FYI.

This story is over 5 years old.

Tech

Was das Ende der größten Schwarzmärkte für das Darknet bedeutet

"Operation Bayonet" zeigt, wie stark die Polizei im Kampf gegen Deepweb-Kriminelle mittlerweile ist. Warum sich Dealer und Kunden jetzt warm anziehen müssen – und das Darknet trotzdem weiterleben wird.
Bild: Shutterstock

Am Donnerstagabend gaben europäische Ermittler bekannt, in Zusammenarbeit mit dem FBI nicht nur den größten Deepweb-Schwarzmarkt AlphaBay, sondern unter der Federführung der niederländischen Polizei auch die drittgrößte Plattform, "Hansa Market" abgeschaltet zu haben.

Seit gestern ist klar, dass zwei Deutsche ganz vorne im internationalen Darknet-Geschäft mitmischen: Ein 31-Jähriger aus der Nähe von Siegen und ein 30-jähriger Kölner wurden festgenommen. Zusammen sollen sie den Darknet-Markt Hansa Market betrieben haben, der ähnlich wie AlphaBay rund 1 Milliarde Dollar mit illegalen Gütern umgesetzt haben soll.

Anzeige

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

"Das ist ein massiver Schlag – zwei der Top 3", resümierte der Europol-Chef Rob Wainwright in einem Interview gegenüber Motherboard. Nur kurz nach dem Ende von Plattformen wie Deutschland im Deep Web und der Darknet-Kinderpornoseite Elysium bedeuten die beiden Busts für die Zukunft der Darknet-Infrastruktur weitaus mehr als nur das tägliche Katz- und Maus-Spiel zwischen Cyberkriminellen und Polizei.

Nicht nur irgendeine Abschaltung: AlphaBay und Hansa waren Teil einer heimlichen Doppelstrategie

Die Übernahme von Hansa Market geschah vorerst still und heimlich: Einen ganzen Monat lasen die Ermittler auf Hansa Market mit und dürften tausende Erkenntnisse über Kunden und Verkäufer gesammelt haben. In einer FAQ, die die niederländische Polizei netterweise auf einer Onion-Domain eingerichtet hat (TOR-Browser nötig), erklären die Ermittler, sie hätten den Quellcode der Seite verändert. "So konnten wir Passwörter und PGP-verschlüsselte Bestellinformationen abfangen." In einer Pressemitteilung von Europol heißt es: "Hunderte weitere Ermittlungen werden folgen."

So sah die Tor-Domain von Hansa Market nach der Abschaltung aus. Screenshot: Motherboard

Diese beiden Aktionen – unter der Operation Bayonet zusammengefasst – sind tatsächlich ein riesiger Erfolg für die Ermittler. Wie uns ein Sprecher von Europol mitteilte, verfolgten die Ermittler eine Doppelstrategie. Einerseits wollte man beide Darknet-Märkte abschalten, andererseits Kunden und Verkäufer dazu bringen, möglichst viel über sich preis zu geben. Zunächst übernahmen niederländische Ermittler die Seite von Hansa Market, danach schaltete das FBI AlphaBay ab und fror das Vermögen des verhafteten mutmaßlichen Betreibers ein.

Anzeige

Tausende User migrierten daraufhin hinüber zum zweitgrößten Markt Hansa, der schon seit Wochen ein sogenannter Honeypot, also eine Falle, war. Nachdem der größte Markt AlphaBay offline ging, wurden auf Hansa achtmal so viele Transaktionen wie zuvor abgewickelt. "Das war der Plan. Wir haben über 10.000 Adressen und wertvolle Erkenntnisse über Käufer und Verkäufer auf der kontrollierten Plattform sammeln können und verteilen sie jetzt an unsere Partner in Europa", so Europol-Pressesprecher Alex Seent.

Wo die Ermittler besser geworden sind

Unsere Beobachtungen aus mehreren Jahren Darknet-Berichterstattung zeigen, dass die Ermittler ihre Hausaufgaben gemacht haben, seitdem mit Silk Road 1 vor inzwischen sechs Jahren der erste große Schwarzmarkt im Darknet auftauchte. Wer zu den Hochzeiten von Silk Road mit deutschen Ermittlern sprach, musste den Eindruck bekommen, dass die zuständigen Behörden damals im besten Fall überrumpelt und technisch weitaus weniger versiert wirkten als heute.

Bild: US-Justizministerium

Das sieht einer der Staatsanwälte, der am Ende von Hansa Market maßgeblich beteiligt war, genau so: "Ja, wir sind zunehmend besser auf Ermittlungen im Darknet eingestellt. Gerade Plattformen, die viel mit Verschlüsselung arbeiten, hätten wir vor drei Jahren nicht abschalten können", räumte Andreas Ungefuk im Gespräch mit Motherboard ein. Als leitender Staatsanwalt der Generalstaatsanwaltschaft Frankfurt ist er auch für die Gießener Sonderermittler der ZIT zuständig, die in Deutschland die Jagd nach den Hansa Market-Hintermännern organisierte. Für Ungefuk ist dieser Erfolg auf zwei Faktoren zurückzuführen.

Anzeige

Bessere Vernetzung und mehr Kapazitäten: Die Aufrüstung zahlt sich aus

Ungefuk lobt die bessere internationale Zusammenarbeit zwischen den einzelnen Dienststellen, aber auch die juristische Vernetzung. Koordiniert wird viel über Europol, Rechtshilfegesuche würden schneller bei den richtigen Stellen landen und binnen Stunden – statt wie früher noch Tagen – umgesetzt. So helfen die Möglichkeiten des Internets eben auch Ermittlern, denen auf die Schliche zu kommen, die darüber Waffen, Kinderpornos oder Drogen dealen.

Auch im Fall von Hansa Market war die internationale Zusammenarbeit wichtig. Nachdem deutsche Ermittler die zwei Hauptverdächtigen Betreiber festgenommen hatten, übergab man den Staffelstab der niederländischen Polizei. Sie war es, die aus dem Markt einen Honeypot machte und ihn weiter betrieb, um Informationen über Nutzer zu sammeln. Einen solchen Honeypot sinnvoll zu betreiben wäre in Deutschland eigentlich unmöglich, da die rechtlichen Auflagen so hoch sind, dass sie die ganze Operation unpraktikabel machen. Auch der persönliche und Austausch und der Austausch von Daten spiele eine wichtige Rolle, wie Ungefuk weiter erklärt: "Wir als internationale Ermittler haben uns besser vernetzt. Es gab in den letzten Jahren viele Treffen, es gibt jetzt gemeinsame Datenbanken."

Neue Stellen und Zentren wurden in den vergangenen Jahren aufgebaut, die sich speziell mit Ermittlungen im Deepweb und Cybercrime beschäftigen. In den Niederlanden gibt es eine Darknet-Unit der Polizei, hierzulande ermitteln neben BKA-Experten in den einzelnen Bundesländern gesondert aufgestellte Staatsanwaltschaften mit dem Schwerpunkt Internetkriminalität, die auch personell "massiv aufgestockt" wurden, wie Ungefuk sagt.

Anzeige

Knacken die Ermittler das Darknet jetzt auch mit technischen Tricks?

Neben der personellen Aufstockung und der internationalen Kooperation gibt es aber noch einen wichtigen Grund für die vermehrten Erfolge der jüngsten Zeit. Ganz offensichtlich besitzen Ermittler bessere Tech-Skills, was die Identifikation der Dienste angeht. "Bei der Abschaltung von Hansa Market begannen die Ermittlungen damit, dass wir den Standort der Server lokalisiert haben. Das war in diesem Fall in Litauen", so Ungefuk.

Von dort aus kopierten Helfer der zwischenzeitlich festgenommenen mutmaßlichen Betreiber jedoch die komplette Hansa Market-Infrastruktur auf Server in den Niederlanden. Dem BKA und der Frankfurter Generalstaatsanwaltschaft gelang es durch nicht näher bestimmte "technische Ermittlungen", die Spur zu den mutmaßlichen Betreibern in Köln und Siegen weiterzuverfolgen.

Auch private Firmen bieten den Ermittlern gern technische Hilfe an.

Technische Expertise kann dabei auch von externen, privaten Firmen kommen, die den Ermittlern im Kampf gegen Cybercrime bereitwillig ihre Dienste und technische Expertise anbieten. Das war auch im Falle Hansa Market so. Wie Europol-Chef Rob Wainwright in einem Interview mit Motherboard bestätigte, kam der ursprüngliche heiße Tipp, der Ermittlungen gegen AlphaBay ins Rollen brachte, von dem Antivirenhersteller Bitdefender.

Wainwright deutete außerdem an, dass bei den Ermittlungen gegen AlphaBay ein "technisches Tool" eine große Rolle gespielt hatte, doch weder Bitdefender noch Europol wollten Näheres dazu preisgeben. Schon im vergangenen Jahr hatten europäische Ermittler Zero-Day-Exploits benutzt, um Kinderporno-Plattformen im Deepweb abzuschalten. Ob das auch hier der Fall war, ist allerdings noch nicht klar.

Anzeige

Sessions Säbelrasseln: Die große Politik hat das Darknet längst auf dem Schirm

Welche Dimension und Schwere dem Einfluss der Darknetmärkte, insbesondere AlphaBay zugeschrieben wird, verdeutlicht eine Pressekonferenz, die US-Justizminister Jeff Sessions zur Abschaltung von AlphaBay extra einberufen hatte.

Er machte das Darknet mit seinem Angebot an "tödlichen Drogen" auch indirekt für die Opioid-Krise in den Vereinigten Staaten verantwortlich und rasselte rhetorisch ordentlich mit dem Säbel: "Ihr könnt euch nicht verstecken", sagte er in Richtung der Cyberkriminellen. "Wir werden euch finden, eure Organisation und euer Netzwerk auseinandernehmen. Und wir werden euch verfolgen."

Warum die jüngsten Aktionen zu einem Strafverfolgungs-Boom führen wird

Die jüngsten Abschaltungen der beiden großen Schwarzmärkte dürften tatsächlich zahlreiche weitere Ermittlungen zur Folge haben. Denn durch das Infiltrieren des Hansa Markets dürften die Ermittler tausende wertvolle Informationen über viele Kunden, Groß- und Kleinhändler gesammelt haben und sich so auch Informationen darüber beschafft haben, wie der Waffenhandel und der Drogenhandel innerhalb der Märkte aufgebaut ist.

Nicht nur AlphaBay und Hansa standen in den vergangenen Monaten im Zentrum der Ermittlungen, sondern auch andere Deepweb-Plattformen: Im Juni 2016 radierte das BKA eine berüchtigte Kinderporno-Plattform namens Elysium mit rund 87.000 Mitgliedern aus dem Netz und verhaftete einen 39-jährigen Hessen; kurz davor schalteten Ermittler das größte deutschsprachige Onion-Forum "Deutschland im Deepweb" ab, auf dem nicht nur diskutiert, sondern auch mit Waffen und Drogen gehandelt wurde.

Anzeige

Das alles bedeutet aber nicht, dass es Ermittlern gelungen ist, die Anonymisierung, die Tor zugrunde liegt, zu kompromittieren – das musste selbst die niederländische Polizei in der FAQ eingestehen, die auf der Adresse von Hansa Market geschaltet ist.

Bild: Screenshot FAQ zu Hansa Market

Vielmehr ist das Geheimnis des jüngsten Erfolgs eine Kombination aus Erfahrung, Zusammenarbeit internationaler Ermittler, der Justiz, Partnerschaften mit Privatunternehmen und technischen Mitteln.

Der Fehler liegt noch immer nicht im System, sondern in individuellen Dummheiten

Als letzten, aber wichtigen Punkt darf man nicht vergessen, sich die individuelle OpSec so mancher hochrangiger Darknet-Bosse anzuschauen. Tatsächlich waren diese als OpSec bezeichneten operativen Vorsichtsmaßnahmen in mehreren vergangenen Fällen erstaunlich schwach und der Grund für Verhaftungen und Verurteilungen: Darknet-Dealer Shiny Flakes schrieb alle seine Passwörter in ein Dokument; dessen Nachfolger Chemical Love loggte alle Kundendaten mit und Ross Ulbricht verriet sich durch eine E-Mail-Adresse mit seinem echten Namen.

Der Fall AlphaBay zeigt, dass die Betreiber von Schwarzmärkten wohl nicht zum letzten Mal über eine geradezu fatale Unvorsichtigkeit gefunden werden: Der mutmaßliche Chef des ehemals größten Schwarzmarkts, AlphaBay, hatte seine E-Mail-Adresse mit dem eleganten Handle Pimp_Alex_91@hotmail.com in den früheren Tagen des Markts im Klartext gepostet.

Läuten die Busts jetzt also das schleichende Ende der Darknet-Schwarzmärkte ein?

Klar ist aber, dass Sessions sich nicht zu früh freuen dürfte. Man kann das Darknet nicht "auseinandernehmen". Schlägt man der Hydra den Kopf ab, wachsen sieben neue nach. Seit der ersten Polizei-Operation gegen Ross Ulbrichts "Silk Road", den Schwarzmarkt, mit dem die Online-Revolution im Drogenhandel begann, hat sich diese Faustregel immer wieder bestätigt – und das, obwohl auch damals sowohl Verkäufer als auch Ermittler und Kunden dachten, das war es jetzt mit der wilden, neuen Darknet-Front.

Doch natürlich braucht man für einen Neuaufbau der Infrastruktur versierte Kriminelle, die bereit sind, trotz fortgeschrittener Strafverfolgungs-Techniken und damit höherer Risiken eine solche Operation wie das Aufsetzen und das Führen eines Darknet-Markts überhaupt durchzuziehen. Immerhin, einen Anreiz gibt es: Man kann damit sehr viel Geld verdienen. Alexandre Cazes, der wegen seiner Betreiberschaft an AlphaBay in Thailand einsaß, bevor er sich das Leben nahm, lebte zuvor ein luxuriöses Leben. Ein Beschlagnahmungs-Dokument führt Unsummen auf: Luxusautos, Fünf Millionen Dollar in Bitcoin,1,8 Millionen Dollar in Ethereum, 760.000 Dollar in der Kryptowährung Zcash – und das schließt noch nicht die Gelder auf ganz gewöhnlichen Konten und Immobilien ein.