Anzeige
Tech

Sieben Wege, wie die Polizei Darknet-Nutzern auf die Schliche kommt

Das Darknet verspricht Kriminellen Anonymität und Sicherheit, doch die Polizei ist ihnen dicht auf den Fersen.

von Joseph Cox
20 Juli 2016, 6:52am

Bild: Shutterstock

Das Darknet gilt oft als ein Ort, an dem sich Nutzer im Schutze der Anonymität allerlei dunklen Geschäften widmen können, ohne sich Sorgen machen zu müssen, dass ihnen die Polizei auf die Schliche kommt. Doch das stimmt nicht ganz.

Tatsächlich haben Ermittler bereits seit einigen Jahren verschiedene Verfahren in ihrem Repertoire, um Drogendealer, digitale Waffenexporteure und Händler von Kinderpornographie zu identifizieren, die das Darknet für ihre Zwecke nutzen. Verschiedene Spezialabteilungen überall auf der Welt haben sich längst auf Ermittlungen in diesem Bereich spezialisiert und dürften wohl auch in Zukunft immer mehr Wege finden, um technisch versierte Kriminelle hochgehen zu lassen.

Das Deepweb bestehlt längst nicht nur aus illegalen Seiten: Eine Tour durch die schönsten legalen Seiten des Darknets

Der Kampf zwischen Kriminellen und Ermittlern ähnelt seit jeher einem Katz-und-Maus-Spiel—und neue Technologien waren dabei für Dealer und Verbrecher schon immer ein Versprechen für neue Schlupflöcher und Vereinfachungen ihrer illegalen Geschäfte. Doch genauso wie Drogen, Waffen und der Handel mit Kinderpornographie ins Darknet übergesiedelt sind, so sind ihnen auch die Polizisten auf dem Weg ins Deepweb dicht auf den Fersen.

VERDECKTE ERMITTLUNGEN

Wie auch bei „analogen" Ermittlungen können verdeckte Ermittlungen im Darknet zu hohen Erfolgsquoten führen. In einem dieser Fälle haben sich Ermittler beispielsweise sechs Monate lang als Waffenverkäufer ausgegeben. Und da jeder, der eine Waffe kaufen wollte, auch zwangsläufig eine Postadresse angeben musste, war es danach für die Polizisten ein Leichtes, die echte Identität mit den potentiellen Kunden abzugleichen. Insgesamt konnten in dieser Aktion mehr als ein Dutzend Leute dingfest gemacht werden. Ganz ähnlich wird auch bei Darknet-Nutzern vorgegangen, die online Drogen bestellen.

Verdeckte Ermittler haben aber auch Erfolge im Kampf gegen größere Darknet-Organisationen verzeichnen können. Im Falle der ersten Version von Silk Road hatten die Behörden zum Beispiel den Account eines Mitarbeiters des Darknet-Schwarzmarktes übernommen. Der Informant konnte so viel Vertrauen gewinnen, dass die Behörden beim Übergang von Silk Road 1 zu Silk Road 2 Ende 2014 bereits einen ihrer Männer so tief im Inneren Zirkel des Schwarzmarktes platziert hatten, dass er den Administrator direkt kontaktieren und wichtige Informationen an andere Ermittler weiterleiten konnte. In Australien hat die Queensland Police Task Force Argos für mehrere Monate die Rolle eines berüchtigten Administrators einer Kinderpornographie-Website angenommen, was im Endeffekt zur Verhaftung von Pädophilen auf der ganzen Welt führte.

Auf gewisse Weise machen sich die Ermittler also die von Tor ermöglichte Anonymität zu Nutze, um sich unbemerkt unter die anderen zu mischen. Im Darknet weiß man als Nutzer tatsächlich nie mit absoluter Sicherheit, mit wem man sich gerade unterhält—und dank der Infiltration mit Informanten kann es auch passieren, dass man es mit einem verdeckten Ermittler zu tun hat.

Alexandr Trubetskoy | Flickr

HACKING

Eine Möglichkeit, die Schutzmechanismen des Tor-Netzwerkes zu umgehen, ist es, den Endpunkt der Kommunikation anzugreifen. Mit anderen Worten: Die Computer der Nutzer selbst ins Visier zu nehmen. Genau das hat das FBI auch in einer groß angelegten Aktion gegen eine Kinderpornografie-Seite namens Playpen getan: Die Sicherheitsbehörde hatte im Februar 2015 die Darknet-Seite zunächst beschlagnahmt und sie dann für einen Zeitraum von zwei Wochen mit Malware versehen, bevor die Seite schließlich komplett lahmgelegt wurde. Klickten Nutzer auf ein Kinderpornografie-Forum, wurde ihre wahre IP-Adresse an die Ermittler geschickt und verriet diesen ihren wahrscheinlichen Standort. (Das FBI hatte die Seite beschlagnahmen können, nachdem der Administrator sie falsch konfiguriert hatte und die IP-Adresse im Clearnet sichtbar geworden war.)

Das sind die Helden, die das Tor-Netzwerk am Leben halten, damit Aktivisten in repressiven Staaten auch ein freies Internet haben

Rein quantitativ gesehen dürfte Hacking wohl der wirksamste Weg sein, Personen aus dem Darknet zu identifizieren—das geht zumindest aus der Anzahl der entlarvten Computer im Zuge der FBI-Operation gegen Playpen hervor. Im weiteren Verlauf der Ermittlungen gelang es dem FBI, über 1.000 US-basierte IP-Adressen zu sammeln, und auch Europol konnte in 3.229 Fällen Darknet-Tätern auf die Spur kommen. Nicht alle Hinweise werden zwangsläufig zu Verurteilungen führen, doch in den USA wurden bereits jetzt mehr als 135 Leute angeklagt. Das FBI hat diese Strategie des Massen-Hackings mehrmals angewendet, und könnte damit aber auch unschuldige Nutzer eines E-Mail-Dienstes, der seinen Nutzern eigentlich besondere Privatsphäre verspricht, überwacht haben.

Mindestens eine weitere Strafverfolgungsbehörde, die sich nicht in den USA befindet, ist ebenfalls mit Hacks gegen Verdächtige aus dem Darknet vorgegangen. Im Dezember 2014 hatte die unbekannte Behörde dem Moderator einer Kinderpornografie-Seite einen Link zu einem Video geschickt, der so konfiguriert war, dass er den Traffic der Seite aus dem Tor-Netzwerk herausgeleitet hat.

Ein weiterer Hack hatte nicht die Endpunkte im Visier, sondern nutzte stattdessen eine Sicherheitslücke von Tor selbst. Dadurch konnten Forscher des Software Engineering Institute (SEI) die IP-Adressen von diversen Darknet-Schwarzmärkten und -Nutzern herausfinden. Obwohl dieser Angriff nicht unmittelbar vom FBI durchgeführt wurde, haben die Ermittler einfach das SEI als Zeugen vorgeladen, um sich die gesammelten Informationen weitergeben zu lassen. Das SEI hatte seine Ermittlungen bereits in der ersten Hälfte des Jahres 2014 durchgeführt, doch bis heute kommt es noch zu Verurteilungen von Personen, die wahrscheinlich in Zusammenhang mit dem Fall stehen: Erst vor kurzem hat ein Mann sich schuldig bekannt, einen Schwarzmarkt im Darknet betrieben zu haben, nachdem das FBI der britischen Polizei einen ganzen Haufen verdächtiger IP-Adressen übermittelt hatte.

Normalerweise können Polizisten, sobald sie eine IP-Adresse ermittelt haben, den jeweiligen Internetanbieter oder das Rechenzentrum vorladen, um genaue Angaben über den Kunden zu erhalten. Danach fehlt nur noch ein Durchsuchungsbefehl, und schon können sie das Haus des Verdächtigen durchsuchen.


OPEN SOURCE INFORMATION

Selbst wenn Kriminelle ihre Geschäfte hauptsächlich im Darknet betreiben, ist es sehr wahrscheinlich, dass sie auch an anderen Stellen im Netz digitale Spuren hinterlassen—Foreneinträge oder öffentliche Dokumente zum Beispiel—, anhand derer Ermittler Rückschlüsse auf die Identitäten der Verdächtigen ziehen können. Ein wichtiger Meilenstein im Fall von Silk Road konnte beispielsweise durch ein bisschen kreatives Googlen seitens eines Steuerfahnders erreicht werden. Gary Alford fand auf diese Weise heraus, dass der Gründer der Seite, Ross Ulbricht, in einem beliebten Bitcoin-Forum Werbung für Silk Road gemacht und in einem anderen Post sogar seine persönliche E-Mail-Adresse angegeben hatte.

Etwas ganz ähnliches passierte mit dem Mann, der sich hinter dem Namen Variety Jones versteckte, einer rätselhaften Person, die bei Silk Road bereits seit 2011 bis zu seiner Verhaftung Ende 2015 offenbar die rechte Hand Ulbrichts war. Der unabhängige Ermittler La Moustache durchkämmte online alte Foren von Cannabis-Liebhabern und Geschäftsunterlagen und stieß so auf den wahren Namen hinter Variety Jones: Thomas Clark. Als der Steuerfahnder Alford zwei Monate später seine Strafanzeige gegen Clark einreichte, überschnitt sich ein Großteil des aufgeführten Beweismaterials mit den von La Moustache gesammelten Informationen.

In einem weiteren Fall wollte der mutmaßliche Cannabis-Dealer David Ryan Burchard sein Darknet-Pseudonym „caliconnect" unter seinem eigenen Namen als Marke schützen lassen. Dieser öffentlich zugängliche Informationsschnipsel half den Ermittlern natürlich dabei, die Verbindung zwischen Burchard und caliconnect zu ziehen.

Bild: Shutterstock

MASSENÜBERWACHUNG

In Großbritannien wurde eigens eine Sondereinheit gegründet, um gegen Verbrechen im Darknet vorzugehen. Die Einheit bedient sich der rechtlich möglichen massenhaften Internetüberwachung des Landes. Aus einer Zusammenarbeit der National Crime Agency (CNA) und des Government Communications Headquarters (GCHQ) ging so im November 2015 die „Joint Operation Cell" an den Start, die sich zunächst auf die Bekämpfung der sexuellen Ausbeutung von Kindern im Netz konzentrierte. Laut eines Regierungsdokuments vom Februar „konnten durch die Auswertung von großen Datenmengen in Großbritannien allein in den vergangenen 30 Monaten in mehr als 50 Fällen sexueller Ausbeutung von Kindern die Täter überführt werden."

DURCHKÄMMEN BESCHLAGNAHMTER DATEN

Auch die Verhaftung eines einzelnen unvorsichtigen Verkäufers oder die Beschlagnahmung eines Darknet-Marktes versorgt die Ermittler meist mit einer ganzen Reihe neuer Hinweise. Im vergangenen Jahr nahm die Polizei den berüchtigten Darknet-Drogendealer „Shiny Flakes" fest und konfiszierte dabei ganze 320 Kilogramm Drogen aller Art, die er in seinem Zimmer gelagert hatte. Zur Freude der Ermittler hatte Shiny Flakes auch eine fein säuberliche Liste mit Bestellungen geführt, die nun laut der Staats- und örtlichen Polizei dazu genutzt wird, um die Käufer aufzuspüren.

Und auch nach Jahren können Drogeneinkäufe im Darknet die Nutzer noch einholen. Nachdem die deutschen Behörden einen Dealer verhafteten, der persönliche Angaben über seine Kunden aufbewahrt hatte, musste einer der Käufer eine Geldstrafe in Höhe von 3.600 Euro zahlen—und das, weil er vor drei Jahren auf der ursprünglichen Silk Road wenige Gramm Cannabis bestellt hatte.

DEN GELDFLUSS NACHVERFOLGEN

Alle Transaktionen im Darknet werden üblicherweise mit der Kryptowährung Bitcoin abgewickelt, sodass weder Käufer noch Verkäufer durch persönliche Angaben ihre wahre Identität preisgeben müssen. Die Homeland Security Investigations (HSI), eine Unterabteilung des Department of Homeland Security der USA, hat jedoch eine spezielle Taskforce eingerichtet, um denjenigen, die ihre Gewinne mit Bitcoin und anderen Krypotwährungen waschen, auf die Spur zu kommen.

Bild: Cool Cats Photography | Flickr

Der HSI Spezialagent Mathew Larsen hatte die Fährte von David Burchard überhaupt erst aufnehmen können, weil dieser bei einer unlizensierten Wechselbörse Bitcoins im Wert von mehreren Millionen Dollar in Bargeld getauscht hatte—das geht aus einer Strafanzeige hervor, die im März gegen Burchard eingereicht wurde. Es ist nicht eindeutig klar, welcher Wechsel beobachtet wurde oder wie der Ermittler auf die Transaktion aufmerksam geworden war; da der Fall vor Gericht noch nicht zu Ende verhandelt wurde. Klar ist aber, dass die HSI Verkäufe von großen Mengen Bitcoins mit Argusaugen beobachtet.

Entscheidende Beweise lieferte die Blockchain auch im Fall von Shaun Bridges, einem korrupten Geheimdienstagenten, der während seiner Ermittlungen gegen Silk Road gleichzeitig Mitarbeiter der Seite abzockte. In einem Diagramm aus der Strafanzeige haben die Kläger dargelegt, wie Tausende Bitcoins von Silk Road auf ein Konto der Bitcoin-Börse Mt. Gox überwiesen wurden, das Bridges gehörte. Die Ermittler konnten im Anschluss dann Banküberweisungen zu einem Unternehmen nachverfolgen, das von dem Agenten gegründet worden war. Wie auch in Fällen von Steuerhinterziehung kann die Überweisung von Fonds und Vermögenswerten aus dem Darknet Polizisten wichtige Anhaltspunkte liefern.

DAS POSTSYSTEM

Trotz seiner technischen Ausgereiftheit ist auch der Drogenhandel im Darknet letzlich auf das Postsystem oder ganz normale Kuriere angewiesen. Dealer müssen ihre Ware gut verpacken und sicherstellen, dass ihr Paket unauffällig aussieht, ansonsten könnten Zollbeamte es beschlagnahmen. Die Behörden könnten aber ebenso dank der Post nachverfolgen, an wen oder von wem das Paket verschickt wurde.

Häufig überwachen Sicherheitsbehörden auch Briefkästen oder Postämter. Im September 2012 fingen die Behörden beispielsweise mehrere Pakete mit Heroin von dem berüchtigten Silk Road Drogendealer Steven „Nod" Sadler ab. Postangestellte konnten dann auch Sadlers Freundin, Jenna White, als die Person identifizieren, die die Pakete regelmäßig in ganz Seattle auslieferte. Ihre Handschrift stimmte mit der auf den Paketen überein, außerdem hatten Überwachungskameras des Postamtes ihre Autokennzeichen eingefangen.

Zwar stammten die Drogen in einem anderen Fall aus dem Jahr 2013 nicht aus dem Darknet, doch in einem Paket, das Beamte der amerikanischen Post öffneten, fanden sie 500 Gramm einer Substanz, die später als Methylon, eine synthetische, stimulierende Droge, identifiziert werden konnte. Den Ermittlern gelang es schließlich, eine überwachte Lieferung durchzuführen und den Verdächtigen festzunehmen.