Tracking „Cirrus“: Wer war der Silk Road 2.0-Maulwurf?

Anfang November wurde Silk Road 2.0 nach einer internationalen Polizeiaktion dicht gemacht und beschlagnahmt. Das Ende einer der größten Drogenhandelsplattformen des Deepwebs lief mindestens genauso dramatisch ab wie die Abschaltung der ersten Version des legendären Darknet-Marktes ​im Oktober 2013.

Inzwischen hat Blake Benthall gestanden, unter dem Pseudonym Defcon als Administrator von Silk Road 2.0 fungiert zu haben. Aus der Anklageschrift des FBI geht dabei auch hervor, dass er ​ähnliche Fehler wie Ross Ulbricht, der mutmaßliche Gründer der ursprünglichen Silk Road, begangen hat. Unter anderem hat er die Silk-Road-Server mit mit der E-Mail Blake@benthall.net angemeldet. Neben solchen Anfängerfehlern und weiteren Indizien, die unter anderem durch eine IRL-Observation von Benthall gesammelt wurden, war es jedoch auch die Arbeit eines verdeckten Ermittlers, die zur Festnahme Benthalls im vergangenen Monat führte.

In der öffentlich einsehbaren Klageschrift wird der Undercover-Agent, der sich erfolgreich in die Belegschaft der Silk Road-Unterstützer eingeschlichen hat, schlicht als „HSI-UC" bezeichnet. Doch welcher Nutzer von Silk Road 2.0 war der Maulwurf, der als offizieller Mitarbeiter monatelang dabei geholfen hat, den Betrieb des Deepweb-Schwarzmarktes aufrechtzuerhalten?

Laut der öffentlich einsehbaren Klageschrift hat der Agent „erfolgreich die Support-Angestellten infiltriert, die sich um den laufenden Betrieb der Silk Road kümmern." Von dieser Position aus hatte der Ermittler Zugriff auf die vertrauliche Kommunikation zwischen Defcon und seinen Angestellten, in der es sowohl um alltägliche Angelegenheiten als auch die Expansionspläne von Silk Road ging.

Auf der Grundlage verschiedener Interviews, öffentlich verfügbarer Informationen und Teilen der Moderationsforen, die ich einsehen konnte, scheint sich der Verdacht einiger anderer Silk Road 2.0 Mitarbeiter zu bestätigen: Bei dem verdeckten Ermittler, der sich unter die Belegschaft gemischt hatte, handelte es sich um einen eher schweigsamen Nutzer mit dem Pseudonym Cirrus.

Im Oktober 2013 herrschte kurzzeitig Panik im Darknet: Silk Road, der erste Deepweb-Schwarzmarkt, der eine breitere Masse erreicht hatte, war gerade ​vom FBI abgeschaltet worden. Händler hatten ihre gesamten Bitcoins, die sie auf der Seite gespeichert hatten, verloren. Kunden hatten Angst, dass die Ermittler an ihre persönlichen Daten gelangt seien und die Angestellten von Silk Road befürchteten, als nächstes festgenommen zu werden.

Während die Abschaltung weltweit noch für Schlagzeilen sorgte, fanden sich einige Silk-Road-Veteranen und ein paar neue Unterstützer zusammen, um den bis dato berüchtigsten Online-Drogenbaser wiederzubeleben.

Doch Silk Road 2.0 war bereits vor dem offiziellen Neustart infiltriert worden.

Laut den FBI-Unterlagen erhielt der verdeckte Ermittler, dessen Identität in den öffentlichen Unterlagen nicht preisgegeben wird, eine Einladung für ein Forum, in dem über die Möglichkeiten einer neuen Silk-Road-Version diskutiert wurde. Dieses Forum sollte nur wenig später das offizielle Silk Road 2.0 Forum werden, über das hunderttausende User kommunizierten, nach Sicherheitshinweisen fragten und Reviews zu Drogen und anderen Produkten austauschten, die sie auf der Seite erworben hatten.

Bereits rund 24 Stunden später—am oder um den 8. Oktober 2013 herum—„gewährte der Betreiber des Forums HSI-UC Moderationsrechte, was HSI-UC auch Zugang zu Bereichen verschaffte, die nur für offizielle Mitarbeiter gedacht waren." Zu diesem Zeitpunkt war der verantwortliche Betreiber des Forums vermutlich ein Nutzer mit dem Pseudonym Dread Pirate Roberts—der sich damit den selben Namen wie der Chef der gerade geschlossenen Silk Road 1 gegeben hatte. Dieser Nutzer lud auch Händler der alten Silk Road dazu ein, sich dem neuen Forum anzuschließen und dort wieder ihre Waren anzubieten.

Insgesamt wurden um den Startzeitpunkt des Silk Road 2.0 Forums herum neun Accounts von Nutzern angelegt, die dann auch als Angestellte fungierten oder später dazu berufen wurden. Einer dieser neuen Accounts gehörte HSI-UC, dem von Anfang an Moderationsrechte verliehen wurden und der laut der Gerichtsunterlagen mindestens bis September zur offiziellen Silk Road Belegschaft gehörte.

Auch drei Mitarbeitern der ursprünglichen Silk Road, die dort unter den Namen Inigo SSBD und Libertas aktiv waren, wurden sofort Moderationsrechte gegeben. Bei der Suche nach dem verdeckten Ermittler können wir diese User jedoch ausschließen, da die mutmaßlichen Nutzer hinter diesen Accounts im Dezember 2013 in den USA, Australien und Irland festg​enommen wurden.

In der im Dezember 2013 um sich greifenden Alarmstimmung unter der Silk Road-Belegschaft gab ein weiterer Silk Road 2.0-Moderator das Ende seiner Mitarbeit bei dem Deepweb-Schwarzmarkt bekannt. Zusätzlich übergab auch Dread Pirate Roberts die Leitung der Seite an Defcon, wie Informationen von HSI-UC zeigen, die sich auch im Strafantrag wiederfinden. Auch die User mit diesen beiden Pseudonymen waren nicht lange genug aktiv, um selbst die FBI-Quelle HSI-UC zu sein. Und auch drei weitere Moderatoren—DoctorClu, V und ChemCat—erlangten ihr Moderationsrecht erst deutlich nachdem HSI-UC bereits Zugang zu den sensiblen Teilen des Forums gewährt wurde. Nach dem Ausschlussverfahren fallen also auch diese fünf Silk Road-Mitarbeiter als FBI-Maulwurf aus.

Es gibt nur einen Account, dem um den 8. Oktober 2013 herum der Zugang als Forumsmoderator verliehen wurde, der das Durcheinander der Festnahmen im Dezember überstand und mindestens bis zum September dieses Jahres aktiv war: Cirrus.

Es sollte betont werden, dass dieses Ausschlussverfahren nicht abschließend beweist, dass es sich bei der in der Anklageschrift genannten Quelle HSI-UC um Cirrus handelt. Möglicherweise griff der Maulwurf auch auf verschiedene Accounts zurück und wechselte zu einem anderen, wenn eines seiner Pseudonyme inaktiv wurde.

Auf der Grundlage aller verfügbaren Informationen jedoch ist Cirrus der einzige User, auf den der in der Anklageschrift des FBI detailliert beschriebene Ablauf der Ereignisse zutrifft. Es ist ein Verdacht, den auch andere Silk Road 2.0-Mitarbeiter hegen, von denen einige auch behaupten, dass es sich bei Cirrus in Wirklichkeit um eine Frau handele. Ein Detail, das wir nicht bestätigen können, weshalb wir uns der Einfachheit halber dazu entschieden haben, in diesem Text von dem Informanten HSI-UC in der männlichen Form zu sprechen.Wenn andere Mitarbeiter uns gegenüber Cirrus als Frau beschrieben haben, haben wir diese Aussage jedoch im Folgenden so beibehalten.

„[Sie ist] die einzige Person, auf die das Profil passt", erklärte mir Tang ein weiterer Moderator des Silk Road 2.0-Forums, der aber erst deutlich nach dem Neustart von Silk Road 2.0 zu Seite hinzugestoßen ist. „[Cirrus wurde nicht] mit dem Rest der SR1 Belegschaft festgenommen, [war] von Anfang an dabei und [hatte] Zugang zu sensiblen Bereichen, wie dem Support-Interface."

Cirrus fungierte bereits seit mindestens Juli 2013 als Support-Mitarbeiter der ursprünglichen Silk Road.

In einem Deepweb-Forum, das auch als eine Art allgemeiner Treffpunkt der Darknet-Community fungierte, führt Jack N Hoff, ein renommierter Deepweb-Händler, der sowohl auf der ursprünglichen Silk Road als auch auf Silk Road 2 aktiv war, seine eigenen Verdachtsmomente gegen Cirrus auf. Unter einem Pseudonym, schreibt Hoff dort in einen Thread zur Identität des verdeckten Ermittlers:

„Schon seit der Festnahmen der SR1 Moderatoren habe ich einen ziemlich starken Verdacht gehegt, dass Cirrus ein verdeckter Ermittler ist. Ich wusste, dass Cirrus, genauso wie alle anderen Administratoren und Moderatoren auch, DPR [Dread Pirate Roberts] eine gescannte Kopie des Ausweises gegeben hatte."

Tang wiederum berichtete mir, seit der Abschaltung von Silk Road 2 nicht mehr mit Cirrus gesprochen zu haben und auch niemand anderen zu kennen, der mit Cirrus Kontakt hatte: „Ich mochte [Cirrus] und habe mit [ihr] ziemlich regelmäßig gesprochen, da unser Support-Interface auch eine Faccebook-ähnliche Chat-Funktion hat. Ich war einmal für eine paar Tage MIA [Missing in Action] und Cirrus schickte mir sofort eine Nachricht im Forum, ob alles ok sei. [Sie] machte einen netten Eindruck."

Auch andere Nutzer aus der Darknet-Community verdächtigten Cirrus, sich als FBI-Quelle in die Belegschaft eingeschleust zu haben. Einer der Betreiber von The Hub stellte mir ein partielles Backup des Silk Road 2.0-Forums zur Verfügung, um mir zu zeigen, wann die einzelnen festen Mitarbeiter ihre Account angelegt hatten. Der The Hub-Betreiber, der sich selbst das Pseudonym Alfred gegeben hat, erlebte die letzten dramatischen Stunden der Silk Road 2.0. online live mit, wie er mir berichtete:

„Ich habe an dem Tag an dem all das passiert ist, mit mehrere Moderatoren gesprochen. Nach allem was ich weiß, kann es einfach niemand anderes sein. Es sei denn, die Ermittler versuchen mit allen Mitteln, es nur so aussehen zu lassen, als sei es Cirrus gewesen, um jemand anderen zu schützen. Aber selbst wenn das der Fall wäre, wo ist Cirrus dann? Warum [ist sie nicht] wieder aufgetaucht? Niemand, den ich kenne, hat seitdem wieder mit ihr gesprochen oder sie gesehen."

ChemCat, ein weiterer Silk Road 2.0-Mitarbeiter, lehnte es ab, für diesen Artikel interviewt zu werden.

Trotz der relativ langen Mitarbeit war Cirrus ein eher schweigsames Mitglied der Belegschaft. Das geht aus einem Teil des Archivs des Moderationsforums hervor, welches mir DoctorClu, der im Dezember in die Ränge der offiziellen Silk Road 2.0-Belegschaft aufgestiegen ist, zur Einsicht zur Verfügung stellte.

In dem „Staff Syncs"-Forum beispielsweise, das Defcon eröffnet hatte, damit Mitarbeiter ihre Sorgen und Probleme mit dem Rest der Belegschaft diskutieren konnten, und damit alle Kollegen allgemein auf dem gleichen Wissensstand waren, hat Cirrus fast nie einen Beitrag verfasst.

Wenn Cirrus in anderen Threads postete, waren die Anregungen eher oberflächliche oder allgemeinere Hilfestellungen. In einem Post unterbreitete Cirrus beispielsweise Vorschläge wie effizienter und schneller mit Kundenanfragen umgegangen werden könnte. An anderer Stelle wurde eine detaillierte Auswahl von Ideen aufgelistet, die mehr Verkäufer und Händler auf die Silk Road 2.0 locken sollten.

Zu den Aufgaben von Moderatoren wie Cirrus gehörte vor allem der Kundensupport: Auseinandersetzungen zwischen Käufern und Händlern regeln, Support-Tickets bearbeiten und Scam-Händler ausmachen. Manche Mitarbeiter gingen auch darüber hinaus und nutzten ihre unterschiedlichen Fähigkeiten für Hacking, DDoSing oder das Verfassen von Texten für die öffentlichen User-Foren.

Laut Tang lag die Bezahlung für diese Tätigkeiten für Mitarbeiter wie Cirrus bei wöchentlich rund 1000 Euro. In der Anklageschrift heißt es, dass HSI-UC von Defcon seit ungefähr dem 23. Januar insgesamt Zahlungen „im Wert von insgesamt rund 83,39 Bitcoin (was ungefähr 25.000 Euro sind)" erhalten habe.

Diese Bitcoinzahlungen heute nachzuvollziehen, ist allerdings unmöglich. Ein Blick in das interne Mitarbeiterforum zeigt, dass Defcon seine Mitarbeiter vor jeder Zahlung um frische Bitcoin-Wallet-Adressen bat, die diese verschlüsselt im Forum posten mussten. So konnte Defcon vermeiden, dass Mitarbeiter die allgemeinen Adressen ihrer Kollegen kannten. Außerdem habe Defcon laut Tang „Bonus[zahlungen]" in verschiedenr Höhe an unterschiedliche Mitarbeiter überweisen, was es zusätzlich erschwert, im Nachhinein Rückschlüsse auf die Rolle und Dauer der Mitarbeit anhand der überwiesenen Beträge zu ziehen.

Trotz all dieser Vorsichtsmaßnahmen konnte ein verdeckter Ermittler, mit der Mission Silk Road 2.0 abzuschalten, die Unterhaltungen im offiziellen Forum der Moderatoren unbemerkt im Auftrag das FBIs mitlesen. In diesen Gesprächen ging es sowohl um die Bezahlungsmodalitäten der Mitarbeiter, den Umgang mit Journalisten (oder ob man sie ignorieren sollte), das Rekrutieren weiterer Händler, mögliche Strategien von Ermittlern, aber auch freundschaftliche Nachrichten und Unterhaltungen.

HSI-UC konnte auch direkte Chat-Gespräche mit anderen Silk Road Kollegen führen, zeichnete laut den Gerichtsunterlagen auch Gespräche mit dem Chef selbst auf. Defcon sprach dabei darüber, wie er den Kunden, die Opfer einer verheerenden Hacker-Attacke im September geworden waren, ​ihre Bitcoins zurückerstatten wollte.

Das eigenartigste an der gesamten Geschichte ist allerdings, dass manche Silk Road Mitarbeiter noch nicht einmal sonderlich überrascht darüber sind, dass sich unter ihnen ein verdeckter Ermittler befand, wie Tang mir schilderte:

„Auch wenn das vielleicht beunruhigend ist, so muss ich ehrlich zugeben, dass mich das Ganze weniger überrascht hat, als es das vielleicht sollte. Ich weiß, das mag vielleicht bescheuert klingen, aber als ich damals meinen Account im SR2-Forum anmeldete, ging es mir nur darum, eine offizielle Mitarbeiterposition zu erlangen—nicht wegen des Geldes sondern wegen der Erfahrung. Ich habe mir eigentlich schon immer gedacht: Wenn ich mich bei SR2 ‚einschleichen' kann, dann kann das jeder schaffen—auch die Polizei."

Das FBI wollte sich im Rahmen dieses Artikels nicht äußern, da der Fall erst noch vor der offiziellen gerichtlichen Auseinandersetzung steht. Blake Benthall, der gestanden hat als Betreiber von Silk Road 2.0 fungiert zu haben, wartet unterdessen auf seinen Gerichtstermin am kommenden Montag den 22. Dezember.