Bis das SEK kommt: Die erste Festnahme eines deutschen Deepweb-Waffenhändlers?

Morgens, halb zehn in Schweinfurt: Angehende Maschinenbauer, Informationsingenieure und Mechatroniker finden sich zur Vorbereitung der anstehenden Klausuren auf dem Campus der Fachhochschule in Lerngruppen zusammen. Auf den hölzernen Bänken, die ergonomisch die ganze Härte der ingenieurswissenschaftlichen Studienrealität herausstellen, hocken auch an diesem Donnerstag, den 29. Januar.2015, schon früh zahlreiche Studenten über ihren Skripten und Seminarunterlagen.

Plötzlich wird einer von ihnen von der Holzbank gezerrt und zu Boden gerissen. Erst als mehrere Zivilpolizisten „Keine Fotos, keine Videos!" rufen, wird den verdutzten Studenten klar, was vor sich geht. Sie sind Zeugen eines minutiös geplanten SEK-Zugriffes—für den die Einsatzkräfte den zentralen Lernbereich der FH von mehreren Seiten eingekreist haben.

Ziel der Aktion, die auf Ermittlungen des bayrischen LKA zurückgeht, ist der 25-jährige Stefan*, dem die Staatsanwaltschaft vorwirft, europaweit mit Waffen zu handeln. Noch am selben Tag durchsucht die Polizei elf Wohnungen in Schweinfurt und Umgebung und stellt dabei unter anderem zehn Kurzwaffen und mehrere tausend Schuss Munition sicher.

Sollten sich die Vorwürfe vor Gericht bestätigen, dann könnte den deutschen Behörden ein gleichermaßen seltener wie überraschender Ermittlungserfolg im Deepweb gelungen sein. Der Fall könnte aber auch zeigen, wie das Deepweb eine neue Generation von Schwarzmarkthändlern entstehen lässt und ein 25-Jähriger Student in Unterfranken zu einem internationalen Waffenhändler werden könnte. Schließlich weisen die bisher bekannten Indizien außerdem daraufhin, dass mutmaßlichen Deepweb-Händlern eigentlich nur durch ihre Anfängerfehler beizukommen ist—das wäre eine Bestätigung des spektaktulären Falls von Ross Ulbricht, dem kürzlich verurteilten Silk-Road-Betreiber.

Vor manchen seiner Kommilitonen macht Stefan kein Geheimnis daraus, den Tor-Browser zu benutzen und seine Festplatte zu verschlüsseln. Einige wissen auch, dass er gerne im Deepweb unterwegs ist.

„Hier hat gerade jemand im Darknet noch ein paar Fragen", erbittet er sich wenige Minuten vor seiner Festnahme noch einen Moment Zeit, bevor er in die Arbeit seiner Lerngruppe für die anstehenden Klausuren einsteigt.

Dass der Bachelorstudent ausgerechnet auf dem Campus festgenommen wird, ist kein Zufall. Unter Kommilitonen ist er berüchtigt für seine Dauerpräsenz an der Fachhochschule. So soll er gelegentlich sogar auf dem Campus geduscht und für ein Nickerchen schon mal sein Feldbett mitgebracht haben.

Stefan verbringt in den ersten fünf Semestern einen großen Teil seiner Zeit an der FH—und das nicht nur als fleißig lernender Student, sondern auch für Grillabende mit Kommilitonen. Zwar ist seine ausgiebige Anwesenheit auf dem Campus manchen Kommilitonen suspekt, was ihm die Staatsanwaltschaft nun jedoch vorwirft, hätte ihm eigentlich keiner zugetraut—auch wenn eine Recherche auf dem Campus zeigt, dass unter manchen Studenten schon länger durchaus Hinweise auf eine aktive Deepweb-Nutzung Stefans kursieren.

Die Staatsanwaltschaft Schweinfurt und das LKA Bayern wollen uns gegenüber nicht bestätigen, dass der Verdächtige, der nach einem Termin beim Haftrichter auch drei Wochen später noch in einem Untersuchungsgefängnis sitzt, im Darknet mit seinen Waffen gehandelt hat. Klar ist jedoch, dass dem 25-Jährigen eine Gefängnisstrafe von bis zu 15 Jahren aufgrund von Vergehen gegen das Kriegswaffenkontrollgesetz drohen könnte und dass das SEK im Zuge der Ermittlungen noch vier weitere Personen vorläufig festgenommen hat.

Mit Verweis auf das laufende Verfahren, zu dem auch mehrere europaweite Amtshilfeersuchen gestellt wurden, möchten die Behörden keine weiteren Details preisgeben. Ein extremistischer Hintergrund könne aber aktuell definitiv ausgeschlossen werden.

Die leitende Staatsanwälten Ursula Haderlein erklärt vor dem Hintergrund ihrer Erkenntnisse zum Ausmaß der Vergehen immerhin im Brustton der Überzeugung: „Es gibt internationale Ermittlungen, und das ist auch gut so."

Auch Karl-Heinz Segerer vom LKA Bayern, das vor dem Zugriff über mehrere Monate ermittelt hatte, verweist auf die laufenden Ermittlungen, die eine Bestätigung von Hinweisen oder Verdachtsmomenten schwierig machen. „Unser Ziel ist es jetzt erst mal, die Burschen abzugreifen."

Fest steht bisher nur, dass Stefan sich mehrere Verstöße gegen die Hochschulordnung hat zu Schulden kommen lassen: Zeitweise hatte er eine große Anzahl an Bibliotheksschließfächern dauerbelegt, um darin einige unschädliche, aber geschmacklich fragwürdige Gadgets, Mini-Pizzaofen, Elektroheizungen, Quark-Pakete (wegen des unschlagbaren Preis-Eiweiß-Verhältnis?) zu lagern. Auch Kaffeemaschine und Wasserkocher waren für seine ausdauernden Aufenthalte auf dem Campus scheinbar unerlässlich.

Waffenteile wurden bei der Razzia allerdings in den Schließfächern keine gefunden. Da die Polizei den Campus wohl schon mehrere Wochen observiert hatte—vermutlich als Bauarbeiter und Handwerker getarnt—war auch ihr die Dauerbelegung selbstverständlich nicht entgangen. Schon seit Anfang 2015 gilt in der Schweinfurter Bibliothek allerdings die Regel, dass die Schließfächer allabendlich geleert werden—was eine dauerhafte Einlagerung dann doch deutlich erschwert haben müsste.

Der Präsident der Schweinfurter Fachhochschule, Dr. Robert Grebner, erklärte Motherboard gegenüber unterdessen, dass die FH „keine eigenen Erkenntnisse über Aktivitäten des Verdächtigen" an der Hochschule habe. Vielmehr sei auch die Fachhochschule selbst erst kurzfristig von dem Einsatz auf dem Campus in Kenntnis gesetzt worden. „Wir haben den Einsatz dann in dem uns gebotenen Umfang unterstützt", sagte Grebner auf die Motherboard-Anfrage, ob man die Ermittler denn technisch oder logistisch, zum Beispiel mit Stromanschlüssen oder Zugangskarten zum Campusgelände, unterstützt habe.

Nach über zwei Stunden ziehen auch die letzten Einsatzkräfte mit ihren Koffern vom Campus ab und bestätigen sich dabei im Herausgehen zufrieden: „Er war hier." Eines ist den Beamten bei der Razzia allerdings nicht gelungen: Stefans Laptop im eingeschalteten Zustand zu beschlagnahmen. Während er ohne Vorankündigung von hinten aus seinem Sitz gezogen wurde, gelang es ihm irgendwie noch, das Stromkabel aus seinem batterielosen Laptop zu reißen. Die verschlüsselte Festplatte wäre beim nächsten Neustart somit passwortgeschützt.

Als den Beamten klar wird, dass Stefans Computer wohl nicht so einfach zum Beweisstück taugen wird, macht sich unter den Ermittlern sichtlich schlechte Laune. Im Fall der spektakulären Festnahme des Silk-Road-Betreibers Ross Ulbricht in einer öffentlichen Bibliothek in San Francisco hatte der Laptop als eines der zentralen Beweismittel gedient. Nicht zuletzt die aktiven Log-ins auf der Administratoren-Seite des Darknet-Schwarzmarktes machten es Ulbrichts Verteidigung deutlich schwerer, seine Rolle als Kopf des Darknet-Schwarzmarktes abzustreiten.

Stefans Kommilitonen sind allesamt überrascht von der Festnahme, und manch einer wüsste ihn gerne auch während der Prüfungsphase noch an der Hochschule. „Er hatte immer alle Unterlagen und Skripte gründlich mitgeschrieben. Wir könnten seine Hilfe für die Klausuren gerade gut gebrauchen und vermissen ihn schon", erzählt ein Kommilitone, mit dem Stefan schon für viele Klausuren lernte.

Der Einsatz auf dem Campus hat aber nicht nur Folgen für die Prüfungsphase seiner Mitstudenten und bringt Stefan wochenlang ins Untersuchungsgefängnis. Auch der 24-jährige Jens* wird noch am selben Tag unter dem Vorwurf der Mittäterschaft festgenommen und erst 13 Tage später wieder entlassen—obwohl es den Ermittlern nicht gelungen zu sein scheint, ihm eine Beteiligung am Waffenhandel nachzuweisen.

Stattdessen hat man ihm einen WhatsApp-Austausch mit Stefan vorgehalten. Seine Chat-Nachricht „wtf" am Vorabend der Razzia soll angeblich eine verschlüsselte Warnung an Stefan gewesen sein. Jens wirkt weniger wie Teil einer internationalen Waffenbande, sondern eher wie ein harmloser Mitstudent von Stefan, der schlicht bei dessen etwas eigenartiger Bitte nicht ganz hinterherkam: Das „wtf" soll laut Kommilitonen nämlich nur die Antwort auf Stefans Aufforderung, doch eine Schreibtischlampe für einen nächtlichen Lernmarathon mitzubringen, da in der Fachhochschule zu später Stunde immer automatisch das Licht ausgehe.

Auch Peter*, ein weiterer Student, der unter seinen Kommilitonen als vollkommen harmlos gilt, wurde durch einen SEK-Zugriff im Schweinfurter Umland kurzzeitig festgenommen. Ob der mutmaßlich wochen- oder monatelangen Observation des Campus und der scheinbaren Telefonüberwachung sind einige Schweinfurter Studenten inzwischen offenkundig verunsichert. Deshalb möchte auch niemand seinen richtigen Namen in diesem Bericht lesen.

Dass Jens und Peter wohl kaum etwas mit internationalem Waffenhandel zu tun hätten, davon sind viele Studenten überzeugt. Immerhin bei Stefan ist man sich da nicht so sicher, auch wenn ihn niemand als wirklich gefährlich wahrgenommen hat. „Er war vielleicht höchstens ein bisschen ein Freak, aber jeder, der sich für einen dieser Studiengänge einschreibt und so lange durchhält, muss eigentlich ein Freak sein."

Nicht zuletzt vermasselte der spektakuläre Polizeieinsatz auch einigen der umstehenden Studenten ihre unmittelbar anstehenden Klausuren, die sie nun noch einmal wiederholen dürfen. Ein morgendlicher SEK-Einsatz ist dann auch nicht unbedingt der Konzentrationssteigerung für Fragen in Prüfungen wie „Grundlagen der Elektrotechnik" zuträglich.

Die Staatsanwaltschaft wollte zu den Vorwürfen unter Verweis auf laufende Ermittlung ebenfalls nicht Stellung nehmen—weshalb ihre Erklärung für ihr Vorgehen vorerst unbekannt bleibt und bisher auch nicht veröffentlicht wird, ob gegen Jens noch weitere Vorwürfe vorliegen, die die längere Untersuchungshaft begründet hätten.

Wie aber war das LKA Bayern, Stefan überhaupt auf die Spur gekommen? Könnte die Festnahme gar bedeuten, dass deutsche Behörden einen Weg gefunden haben, effizient im Deepweb zu ermitteln?

Anfang November 2014 war es FBI, Europol und weiteren internationalen Ermittlungsbehörden überraschend gelungen, 27 Darknet-Hoster abzuschalten. Im Zuge der „Operation Onymous" getauften Aktion gegen die Hidden Services wurde auch die zweite Version der Silk Road und die Server zahlreicher weitere Deepweb-Schwarzmärkte beschlagnahmt und vom Netz genommen.

Die gut ausgerüstete internationale Ermittlergruppe ist dem mutmaßlichen Admin von Silk Road 2.0 Blake Benthall wohl nur aufgrund von Anfängerfehlern und mangelnder OpSec (Operational Security) auf die Spur gekommen. Dennoch sorgte sich das Tor-Project anschließend durchaus, dass die Ermittler Wege gefunden haben könnten, weniger bekannte Sicherheitslücken im Tor-Netzwerk—das durch Onion-Routing für eine sichere Anonymisierung der IP-Adressen sorgt—effizient auszunutzen oder gar neue Schwachstellen aufzutun.

Bis heute ist nicht abschließend geklärt, wie dem FBI die Identifizierung im Zuge von Operation Onymous gelungen ist. Zumindest im Fall von Ross Ulbricht streitet man aber energisch ab, dass die Hacking-Fähigkeiten der NSA dabei nachgeholfen hätten.

Das engagierte Entwicklerteam des Tor-Projects ist seit Onymous weiter dabei, die Sicherheit der Netzwerkstruktur kontinuierlich gegen mögliche Angriffe auf die Anonymisierung zu schützen und verweist aber auch immer wieder auf die Verbesserungsmöglichkeiten des Eigenschutzes, die über die reine Nutzung des Tor-Browsers hinausgehen.

Dass jetzt deutsche Behörden einen Weg gefunden haben, die Infrastruktur von Tor auszuhorchen, hält nicht nur Moritz Bartl von den Zwiebelfreunden für ausgeschlossen: „Ich traue den deutschen Behörden nicht die Kompetenzen zu, rein technisch an Hidden-Services heranzukommen."

Allerdings wäre es nicht undenkbar, dass inzwischen auch die deutsche Polizei von Operation Onymous profitiert und zumindest einige abgefallene Daten-Krümel für die eigenen Ermittlungen nutzt. So wurde im November 2014, unmittelbar im Anschluss an Operation Onymous, ein mutmaßlicher Betreiber eines Deepweb-Drogenshops in Hessen festgenommen und insgesamt 12 Strafverfahren wegen Drogenhandels durch das LKA eingeleitet.

Klar ist, dass nur wenige Tage nach den ersten Server-Abschaltungen durch das FBI auch drei internationale Exit Nodes (also jene Tor-Server, die die angefragten Daten letztlich wieder an die Nutzer ausliefern), die die Zwiebelfreunde und Moritz Bartl betreiben, von der Polizei hochgenommen wurden.

Bisher sind tatsächlich nur ganz wenige Fälle bekannt, in denen es der deutschen Polizei gelungen ist, Straftaten im Darknet zu verfolgen. So wurde beispielsweise im März 2013 der Drogenhändler „Pfandleiher" in der niederbayrischen Provinz festgenommen. Das LKA Bayern hatte für den Fall eigens eine Ermittlergruppe eingerichtet—und zur Unterstreichung der eigenen Innovationskraft mit dem Titel „Seidenstraße" ausgestattet. Auf die Spur war man dem Verdächigen aber dennoch nur durch den Zufall eines fehlgeleiteten Paketes gekommen.

2013 hat die deutsche Polizei insgesamt rund 500 Verstöße gegen das Kriegswaffenkontrollgesetz registriert. Allerdings differenziert dieser Angabe nicht zwischen der verbotenen Ausfuhr von Waffen großer Industrieunternehmen, wie etwadem fragwürdigen Export durch den norddeutschen Hersteller Sig Sauer in den Irak, einer privaten Weitergabe schweren militärischen Geräts und dem gewerbsmäßigen Waffenhandel zum Beispiel im Rocker-Millieu. Außerdem weist die Statistik die anteilige Rolle des Internets oder des Darknets am illegalen Waffenhandel nicht aus.

Alle bekannten Festnahmen deutscher Deepweb-Händler sind bisher jedenfalls Festnahmen von Drogendealern. Die digitale Welt des Waffenhandels scheint dagegen eher bescheiden: Weltweit macht dieser Geschäftsbereich—der nicht auf allen Deepweb-Plattformen erlaubt ist—einen verschwindend geringen Anteil am Handelsvolumen aus. Und in Deutschland gibt es nach wie vor kaum mehr als eine Handvoll Händler, die wohl keine betrügerischen Scammer zu sein scheinen.

Auch nach mehrfachen Nachfragen ist es weder dem bayrischen LKA noch dem BKA möglich, zum Ausmaß des Darknet-Waffenhandels überhaupt genauere Angaben zu machen. „Es heißt eben nicht umsonst Darknet", seufzt eine Sprecherin des BKA. Tatsächlich ist das Darknet den Beamten sattsam bekannt—technisch naiv ist man gemeinhin wohl nicht—aber geknackt ist es eben noch lange nicht.

Parallel ruft der Fall auch ein bekanntes Dogma in Erinnerung, auf das auch Tor-Befürworter immer verweisen: Eine Nutzung des Tor-Browsers bedeutet niemals automatisch absolute Anonymität und Sicherheit bedeuten. Für umfassende OpSec muss man in vielerlei Hinsicht Vorsicht walten lassen, was Stefan an der FH nicht unbedingt immer eingehalten hat. So soll er zum Beispiel häufig über Tor in seinem Facebook-Account eingeloggt gewesen sein, das soziale Netzwerk aber gleichzeitig auch außerhalb von Tor genutzt haben.

Dadurch könnte durchaus erkennbar gewesen sein, welchen Exit Node jemand verwendet. Zwar offenbart sich so nicht der Inhalt der Verbindung, dennoch können sich dabei durchaus verwertbare Indizien über die Art der Tor-Verbindung ableiten lassen.

Auch der Kryptoexperte Karsten Nohl erklärt unverblümt, dass sich deutsche Landeskriminalämter „bisher nicht unbedingt durch besonders gute oder innovative Online-Ermittlungsarbeit hervorgetan haben." Der Sicherheitsexperte, der auch prominente DAX-30 Konzerne berät, hält es in Stefans Fall für wahrscheinlich, dass allein schon aus praktischen Gründen eher konventionelle Ermittlungsarbeit zum Erfolg geführt habe: „Eine Waffe ist nicht zwei Gramm Koks—das kann man nicht so einfach verstecken."

Jenseits der Details des Einzelfalls geht es Karsten Nohl aber vor allem darum, dass eine grundsätzliche Strategie im behördlichen Umgang mit dem Deepweb überhaupt nicht existent ist. „Bei der Strafverfolgung ist hier kein taktisches oder langfristig durchdachtes Vorgehen erkennbar, und die große Operation Onymous ist das beste Beispiel dafür."

„Mit diesen Maßnahmen drängt man die Schwarzmärkte doch nur in Regionen, die viel schwerer für westliche Behörden zu erreichen sind. Jetzt können wir halt sehen, dass diese Hidden Services eher in Russland oder Osteuropa gehostet werden. Die Geheimdienste aller Seiten wissen vielleicht dennoch davon, aber die Betreiber werden dann eben nicht ausgeliefert."

Bei Stefan scheint wohl zumindest eine Handyüberwachung eine Rolle gespielt zu haben, mit der die Ermittler wohl an einige der anderen zwischenzeitig Festgenommenen herangekommen zu sein scheinen . Ob mit dieser heutzutage prototypischen Ermittlungsmethode tatsächlich die Richtigen geschnappt worden sind und ob wir es wirklich mit einer größeren Bande internationaler Waffenhändler zu tun haben, bleibt eine offene, ganz andere Frage. Von den zunächst fünf Festgenommenen sind bisher vier wieder auf freien Fuß gesetzt worden.

Erst eine mögliche Gerichtsverhandlung könnte aufklären, ob die schweren Vorwürfe gegen Stefan zutreffen, ob und in welchem Umfang er im Darknet mit Waffen gehandelt hat.

Die Exmatrikulation droht Stefan bisher nicht, wie Präsident Prof. Dr. Grebner Motherboard gegenüber auf Nachfrage bestätigte. Die FH erlaubte dem 25-Jährigen vielmehr, zwei seiner Klausuren in der Untersuchungshaft zu schreiben. Immerhin um die Prüfungsaufsicht und das Abschreiben—oder wie es bayrisch heißt: Unterschleif—muss sich die Uni dabei keine Gedanken machen: „Unterschleif ist in der Gefangenenanstalt auszuschließen."

Was die Staatsanwaltschaft Stefan wirklich nachweisen kann, was er im Darknet getrieben hat und wie der Fall nach der Festnahme weiterging, lest ihr hier.

Max ist bei Twitter unterwegs—und gerne auch im Deepweb.

* Namen geändert.