So sieht es aus, wenn Behörden eine Seite im Darknet stilllegen – hier das bekannte Angebot „Deepdotweb“, das in dieser Woche vom FBI geschlossen wurde.

Von Max Muth

Am 10. Juli 2017 bewarb sich ein junger Brasilianer unter dem Pseudonym "Med3lin" um einen Job. Seinen Namen verbarg er aus gutem Grund: Er wollte Moderator beim Darknet-Marktplatz "Hansa Market" werden. Seine Argumente waren gut durchdacht: Wenige Tage zuvor hatten US-Behörden den bis dahin erfolgreichsten Darknet-Marktplatz "Alphabay" geschlossen. Deshalb, so Med3lin, sei ein Ansturm von Menschen zu erwarten, die weiterhin anonym Drogen, gehackte Daten und Malware kaufen und verkaufen wollen würden. Und dann bräuchte der Hansa-Market mehr Personal.

Die Geschichte des arbeitsuchenden Brasilianers steht in einem von zwei Strafanträgen, die das US-Justizministerium in dieser Woche veröffentlichte. FBI-Beamte schildern in diesen, warum der Brasilianer und drei Deutsche wegen des Betriebs einer Darknet-Plattform namens "Wall Street Market" verhaftet werden sollten.

Laut den Dokumenten lief das Vorstellungsgespräch von Med3lin gut. Am Ende baten die vermeintlichen neuen Arbeitgeber den Bewerber noch um eine Postanschrift, um ihm eine Art digitalen Sicherheitsschlüssel zu schicken. Mit diesem sollte er künftig seine Identität nachweisen. Nach einigem Zögern schickte Med3lin tatsächlich seine Wohnadresse. Ein folgenschwerer Fehler.

Was er nicht wusste: Er sprach nicht mit den Machern der Darknet-Plattform, sondern mit niederländischen Polizisten. Denn die hatte den Hansa Market bereits übernommen. Sie betrieben den Marktplatz aber undercover weiter - als sogenannten "Honeypot" ("Honigtopf"), der Kriminelle anlocken sollte. Med3lin tappte in die Falle. Wenige Wochen später schlossen die niederländischen Behörden den Hansa Market endgültig. Die Informationen über Med3lin lagerten seitdem auf den Computern der Darknet-Spezialeinheit der niederländischen Polizei.

Gebraucht wurden sie erst jetzt wieder: Ende April verhaftete das deutsche Bundeskriminalamt zusammen mit dem FBI und der niederländischen Polizei die drei deutschen mutmaßlichen Administratoren des Wall Street Market. Med3lin arbeitete mittlerweile offenbar für sie.

Es ist für deutsche Verhältnisse sehr ungewöhnlich, dass schon kurz nach der Festnahme von Verdächtigen Ermittlungsdetails öffentlich werden. Üblicherweise reden Polizei und Staatsanwälte bis zum Abschluss des Gerichtsverfahrens nicht mit der Presse. In den USA dagegen sind fast alle Dokumente, die bei Gericht eingereicht werden, grundsätzlich öffentlich. Für die für Cyberkriminalität zuständige deutsche Generalstaatsanwaltschaft sei das eine ungewöhnliche Situation, sagt ein Sprecher. Die Frankfurter Behörde will deshalb auch in diesem Fall keine Details bestätigen.

Spezialisten verfolgten Bitcoin-Transaktionen über Jahre hinweg

Aus zwei Strafanträgen, die das US-Justizministerium veröffentlichte, lässt sich jedoch relativ genau rekonstruieren, wie kleine Fehler der Männer die Ermittler auf ihre Spur brachten. Wichtig war laut einem ermittelnden FBI-Agenten die im Darknet häufig für Zahlungen verwendete Kryptowährung Bitcoin, oft als anonyme Währung bezeichnet. Tatsächlich sind Bitcoin-Konten jedoch öffentlich, auch Transaktionen zwischen Bitcoin-Adressen sind einsehbar. Unklar ist nur, wem die verschickten Bitcoins gehören. Deshalb spricht man im Zusammenhang mit Bitcoin von pseudonymen Transaktionen. Zwar gibt es Möglichkeiten, mit denen Kriminelle versuchen, die Anonymität von Bitcoins zu erhöhen, doch dem FBI zufolge können Spezialisten auch diese Versuche vereiteln.

Im Fall des Wall Street Market haben es die Spezialisten offenbar geschafft, Bitcoin-Transaktionen über Jahre nachzuverfolgen. So konnten sie wohl nachweisen, dass die Betreiber auch schon hinter dem 2016 geschlossenen Darknet-Marktplatz "German Plaza Market" steckten. Über 3 000 Bitcoins (damals etwa 1,2 Millionen Euro) schafften dessen Administratoren bis Mitte 2016 beiseite und setzten sich damit ab. Die Ermittler verfolgten diese Bitcoins nach und fanden heraus, dass Teile dieses Geldes bei der Gründung der neuen Darknet-Plattform benutzt wurden.

Das half den Ermittlern auch, die Identität eines Verdächtigen zu lüften, der sich im Netz "TheOne" nannte. Denn mit den nachverfolgten Bitcoins wurde auch ein Konto bei einer Gaming-Plattform bezahlt. Der Fehler des Verdächtigen: Weil er davon ausging, dass die Bitcoin-Transaktionen nicht nachverfolgbar seien, hinterlegte er eine E-Mail-Adresse mit seinem bürgerlichen Namen.

Bitcoin und VPN sind nicht so sicher, wie sie glaubten

Auch die anderen beiden Administratoren des Wall Street Market mit den Pseudonymen "coder420" und "Kronos" wurden offenbar durch Unachtsamkeiten enttarnt: Wenn sie auf dem Server ihrer Darknet-Plattform etwas zu erledigen hatten, versuchten sie ihre Identität mit sogenannter Virtual-Private-Network-Software (VPN) zu verschleiern. Die funktioniert wie ein Mittelsmann, der den Internetverkehr der Kunden weiterleitet. Wenn die niederländische Polizei die Anfragen zurückverfolgte, landete sie also im Normalfall bei dem VPN-Anbieter.

Doch "coder420" hatte sich einen unzuverlässigen VPN-Service ausgesucht. Seine Software fiel bisweilen kurzzeitig aus, so konnten die Ermittler seine tatsächliche Herkunft ausfindig machen. Dann halfen analoge Ermittlungsmethoden: Durch Beschattungen in Kleve an der niederländischen Grenze konnte das BKA schließlich die Identität von "coder420" lüften.

Es fehlte noch der Dritte im Bunde: "Kronos". Dessen VPN funktionierte zwar, konnte aber die Identität seines Nutzers dennoch nicht auf Dauer verschleiern. Wie die Behörden an die Informationen kamen, ist bislang unklar. Letztlich fanden die Ermittler "Kronos" bei seiner Mutter, deren Internetanschluss er für seine Ausflüge ins Darknet nutzte. Laut den Dokumenten der US-Ermittler hat "Kronos" seine Rolle beim Wall Street Market eingestanden.

Für was die drei mutmaßlichen Administratoren hierzulande verurteilt werden können, ist unklar. Weil der Betrieb von Darknet-Infrastruktur selbst nicht strafbar ist, müssten "Kronos", "coder420" und "TheOne" für Beihilfe zu auf der Plattform getätigten Drogengeschäften verurteilt werden. Dazu müssen aber zuerst entsprechende Verfahren in den USA und den Niederlanden abgeschlossen werden. Maximal würden den Darknet-Bossen für ihre Taten dann 15 Jahre Haft drohen.