Darknet: onion
1 | 2 | 3 Pfeil rechts

Hilflose Ermittler. Warum Kriminelle im Darknet wenig zu befürchten haben


10.11.2017
Es gibt sie, die spektakulären Erfolge der Ermittler. Wie etwa bei der Aufklärung der Hintergründe zum Münchner Amoklauf im Juli 2016. Damals erschoss ein 18-jähriger Schüler beim und im Olympia-Einkaufszentrum neun Menschen und richtete sich anschließend selber. Seine Waffe besorgte er sich im Darknet. Wenige Wochen nach der schrecklichen Tat schnappte die Polizei den Waffenhändler, der dem Amokläufer für 4.350 Euro eine Pistole des Typs Glock 17 verkauft hatte. Der Fall zeigt mustergültig, wie die Polizei die Barriere von der realen Welt in die anonymen Tiefen des Internets überwinden kann: über Umwege, mit klassischer kriminalistischer Ermittlung – aber vor allem einer Portion Zufall.

In Vorträgen berichtet der für den Fall verantwortliche Cai Rüffer von der Frankfurter Generalstaatsanwaltschaft mitunter nicht ohne Stolz, wie seine Ermittler den Waffenhändler schnappten.[1] Viel früher kamen sie in ganz anderem Zusammenhang einem Waffenkäufer auf die Schliche, der darauf mit der Staatanwaltschaft kooperierte. Er überließ den Beamten sein Nutzerkonto, diese pflegten es weiter. Unter dieser Tarnidentität kontaktierten sie den Waffenanbieter "Rico" später erneut. Es entwickelte sich eine Chatkonversation, bei dem die verdeckten Ermittler vorgaben, erneut an einer Waffe interessiert zu sein. Ohne es zu wissen, lieferte der Waffenhändler den Ermittlern ein ausführliches Geständnis: "Rico" prahlte und erzählte ausführlich, wie er dem Münchner Attentäter die Waffe geliefert habe.

"Rico" stand schon zwei Jahre lang im Visier der Behörden. Er verkaufte auf der inzwischen geschlossenen Darknet-Plattform "Deutschland im Deep Web" Waffen und Munition, wie aus der Anklageschrift im Prozess vor dem Münchner Landgericht im Sommer hervorgeht. Aus dem Verkehr ziehen konnten ihn die Beamten der hessischen Zentralstelle zur Bekämpfung der Internetkriminalität – eine Einheit mit gerademal sechs Juristen – aber erst nach der Münchner Amoktat. Bei der Übergabe der Waffen verhaftete ein Spezialkommando der Zollfahndung den 31-Jährigen. In seinem Auto hatte er eine Glock-Pistole, eine Maschinenpistole und hunderte Schuss Munition.

Ein ähnlich spektakulärer Ermittlungserfolg ereignete sich in der Schweiz. Tobias K. war monatelang auf der Flucht, wurde international gesucht. Im Sommer 2016 soll er während eines Hafturlaubs in Zürich einen IT-Fachmann auf offener Straße erstochen haben. Im Januar 2017 konnte ihn schließlich die Kantonspolizei Bern verhaften, nachdem er im Darknet eine Waffe kaufen wollte. Aus dem sogenannten Zürcher Seefeld-Mord wurde ein "Fall Darknet".

Tatsächlich war aber auch dieser Fall ein Zufallstreffer. Denn die Schweizer Bundespolizei erhielt von einem ausländischen Dienst ein unter einer Tarnidentität geführtes Profil eines Händlers, der drauf und dran war, über eine Darknet-Plattform einem Schweizer eine Waffe zu verkaufen. Die Bundesbehörden in Bern führten den Dialog fort, es stellte sich heraus, dass es sich beim potenziellen Käufer um den mutmaßlichen Mörder handelte. Die Polizei arrangierte mit ihm ein Treffen zur Waffenübergabe – die Falle schnappte zu. Fast wäre die Ermittlung aber gestrandet, weil sich keine kantonale Behörde bereit erklären wollte, den Fall zu Ende zu führen. Die Bundesanwaltschaft kontaktierte 100 Staatsanwälte und nur zwei boten Hand, den Fall zu übernehmen.

Von diesen Hintergründen erfuhr die Öffentlichkeit aber nichts, kommuniziert wurde ein Ermittlungserfolg. Die Behörden brauchen solche Meldungen. Und sie sorgen damit in den einschlägigen Kreisen auch für Wirkung. In den Foren der anonymen Marktplätze im Darknet diskutieren die Marktteilnehmer nach solchen Ereignissen eifrig, ob bereits eine nächste Razzia ansteht. Denn die Frage lautet, auf welche Daten die Polizei bei aufgeflogenen Händlern stößt.

Den teils spektakulären Erfolgen spezialisierter Behörden zum Trotz: Erschreckend ist, dass viele Ermittler, Staatsanwälte und Gerichtsbehörden kaum vertieftes Wissen über das Darknet haben. Meist wissen nur Spezialermittler, wie die anonymen Marktplätze funktionieren, wie Kriminelle mit gefälschten Pässen, geklauten Kreditkarten oder Waffen handeln oder Drogen und Medikamente verschieben. Kaum ein Staatsanwalt hat jemals selbst mit der Kryptowährung Bitcoin bezahlt, die im Darknet als Standardwährung verwendet wird und bequem an zahlreichen – legalen – Online-Börsen oder Geldautomaten zu kaufen ist.[2]

Drogen, Waffen und Schadsoftware



Das Handelsvolumen auf den anonymen Marktplätzen im Darknet hat sich innerhalb der vergangenen Jahre vervielfacht. Auf "Silk Road", dem eigentlichen Pionier dieser Markplätze, sollen 2013 etwa 4.000 anonyme Anbieter Produkte verkauft haben, bevor es im Oktober 2013 vom US-amerikanischen FBI geschlossen wurde.[3] Als ein Jahr später das FBI in einer weiteren Operation namens Onymous auch die Nachfolgeplattform "Silk Road 2.0" stilllegte, waren alleine im Bereich Drogen und Medikamente über 13.000 Angebote online.[4]

Auf "Silk Road" folgten "BlackBank", "Sheep Market", "Agora", "Nucleus" und viele andere. Rasend schnell entwickelte sich "AlphaBay" zum Marktführer. Im September 2015 waren in der Sparte Drogen und Medikamente schon 16.800 Angebote geschaltet. Im Februar 2016 waren es bereits 63100, im April 2017 knapp 230.000 Online-Annoncen. Wenige Tage vor der Schließung dieser Plattform im Juli 2017 umfasste das Angebot an Drogen und Medikamente rund 260.000 Produkte.[5]

Die Bedeutung dieser verborgenen Märkte für die Kriminalität wird von vielen Strafverfolgern bis heute verkannt. Spezialisten sorgen sich um das Desinteresse ihrer ahnungslosen Kollegen. Nur wenigen Strafverfolgern scheint bewusst zu sein, welche Möglichkeiten das Darknet den Kriminellen bietet und welche Dimension das Ausmaß dieser Marktplätze inzwischen erreicht hat. Ein hoher Ermittler einer Schweizer Spezialbehörde sagt geradezu zynisch: "Rein aus Täterperspektive: Ich könnte mir keinen sichereren und besseren Ort vorstellen als das Darknet." Eigentlich möchte er sagen: "Wäre ich ein Krimineller, würde ich das Darknet nutzen."

Fast vollständig unbeobachtet sind bis heute die anonymen Foren der Hacker geblieben. In lediglich einer Handvoll solcher Plattformen tummelt sich die Weltelite der Codierer. Vorwiegend Russen, Chinesen, Iraner, Nordkoreaner und Nordafrikaner bieten auf diesen wenig bekannten Darknet-Plattformen ihre Ware an – fertig programmierte Hackersoftware, um in westliche Industrieanlagen einzudringen, diese lahmzulegen oder irgendwie zu schädigen. Einem schwarzen Brett gleich können Kunden ihre Aufrufe für einen Angriff auf eine Firma X deponieren – und Hacker liefern gegen Bezahlung auch mal ein Programm zum Test.

Längst sind Hackerangriffe bei mittleren und größeren Unternehmen zum Alltag geworden. Nur selten werden Attacken publik, denn die Unternehmen befürchten einen Reputationsschaden. Yahoo wurde innerhalb von zwei Jahren gleich zwei Mal Opfer. 2014 wurden die Daten von 500 Millionen Kunden gestohlen, im Oktober 2017 gab der Internetkonzern bekannt, dass 2013 die Daten von drei Milliarden Kunden entwendet wurden. Bei diesem größten Datenklau aller Zeiten beschafften sich Unbekannte Namen, E-Mail-Adressen, Telefonnummern, Geburtstagsdaten und Passwörter. Die Urheber des riesigen Hacks konnten nie ermittelt werden. Die Liste der in den vergangenen Jahren gehackten Dienstleister, bei denen sensible Daten im zwei- oder dreistelligen Millionenbereich gestohlen wurden, ist ein Who is Who der Branche: LinkedIn, Adobe, Badoo, MySpace, River City Media, B2B USA, Dropbox, Ashley, Nexus, Snapchat, Money Bookers und viele mehr.

International für Aufsehen sorgte auch ein Angriff auf den Schweizer Rüstungskonzern RUAG: Russische Hacker sogen beim staatlichen Rüstungsunternehmen über 20 Gigabyte heikler Daten ab – und über ein Jahr lang bemerkte dies niemand.[6] Es ist fraglich, ob die Täterschaft überhaupt jemals eruiert werden kann. Den Ermittlern blieb nichts anderes übrig, als den Cyberangriff zu rekonstruieren und für die Zukunft mögliche Abwehrstrategien zu entwickeln.

Viele verwendeten Ransomware (Erpressungssoftware) oder DDoS-Programme (Distributed Denial of Service) oder andere Malware, die man im Darknet kaufen kann. Die Anbieter solcher Schadprogramme haben wenig zu befürchten, denn die meisten dieser Straftaten – bis auf wenige Ausnahmen – werden weder geklärt noch strafrechtlich aufgearbeitet. Immerhin gilt in Deutschland seit 2016 eine Meldepflicht für außergewöhnliche IT-Störungen bei Anlagen der Infrastruktur. Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung müssen Vorkommnisse dem Bundesamt für Sicherheit in der Informationstechnik melden.


Fußnoten

1.
Etwa Cai Rüffer, Fraunhofer-Institut für Sichere Informationstechnologie SIT, Vortrag, 8. Anwendertag IT-Forensik, Darmstadt 26.9.2017.
2.
Siehe hierzu auch den Beitrag von Friedemann Brenneis in dieser Ausgabe (Anm. d. Red.).
3.
Vgl. Jamie Barlett, The Dark Net, London 2014.
4.
Siehe U.S. Attorney’s Office, Operator Of "Silk Road 2.0" Website Charged in Manhattan Federal Court, Pressemitteilung vom 6.11.2014.
5.
Eigene Erhebung 2015–2017.
6.
Vgl. APT Case RUAG, Technical Report, Swiss Government Computer Emergency Response Team, 23.5.2016.