Eine Hand in Handschellen, die ein Smartphone hält. Kriminelle hatten verschlüsselte Geräte des Herstellers Encrochat verwendet. Das System konnte von der Polizei infiltriert werden
Illustration: Cathryn Virginia
Tech

"Die Leute sind gefickt": Wie die Polizei heimlich ein Handynetzwerk für Drogengangs infiltrierte

VICE hat exklusiv mit Insidern und Menschen aus dem kriminellen User-Umfeld von EncroChat gesprochen und konnte geheime Chats einsehen.
03 Juli 2020, 10:25am

Irgendetwas stimmte nicht. Vor ein paar Monaten begann die Polizei, nach und nach Menschen aus Marks Umfeld festzunehmen. Mark ist ein mutmaßlicher Drogendealer aus Großbritannien und heißt eigentlich anders. Dabei legte er bei seinen Geschäften großen Wert auf Sicherheit. Seine Gang verwendete Codenamen und spezielle, verschlüsselte Smartphones für die Kommunikation. Die Geräte stammten von dem Unternehmen EncroChat.

Weil diese Smartphones alle Nachrichten verschlüsselten, konnte die Polizei sie nicht abfangen oder Gespräche abhören. Mit EncroChat fühlten sich die Kriminellen sicher, kommunizierten offen und handelten Deals bis ins kleinste Detail aus – inklusive Preislisten, Kunden-Namen und expliziten Hinweisen auf die großen Drogenmengen, die sie verkauften. Das alles zeigen Dokumente, die VICE von Quellen aus kriminellen Organisationen und deren Umfeld erhalten hat.

Trotz aller Sicherheitsvorkehrungen kam es zu weiteren Verhaftungen. Vielleicht war alles nur ein Zufall, aber im gleichen Zeitraum schien die Polizei eine ganze Reihe von Kriminellen hochzunehmen. Mitte Juni erwischte es ein mutmaßliches Mitglied einer anderen Drogengang. Wenige Tage später stellten Beamte illegale Drogen im Wert von 6,66 Millionen Euro in Amsterdam und Irland sicher. Die Polizei schien einen Lauf zu haben. Die Verhaftungen erstreckten sich über ganz Europa und verschiedene Gangs.

"Die Polizei ist überall", schrieb Mark in einer der Nachrichten, die VICE vorliegen. "Ich verstehe immer noch nicht, wie die an meine ganzen Typen gekommen sind."

Was Mark und die Zehntausenden anderen mutmaßlichen EncroChat-User nicht wussten: ihre Nachrichten waren nicht länger sicher. Französische Ermittlungsbehörden waren in das EncroChat-Netzwerk eingedrungen und hatten Malware auf den Geräten installiert. Über Monate konnten sie heimlich die Kommunikation der User mitlesen. Anschließend teilten die Ermittelnden diese Nachrichten mit den zuständigen Behörden in ganz Europa.

"Ich habe noch nie etwas Derartiges erlebt."

Erst jetzt wird das volle Ausmaß der Operation deutlich: Es handelt sich um eine der größten Infiltrationen eines überwiegend von Kriminellen genutzten Netzwerks durch Strafverfolgungsbehörden, die es je gegeben hat. Französische, Niederländische und andere Europäische Ermittlerinnen und Ermittler beobachteten und analysierten in Echtzeit "über 100 Millionen verschlüsselte Nachrichten", die sich EncroChat-User schickten. Das Resultat: Verhaftungen in Großbritannien, Norwegen, Schweden, Frankreich und den Niederlanden, wie ein Team internationaler Strafverfolgungsbehörden am Donnerstag bekannt gab.

Die Nachrichten "lieferten einen Einblick in eine noch nie dagewesene Zahl schwerer Verbrechen, inklusive internationalen Drogenhandel, dem Betreiben von Drogenlaboren, Mord, Erpressung, Raub, schwere Körperverletzung und Geiselnahme. Internationale Drogen- und Geldwäschekanäle sind dadurch glasklar geworden", heißt es von den niederländischen Behörden.

Ein auf Twitter hochgeladenes Foto eines EncroChat-Smartphones | Bild: Twitter/@misdaadnieuw2

Die Dokumente, die VICE zugespielt wurden, zeigen detailliert einige der von den Behörden abgefangenen Informationen. Sie legen nicht nur das Vorgehen eines mutmaßlichen Drogendealers dar, sondern zeigen auch, wie tief die Strafverfolgungsbehörden in die mutmaßlichen Verbrechensorganisationen vorgedrungen waren. Die Personen hinter den Codenamen wurden enttarnt – als Geldwäscher und Händler, Kuriere und Käufer von Ketamin, Amphetamin, Cannabis und Heroin.

Die Nachrichten zeigen mutmaßlich, wie Gangs ihre Mitglieder anleiten: wie sie Geld von Kunden einholen, Geld sicher waschen und Drogen verstecken – alles minutiös mit Zeitstempel versehen.

"Die Leute sind gefickt", sagte eine der Quellen, die VICE das Material zukommen ließ. "Die Leute reden auf ihren Handys über Mord, darüber Kilos und Waffen zu kaufen, über Millionen Pillen."

"Die nehmen einfach lauter Leute hoch", sagte eine andere Quelle aus dem Umfeld der kriminellen EncroChat-User zu VICE, als die Verhaftungen begannen. VICE hat mehreren Quellen in diesem Artikel Anonymität versprochen, um sie vor Ermittlungsbehörden und gewalttätigen Kriminellen zu schützen.


VICE-Video: Wie Dealer über Instagram und Snapchat Drogen verkaufen


In den Niederlanden allein haben die Ermittlungen bislang "zur Verhaftung von über 100 Verdächtigen, der Sicherstellung von Drogen (über 8.000 Kilo Kokain und 1.200 Kilo Crystal Meth), der Demontage von 19 Drogenlaboren, der Sicherstellung von Dutzenden (automatischen) Schusswaffen, teuren Uhren, knapp 20 Millionen Euro Bargeld und 25 Autos geführt, darunter auch Fahrzeuge mit Geheimfächern", heißt es in einer Pressemitteilung der Behörden.

Auf einer seiner Websites, die momentan nicht erreichbar ist, bezeichnet sich EncroChat als "End-to-End Sicherheitslösung", die "Anonymität garantiert". Das Versenden von Nachrichten über EncroChat sei "das elektronische Äquivalent zu einer normalen Unterhaltung zwischen zwei Menschen in einem leeren Raum", perfekt für eine "sorgenfreie Kommunikation". Die Server, die sich im eigenen Offshore-Datenzentrum befinden, würden nie Verschlüsselungs-Keys, Nachrichten oder Userdaten kreieren, speichern oder entschlüsseln, heißt es.

Verschiedene Personengruppen sind an einer sicheren Kommunikation interessiert – Sicherheitsexpertinnen oder Anwälte zum Beispiel. Eigenen Angaben zufolge hat EncroChat Vertriebspartnerinnen in Amsterdam, Rotterdam, Madrid und Dubai. Insgesamt gibt sich das Unternehmen aber extrem verschlossen und operiert nicht wie ein normales Tech-Unternehmen.

Sichergestelltes Equipment in einem illegalen Drogenlabor | Foto: OCP

In einem Statement an VICE von einer Person mit einer Firmen-E-Mailadresse stellt EncroChat sich selbst als rechtschaffenes Unternehmen mit Kunden und Kundinnen in 140 Ländern dar. Quellen aus dem kriminellen Untergrund geben allerdings an, dass es sich bei einem Großteil der EncroChat-Kundschaft um Kriminelle handelt. Auch französische Behörden schätzen, dass über 90 Prozent der französischen Kunden "in kriminelle Aktivitäten verwickelt" seien.

"Wir sind eine kommerzielle Firma, die Dienstleistungen zur sicheren Kommunikation über mobile Geräte anbietet", heißt es in dem Statement. "Unser Ziel ist es, die beste Technologie auf dem Markt zu finden, um einen verlässlichen und sicheren Service für jede Organisation oder jedes Individuum bereitzustellen, das seine Informationen sichern möchte."

Die geleakten Dokumente, die VICE vorliegen, darunter auch Beweise, die in den vergangenen Wochen gegen EncroChat-User vorgelegt wurden, zeigen detailliert die Informationen, die die Hacker von den Geräten hochrangiger Drogenhändler besorgen konnten, vollständig mit Nachrichten und Fotos. Die Unterlagen bieten auch Einblicke darin, was für Menschen EncroChat zu seinen Kunden zählte.

"Ich habe noch nie etwas Derartiges erlebt", sagte die Quelle aus dem Umfeld der kriminellen EncroChat-User über das Vorgehen der Strafverfolgungsbehörden.

Ein EncroChat-Gerät kann man nicht einfach im Laden kaufen. Ein Gefängnisinsasse, der laut eigenen Angaben in der Vergangenheit EncroChat-Geräte benutzt hat, erklärte VICE, wie er ein Handy über einen bestimmten Kontakt erworben hat.

"Er betreibt einen richtigen Laden, aber dort habe ich ihn nicht getroffen. Wir haben uns in einer Nebenstraße verabredet und es sah aus wie ein Drogendeal", sagte der Insasse. "Ich hatte mit ihm vorher telefoniert, dann bin ich in seine Stadt gefahren und habe ihn getroffen."

EncroChat-Handys sind modifizierte Android-Geräte. Einige Modelle verwenden das "BQ Aquaris X2", ein Android-Smartphone, das 2018 von dem spanischen Elektronikunternehmen rausgebracht wurde. EncroChat nahm das Basisgerät, installierte seine eigenen verschlüsselten Messengerprogramme, die alle Nachrichten durch die Firmenserver routen, und entfernte die GPS-, Kamera- und Mikrofon-Hardware des Handys.

Die Geräte verfügten außerdem über eine Wipe-Funktion, die schnell alle Inhalte von dem Handy löscht, wenn die Nutzenden einen PIN eingeben. Zwei Betriebsprogramme liefen parallel: Wenn das Gerät unschuldig aussehen sollte, konnte man es ganz normal mit Android starten. Für verschlüsselte Chats wechselte man zum EncroChat-System. Die Firma verkaufte die Smartphones über ein Abo-Modell, das im Jahr pro Gerät mehrere tausend Euro kostete.

EncroChat ist nicht das einzige Unternehmen, das solche Geräte anbietet. Sogenannte "Secure-Phone"-Firmen haben oft keine öffentlich auftretenden Manager. Lieber halten sie geheim, wer wirklich dahintersteckt – einige von ihnen wurden bei der Zusammenarbeit mit Kriminellen erwischt. Ein Unternehmen, MPC, wurde sogar direkt von Mitgliedern des organisierten Verbrechens geführt, wie VICE vergangenes Jahr berichtete. Vincent Ramos, Gründer von Phantom Secure, befindet sich momentan im Gefängnis – auch weil er Undercover-Agenten gesagt hatte, dass er seine Geräte entwickelt habe, um den Drogenhandel zu erleichtern. Diese Unternehmen suchen sich Vertriebspersonen in verschiedenen Ländern oder Städten, die ihnen beim Verkauf der Geräte helfen. Für EncroChat soll auch ein Ex-Militär Smartphones in mindestens einem Fall an Kriminelle verkauft haben.

Screenshot eines YouTube-Videos, das ein EncroChat-Gerät zeigt | Quelle: "EncroChat Phone Hacked (just the beginning!)" von User Sylak 88

Das Geschäft mit den verschlüsselten Smartphones ist hart umkämpft. Unternehmen verbreiten immer wieder Gerüchte über Sicherheitslücken bei der Konkurrenz und laden bei YouTube Videos hoch, in denen sie ihre Rivalen diskreditieren. EncroChat hat in der Vergangenheit Webdomains blockiert, die von den Geräten anderer Unternehmen verwendet wurden, und damit ihren Kundenstamm von den anderen getrennt. Das bedeutete, dass Dealer das gleiche Handy wie ihre Geschäftspartner brauchten, wenn sie von wichtigen Unterhaltungen nicht ausgeschlossen werden wollten.

In einer der Nachrichten an den mutmaßlichen Drogendealer Mark heißt es: "Der braucht ein verdammtes Handy" und "Welcher Drogendealer hat kein Handy."

EncroChat kontrollierte einen beachtlichen Teil der Kommunikationsinfrastruktur des organisierten Verbrechens in Europa und anderen Ländern. "Sie wurden zum 'Industriestandard'", sagte der Gefängnisinsasse gegenüber VICE.

Im Mai dann begannen einige Enncrochat-User ein Problem zu bemerken: Die vielgepriesene Wipe-Funktion ging nicht mehr. Eine Person aus dem EncroChat-Umfeld sagte VICE, dass man zu der Zeit von Bedienungsfehlern ausgegangen sei. Nichts, worüber man sich Sorgen machen müsse: User machen Fehler. Im darauffolgenden Monat sei es EncroChat gelungen, eins der X2-Modelle ausfindig zu machen, das von dem Problem betroffen war.

Wie sich herausstellte, hatte der Nutzer nichts falsch gemacht. Wie die Person aus dem EncroChat-Umfeld sagte, habe man Schadsoftware auf dem Gerät gefunden. Das Handy war gehackt worden.

Auch andere Anbieter verschlüsselter Smartphones waren zuvor schon Opfer von Datenlecks geworden. 2017 erstellte jemand eine Website und lud dort Daten von Ciphr-Usern hoch, ein weiterer Anbieter verschlüsselter Smartphones. Der EncroChat-Fall war allerdings anders. Hier befand sich die Schadsoftware auf dem EncroChat-Gerät selbst. Das bedeutete, dass sie potenziell die Nachrichten lesen konnte, die auf dem Gerät geschrieben und gespeichert wurden, bevor sie verschlüsselt und über das Internet verschickt wurden. Eine fatale Entdeckung für ein Unternehmen, das sich auf die Fahne geschrieben hat, die Kommunikation seiner Kunden zu schützen.

"Wir haben uns dann dazu entschieden, die SIMs und das Netzwerk sofort abzuschalten."

Die Person sagte gegenüber VICE weiter, dass die Schadsoftware extra für das X2-Modell programmiert worden sei. Neben der Störung der Löschfunktion sei das Programm auch darauf angelegt gewesen, sich selbst vor einer Entdeckung zu schützen, das Passwort für den Sperrbildschirm aufzuzeichnen und Daten von Anwendungen zu kopieren.

Als man bei EncroChat erkannt hatte, dass man es hier mit einem Hackerangriff zu tun hatte, habe man zwei Tage später ein Update auf alle X2-Modelle gespielt. Es sollte laut unserer Quelle nicht nur die Funktionen des Geräts wiederherstellen, sondern Informationen über die Schadsoftware sammeln.

"Das wurde getan, um weiteren Schaden abzuwenden. Gleichzeitig informierten wir die betroffenen Nutzer", sagte er.

Aber fast direkt nach dem Patch schlugen die Angreifer wieder zu. Dieses Mal noch härter. Die Schadsoftware war wieder da. Dieses Mal konnte sie das Passwort für den Sperrbildschirm nicht nur aufzeichnen, sondern auch ändern.

Sichergestelltes Bargeld | Foto: NCA

In höchste Alarmbereitschaft versetzt schickte EncroChat eine Warnung an seine User. Das Unternehmen informierte außerdem den Anbieter der von ihnen verwendeten SIM-Karten, das niederländische Telekommunikationsunternehmen KPN. Dieses habe daraufhin Verbindungen zu den feindlichen Servern blockiert, sagte unsere Quelle weiter. EncroChat schaltete seinen eigenen SIM-Service ab. Eigentlich hätte man ein Update geplant, aber niemand habe garantieren können, dass das Update selbst nicht auch von Schadsoftware befallen sein würde. Darüber hinaus habe man vermutet, dass KPN mit den Behörden zusammenarbeitete. Kurz nachdem EncroChat seinen SIM-Service wiederherstellte, entfernte KPN die Firewall und erlaubte den Servern der Hacker wieder mit den Handys zu kommunizieren. EncroChat saß in der Falle.

"Wir haben uns dann dazu entschieden, die SIMs und das Netzwerk sofort abzuschalten", sagte die Person aus dem EncroChat-Umfeld.

Bei EncroChat ging man inzwischen davon aus, dass hier nicht etwa ein Rivale versuchte, ihnen die Infrastruktur zu zerschießen, sondern vielmehr die Regierung am Werk war.

"Wir raten Ihnen, Ihre Geräte sofort abzuschalten und zu entsorgen."

"Aufgrund des hohen Niveaus des Angriffs und des Codes der Schadsoftware können wir nicht länger die Sicherheit Ihres Gerätes garantieren", heißt es in einer Nachricht, die EncroChat an seine Nutzer schickte. "Wir raten Ihnen, Ihre Geräte sofort abzuschalten und zu entsorgen."

Es war zu spät. Ermittlerinnen und Ermittler hatten bereits eine umfassende Menge Daten von EncroChat-Geräten extrahiert. Millionenschwere Drogenimperien waren durch Textnachrichten und Fotos enttarnt worden.

Die Behörden hatten alles: Bilder von Drogenbergen auf Waagen, Kiloblöcken Kokain, Säcken voller Ecstasy, Fäusteweise Cannabis; sie hatten Nachrichten über geplante Drogenübergaben und große Deals. Sie hatten sogar Fotos von Familienangehörigen und Unterhaltungen über die legalen Geschäfte der Kriminellen.

Ermittlungsbehörden war es bereits in der Vergangenheit gelungen, gegen Anbieter von verschlüsselten Handys vorzugehen. 2018 verhaftete das FBI den Inhaber von Phantom Secure. Die Agenten versuchten noch, ihn davon zu überzeugen, eine sogenannte Backdoor in seinem Kommunikationssystem zu installieren, bevor sie das Netzwerk abschalteten. Er lehnte ab.

Sichergestellte Kokainblöcke | Foto: SWROCU

Aber hier hatten es die Ermittlerinnen und Ermittler nicht nur in die Geräte geschafft. Sie konnten die Kriminellen belauschen, während diese sich komplett in Sicherheit wähnten.

"Jeweils 33.500 von ihm verlangen?", heißt es in einer Nachricht, die von Marks mutmaßlichem EncroChat-Gerät kopiert wurde. "Nimm 4,5 raus, bekomm 6k2", geht es in dem Gespräch über ein Drogengeschäft weiter. Andere Dokumente erwähnen Drogenlieferungen in Europa. Die Nachrichten reichen zurück bis April. Erst im Juni entdeckte EncroChat die Schadsoftware.

Nachdem EncroChat seine User informiert hatte, brach im Netzwerk Panik aus. Das lässt sich an den Screenshots von Nachrichten nachvollziehen, die VICE vorliegen. Mehrere Menschen versuchten herauszufinden, ob ihr Gerät betroffen war.

Bei den Ermittlern war derweil die Zeit der stillen Beobachtung abgelaufen. Im Laufe der nächsten paar Tage fügten sich die einzelnen Teile zu einem Puzzle zusammen: Die beschlagnahmten Ladungen, die Razzien, die ganzen Festnahmen – sie alle hatten einen gemeinsamen Nenner: EncroChat.

"Alle tauchen unter."

Momentan befindet sich die kriminelle Welt in Aufruhr, da ihr Hauptkommunikationsweg gestört ist. Paranoid gehen manche komplett offline – verunsichert, welchen Geräten sie noch trauen können. Andere versuchen anscheinend, über die Landesgrenze zu fliehen. Das berichtete unsere Quelle aus dem Umfeld krimineller EncroChat-User. Der Drogen-Großeinkauf sei definitiv ein ganzes Stück schwerer geworden.

"Alle tauchen unter", sagte er.

In einer Pressemitteilung boten die französischen Behörden an, dass EncroChat-User, die sich als rechtschaffen erachten, die Ermittlungsabteilung bitten könnten, ihre Daten aus dem rechtlichen Vorgang zu löschen. Außerdem luden sie die Administratoren und Betreiber von Encrocaht ein, sie zu kontaktieren, falls sie über die rechtlichen Umstände der Schadsoftware sprechen wollten.

Andere Unternehmen, die verschlüsselte Smartphones anbieten, versuchen bereits EncroChats Lücke zu füllen. Die Werbung der Firma Omerta richtet sich direkt an die alte EncroChat-Kundschaft. "ENCROCHAT GEHACKT, USER ENTTARNT & VERHAFTUNGEN GALORE – DER KÖNIG IST TOT", heißt es in einem Post auf der Seite. Omerta sagte VICE in einer E-Mail, dass man in jüngerer Zeit einen Traffic-Anstieg bemerkt habe.

"Bist du gerade knapp dem jüngsten Massensterben entkommen? Feier das mit 10 Prozent Rabatt. Komme zur Omerta-Familie und kommuniziere ungestraft."

Folge VICE auf Facebook, Instagram und Snapchat.