Darknet: onion

10.11.2017 | Von:
Otto Hostettler

Hilflose Ermittler. Warum Kriminelle im Darknet wenig zu befürchten haben

Herausforderungen ohne Ende

Auch jene, die Malware benutzen, haben wenig zu befürchten. Der Fall des marokkanischen Hackers F.E. hätte zu einem internationalen Musterfall werden sollen, handelte es sich doch weltweit um die erste Anklage wegen Phishing. Er ergaunerte mit zwei Kollegen und gefälschten Phishing-E-Mails die Zugangsdaten von weltweit 133.600 Kreditkartenbesitzern – und räumte deren Konten leer. Ermittelt wurde der Fall von den Schweizer Behörden, alleine hier sollen die drei mutmaßlichen Täter über drei Millionen Franken erbeutet haben. Der Fall entwickelte sich aus Ermittlersicht erfreulich, endete aber schließlich im Desaster: Die thailändische Polizei verhaftete die drei 2014 und 2015 und lieferte sie an die Schweiz aus. Es sah anfänglich gut aus für die Bundesanwaltschaft, die Schweiz wollte an den Cyberkriminellen ein Exempel statuieren. Alle drei hatten Geständnisse abgelegt, sie traten sogar den vorzeitigen Strafvollzug an. Im sogenannten abgekürzten Verfahren wurde ihnen in Aussicht gestellt, dass sie im Gegenzug zu ihren Geständnissen mit einer glimpflichen Gefängnisstrafe von drei Jahren davon kämen und ihre im Ausland verübten Straftaten nicht weiter verfolgt würden.

Doch der Musterfall, in den die Bundesanwaltschaft mehrere Jahre Arbeit investiert hatte, endete abrupt. Das Bundesstrafgericht lehnte im Oktober 2016 den Deal zwischen der Bundesanwaltschaft und den Cyberkriminellen ab. Die Schweiz sei nicht zuständig für die Beurteilung von Straftaten im Ausland, hieß es. Das Gericht ordnete die Freilassung der drei Täter an.

Ein Missstand ist der chronische Personalmangel bei den Ermittlungsbehörden. Doch die fehlenden personellen Ressourcen sind nur das eine. Teils mangelt es auf Seiten der Ermittlungsbehörden auch am notwendigen Wissen. Nicht unbedingt an der Basis, sondern bei den Entscheidungsträgern. Jüngere Mitarbeiter machen sich hinter vorgehaltener Hand lustig über ihre Vorgesetzten. Viele Führungskräfte wüssten kaum, von was die Rede sei, wenn an Sitzungen über "Botnet" (infizierte Computer werden zum Versand von Massen-Mails verwendet), "DDoS" (Websites von Unternehmen werden mit einer großen Anzahl Anfragen bombardiert, bis sie zusammenbrechen) oder über "AlphaBay" (inzwischen stillgelegter anonymer Markplatz im Darknet) diskutiert werde.

Doch nicht nur das Darknet ist bei Strafverfolgern Terra incognita. Bei vielen Staatsanwaltschaften fehlt es bereits an den grundlegenden technischen Kenntnissen über das Internet als Tatmittel für kriminelle Machenschaften. Nur will das kaum jemand bestätigen. Der IT-Forensiker Maurizio Tuccillo, der bei Wirtschaftsdelikten im Auftrag von Schweizer Gerichten Computer analysiert und elektronische Spuren rekonstruiert, formuliert es so: "Staatsanwälte können mit der rasenden technischen Entwicklung nicht Schritt halten. Die Kluft zwischen dem erforderlichen und dem tatsächlichen Wissen wird immer größer."[7] Tatsächlich scheint schon das normale Internet für viele Ermittler Neuland zu sein. Parkiert ein Betrüger seine Website auf einer fernen Pazifikinsel und domiziliert die Firma in Panama, hat er gute Chancen, ungeschoren davon zu kommen.

Staatsanwälte und andere Ermittler beklagen informell, dass sie bei solchen Sachverhalten an ihre Grenzen kommen. Häufig resignieren sie schon, wenn sie die Kommunikation eines Tatverdächtigen analysieren sollten. Heute nutzen Dienste wie WhatsApp, die von Millionen von Leuten genutzt werden, eine Ende-zu-Ende-Verschlüsselung. Um seine Spuren zu verwischen, muss man nicht mal mehr ins Darknet gehen.

Bei einigen Spezialermittlern hat inzwischen ein Sinneswandel stattgefunden. Gefragt sind auch wieder herkömmliche Ermittlungsansätze. Denn ist von Bitcoin, Tor-Anonymisierung und Darknet die Rede, geht es nicht nur um Informatik. "Interessanterweise führen die neuen Technologien zu einer Rückkehr zu klassischen Ermittlungsmethoden", sagt ein leitender Ermittler. "Das heißt, es braucht ‚Human Ressources‘; also Personen, die wie vor 50 Jahren versuchen, das Vertrauen eines Kreises zu erlangen, um so an die Informationen zu gelangen, die man sonst über eine IP-Adresse erhalten würde."

Was den Umgang mit Bitcoin betrifft, herrscht bei den Ermittlungsbehörden ein eklatantes Informationsdefizit. Verbreitet ist die Meinung, mit Bitcoin gebe es keine Möglichkeiten mehr zur Rückverfolgung der Gelder. Dabei bestehen auch sehr einfache Ermittlungsansätze. Haben Ermittler eine Zielperson definiert und haben sie beispielsweise aufgrund eines fingierten Kaufs die Bitcoin-Adresse eines Händlers eruiert, können sie auf das vom Täter benutzte Cyberwallet schließen, der Aufbewahrungsort für digitales Geld. Jedes Wallet, in der Regel eine App auf dem Handy oder ein Programm auf dem Rechner, verfügt über einen standardisierten Aufbau. Ähnlich wie bei IBAN-Nummern der Banken definiert der erste Teil der Bitcoin-Adresse den Wallet-Anbieter. Ist den Ermittlern nun die verwendete App bekannt, können sie beim entsprechenden Dienstleister vorstellig werden und weitere Schritte zur Beweiserhebung einleiten. Denn die mit Bitcoin handelnden Unternehmen und Börsen, die solche Wallets anbieten, unterstehen den Finanzmarkt-Aufsichtsbehörden.

Klar ist: Das Darknet und die Kryptowährungen stellen Ermittler vor grundlegend neue Probleme. Es wird als Tatwerkzeug genutzt oder bildet den virtuellen Handlungsort. Der Europol-Ermittler Pedro Felicio schrieb in einer Analyse in der Fachzeitschrift "Kriminalistik": "In jüngerer Zeit ergeben sich neue Herausforderungen durch virtuelle Währungen, die ein ideales Instrument für Geldwäsche zu werden scheinen. Kryptowährungen (…) werden die Ermittlungsbeamten, vor allem die Finanzermittler, schon in naher Zukunft und in der gesamten Europäischen Union, vor immer größere Probleme stellen."[8]

Tatsächlich steht die Polizei in Bezug auf die illegalen Marktplätze im Darknet vor großen Herausforderungen. Es geht um die Kombination verschiedener Phänomene, jedes ist für sich bereits komplex: Anonymisierung der Spuren im Internet, verschlüsselte Kommunikation, anonymisierte Zahlungsströme. Das Besondere daran: Fahnder müssen zwar über grundlegende Kenntnisse zum Aufbau des Internets verfügen. Gleichzeitig ist aber Erfahrung in der klassischen Ermittlungsarbeit unabdingbar.

Neue Dimension der Zusammenarbeit

Immer wichtiger wird die internationale Kooperation: Ein Verfechter solcher Zusammenarbeit ist auch Carsten Meywirth, bis Mitte 2016 Leiter der Gruppe Cybercrime beim Bundeskriminalamt in Wiesbaden: "Ein wesentlicher Erfolgsfaktor ist die internationale Kooperation. Keiner kommt alleine zurecht, ohne Zusammenarbeit geht es nicht." Dazu brauche es Mitarbeiter in den Ermittlungsteams, die besondere Cyber-Kompetenzen besitzen. Ein Team setze sich idealerweise sowohl aus Cyber-Ermittlern als auch aus Cyber-Analysten, also Fachinformatikern, zusammen.

Vorreiter in Sachen internationaler Kooperation war bisher laut verschiedenen Sachverständigen Europol. Deren Spezialeinheit European Cybercrime Center lancierte im Herbst 2014 die sogenannte Joint Cybercrime Action Taskforce (J-CAT). Hier tauschen sich Spezialisten aus Frankreich, Deutschland, Italien, Österreich, den Niederlanden, Spanien und Großbritannien aus. Dazu kommen jeweils Abgesandte aus Australien, Kanada, Kolumbien und den USA. Aus den USA sind sowohl Vertreter der Bundespolizei FBI als auch des Geheimdienstes CIA dabei. Die Schweiz ist über drei Polizeiattachés bei Europol auch im J-CAT vertreten.

Das Ziel des informellen, aber doch strukturierten Kreises ist klar: Europol will länderübergreifende Aktionen initiieren, wichtige Fälle priorisieren und Schlüsseldelikte definieren und deren Ziele identifizieren. Im Zentrum stehen bei der J-CAT die high-tech-crimes – Malware, Botnets und Eindringen in Computersysteme – sowie Delikte, die solche Verbrechen möglich machen. Neben dieser Taskforce lancierte Europol auch sogenannte Joint Investigation Teams. Hier tauschen sich in aktuellen Fällen ad hoc zusammengesetzte Teams aus unterschiedlichen Ländern aus. Die zuständigen Ermittler werden jeweils von ihren Ländern mit klar umrissenen Mandaten für diesen internationalen Informationsaustausch legitimiert und können fallweise bestimmte Informationen zur Verfügung stellen, die sonst über ein umständliches und womöglich langwieriges Rechtshilfeverfahren eingeholt werden müssten.

In den vergangenen zwei Jahren hat sich außerdem ausgehend von den USA so etwas wie eine "Weltpolizei" gebildet. Das Gremium nennt sich "Five Eyes Law Enforcement Group" (FELEG) und ist weit mehr als nur ein informelles Austauschgremium. Hier arbeiten Ermittlungsbehörden der USA, Großbritanniens, Neuseelands, Kanadas und Australiens zusammen. Klares Ziel ist der Kampf gegen die transnationale Kriminalität. Strukturiert ist FELEG in verschiedene Arbeitsgruppen, eine davon nennt sich "Cyber Crime Working Group". Dieses Team hat sich zum Ziel gesetzt, die Hintermänner, die auf den anonymen Marktplätzen eine Schlüsselstellung einnehmen, zu identifizieren und sie aus dem Verkehr zu ziehen.

Doch die internationale Zusammenarbeit ist komplex. Bereits innerhalb der USA ist die Koordination der unterschiedlichen Behörden anspruchsvoll. Aktiv sind hier etwa die Einwanderungsbehörde, die Gruppe für die innere Sicherheit Homeland Security Investigations, die US Customs and Border Protection, der US Postal Inspection Service, die Bundespolizei FBI, die Drogenvollzugsbehörde DEA und der Secret Service, die Internal Revenue Service, Criminal Investigation Division sowie das Bureau of Alcohol, Tobacco, Firearms and Explosives.

Hoffnungen setzen die Behörden auch in neue, technisch geleitete Ermittlungsmöglichkeiten. Neben klassischen Methoden wie verdeckte Ermittlungen wenden Spezialeinheiten inzwischen auch informationsbasierte Techniken an, um bei schweren Straftaten den potenziellen Tätern auf die Schliche zu kommen. Beispielsweise erarbeitete in Großbritannien die Cybersecurity Research Group der University of Bedfordshire ein neuartiges Angriffs- und Vorhersagemodell.

Dieses Monitoringmodell basiert auf der Verhaltensanalyse von Usern. Es wertet die Tätigkeiten einer Person aus, ausgehend von der Theorie, dass sich Täter in der Regel primär zu Gunsten ihrer eigenen Interessen verhalten. Mit diesem Modell soll deshalb das Verhalten eines Täters in Bezug auf unerlaubte finanzielle Gewinne, Terrorismus, Verbreitung von extremistischen Ansichten, extreme Formen von Rassismus, Pornografie und anderen Bereichen geprüft und die Radikalisierungstendenzen erkannt werden. Daraus ergibt sich ein Modell, das geeignet scheint, auch Darknet-User gezielt zu verfolgen. Fachleute attestieren diesem datenbasierten Monitoringmodell das Potenzial, Ermittler auf Aktivitäten von Nutzern hinzuweisen, die womöglich mit schweren Straftaten in Verbindung stehen könnten.

Fußnoten

7.
Otto Hostettler, Eldorado Onionland, Masterarbeit, Hochschule Luzern, 2015.
8.
Pedro Felicio, Wenn Geld spricht. Geldwäschebekämpfung durch Europol, in: Kriminalistik 7/2015, S. 434.