Darknet: onion
1|2|3 Auf einer Seite lesen

10.11.2017 | Von:
Otto Hostettler

Hilflose Ermittler. Warum Kriminelle im Darknet wenig zu befürchten haben

Es gibt sie, die spektakulären Erfolge der Ermittler. Wie etwa bei der Aufklärung der Hintergründe zum Münchner Amoklauf im Juli 2016. Damals erschoss ein 18-jähriger Schüler beim und im Olympia-Einkaufszentrum neun Menschen und richtete sich anschließend selber. Seine Waffe besorgte er sich im Darknet. Wenige Wochen nach der schrecklichen Tat schnappte die Polizei den Waffenhändler, der dem Amokläufer für 4.350 Euro eine Pistole des Typs Glock 17 verkauft hatte. Der Fall zeigt mustergültig, wie die Polizei die Barriere von der realen Welt in die anonymen Tiefen des Internets überwinden kann: über Umwege, mit klassischer kriminalistischer Ermittlung – aber vor allem einer Portion Zufall.

In Vorträgen berichtet der für den Fall verantwortliche Cai Rüffer von der Frankfurter Generalstaatsanwaltschaft mitunter nicht ohne Stolz, wie seine Ermittler den Waffenhändler schnappten.[1] Viel früher kamen sie in ganz anderem Zusammenhang einem Waffenkäufer auf die Schliche, der darauf mit der Staatanwaltschaft kooperierte. Er überließ den Beamten sein Nutzerkonto, diese pflegten es weiter. Unter dieser Tarnidentität kontaktierten sie den Waffenanbieter "Rico" später erneut. Es entwickelte sich eine Chatkonversation, bei dem die verdeckten Ermittler vorgaben, erneut an einer Waffe interessiert zu sein. Ohne es zu wissen, lieferte der Waffenhändler den Ermittlern ein ausführliches Geständnis: "Rico" prahlte und erzählte ausführlich, wie er dem Münchner Attentäter die Waffe geliefert habe.

"Rico" stand schon zwei Jahre lang im Visier der Behörden. Er verkaufte auf der inzwischen geschlossenen Darknet-Plattform "Deutschland im Deep Web" Waffen und Munition, wie aus der Anklageschrift im Prozess vor dem Münchner Landgericht im Sommer hervorgeht. Aus dem Verkehr ziehen konnten ihn die Beamten der hessischen Zentralstelle zur Bekämpfung der Internetkriminalität – eine Einheit mit gerademal sechs Juristen – aber erst nach der Münchner Amoktat. Bei der Übergabe der Waffen verhaftete ein Spezialkommando der Zollfahndung den 31-Jährigen. In seinem Auto hatte er eine Glock-Pistole, eine Maschinenpistole und hunderte Schuss Munition.

Ein ähnlich spektakulärer Ermittlungserfolg ereignete sich in der Schweiz. Tobias K. war monatelang auf der Flucht, wurde international gesucht. Im Sommer 2016 soll er während eines Hafturlaubs in Zürich einen IT-Fachmann auf offener Straße erstochen haben. Im Januar 2017 konnte ihn schließlich die Kantonspolizei Bern verhaften, nachdem er im Darknet eine Waffe kaufen wollte. Aus dem sogenannten Zürcher Seefeld-Mord wurde ein "Fall Darknet".

Tatsächlich war aber auch dieser Fall ein Zufallstreffer. Denn die Schweizer Bundespolizei erhielt von einem ausländischen Dienst ein unter einer Tarnidentität geführtes Profil eines Händlers, der drauf und dran war, über eine Darknet-Plattform einem Schweizer eine Waffe zu verkaufen. Die Bundesbehörden in Bern führten den Dialog fort, es stellte sich heraus, dass es sich beim potenziellen Käufer um den mutmaßlichen Mörder handelte. Die Polizei arrangierte mit ihm ein Treffen zur Waffenübergabe – die Falle schnappte zu. Fast wäre die Ermittlung aber gestrandet, weil sich keine kantonale Behörde bereit erklären wollte, den Fall zu Ende zu führen. Die Bundesanwaltschaft kontaktierte 100 Staatsanwälte und nur zwei boten Hand, den Fall zu übernehmen.

Von diesen Hintergründen erfuhr die Öffentlichkeit aber nichts, kommuniziert wurde ein Ermittlungserfolg. Die Behörden brauchen solche Meldungen. Und sie sorgen damit in den einschlägigen Kreisen auch für Wirkung. In den Foren der anonymen Marktplätze im Darknet diskutieren die Marktteilnehmer nach solchen Ereignissen eifrig, ob bereits eine nächste Razzia ansteht. Denn die Frage lautet, auf welche Daten die Polizei bei aufgeflogenen Händlern stößt.

Den teils spektakulären Erfolgen spezialisierter Behörden zum Trotz: Erschreckend ist, dass viele Ermittler, Staatsanwälte und Gerichtsbehörden kaum vertieftes Wissen über das Darknet haben. Meist wissen nur Spezialermittler, wie die anonymen Marktplätze funktionieren, wie Kriminelle mit gefälschten Pässen, geklauten Kreditkarten oder Waffen handeln oder Drogen und Medikamente verschieben. Kaum ein Staatsanwalt hat jemals selbst mit der Kryptowährung Bitcoin bezahlt, die im Darknet als Standardwährung verwendet wird und bequem an zahlreichen – legalen – Online-Börsen oder Geldautomaten zu kaufen ist.[2]

Drogen, Waffen und Schadsoftware

Das Handelsvolumen auf den anonymen Marktplätzen im Darknet hat sich innerhalb der vergangenen Jahre vervielfacht. Auf "Silk Road", dem eigentlichen Pionier dieser Markplätze, sollen 2013 etwa 4.000 anonyme Anbieter Produkte verkauft haben, bevor es im Oktober 2013 vom US-amerikanischen FBI geschlossen wurde.[3] Als ein Jahr später das FBI in einer weiteren Operation namens Onymous auch die Nachfolgeplattform "Silk Road 2.0" stilllegte, waren alleine im Bereich Drogen und Medikamente über 13.000 Angebote online.[4]

Auf "Silk Road" folgten "BlackBank", "Sheep Market", "Agora", "Nucleus" und viele andere. Rasend schnell entwickelte sich "AlphaBay" zum Marktführer. Im September 2015 waren in der Sparte Drogen und Medikamente schon 16.800 Angebote geschaltet. Im Februar 2016 waren es bereits 63100, im April 2017 knapp 230.000 Online-Annoncen. Wenige Tage vor der Schließung dieser Plattform im Juli 2017 umfasste das Angebot an Drogen und Medikamente rund 260.000 Produkte.[5]

Die Bedeutung dieser verborgenen Märkte für die Kriminalität wird von vielen Strafverfolgern bis heute verkannt. Spezialisten sorgen sich um das Desinteresse ihrer ahnungslosen Kollegen. Nur wenigen Strafverfolgern scheint bewusst zu sein, welche Möglichkeiten das Darknet den Kriminellen bietet und welche Dimension das Ausmaß dieser Marktplätze inzwischen erreicht hat. Ein hoher Ermittler einer Schweizer Spezialbehörde sagt geradezu zynisch: "Rein aus Täterperspektive: Ich könnte mir keinen sichereren und besseren Ort vorstellen als das Darknet." Eigentlich möchte er sagen: "Wäre ich ein Krimineller, würde ich das Darknet nutzen."

Fast vollständig unbeobachtet sind bis heute die anonymen Foren der Hacker geblieben. In lediglich einer Handvoll solcher Plattformen tummelt sich die Weltelite der Codierer. Vorwiegend Russen, Chinesen, Iraner, Nordkoreaner und Nordafrikaner bieten auf diesen wenig bekannten Darknet-Plattformen ihre Ware an – fertig programmierte Hackersoftware, um in westliche Industrieanlagen einzudringen, diese lahmzulegen oder irgendwie zu schädigen. Einem schwarzen Brett gleich können Kunden ihre Aufrufe für einen Angriff auf eine Firma X deponieren – und Hacker liefern gegen Bezahlung auch mal ein Programm zum Test.

Längst sind Hackerangriffe bei mittleren und größeren Unternehmen zum Alltag geworden. Nur selten werden Attacken publik, denn die Unternehmen befürchten einen Reputationsschaden. Yahoo wurde innerhalb von zwei Jahren gleich zwei Mal Opfer. 2014 wurden die Daten von 500 Millionen Kunden gestohlen, im Oktober 2017 gab der Internetkonzern bekannt, dass 2013 die Daten von drei Milliarden Kunden entwendet wurden. Bei diesem größten Datenklau aller Zeiten beschafften sich Unbekannte Namen, E-Mail-Adressen, Telefonnummern, Geburtstagsdaten und Passwörter. Die Urheber des riesigen Hacks konnten nie ermittelt werden. Die Liste der in den vergangenen Jahren gehackten Dienstleister, bei denen sensible Daten im zwei- oder dreistelligen Millionenbereich gestohlen wurden, ist ein Who is Who der Branche: LinkedIn, Adobe, Badoo, MySpace, River City Media, B2B USA, Dropbox, Ashley, Nexus, Snapchat, Money Bookers und viele mehr.

International für Aufsehen sorgte auch ein Angriff auf den Schweizer Rüstungskonzern RUAG: Russische Hacker sogen beim staatlichen Rüstungsunternehmen über 20 Gigabyte heikler Daten ab – und über ein Jahr lang bemerkte dies niemand.[6] Es ist fraglich, ob die Täterschaft überhaupt jemals eruiert werden kann. Den Ermittlern blieb nichts anderes übrig, als den Cyberangriff zu rekonstruieren und für die Zukunft mögliche Abwehrstrategien zu entwickeln.

Viele verwendeten Ransomware (Erpressungssoftware) oder DDoS-Programme (Distributed Denial of Service) oder andere Malware, die man im Darknet kaufen kann. Die Anbieter solcher Schadprogramme haben wenig zu befürchten, denn die meisten dieser Straftaten – bis auf wenige Ausnahmen – werden weder geklärt noch strafrechtlich aufgearbeitet. Immerhin gilt in Deutschland seit 2016 eine Meldepflicht für außergewöhnliche IT-Störungen bei Anlagen der Infrastruktur. Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung müssen Vorkommnisse dem Bundesamt für Sicherheit in der Informationstechnik melden.

Herausforderungen ohne Ende

Auch jene, die Malware benutzen, haben wenig zu befürchten. Der Fall des marokkanischen Hackers F.E. hätte zu einem internationalen Musterfall werden sollen, handelte es sich doch weltweit um die erste Anklage wegen Phishing. Er ergaunerte mit zwei Kollegen und gefälschten Phishing-E-Mails die Zugangsdaten von weltweit 133.600 Kreditkartenbesitzern – und räumte deren Konten leer. Ermittelt wurde der Fall von den Schweizer Behörden, alleine hier sollen die drei mutmaßlichen Täter über drei Millionen Franken erbeutet haben. Der Fall entwickelte sich aus Ermittlersicht erfreulich, endete aber schließlich im Desaster: Die thailändische Polizei verhaftete die drei 2014 und 2015 und lieferte sie an die Schweiz aus. Es sah anfänglich gut aus für die Bundesanwaltschaft, die Schweiz wollte an den Cyberkriminellen ein Exempel statuieren. Alle drei hatten Geständnisse abgelegt, sie traten sogar den vorzeitigen Strafvollzug an. Im sogenannten abgekürzten Verfahren wurde ihnen in Aussicht gestellt, dass sie im Gegenzug zu ihren Geständnissen mit einer glimpflichen Gefängnisstrafe von drei Jahren davon kämen und ihre im Ausland verübten Straftaten nicht weiter verfolgt würden.

Doch der Musterfall, in den die Bundesanwaltschaft mehrere Jahre Arbeit investiert hatte, endete abrupt. Das Bundesstrafgericht lehnte im Oktober 2016 den Deal zwischen der Bundesanwaltschaft und den Cyberkriminellen ab. Die Schweiz sei nicht zuständig für die Beurteilung von Straftaten im Ausland, hieß es. Das Gericht ordnete die Freilassung der drei Täter an.

Ein Missstand ist der chronische Personalmangel bei den Ermittlungsbehörden. Doch die fehlenden personellen Ressourcen sind nur das eine. Teils mangelt es auf Seiten der Ermittlungsbehörden auch am notwendigen Wissen. Nicht unbedingt an der Basis, sondern bei den Entscheidungsträgern. Jüngere Mitarbeiter machen sich hinter vorgehaltener Hand lustig über ihre Vorgesetzten. Viele Führungskräfte wüssten kaum, von was die Rede sei, wenn an Sitzungen über "Botnet" (infizierte Computer werden zum Versand von Massen-Mails verwendet), "DDoS" (Websites von Unternehmen werden mit einer großen Anzahl Anfragen bombardiert, bis sie zusammenbrechen) oder über "AlphaBay" (inzwischen stillgelegter anonymer Markplatz im Darknet) diskutiert werde.

Doch nicht nur das Darknet ist bei Strafverfolgern Terra incognita. Bei vielen Staatsanwaltschaften fehlt es bereits an den grundlegenden technischen Kenntnissen über das Internet als Tatmittel für kriminelle Machenschaften. Nur will das kaum jemand bestätigen. Der IT-Forensiker Maurizio Tuccillo, der bei Wirtschaftsdelikten im Auftrag von Schweizer Gerichten Computer analysiert und elektronische Spuren rekonstruiert, formuliert es so: "Staatsanwälte können mit der rasenden technischen Entwicklung nicht Schritt halten. Die Kluft zwischen dem erforderlichen und dem tatsächlichen Wissen wird immer größer."[7] Tatsächlich scheint schon das normale Internet für viele Ermittler Neuland zu sein. Parkiert ein Betrüger seine Website auf einer fernen Pazifikinsel und domiziliert die Firma in Panama, hat er gute Chancen, ungeschoren davon zu kommen.

Staatsanwälte und andere Ermittler beklagen informell, dass sie bei solchen Sachverhalten an ihre Grenzen kommen. Häufig resignieren sie schon, wenn sie die Kommunikation eines Tatverdächtigen analysieren sollten. Heute nutzen Dienste wie WhatsApp, die von Millionen von Leuten genutzt werden, eine Ende-zu-Ende-Verschlüsselung. Um seine Spuren zu verwischen, muss man nicht mal mehr ins Darknet gehen.

Bei einigen Spezialermittlern hat inzwischen ein Sinneswandel stattgefunden. Gefragt sind auch wieder herkömmliche Ermittlungsansätze. Denn ist von Bitcoin, Tor-Anonymisierung und Darknet die Rede, geht es nicht nur um Informatik. "Interessanterweise führen die neuen Technologien zu einer Rückkehr zu klassischen Ermittlungsmethoden", sagt ein leitender Ermittler. "Das heißt, es braucht ‚Human Ressources‘; also Personen, die wie vor 50 Jahren versuchen, das Vertrauen eines Kreises zu erlangen, um so an die Informationen zu gelangen, die man sonst über eine IP-Adresse erhalten würde."

Was den Umgang mit Bitcoin betrifft, herrscht bei den Ermittlungsbehörden ein eklatantes Informationsdefizit. Verbreitet ist die Meinung, mit Bitcoin gebe es keine Möglichkeiten mehr zur Rückverfolgung der Gelder. Dabei bestehen auch sehr einfache Ermittlungsansätze. Haben Ermittler eine Zielperson definiert und haben sie beispielsweise aufgrund eines fingierten Kaufs die Bitcoin-Adresse eines Händlers eruiert, können sie auf das vom Täter benutzte Cyberwallet schließen, der Aufbewahrungsort für digitales Geld. Jedes Wallet, in der Regel eine App auf dem Handy oder ein Programm auf dem Rechner, verfügt über einen standardisierten Aufbau. Ähnlich wie bei IBAN-Nummern der Banken definiert der erste Teil der Bitcoin-Adresse den Wallet-Anbieter. Ist den Ermittlern nun die verwendete App bekannt, können sie beim entsprechenden Dienstleister vorstellig werden und weitere Schritte zur Beweiserhebung einleiten. Denn die mit Bitcoin handelnden Unternehmen und Börsen, die solche Wallets anbieten, unterstehen den Finanzmarkt-Aufsichtsbehörden.

Klar ist: Das Darknet und die Kryptowährungen stellen Ermittler vor grundlegend neue Probleme. Es wird als Tatwerkzeug genutzt oder bildet den virtuellen Handlungsort. Der Europol-Ermittler Pedro Felicio schrieb in einer Analyse in der Fachzeitschrift "Kriminalistik": "In jüngerer Zeit ergeben sich neue Herausforderungen durch virtuelle Währungen, die ein ideales Instrument für Geldwäsche zu werden scheinen. Kryptowährungen (…) werden die Ermittlungsbeamten, vor allem die Finanzermittler, schon in naher Zukunft und in der gesamten Europäischen Union, vor immer größere Probleme stellen."[8]

Tatsächlich steht die Polizei in Bezug auf die illegalen Marktplätze im Darknet vor großen Herausforderungen. Es geht um die Kombination verschiedener Phänomene, jedes ist für sich bereits komplex: Anonymisierung der Spuren im Internet, verschlüsselte Kommunikation, anonymisierte Zahlungsströme. Das Besondere daran: Fahnder müssen zwar über grundlegende Kenntnisse zum Aufbau des Internets verfügen. Gleichzeitig ist aber Erfahrung in der klassischen Ermittlungsarbeit unabdingbar.

Neue Dimension der Zusammenarbeit

Immer wichtiger wird die internationale Kooperation: Ein Verfechter solcher Zusammenarbeit ist auch Carsten Meywirth, bis Mitte 2016 Leiter der Gruppe Cybercrime beim Bundeskriminalamt in Wiesbaden: "Ein wesentlicher Erfolgsfaktor ist die internationale Kooperation. Keiner kommt alleine zurecht, ohne Zusammenarbeit geht es nicht." Dazu brauche es Mitarbeiter in den Ermittlungsteams, die besondere Cyber-Kompetenzen besitzen. Ein Team setze sich idealerweise sowohl aus Cyber-Ermittlern als auch aus Cyber-Analysten, also Fachinformatikern, zusammen.

Vorreiter in Sachen internationaler Kooperation war bisher laut verschiedenen Sachverständigen Europol. Deren Spezialeinheit European Cybercrime Center lancierte im Herbst 2014 die sogenannte Joint Cybercrime Action Taskforce (J-CAT). Hier tauschen sich Spezialisten aus Frankreich, Deutschland, Italien, Österreich, den Niederlanden, Spanien und Großbritannien aus. Dazu kommen jeweils Abgesandte aus Australien, Kanada, Kolumbien und den USA. Aus den USA sind sowohl Vertreter der Bundespolizei FBI als auch des Geheimdienstes CIA dabei. Die Schweiz ist über drei Polizeiattachés bei Europol auch im J-CAT vertreten.

Das Ziel des informellen, aber doch strukturierten Kreises ist klar: Europol will länderübergreifende Aktionen initiieren, wichtige Fälle priorisieren und Schlüsseldelikte definieren und deren Ziele identifizieren. Im Zentrum stehen bei der J-CAT die high-tech-crimes – Malware, Botnets und Eindringen in Computersysteme – sowie Delikte, die solche Verbrechen möglich machen. Neben dieser Taskforce lancierte Europol auch sogenannte Joint Investigation Teams. Hier tauschen sich in aktuellen Fällen ad hoc zusammengesetzte Teams aus unterschiedlichen Ländern aus. Die zuständigen Ermittler werden jeweils von ihren Ländern mit klar umrissenen Mandaten für diesen internationalen Informationsaustausch legitimiert und können fallweise bestimmte Informationen zur Verfügung stellen, die sonst über ein umständliches und womöglich langwieriges Rechtshilfeverfahren eingeholt werden müssten.

In den vergangenen zwei Jahren hat sich außerdem ausgehend von den USA so etwas wie eine "Weltpolizei" gebildet. Das Gremium nennt sich "Five Eyes Law Enforcement Group" (FELEG) und ist weit mehr als nur ein informelles Austauschgremium. Hier arbeiten Ermittlungsbehörden der USA, Großbritanniens, Neuseelands, Kanadas und Australiens zusammen. Klares Ziel ist der Kampf gegen die transnationale Kriminalität. Strukturiert ist FELEG in verschiedene Arbeitsgruppen, eine davon nennt sich "Cyber Crime Working Group". Dieses Team hat sich zum Ziel gesetzt, die Hintermänner, die auf den anonymen Marktplätzen eine Schlüsselstellung einnehmen, zu identifizieren und sie aus dem Verkehr zu ziehen.

Doch die internationale Zusammenarbeit ist komplex. Bereits innerhalb der USA ist die Koordination der unterschiedlichen Behörden anspruchsvoll. Aktiv sind hier etwa die Einwanderungsbehörde, die Gruppe für die innere Sicherheit Homeland Security Investigations, die US Customs and Border Protection, der US Postal Inspection Service, die Bundespolizei FBI, die Drogenvollzugsbehörde DEA und der Secret Service, die Internal Revenue Service, Criminal Investigation Division sowie das Bureau of Alcohol, Tobacco, Firearms and Explosives.

Hoffnungen setzen die Behörden auch in neue, technisch geleitete Ermittlungsmöglichkeiten. Neben klassischen Methoden wie verdeckte Ermittlungen wenden Spezialeinheiten inzwischen auch informationsbasierte Techniken an, um bei schweren Straftaten den potenziellen Tätern auf die Schliche zu kommen. Beispielsweise erarbeitete in Großbritannien die Cybersecurity Research Group der University of Bedfordshire ein neuartiges Angriffs- und Vorhersagemodell.

Dieses Monitoringmodell basiert auf der Verhaltensanalyse von Usern. Es wertet die Tätigkeiten einer Person aus, ausgehend von der Theorie, dass sich Täter in der Regel primär zu Gunsten ihrer eigenen Interessen verhalten. Mit diesem Modell soll deshalb das Verhalten eines Täters in Bezug auf unerlaubte finanzielle Gewinne, Terrorismus, Verbreitung von extremistischen Ansichten, extreme Formen von Rassismus, Pornografie und anderen Bereichen geprüft und die Radikalisierungstendenzen erkannt werden. Daraus ergibt sich ein Modell, das geeignet scheint, auch Darknet-User gezielt zu verfolgen. Fachleute attestieren diesem datenbasierten Monitoringmodell das Potenzial, Ermittler auf Aktivitäten von Nutzern hinzuweisen, die womöglich mit schweren Straftaten in Verbindung stehen könnten.

Klassische kriminalistische Methoden

Entgegen den pauschalen Äußerungen verschiedener Strafverfolger sind Ermittlungen im Darknet nicht per se unmöglich. Nur weil mit dem Tor-Browser keine Rückschlüsse auf den Standort eines Computerbenutzers gezogen werden kann und die Benutzung von Bitcoin die Nachverfolgung von Zahlungsströmen erschwert, heißt dies noch lange nicht, dass keine Erkenntnisse über eine allfällige Täterschaft gewonnen werden können. Beispielsweise kann die gezielte Auswertung von Nutzerprofilen auf mehreren Marktplätzen und deren Äußerungen in verschiedenen Foren vielfach sehr konkrete Rückschlüsse auf ihr Umfeld liefern und Ausgangslage für eine weiterführende gezielte Personenrecherche sein.

Wertvolle Ansätze ergeben sich für Ermittler auch aus der Tatsache, dass Cyberkriminelle ihre Arbeitsweise letztlich – wie in der normalen Wirtschaft auch – effizient gestalten wollen. Wer Bilder wiederverwenden kann, tut dies im normalen Leben genauso wie bei kriminellen Tätigkeiten. Wer in der normalen Geschäftswelt bei der Textbearbeitung die Funktion Copy-and-paste benutzt, tut dies womöglich auch im Darknet. So kann beispielsweise mit einer Google-Bildersuche mit wenigen Klicks überprüft werden, ob ein Drogendealer neben seinem Shop im Darknet auch im offenen Internet präsent ist. Im Darknet verwendete Symbole, Logos, Fotos oder Schriftzüge führen womöglich zu einem "Underground Economy"-Shop im offenen Internet. Je nach Land, in dem die fragliche Website gehostet wird, kann die Identität einer Zielperson über den Weg der internationalen Rechtshilfe innerhalb nützlicher Frist eingeholt werden.

Eine ähnliche Möglichkeit ergibt sich aus einer Google-Suche mit einem ganzen Textausschnitt, etwa einer Produktebeschreibung oder einer Passage eines Händlerprofils auf einem Darknet-Marktplatz. Wer solche Textelemente von fraglichen Händlern im normalen Netz googelt, staunt unter Umständen über das Resultat: Eine herkömmliche Ermittlung über das "normale" Internet kann womöglich schneller zum Ziel führen als eine langwierige IT-forensische Analyse.

Aus Ermittlersicht beruhigend, für Marktteilnehmer im Darknet eher beunruhigend zu wissen: Selbst wenn sich Händler mit aufwendigen Vorkehrungen schützen, können sie irgendwann doch von der Polizei erwischt werden. Denn das größte Risiko sind die Betrüger selber – im Internet genauso wie im normalen Leben. Mehrere international aufsehenerregende Fälle zeigen, wie effektiv es sein kann, wenn technische Ermittlungen im Darknet mit klassischen kriminalistischen Methoden im offenen Internet kombiniert werden.

Ein solches Beispiel lieferte "Shiny Flakes", der bisher wohl größte Fall von Drogen- und Medikamentenhandel im Darknet seit Auffliegen von "Silk Road" Ende 2013. Im Juli 2015 hat die Staatsanwaltschaft Leipzig Anklage gegen den 20-jährigen Maximilian S. erhoben, der anfänglich im Darknet – später auch im offen zugänglichen Internet – unter dem Namen "Shiny Flakes" Drogen und Medikamente in riesigem Umfang vertrieben hatte. Zwischen Dezember 2013 und Februar 2015 – innerhalb von nur etwa 15 Monaten – hatte er fast eine Tonne verschiedener Drogen sowie Tausende Tabletten verschreibungspflichtiger Arzneimittel im Wert von rund vier Millionen Euro verkauft, rechnete die Staatsanwaltschaft Leipzig vor.[9] Der junge Leipziger wohnte noch bei der Mutter, war im Gymnasium gescheitert, brach später eine Kellnerlehre ab. Von seinem Zimmer aus vertrieb er Crystal Meth, Kokain, Amphetamin (Speed), Ecstasy-Pillen, LSD, Haschisch und Marihuana. Dazu kamen verschreibungspflichtige Medikamente von Alprazolam bis Zolpidem. Er verschickte die Ware an seine Käufer in Deutschland, Indonesien, Australien – kurz: in die ganze Welt.

Der Versandhandel war alles andere als virtuell: Er musste die Ware wiegen, verpacken und auf die Post bringen. Schon Anfang 2014, also kurz nach dem Start seines Versandhauses, fielen der Leipziger Polizei falsch frankierte Briefe und Pakete auf – alle mit fiktiven Absenderadressen, wie der "Spiegel" später berichtete.[10] Die Polizei ging den auffälligen Paketen nach und verfolgte die Sendungsnummern der Pakete. Sie fanden schließlich eine E-Mail-Adresse, mit der sich ein unbekannter Täter zum Onlinefrankieren angemeldet hatte. Schließlich stießen die Beamten auf die Packstation 145 in der Leipziger Dantestraße, die der Verdächtige bevorzugt nutzte. Ab diesem Zeitpunkt wurde die Poststelle per Video überwacht.

Am 26. Februar 2015 schlug ein Spezialkommando der Ermittler zu. Maximilian S., der innerhalb von etwas mehr als einem Jahr vom eigenbrötlerischen Computerfreak zum Großdealer aufgestiegen war, gestand schließlich seine Darknet-Aktivitäten. Er wurde zu einer Jugendstrafe von sieben Jahren verurteilt. Dass er aufgeflogen ist, muss er sich selber zuschreiben. "Er wollte im Internet als Drogenhändler der Größte und Beste sein", sagte Staatsanwalt André Kuhnert vor Gericht.[11] Mit hoher Professionalität und erheblicher krimineller Energie habe er die Drogenbörse betrieben – basierend auf einem ausgeklügelten System mit Verschlüsselungen, anonymen Mailadressen und ausländischen Servern. Aus technischer Sicht gesehen wäre die Polizei ihm wohl kaum auf die Spur gekommen, sagte ein Ermittler vor Gericht. Doch "Shiny Flakes" schlampte im normalen Leben, bei der Frankierung – und machte sich damit bei der Post verdächtig.

Über dilettantische Händler und ahnungslose Ermittler schütteln Darknet-Verkäufer wie etwa "Edelweiss" nur den Kopf.[12] Das einzige was ihn beunruhigt, sind Schlagzeilen wie "Schlag gegen Drogendealer im Internet". Als erstes schaut er, ob die in Zeitungsmeldungen erwähnten Pseudonyme von verhafteten Akteuren der Darknet-Plattformen auch unter seinen Kunden sind. Er will wissen, wie nahe "der Einschlag" ist. Lange fühlte sich "Edelweiss" sicher, inzwischen sitzt auch er in Haft. Zum Verhängnis wurde ihm, womit er nicht gerechnet hat: Er wurde verpfiffen.
1|2|3 Auf einer Seite lesen

Fußnoten

1.
Etwa Cai Rüffer, Fraunhofer-Institut für Sichere Informationstechnologie SIT, Vortrag, 8. Anwendertag IT-Forensik, Darmstadt 26.9.2017.
2.
Siehe hierzu auch den Beitrag von Friedemann Brenneis in dieser Ausgabe (Anm. d. Red.).
3.
Vgl. Jamie Barlett, The Dark Net, London 2014.
4.
Siehe U.S. Attorney’s Office, Operator Of "Silk Road 2.0" Website Charged in Manhattan Federal Court, Pressemitteilung vom 6.11.2014.
5.
Eigene Erhebung 2015–2017.
6.
Vgl. APT Case RUAG, Technical Report, Swiss Government Computer Emergency Response Team, 23.5.2016.
7.
Otto Hostettler, Eldorado Onionland, Masterarbeit, Hochschule Luzern, 2015.
8.
Pedro Felicio, Wenn Geld spricht. Geldwäschebekämpfung durch Europol, in: Kriminalistik 7/2015, S. 434.
9.
Siehe Staatsanwaltschaft Leipzig, Anklage gegen Betreiber von "Shiny Flakes" erhoben, Pressemitteilung vom 13.7.2015.
10.
Siehe Manfred Dworschak/Steffen Winter, Shiny, der Drogenprinz des Darknet, in: Der Spiegel 34/2015, S. 20–26.
11.
Zit. nach Shiny Flakes: Internet-Drogenhandel bringt "Kinderzimmer-Dealer" lange Strafe, 2.11.2015, http://www.heise.de/newsticker/meldung/Shiny-Flakes-Internet-Drogenhandel-bringt-Kinderzimmer-Dealer-lange-Strafe-2867741.html«.
12.
Vgl. Otto Hostettler, Darknet. Die Schattenwelt des Internets, Zürich 2017.