Ermittler sehen nur zwei Gründe, um sich ins Darknet zu klicken: um Straftaten zu begehen und um sie zu verfolgen Darknet: In der Unterwelt des Internets

Von

Im Internet gibt es alles zu kaufen, vor allem das, was im normalen Leben verboten ist. Käufer und Verkäufer ziehen sich deshalb dorthin zurück, wo sie nur schwer zu identifizieren sind: ins Darknet. Doch auch dort können sie Spuren hinterlassen. So legen Bamberger Ermittler den Verbrechern das Handwerk.

 
Schließen

Diesen Artikel teilen

Auch im dunklen Teil des Internets schnappt die Polizei Verbrecher. Die Bamberger Ermittler von Zentralstelle Cybercrime Bayern helfen ihr dabei. Sie haben auch die Urheber des Virus Locky enttarnt, der in Bayreuth die Rechner der Fraunhofer Projektgruppe Prozess-Innovation lahmlegte. Bei der Arbeit fotografieren darf man sie aber nicht.Symbolbild: Ole Spata/dpa Foto: red

Wer schreibt das eigentlich alles und warum? Die Emails, die Millionengewinne versprechen oder solche, die einen darauf hinweisen, dass „Ihre Konto-Daten überprüft werden müssen“? Keiner kennt die Schreiber, aber es sind kleine Subunternehmer, die für Internet-Verbrecher Jobs übernehmen. Ihr Motiv ist Geld.

Nach der Werbung weiterlesen

Auch das Internet hat seine Unterwelt, sie nennt sich Darknet. Sie ist wie im normalen Leben schwer zugänglich, ein Computer mit der üblichen Grundausstattung an Programmen reicht nicht. Wer rein will, braucht ein Extra-Programm, etwa den Tor-Browser, am besten auch ein spezielles Betriebssystem.

Eine Art Windows für die Unterwelt. Und er braucht Zeit. Denn so schnell wie das normale Internet ist es nicht, es gibt nicht so viele Einwählstellen. Dafür hinterlässt der Besucher mit diesen Torservern im dunklen Teil des Netzes keine Spuren.

Alles gibt es, alles ist verboten

Ortswechsel in die reale Welt. In Bamberg steht ein herrschaftliches Gebäude. Darin sitzen ganz normale kleine Unternehmen. Nur ein Mieter hat kein Hinweisschild. An der Klingel stehen die drei Großbuchstaben ZCB, mehr nicht. Die Mitarbeiter dort gehen täglich ins Darknet.

„Dort gibt es fast nichts, was legal ist“, sagt Oberstaatsanwalt Lukas Knorr, einer von Bayerns obersten Internet-Ermittlern. In der ZCB, der bei der Generalstaatsanwaltschaft Bamberg angesiedelten Zentralstelle Cybercrime Bayern, kommen die krassen Fälle auf den Tisch. Seit etwa mehr als ein Jahr gibt es die Stelle, mehr als 300 Fälle haben die Ermittler bearbeitet.

Einkaufen wie bei Amazon: Nur gibt es auf den illegalen Marktplätzen Speed statt Bücher. Archivfoto: Boris Roessler/dpa

Wie Ebay, nur mit Waffen, Drogen, Pässe, Sex

Wieder im Darknet: Alles sieht ähnlich aus wie im normalen Internet, aber die Adressen, die oben in der Leiste gezeigt werden, sind komplett anders. Ohne WWW am Anfang, ohne Struktur. Das soll so sein, denn wer drin ist, will nicht erkannt werden. Wenige Klicks und es öffnet sich eine Liste von „Marketplaces“, die dem bekannten Ebay nicht unähnlich sind. Es gibt Waren und Verkäufer mit Bewertungen.

„Wenn man auf die einzelnen Marktplätze geht, sieht man so viele Straftaten, die kann ein Staatsanwalt gar nicht ermitteln“, sagt Knorr. Es gibt alles. Waffen, Drogen, heute sogar zum Discount-Preis für unter zehn Dollar, es gibt Passwörter für Konten, für Pay-TV, falsche Pässe, amerikanische Pässe, die „täuschend echt“ aussehen, es gibt alles – Verbotene – zum Thema Sex. Und es gibt Listen. Listen mit Zutaten für Betrüger aller Art: Namen, Adressen, sonstige Daten. Die Arbeit der Subunternehmer.

Ein Bausatz für den illegalen Internet-Shop

Die Ermittler in dem Bamberger Prachtbau wissen längst, dass auch Verbrecher gewisse Arbeit auslagern. Wer sich einen Internet-Shop aufbaut, um die Leute auszunehmen, kauft sich die Bauteile im Darknet. Wer Lügenmails verschickt, die den Empfänger auffordern, seine Kontodaten zur Überprüfung einzugeben, kauft sich die Mailadressen im Darknet. Wer die Mails nicht in schwachsinnigem Deutsch oder Englisch verschicken will, kauft sich seinen Schreiber im Darknet.

Auch im Fall des Computerschädlings mit dem harmlosen Namen Locky gingen täglich Abertausende von Mails an Firmen und Privatpersonen, die in einwandfreiem Deutsch geschrieben waren, mit Absendern von Firmen, die es wirklich gibt.

Gekaperte Rechner werden zu Zombies

Sogar die als Absender eingetragenen Mitarbeiter der Firmen gab es wirklich. Versandt wurden die Mails von zigtausenden privaten Rechnern, die vorher gekapert wurden, ohne dass es die Besitzer gemerkt hatten. Botnetze nennt man Verbünde von solchen Rechnern, die wie „Zombies“ machen, was ihnen ein anderer sagt. Botnetze gibt es, wen wundert’s, auch auf den Marktplätzen im Darknet zu kaufen. Das meiste davon lief ohne Spuren im Dunkel des Netzes ab.

Der Fall Locky landete auch auf den Schreibtischen der Cybercrime-Ermittler in Bamberg, nachdem der Virus die Computer der Fraunhofer Projektgruppe Prozess-Innovation an der Universität Bayreuth lahmgelegt hatte. Die Ermittler räumen zwar ein, dass es im Darknet immer noch die größten Chancen gebe, nicht erwischt zu werden.

Auch virtuelle Verbrecher machen Fehler

„Aber es gibt auch Erfolge“, sagt Matthias Huber, Sprecher der Zentralsteller, ohne über die Fehler der Betrüger zu reden. Aber virtuelle Verbrecher machen genau die gleichen Fehler wie die der analogen Welt. Ermittler kriegen raus, wo die Plattformen, über die gehandelt wird, ihren Standort haben.

„Auch ein Marketplace muss irgendwo gehostet sein“, sagt ein IT-Experte. Berichte, wonach man Personen anhand ihrer Eintippgeschwindigkeit feststellen kann, verweist er ins Reich der Märchen. Unis forschen nach Möglichkeiten, einen Täter im Netz wiederzuerkennen, auch nach einem virtuellen Fingerabdruck. „Noch gibt es keine Technik, die ausgereift ist.“

Die Spur des Geldes

Eine Spur ist wie im richtigen Leben die des Geldes. Es gibt also „Ermittlungsansätze“: Wo wird das Geld wieder ausgegeben? Bezahlt wird in der Internetwährung Bitcoin, völlig anonymes, virtuelles Geld. Aber auch Betrüger wollen reich werden und ihr Geld entweder im richtigen Leben ausgeben oder es wieder investieren.

Dafür gibt es Plattformen, deren Daten öffentlich sind. Noch ein Ermittlungsansatz. Für die Befreiung von dem schädlichen Programm Locky haben Erpresser Geld verlangt, und viele Erpresste haben bezahlt. Auf den Bitcoin-Seiten lässt sich nachvollziehen, dass und wie viel Geld an welche Adresse im Internet geflossen ist.

„Aber den Täter haben damit nicht unbedingt“, sagt Staatsanwalt Knorr. Der hat sich nämlich einen Mix-Dienst gekauft, eine automatische Geldwäsche. Das gibt es unter „Finanzdienstleistungen“. Natürlich im Darknet.

Glossar

Darknet: Der Teil des Internets, in dem man nahezu anonym unterwegs sein kann. Es ist nicht verboten, sich dort einzuloggen, man könnte auch den Nordbayerischen Kurier lesen oder sicher seine Emails versenden.

Tor: Wie der Internet-Explorer von Windows ist der Tor-Browser einer der Möglichkeiten, ins Darknet zu gelangen. Man muss sich das Programm auf seinem Rechner installieren. Auch das ist nicht verboten.

Torserver: Der Torwächter des Dark-nets. Es dauert viel länger, bis man die Seiten dort aufgerufen hat. Das liegt daran, dass es nicht so viele Torserver, Einwählstellen gibt. In Deutschland stehen etwa 20 Prozent dieser Server weltweit, insgesamt dürften es hier etwa 400 sein. In China gibt es keinen einzigen davon.

Betriebssystem: Das gängige Betriebssysteme wie etwa Windows sehr anfällig sind, empfiehlt es sich, mit einem anderen, frei erhältlichen Betriebssystem ins Darkweb zu gehen. Geeignet dafür ist etwa Linux.

Marketplace: Plattformen im Darknet, wo alles gehandelt wird, auch das, was verboten ist. Sicher sind sie auf keinen Fall, denn niemand kennt die Verkäufer. Und niemand weiß, ob sie echte Waren anbieten oder nur welche, um die Leute auszunehmen.

Mehr zum Thema:

Trojaner: Fraunhofer nicht einziges Opfer

Fraunhofer-Virus: Spur führt ins Ausland

Ein Doppel-Interview mit Bambergs Generalstaatsanwalt Janovsky und Staatsanwalt Goger über unsichtbare Gegner.