FYI.

This story is over 5 years old.

Silk Road: Aufstieg und Fall eines Drogen-Imperiums

Der Betreiber des größten Online-Schwarzmarktes ist vom FBI verhaftet worden. Was bedeutet das nach der freiwilligen Abschaltung von Atlantis letzte Woche für die Zukunft des Darknet?
3.10.13

Ich war gerade dabei in den Foren des Darknets die neusten Meinungen zum Verschwinden von Atlantis zu lesen und wollte über das SilkRoad-Forum noch einmal mit dem Pressesprecher von Atlantis, Heisenberg 2.0, in Kontakt treten. Doch als ich dann rüber zur SilkRoad klicken wollte, erwartete mich eine Überraschung.

Mittlerweile ist bestätigt, dass es sich nicht um einen kruden Scherz der Betreiber handelt, sondern dass die SilkRoad offiziell vom FBI gestoppt wurde. Ross William Ulbricht scheint die Person zu sein, die hinter dem Pseudonym Dread Pirat Roberts steckt und die Seite SilkRoad betrieben haben soll.

Die Strafanzeige des FBI ziert eine lange und informative Liste an Vorwürfen und Vorgängen, für die SilkRoad und Dread Pirat Roberts verantwortlich sein sollen:

Die Silkroad hatte kurz vor ihrem Takedown etwa 13.000 Angebote für Drogen und Medikamente gelistet und jeweils einige hundert Angebote in den meisten anderen Kategorien. Seit Februar 2011 sollen geschätzt 1.229.464 Transaktionen von 3.877 verschiedenen Händlern über die Seite durchgeführt worden sein. Insgesamt sollen dabei 9.519.664 Bitcoins (mehr als 900 Millionen Euro) den Besitzer gewechselt haben. Als Gebühr sollen davon allein 614.304 Bitcoins (fast 60 Millionen Euro) bei Ulbricht verblieben sein.

Zur Last gelegt wird Ulbricht dabei nicht nur Drogenhandel, Hacking und Geldwäsche, sondern auch ein Auftragsmord. Ein User namens FriendlyChemist, der damit gedrohte hatte mehr als 5.000 Userdaten zu veröffentlichen, sollte in seinem Auftrag aus dem Weg geräumt werden. Ein Chatprotokoll soll belegen, dass er für seine Datensammlung durch einen Hack der SilkRoad büßen sollte. Ulbricht soll dies immerhin 1.670 Bitcoins (160.000 Euro) Wert gewesen sein, die er einem User mit dem alias redandwhite für den Mord an FriendlyChemist bezahlt haben soll. Der über die SilkRoad kommunizierte Mord, der am 31. März in White Rock, British Columbia stattgefunden haben soll, konnte aber nicht durch die kanadische Polizei bestätigt werden.

Als im März diesen Jahres Atlantis als neuer Mitbewerber aus den Untiefen des Darknets auftauchet, konnte noch niemand eine derartige Entwicklung absehen und das Darknet inklusive seiner Online-Schwarzmärkte schien mehr denn je zu florieren. Auch der neue Drogenmarktplatz richtete es sich komfortabel ein. Atlantis versprach gleich mal so alltäglich-offizielle Dinge wie besseren Service, niedrigere Gebühren der erste Online-Drogenmarktplatz im Deepweb für die breite Masse zu sein. Jetzt, kaum mehr als ein halbes Jahr später, ist es schon wieder vorbei mit den großen Ambitionen.

Die große Frage ist nun, warum die Seiten offline gingen?

Laut eigenen Angaben haben sich die Betreiber von Atlantis nicht mehr sicher im Tor-Netzwerk gefühlt. Dass diese Angst wohl berechtigt war, zeigte sich jetzt durch die Festnahme von Ulbricht und dem Verschwinden des berüchtigsten und mit Abstand größten Online-Schwarzmarktes aus dem Tor-Netzwerk. Auch der Betreiber der SilkRoad war in den letzten Tagen vor seiner Festnahme noch im Forum mit seltsamen Vorkehrungen aufgefallen: „Ich habe jetzt einen Twitter-Account als Notfall-Kommunikations-Kanal“, verkündete er dort.

„Tor ist tot. Tor basiert auf der Annahme, dass der Gegner nicht in der Lage ist, das gesamte Internet zu überwachen“, fasste es der Bekannte Hacker Fefe, Felix von Leitner, damals prägnant zusammen. Das die NSA dazu in der Lage ist, steht spätestens nach den Veröffentlichungen durch Edward Snowden nicht mehr zur Diskussion. Neben den global-politischen Implikationen der Snowden-Leaks, steht nun auch auf technologischer Ebene fest, dass es straffbar leichtsinnig ist anzunehmen, dass die NSA, beziehungsweise das FBI keine Traffic-Analysen von Tor durchführen könnte.

Auch wenn im Detail Zweifel darüber bestehen mögen, welche Institutionen tatsächlich die Traffic-Analysen verantwortet, bleibt das Endresultat das selbe. Eine flächendeckende Überwachung des Tor-Netzwerkes scheint immer wahrscheinlicher. Und die NSA hätte auf jeden Fall die Mittel dazu. Nach Ergebnissen einer neuen Studie des US Navi Research Laboratory und der Georgetown Universität braucht es keine Sicherheitslücke mehr um Tor-User zu Identifizieren. Dies bestätigt auch das Tor-Project in seinem Blog: „Wenn jemand das gesamte Internet überwachen kann, dann kann er die Datenströme überwachen die in Tor hinein und heraus fließen. Vermutlicherweise deanonymisiert das die User.“

Die entscheidende Entwicklung ist also nicht die Erkenntnis, dass Tor unter bestimmten Umständen nicht sicher ist, dies war bereits längst öffentlich und wurde durch die Studie nur ins mediale Licht gerückt. Vielmehr ist die tatsächliche Ausnutzung dieser überwachungstechnologischen Umstände immer wahrscheinlicher geworden.

Die Willkommensbotschaft auf SilkRoad signiert von Dread Pirate Roberts.

Atlantis tauchte am 20. März dieses Jahres auf, und war da laut eigenen Angaben jedoch bereits seit fast einer Woche online. Im Lauf der nächsten Monate etablierte die Seite als erster Untergrundmarktplatz eine eigene Facebook-Seite, einen Twitter-Account und im Juni veröffentlichte sie sogar einen Werbespot, den sie über YouTube und Vimeo verbreiteten. Dem bunten, freundlich wirkenden Atlantis standen etablierte Marktplätze wie die SilkRoad oder der Black Market Reloaded gegenüber, die seit ihren Anfängen immer leicht dubios und schäbig gewirkt haben. Atlantis sah stattdessen aus wie eine Seite, die dem Web 2.0 entsprungen war.

Auch wenn in den Foren des Darknets immer wieder über die Honey-Pot-Theorie diskutiert wurde—also dass Atlantis von Justizbehörden betrieben wird—etablierten sich auf Atlantis immer mehr Händler und Käufer. Langsam fingen die User an dem neuen Marktplatz ihr Vertrauen zu schenken.

Das Angebot auf Atlantis.

„Wir haben schlechte Nachrichten“, verkündete Atlantis am 20. September in seinem Community-Forum—auf den Tag genau sechs Monate nach seinem ersten öffentlichen Announcement dort. „Leider ist es an der Zeit, dass Atlantis seine Tore schließt. Aus Gründen der Sicherheit, die außerhalb unserer Kontrolle liegen, haben wir keine Wahl, als den Betrieb des Atlantis Marketplace einzustellen.“ Nicht etwa Heisenberg 2.0, der Pressesprecher von Atlantis, oder etwa die Vorstandsmitglieder Loera und Vladimir, die bisher im Namen der Seite gesprochen hatten, sondern nur ein ominöser Admin-Account verkündete diese Hiobsbotschaft vom Untergang Atlantis. Sieben Tage, hieß es auf einem Banner über der Website, würden ihre Kunden bekommen, um Geschäfte abzuschließen und Bitcoins abzuziehen.

Auch Heisenberg 2.0, der erste „Angestellte“ von Atlantis, wie er sich selbst gerne bezeichnete, wurde vollkommen überraschend von dieser Nachricht getroffen. Er hatte gerade noch am neuen Atlantis-Blog gearbeitet, als er plötzlich davon erfuhr. In seiner ersten Äußerung zum Shutdown mutmaßte er, dass die aufgekommene Angst seiner Vorgesetzten mit der Festnahme der Betreiber von Freedom Hosting durch das FBI in Verbindung zu bringen sei. Ein Hostingbetreiber der jahrelang Webspace für Seiten im Darknet bereitgestellt hat.

Zu den Seiten im Tor-Netzwerk, die unter Hidden-Services bekannt sind, gehören auch Seiten wie Atlantis, die SilkRoad oder des nun letzten verbleibenden Mitbewerbers Black Market Reloaded. Doch deren Betreiber nutzten im Gegensatz zu den Betreibern vieler Kinderpornografie-Seiten nicht die Infrastruktur von Freedom Hosting, sondern stellen vermutlich ihre eigenen Server.

Die Sicherheitslücke, die genutzt wurde um Freedom Hosting zu enttarnen, ist zwar mittlerweile behoben. Dennoch gab es vor kurzem weiter Verlautbarungen, welche die Sicherheit des Tor-Netzwerkes in Frage stellen. In der im September veröffentlichten Studie des US Navi Research Laboratory und der Georgetown Universität wurde abermals aufgezeigt, wie einfach es ist durch Traffic-Analysen User zu identifizieren. Innerhalb von sechs Monaten können ohne extrem großen Aufwand etwa 80% aller regelmäßigen User enttarnt werden. Der technische Hintergrund dieses Problems war bereits bekannt und ist auch auf der Website des Tor-Projects dokumentiert, das wahre Ausmaß dieses Problem wurde aber erst durch die Studie in die breite Öffentlichkeit getragen. Wie Traffic-Analysen dieser Art funktionieren, wird in diesem Video vereinfacht erklärt.

Moritz Bartl von den Zwiebelfreunden, einem gemeinnützigen Verein, der sich dem Schutz der Anonymität und dem Betreiben von Tor-Relays verschrieben hat, kann bestätigen: „An den Sicherheitseigenschaften von Tor hat sich in den letzten Jahren nichts geändert, egal was die Medien berichten wollen.“ Er glaubt, dass die Betreiber von Atlantis sich wohl erst durch die gesteigerte mediale Berichterstattung zur Unsicherheit von Tor über die Dimension dessen bewusst geworden sind, was sie eigentlich machen und kalte Füße bekommen haben. Moritz Bartl erklärt, dass Traffic-Analysen, wie sie in der Studie angesprochen werden, auch zum Identifizieren von Hidden-Services genutzt werden können. Nur zeitaufwendiger wäre es. „Es gibt bislang keinen dokumentierten Fall einer Deanonymisierung“, betonte er in einer E-Mail, die er mir gerade geschickt hat.

In Bezug auf Atlantis zumindest wirft diese These, an die anfangs auch Heisenberg 2.0 glaubte, aber nach dem endgültigen Shutdown von Atlantis immer mehr Fragen auf. In den letzten Tagen des Betriebs häuften sich die Beschwerden der User, dass ihre Bitcoin-Bestände trotzt der Versprechen von Atlantis eingefroren wurden. Dann sechs Tage nach der Ankündigung war Atlantis offline.

Als sich herausstelle, dass die Betreiber keine Anstalten machten ihr Versprechen einzulösen, änderte sich die Meinung der Beiden. Es machte sich die Überzeugung breit, dass Atlantis doch nur ein groß angelegter Betrug war. Heisenberg verkündete abschließend geläutert auf dem Atlantis-Blog: „Der größte Betrug ist der, den man nicht kommen sieht. Ich wollte es nicht wahr haben, dass ich selbst Opfer dieses lang angelegten Masche war.“

Dread Pirate Roberts, die Kunstfigur welche die SilkRoad nutzt um mit ihren Usern in Kontakt zu treten und hinter der scheinbar Ulbricht steckt, kommentierte den Verbleib von Atlantis letzte Woche noch gönnerhaft: „Atlantis war gut für die SilkRoad und die Community, es macht mich traurig, dass sie gehen. Ja, sie waren selbstgefällig und agressiv, aber sie haben nie die Linie überschritten und etwas unethisches gemacht. Sie haben uns daran erinnert, dass wir immer daran arbeiten müssen den Service für unsere User zu verbessern um die Nummer eins zu bleiben.“

Den gönnerhaften Ton konnte SilkRoad sich leisten, schließlich war ihre Vorherrschaft wieder hergestellt. Angst vor Mitbewerbern braucht sie nach diesem Debakel in naher Zukunft nicht mehr haben. Das Vertrauen gegenüber Neueinsteigern im Darknet war jetzt stark angekratzt. Eine erneute Konkurrenz gegenüber der SilkRoad würde es in Zukunft noch viel schwieriger haben als Atlantis.

Doch wie sich heute zeigte, war auch die SilkRoad zu selbstgefällig geworden. dentifiziert wurde Ulbricht durch Werbe-Postings für die Silkroad im Clearweb. Aufgefallen waren die Accounts, da sie extra für das Werbungs-Posts erstellt wurden. So kamen die Ermittler an Ulbrichts E-Mail-Adresse, was sie wiederum zu seinem Google-Account führte. Später bei der Auswertung der privaten Nachrichten von Dread Pirate Roberts konnte man feststellen, dass die Beiden wohl eine Person sind, da sie immer zur selben Zeit online waren. Eine ähnliche Verbindung konnte auch durch Einträge von Ulbricht in einem Programmierer-Forum hergestellt werden, in dem er nach Hilfe bei einem Code bat, der sich später auf dem SilkRoad-Server fand.

Außerdem wird Ulbricht mit dem Kauf mehrerer gefälschter Ausweispapiere in Verbindung gebracht. Diese erwarb er genau zur selben Zeit, als Dread Pirate Roberts in privaten Nachrichten darüber sprach, dass er gefälschte Papiere zum Mieten von Servern kaufen wolle. Die Ausweispapiere waren bei einer Routinekontrolle an der kanadischen Grenze gefunden worden. An der Adresse, zu der die Ausweispapiere geschickt werden sollten, trafen die Agenten Ulbricht an, dessen Foto sich auch auf den gefälschten Papieren befand.

Wie das FBI den Silk-Road-Server lokalisiert hat, verschweigt die Anklageschrift jedoch. Die einzigen Hinweise sind, dass der Server sich im amerikanischen Ausland befunden haben soll. Außerdem soll das FBI bereits seit Juli im Besitz einer Kopie des Servers gewesen sein, die sie sich mit Hilfe des Mutual Legal Assistance Treatys beschafft hatten.

Der Ärger über die Betreiber von Atlantis war wohl grundlos. Sie waren vermutlich wirklich auf der Flucht vor der Justiz. Ob sie gerade noch in letzter Sekunde die Notbremse gezogen haben, oder auch demnächst von der Justiz festgenommen werden, wird sich in den nächsten Tagen zeigen.

Ein Dunkler Tag für das Darknet ist heute auf jeden Fall.

Mehr über das Darknet:

Der Online-Schwarzmarkt Atlantis hat einen Pressesprecher

Drogen im Internet: Was ist das Darknet? (Teil 1)

Drogen im Darknet: Im Gespräch mit den Dealern (Teil 2)