Im Internet gibt es alles zu kaufen, vor allem das, was im normalen Leben verboten ist. Käufer und Verkäufer ziehen sich deshalb dorthin zurück, wo sie nur schwer zu identifizieren sind: ins Darknet. Doch auch dort können sie Spuren hinterlassen. So legen Bamberger Ermittler den Verbrechern das Handwerk.
Wer schreibt das eigentlich alles und warum? Die Emails, die Millionengewinne versprechen oder solche, die einen darauf hinweisen, dass „Ihre Konto-Daten überprüft werden müssen“? Keiner kennt die Schreiber, aber es sind kleine Subunternehmer, die für Internet-Verbrecher Jobs übernehmen. Ihr Motiv ist Geld.
Eine Art Windows für die Unterwelt. Und er braucht Zeit. Denn so schnell wie das normale Internet ist es nicht, es gibt nicht so viele Einwählstellen. Dafür hinterlässt der Besucher mit diesen Torservern im dunklen Teil des Netzes keine Spuren.
Ortswechsel in die reale Welt. In Bamberg steht ein herrschaftliches Gebäude. Darin sitzen ganz normale kleine Unternehmen. Nur ein Mieter hat kein Hinweisschild. An der Klingel stehen die drei Großbuchstaben ZCB, mehr nicht. Die Mitarbeiter dort gehen täglich ins Darknet.
„Dort gibt es fast nichts, was legal ist“, sagt Oberstaatsanwalt Lukas Knorr, einer von Bayerns obersten Internet-Ermittlern. In der ZCB, der bei der Generalstaatsanwaltschaft Bamberg angesiedelten Zentralstelle Cybercrime Bayern, kommen die krassen Fälle auf den Tisch. Seit etwa mehr als ein Jahr gibt es die Stelle, mehr als 300 Fälle haben die Ermittler bearbeitet.
Einkaufen wie bei Amazon: Nur gibt es auf den illegalen Marktplätzen Speed statt Bücher. Archivfoto: Boris Roessler/dpa
Wieder im Darknet: Alles sieht ähnlich aus wie im normalen Internet, aber die Adressen, die oben in der Leiste gezeigt werden, sind komplett anders. Ohne WWW am Anfang, ohne Struktur. Das soll so sein, denn wer drin ist, will nicht erkannt werden. Wenige Klicks und es öffnet sich eine Liste von „Marketplaces“, die dem bekannten Ebay nicht unähnlich sind. Es gibt Waren und Verkäufer mit Bewertungen.
„Wenn man auf die einzelnen Marktplätze geht, sieht man so viele Straftaten, die kann ein Staatsanwalt gar nicht ermitteln“, sagt Knorr. Es gibt alles. Waffen, Drogen, heute sogar zum Discount-Preis für unter zehn Dollar, es gibt Passwörter für Konten, für Pay-TV, falsche Pässe, amerikanische Pässe, die „täuschend echt“ aussehen, es gibt alles – Verbotene – zum Thema Sex. Und es gibt Listen. Listen mit Zutaten für Betrüger aller Art: Namen, Adressen, sonstige Daten. Die Arbeit der Subunternehmer.
Die Ermittler in dem Bamberger Prachtbau wissen längst, dass auch Verbrecher gewisse Arbeit auslagern. Wer sich einen Internet-Shop aufbaut, um die Leute auszunehmen, kauft sich die Bauteile im Darknet. Wer Lügenmails verschickt, die den Empfänger auffordern, seine Kontodaten zur Überprüfung einzugeben, kauft sich die Mailadressen im Darknet. Wer die Mails nicht in schwachsinnigem Deutsch oder Englisch verschicken will, kauft sich seinen Schreiber im Darknet.
Auch im Fall des Computerschädlings mit dem harmlosen Namen Locky gingen täglich Abertausende von Mails an Firmen und Privatpersonen, die in einwandfreiem Deutsch geschrieben waren, mit Absendern von Firmen, die es wirklich gibt.
Sogar die als Absender eingetragenen Mitarbeiter der Firmen gab es wirklich. Versandt wurden die Mails von zigtausenden privaten Rechnern, die vorher gekapert wurden, ohne dass es die Besitzer gemerkt hatten. Botnetze nennt man Verbünde von solchen Rechnern, die wie „Zombies“ machen, was ihnen ein anderer sagt. Botnetze gibt es, wen wundert’s, auch auf den Marktplätzen im Darknet zu kaufen. Das meiste davon lief ohne Spuren im Dunkel des Netzes ab.
Der Fall Locky landete auch auf den Schreibtischen der Cybercrime-Ermittler in Bamberg, nachdem der Virus die Computer der Fraunhofer Projektgruppe Prozess-Innovation an der Universität Bayreuth lahmgelegt hatte. Die Ermittler räumen zwar ein, dass es im Darknet immer noch die größten Chancen gebe, nicht erwischt zu werden.
„Aber es gibt auch Erfolge“, sagt Matthias Huber, Sprecher der Zentralsteller, ohne über die Fehler der Betrüger zu reden. Aber virtuelle Verbrecher machen genau die gleichen Fehler wie die der analogen Welt. Ermittler kriegen raus, wo die Plattformen, über die gehandelt wird, ihren Standort haben.
„Auch ein Marketplace muss irgendwo gehostet sein“, sagt ein IT-Experte. Berichte, wonach man Personen anhand ihrer Eintippgeschwindigkeit feststellen kann, verweist er ins Reich der Märchen. Unis forschen nach Möglichkeiten, einen Täter im Netz wiederzuerkennen, auch nach einem virtuellen Fingerabdruck. „Noch gibt es keine Technik, die ausgereift ist.“
Eine Spur ist wie im richtigen Leben die des Geldes. Es gibt also „Ermittlungsansätze“: Wo wird das Geld wieder ausgegeben? Bezahlt wird in der Internetwährung Bitcoin, völlig anonymes, virtuelles Geld. Aber auch Betrüger wollen reich werden und ihr Geld entweder im richtigen Leben ausgeben oder es wieder investieren.
Dafür gibt es Plattformen, deren Daten öffentlich sind. Noch ein Ermittlungsansatz. Für die Befreiung von dem schädlichen Programm Locky haben Erpresser Geld verlangt, und viele Erpresste haben bezahlt. Auf den Bitcoin-Seiten lässt sich nachvollziehen, dass und wie viel Geld an welche Adresse im Internet geflossen ist.
„Aber den Täter haben damit nicht unbedingt“, sagt Staatsanwalt Knorr. Der hat sich nämlich einen Mix-Dienst gekauft, eine automatische Geldwäsche. Das gibt es unter „Finanzdienstleistungen“. Natürlich im Darknet.
Darknet: Der Teil des Internets, in dem man nahezu anonym unterwegs sein kann. Es ist nicht verboten, sich dort einzuloggen, man könnte auch den Nordbayerischen Kurier lesen oder sicher seine Emails versenden.
Tor: Wie der Internet-Explorer von Windows ist der Tor-Browser einer der Möglichkeiten, ins Darknet zu gelangen. Man muss sich das Programm auf seinem Rechner installieren. Auch das ist nicht verboten.
Torserver: Der Torwächter des Dark-nets. Es dauert viel länger, bis man die Seiten dort aufgerufen hat. Das liegt daran, dass es nicht so viele Torserver, Einwählstellen gibt. In Deutschland stehen etwa 20 Prozent dieser Server weltweit, insgesamt dürften es hier etwa 400 sein. In China gibt es keinen einzigen davon.
Betriebssystem: Das gängige Betriebssysteme wie etwa Windows sehr anfällig sind, empfiehlt es sich, mit einem anderen, frei erhältlichen Betriebssystem ins Darkweb zu gehen. Geeignet dafür ist etwa Linux.
Marketplace: Plattformen im Darknet, wo alles gehandelt wird, auch das, was verboten ist. Sicher sind sie auf keinen Fall, denn niemand kennt die Verkäufer. Und niemand weiß, ob sie echte Waren anbieten oder nur welche, um die Leute auszunehmen.
Trojaner: Fraunhofer nicht einziges Opfer
