedingungen erfüllt: g_wv_device_id_file_path wird auf keybox_lvl1.dat umgelenkt. Die Widevine TA wird dazu gebracht, OEMCrypto_Dash_GetDeviceID aufzurufen. Sie liest brav den L1-Keybox aus dem SFS, allokiert Heap-Memory dafür, schreibt ihn rein, und schickt ihn zurück an die Normal World — wo Wideshears ihn in Empfang nimmt. Spielende.
// CHAPTER 05 — DER PREIS

Was ein L1-Keybox wirklich wert ist.

Was Wideshears extrahierte, ist kein einzelner Schlüssel — es ist ein Keybox, eine Container-Struktur mit mehreren Crypto-Material-Komponenten. Im Kern enthält ein L1-Keybox einen Device-Private-Key, der das Gerät als "vertrauenswürdig" für Widevine-Server ausweist, plus zugehörige Certificate-Daten.

Mit dem Keybox kann Software auf einer beliebigen anderen Maschine (Linux-PC, virtuelle Maschine, automatisierter Bot) vorgeben, das ursprüngliche Gerät zu sein. Der Widevine-License-Server prüft das Zertifikat, sieht "ja, das ist ein legitimes L1-Gerät", und liefert die Content-Decryption-Keys für 4K-Streams aus.

Bemerkenswert: Der Widevine-License-Server kann nicht erkennen, ob das Gerät echt ist oder gespoofed. Solange das Zertifikat valide ist, wird ausgeliefert. Das ist die fundamentale Annahme, die L1 macht: "wenn jemand den Hardware-Schlüssel hat, muss er ein vertrauenswürdiges Gerät sein". Falsch.

Keybox extrahieren
4K-Streams entschlüsseln
~24h
Bis Google revokt
Detection by License Server

Sobald ein Keybox in der Wildnis ist, kann er für die kurze Zeit, bis Google ihn revokt, unbegrenzt 4K-Inhalte freischalten. Eine geschickte Scene-Group nutzt ein neu extrahiertes Keybox in genau dem Zeitfenster, um Premium-Premieren in 4K runterzuladen. Daher der Begriff "Saving ammo" — gute Keys werden für die wichtigsten Releases aufgespart.

Hier ist auch der Bezug zu deinem Pokémon-Problem: alte Pokémon-Episoden sind für die Scene kein Premium-Target. Niemand verschwendet einen kostbaren L1-Keybox auf eine Anime-Folge von 1997. Daher gibt es alte Anime fast nur in 1080p HDTV-Qualität (Methode 02 — TV-Capture) und nicht als 4K-WEB-DL.

// CHAPTER 06 — DIE NACHWIRKUNGEN

Was nach Wideshears passierte.

Wideshears wurde verantwortungsvoll an Qualcomm gemeldet, gepatcht, und erst dann öffentlich präsentiert — das ist Standard für Black-Hat-Talks. Der Patch-Cycle für Android-Sicherheitsupdates ist allerdings notorisch langsam: viele Geräte bekommen Patches erst Monate später, manche nie.

Die unmittelbaren Konsequenzen waren mehrdimensional:

  • Qualcomm patcht die TA: Die spezifische Path-Traversal-Schwachstelle wurde geschlossen. Aktuelle QTEE-Versionen sind gegen den exakten Bug immun. Aber: das ist eine Schwachstelle. Forschungsteams gehen davon aus, dass es weitere gibt, die nicht öffentlich sind.
  • Google revokt Keys: Alle L1-Keyboxes, die mit Geräten von der betroffenen Generation verbunden waren, wurden auf Verdacht in eine Watchlist gesetzt. Auffälliges Nutzungsverhalten triggert sofortige Revocation.
  • Die Scene gewinnt Wissen: Auch wenn Wideshears selbst gepatcht wurde, haben die Methoden der Forschung — wie man eine TA reverse-engineert, welche Memory-Patterns relevant sind, wie man ASLR umgeht — die Latte für ähnliche Forschung gesenkt. Andere Researcher, auch Scene-affine, fanden in den folgenden Jahren weitere TA-Bugs auf ähnlichem Pfad.
  • Cat-and-Mouse beschleunigt: Qualcomm hat 2017–2018 eine massive Hardening-Welle ("Annihilation") durchgeführt. Wideshears 2021 und nachfolgende Forschung haben Qualcomm gezwungen, die TA-Sicherheit nochmal zu überdenken. QTEE in 2026 ist deutlich besser geschützt als 2021 — aber auch deutlich komplexer, was wieder neue Angriffsoberflächen schafft.
  • Akademische Folgeforschung: Wideshears ist heute Standard-Referenz in TEE-Sicherheits-Papers. Forschungsarbeiten wie das 2025-Paper über "Qualcomm Trusted Application Emulation for Fuzzing Testing" bauen direkt auf Wideshears auf — sie automatisieren die Suche nach genau der Art Bug, die Wideshears manuell fand.
Wideshears war nicht der erste TEE-Exploit, und nicht der letzte. Aber er war der bestdokumentierte und einer der spektakulärsten — und er hat öffentlich bewiesen, was die Scene seit Jahren intern wusste: Hardware-Sicherheit ist eine Annahme, kein Naturgesetz. — Lehre aus 5 Jahren Folgeforschung
// CHAPTER 07 — PRAKTISCHE BEDEUTUNG

Warum das für dich relevant ist.

Du wirst Wideshears nie selbst nutzen — die exakte Schwachstelle ist gepatcht, und selbst wenn nicht, wäre die Reproduktion ein 6-monatiges Reverse-Engineering-Projekt. Aber Wideshears erklärt strukturell, warum die 4K-Welt im Usenet so aussieht wie sie aussieht:

  • Warum 4K-Releases später kommen als 1080p: Weil L1-Exploits rar sind und nur sporadisch funktionieren, gibt es nicht jeden Tag neue 4K-WEB-DLs. Eine Top-Group veröffentlicht ihre 4K-Pipeline mit Augenmaß — oft erscheint die 1080p-Version Stunden bis Tage vor der 4K-Version.
  • Warum 4K-Releases manchmal "burned" werden: Wenn du in srrdb oder in deiner Sonarr-History siehst, dass eine 4K-Release nach Tagen "nuked" oder ersetzt wird, hat oft Google den verwendeten Keybox revokt — der ursprüngliche Stream lief mit einem Key, der nicht mehr funktioniert, und eine neue Group muss mit einem frischen Keybox nachlegen.
  • Warum Stranger Things in 4K kommt, aber Pokémon S19 nicht: "Saving ammo" — Top-Groups verwenden L1-Keys nicht für jede beliebige Serie. Pokémon S19 von 1997 läuft sowieso nicht in 4K (die Originale sind SD), und alte Anime werden über TV-Capture (Methode 02) statt Streaming-Rip versorgt — weil dort die L1-Frage gar nicht erst aufkommt.
  • Warum die DRM-Welt nicht stabil ist: Jedes Mal, wenn ein neuer Hardware-Exploit findet wird (ob Wideshears-Style oder neuer), ändert sich das Release-Profil. Wenn du in 6 Monaten plötzlich mehr 4K-Releases siehst, war wahrscheinlich ein neuer Keybox-Exploit verfügbar. Wenn du weniger siehst, hat Google gerade eine Welle revoked.

Das interessante an Wideshears ist nicht der konkrete Bug — es ist, was er stellvertretend bedeutet. Hardware-DRM ist nur sicher, solange niemand ernsthaft hinschaut. Wenn ein einzelner Forscher in seiner Freizeit (das war Qi Zhao's Forschungsprojekt, nicht Auftragsarbeit) ein Multi-Milliarden-Dollar-DRM-System aushebeln kann, dann gibt es da draußen eine ganze Pipeline von Leuten, die das weniger öffentlich tun.

Die Streaming-Industrie weiß das. Sie investiert in defense in depth: Anomalie-Erkennung, Watermarking ("Forensic Watermark"), Server-Side-Limits pro Account, Hardware-Refreshes alle paar Jahre. Aber solange sie 4K-Streams überhaupt anbieten will, muss sie sie irgendwo entschlüsseln — und das macht jede DRM-Lösung am Ende theoretisch angreifbar.

// QUELLEN-HINWEIS
Die technischen Details zu Wideshears entstammen dem öffentlich publizierten Black-Hat-Asia-2021-Whitepaper "Wideshears: Investigating and Breaking Widevine on QTEE" von Qi Zhao (360 Alpha Lab), der zugehörigen Präsentation, sowie der Folgeforschung bis 2026. Diese Inhalte sind seit Jahren öffentlich zugänglich, akademisch zitiert, und Standard-Material in TEE-Sicherheitskursen.
§ 06 — DIE PIPELINE

Vom Topsite auf dein NAS.

Klick auf jeden Schritt für Details. Die gesamte Pipeline kann bei populären Releases unter 30 Minuten ablaufen.

01
// T+00:00
Source Acquisition
Stream startet auf Netflix. Innerhalb von Sekunden hat ein Supplier die verschlüsselten Stream-Segmente und beginnt mit der Decryption.
Bei Streaming-Premieren oft schon Stunden vor offiziellem Release möglich, wenn Netflix Pre-Releases auf bestimmten Märkten freischaltet (Australien ist bei TV-Releases oft ein paar Stunden vor Europa). Suppliers mit Konten in mehreren Regionen nutzen das systematisch aus.
+
02
// T+00:05
DRM Removal & Muxing
Widevine L3 CDM entschlüsselt Stream-Segmente. Mit FFmpeg werden Video, Audio (Stereo + 5.1), Subtitles in eine MKV-Datei gemuxt.
Kein Re-Encoding bei WEB-DL — die Streams sind bit-genaue Kopien dessen, was Netflix verteilt. Bei einer 1080p-Stunde sind das ca. 5–8 GB. Das ist der größte Qualitätsunterschied zu früher: Streaming-Bitraten sind oft besser als manche Blu-ray-Encodes.
+
03
// T+00:08
Quality Control
QC-Tester verifiziert: Auflösung korrekt? Audio-Sync? Subtitles richtig? Naming nach Scene-Standards? NFO-File mit korrekten Tags?
Wenn etwas nicht passt: Release wird "genuked" — bekommt einen Schimpf-Vermerk wie "Bad.A/V.Sync" oder "Wrong.Source", und eine andere Group hat eine Chance, ein "PROPER" hinterherzuschieben (besseres Re-Release). Nukes sind Reputationsschaden.
+
04
// T+00:10
Topsite Pre
Release wird auf eine oder mehrere Topsites hochgeladen. Couriers "racen" — wer schneller ist, gewinnt. Pre-Zeitstempel wird auf die Sekunde genau notiert.
Topsites haben Ratio-Systeme: wer hochlädt bekommt Credits, mit denen er auf der Site downloaden darf. Ein erfolgreicher Race-Win bringt massiv Credits — die Top-Couriers bekommen quasi unbegrenzten Download-Zugang. Manche Race-Setups haben 10 Gbit/s Anbindung, um Konkurrenz zu schlagen.
+
05
// T+00:11
Pre-DB Listing
Innerhalb von Sekunden taucht das Release in Pre-Datenbanken auf (srrdb, predb.net). Public-Welt erfährt von der Existenz — ohne Content-Zugriff.
Pre-DBs werden vor Allem von Indexern und Privater-Tracker-Bots gepollt. Hier beginnt die "letzte Meile" zu der öffentlichen Welt. Ab diesem Moment wissen tausende Indexer-Bots: "Es gibt jetzt diesen Release — sucht ihn im Usenet."
+
06
// T+00:15
P2P Leak
"Mittelsmänner" mit Topsite-Zugang laden Release in private Tracker und ins Usenet. Oft automatisierte Bots — vom Topsite-Drop ins Usenet in Sekunden.
Hier verlässt der Release den geschlossenen Kreis. Posten ins Usenet ist per se legal — Provider verkaufen Posting-Access ohne große Fragen. Das Posten passiert über Obfuscated Posts: kryptische Filenames wie "abc123def456.r01" um automatisierte Takedown-Bots zu umgehen. NZB-Files enthalten dann die Übersetzung zurück zum echten Release-Namen.
+
07
// T+00:20
Indexer Pickup
Indexer wie nzbgeek, DrunkenSlug erkennen den neuen Post (durch Pre-DB-Match) und stellen ein NZB bereit. API-Zugriff für Sonarr/Radarr.
Indexer machen die Übersetzung von obfuscated zu lesbar — sie wissen durch das Pre-DB-Match, welche kryptischen Posts zu welchem Release gehören, und stellen ein sauberes NZB bereit. Ohne Indexer wäre Usenet praktisch unbenutzbar für End-User.
+
08
// T+00:25
Sonarr Trigger
Dein Sonarr/Radarr pollt den Indexer (default: alle 15 Min), findet das neue Release, schickt das NZB an SABnzbd. Download startet.
Bei deinem Setup mit Eweka als Provider: Download mit voller Bandbreite, SAB de-RARed, PAR2-Repair falls nötig, Sonarr verschiebt die Files in deine Plex-Bibliothek. Plex scannt, generiert Thumbnails, fertig zum Streamen auf deinem TV. Gesamtzeit von Topsite-Pre bis spielbereit auf Plex: oft unter 30 Minuten.
+
§ 07 — DIE GEGENSEITE

Warum sie nicht verschwindet.

FBI, Interpol, Studio-Anti-Piracy-Teams haben seit den 90ern Jagd auf die Scene gemacht. Es gab spektakuläre Erfolge — aber das System wächst nach.

2001 // OPERATION BUCCANEER
DrinkOrDie Bust
Internationaler FBI/U.S. Customs-Schlag gegen die Gruppe DrinkOrDie und assoziierte Topsites. 70+ Verhaftungen weltweit, einige Leitfiguren gingen ins Gefängnis. Erste große Demonstration, dass Strafverfolgung die Scene erreichen kann.
2004 // OPERATION FASTLINK
Multi-Continent Raid
Über 200 Hausdurchsuchungen in 12 Ländern. Damals geschätzt 50 Millionen USD an Software/Filmen "beschlagnahmt" (sehr theoretischer Wert). Mehrere Topsites offline. Die Scene rekonfiguriert sich — innerhalb von Wochen läuft alles wieder.
2005 // OPERATION SITE DOWN
Topsite Apocalypse
Bisher größte Aktion gegen die Scene. Topsites in den USA, Europa, Asien gleichzeitig hochgenommen. 5 der 8 Top-Tier-Topsites offline. Scene rekonstruiert sich vorsichtiger und dezentraler. Lehre: keine Topsites mehr in westlichen Jurisdiktionen.
2009 // WORKPRINT-LEAK
X-Men Origins: Wolverine
Einen Monat vor offiziellem Kinostart taucht eine fast fertige Version des Films im Internet auf. FBI ermittelt, ein Mitarbeiter eines VFX-Studios wird identifiziert. Verurteilung: 1 Jahr Gefängnis. Studio-interne Sicherheits-Standards werden danach verschärft.
2020 // SPARKS BUST
Top-Tier Group Fall
FBI verhaftet drei Mitglieder der SPARKS-Gruppe (auch bekannt als GECKOS, DRONES) — eine der produktivsten und prestige-trächtigsten Movie-Groups der 2010er. Grund war ein Insider in einer DVD-Replikationsfirma, der Pre-Release-Discs lieferte. Massive Welle von "Pre-DB Pre-Days" verschwindet kurzzeitig.
2024+
Recovery + Adaption
Die Scene überlebt SPARKS-Bust, indem sie sich auf Streaming-Sources konzentriert (weniger Insider-Risk als physische Discs). WEB-DL wird Standard. Topsites werden in jurisdiktionell schwer erreichbare Regionen verlegt (manche behaupten Russland, Vietnam, Philippinen — schwer verifizierbar).
Die Scene ist resilienter als die meisten Strafverfolgungs-Operationen, weil sie kompartmentalisiert ist. Selbst wenn ein Knoten fällt, kennt dieser nur ein paar andere — und die operieren unter Pseudonym. Es ist eine Hydra: Kopf abschlagen, zwei wachsen nach. — Ein wiederkehrender Forschungsbefund

Warum es trotz aller Aktionen weitergeht: Das System ist absichtlich so designt, dass es Verhaftungen übersteht. Niemand kennt mehr als ein Dutzend anderer Mitglieder. Topsites werden in Ländern mit lockerer IP-Strafverfolgung gehostet. Die Personen sind oft technisch sophistiziert (VPN, Tor, Bitcoin, OpSec auf NSA-Niveau).

Und vor allem: die Motivation ist nicht Geld, sondern Status. Geld kann man konfiszieren. Status nicht. Solange es Leute gibt, die durch das Releasen von Filmen anderen Scene-Mitgliedern imponieren wollen, wird die Scene weiterleben.

§ 08 — TAKEAWAYS

Was du jetzt weißt.

Das Usenet, das du nutzt, ist nicht der Ursprung von Releases — es ist eine Konsumenten-Schicht über einer viel komplexeren Infrastruktur. Die eigentliche Arbeit passiert auf Topsites, von Release Groups mit klar verteilten Rollen, mit hochspezialisierten Tools, in einem kompetitiven Wettlauf um Geschwindigkeit und Reputation.

Die Tools sind oft die gleichen, die auch Endnutzer einsetzen — MakeMKV, FFmpeg, x264 — nur in optimierten Pipelines. Die wirklichen Geheimnisse sind die DRM-Bypass-Schichten (Widevine-CDMs, AACS-Device-Keys, L1-Keyboxes aus Wideshears-artigen Exploits), und die Insider-Quellen für Pre-Release-Material.

Für dein konkretes Pokémon-Problem heißt das: Wenn ein bestimmtes Release nicht komplett im Usenet ankommt, ist das kein Provider-Problem — es ist meist ein Content-Verfügbarkeits-Problem, weil DMCA-Takedowns die Artikel über die Jahre dezimiert haben. Bei aktuellen Mainstream-Releases hingegen funktioniert die Pipeline so gut, dass man fast meinen könnte, sie wäre legal eingerichtet.

Das ist das Faszinierendste am Phänomen: Es ist so professionell, dass es wie eine Industrie aussieht — aber niemand verdient daran Geld.

// DISCLAIMER
Diese Seite ist ein technisch-deskriptives Erklärstück. Sie beschreibt die Existenz und Struktur eines real existierenden Phänomens, das in akademischer Literatur, Journalismus und Strafverfolgungs-Berichten gut dokumentiert ist. Sie ist keine Anleitung, kein Tutorial, und enthält keine Anweisungen oder Bezugsquellen. Verstöße gegen Urheberrecht und DMCA §1201 sind in den meisten Ländern strafbar — der Inhalt dieser Seite ändert nichts an dieser Tatsache.