Wenn Sie vom Internet reden, meinen die meisten Menschen das World Wide Web (www). Doch im Internet gibt es auch andere Bereiche, zum Beispiel das Darknet. Hier treffen sich Menschen, die anonym bleiben wollen und damit auch viele Kriminelle. Was die da machen und wie man ihnen auf die Schliche kommt, hat Cybercrime-Ermittler Carsten Meywirth vom BKA im DiFü-Podcast „D wie Digital“ erklärt. Finden Sie hier das Interview zum Nachlesen.

difue.de: Herr Meywirth, was ist das Darknet und wie komme ich da rein?

Carsten Meywirth: Wir unterscheiden im Allgemeinen zwischen dem „Clear Web“ und dem „Deep Web“. Das Clear Web ist der öffentliche Bereich des Internets, in dem wir einkaufen gehen und der über Suchmaschinen wie Google recherchierbar ist. Das Deep Web ist der mit Abstand umfangreichste Bereich des Internets, es umfasst circa 90 bis 95 Prozent. Hier finden sich Firmen, Datenbanken, Streaming-Server oder auch Online-Speicher. Das Deep Web steht grundsätzlich allen offen. Allerdings sind viele Inhalte passwortgeschützt, um beispielsweise Unternehmensgeheimnisse zu schützen, und die Adressen im Deep Web sind nicht über Google recherchierbar. Innerhalb dieses Deep Webs gibt es einen kleinen, versteckten Teil – das ist das Darknet. Nutzer können sich hier möglichst anonym austauschen, etwa durch eine spezielle Software wie den Tor-Browser. Hier sind Seiten nur direkt abrufbar, über eine entsprechende „Onion“-Adresse, die man kennen muss.

Was ist der Tor-Browser?

Tor ist die Abkürzung für „The Onion Router“. Der Tor-Browser ist für viele das Tor zum Darknet, man kann mit ihm aber auch im Clear Web surfen. Er verschleiert nach dem „Onion Ring“-Prinzip die Identität seiner Nutzer:innen. So wie die namensgebende Zwiebel aus vielen Schichten besteht, legt der Tor-Browser mehrere „Verschlüsselungsschichten“ an. So kann man weitgehend anonym und unerkannt surfen.

Wer nutzt das Darknet? Viele denken da zuerst an Kriminelle. Aber anonym wollen ja nicht nur Verbrecher bleiben?

 

Das Darknet ist nicht nur Tummelplatz für illegale Aktivitäten. Denken Sie an totalitäre Regime. Für Journalisten und Dissidenten, die dort leben, ist es häufig die einzige Möglichkeit, sich ohne weitere Repressionen auszutauschen, und daher oft die einzige Quelle für Informationen.

 

Gibt es neben der Anonymität noch andere Vorzüge, die aus Verbrechersicht für das Darknet sprechen?

 

Ich möchte natürlich keine Werbung machen für das Darknet als Ort für Verbrecher. Aber klar, ganz wichtig ist den kriminellen Akteuren, die wir verfolgen, die Anonymität und der Schutz vor Strafverfolgung. Die Täter agieren mit Aliasnamen, und die spezielle Architektur des Tor-Netzwerks begünstigt das. Da sind weltweit sehr viele Server miteinander verbunden und Sie können eine IP, mit der man sich als Adresse im Internet bewegt, nicht mehr vom Eingang in das Netzwerk bis zum Ausgang zurückverfolgen.

Mit Google kommt man im Darknet nicht weit. Wie findet man einschlägige Seiten? Gibt es da auch spezielle Suchmaschinen?

Die gibt es auch im Darknet, genau. Aber in der Regel ist es so, dass kriminelle Akteure mit Verkaufsangeboten auf festen Marktplätzen auftreten, wie sie im Clear Web auch bestehen. Die sind dann über den Tor-Browser mit einer speziellen Onion-Adresse, also einer ziemlich großen Anzahl an Buchstaben und Zahlen, direkt erreichbar.

Wie eine Art Ebay oder Amazon, nur für Drogen und Waffen?

Ja, es gibt viele Marktplätze, die Drogen und illegale Güter anbieten. Wir haben vor kurzem den bis dato größten Marktplatz schließen und die Infrastruktur zerstören können, den „Hydra Market“. Da haben sehr, sehr viele Menschen gehandelt – es gab insgesamt rund 17 Millionen Kunden und 19.000 Verkaufskonten. Die haben 2020 einen Umsatz von 1,3 Milliarden Euro gemacht. Es gibt natürlich auch kleinere Plattformen, aber an den Dimensionen können Sie sehen, wie viel Handel im Darknet betrieben wird.

Mit welchen Gütern oder Dienstleistungen wird am meisten gehandelt?

Wir stellen fest, dass immer mehr Kriminalität aus dem analogen in den digitalen Bereich zieht, auch auf solche Marktplätze. Nummer eins sind Betäubungsmittel. Dann werden auch Waffen gehandelt, gefälschte Dokumente, Dienstleistungen rund um Cybercrime, gestohlene Daten, Passwörter, Benutzernamen, E-Mail-Adressen und ähnliches. Die Bandbreite ist hier relativ groß.

Wie finden Sie diese Marktplätze, die Sie überwachen? Gibt es V-Männer, Informanten?

.Zu verdeckten Ermittlungen sagen wir öffentlich grundsätzlich nichts. Aber wir gehen da heran, wie es viele andere auch machen würden. So wie auch Kunden ihre Marktplätze finden. Und wir haben natürlich eine spezielle Expertise – Menschen, die besonders qualifiziert sind, die lange Erfahrung bei der Verbrechensbekämpfung haben. Die kennen natürlich die Marktplätze, die eine besondere Bedeutung haben.

Gehandelt wird online, aber es gibt auch Überschneidungen ins echte Leben. An welcher Stelle versuchen Sie, einzugreifen?

Grundsätzlich verschaffen wir uns einen Überblick über das Angebot an Marktplätzen. Wir monitoren das, da darf man sich auch nicht vertun, wir sind da präsent. Die Täter schützen sich durch Anonymität und Verschlüsselungsmethoden. Aber eine starke Schnittstelle ist da, wenn gekaufte Waren in Empfang genommen werden müssen. Das kann natürlich nur in der analogen Welt geschehen. Auch die Bezahlvorgänge sind Möglichkeiten für uns, Täteridentitäten zu ermitteln.

Im April 2022 wurde der von Ihnen bereits angesprochene Hydra Market, ein riesiger Darknet-Marktplatz, vom Netz genommen. Welche Rädchen mussten ineinandergreifen, bis es zu diesem Erfolg kommen konnte?

Wir haben von amerikanischen Behörden einen Hinweis bekommen. Denen waren zwei Server aufgefallen, die über einen deutschen Dienstleister betrieben wurden. Wir haben uns mit der Generalstaatsanwaltschaft in Frankfurt an die Arbeit gemacht, um diese Server-Infrastrukturen, die ein Marktplatz braucht, um seine Angebote an die Kunden zu bringen, aufzudecken. Am Ende der Ermittlungen haben wir 55 Server ausfindig gemacht und sie vom Netz genommen. Als i-Tüpfelchen haben wir eine Menge Geld auf diesen Servern gefunden. Die Kunden zahlen üblicherweise eine Provision und die Händler eine Gebühr dafür, dass sie dort auf diesem Handelsplatz handeln dürfen. Wir haben Bitcoins im Wert von 24 Millionen Euro sichergestellt. Das war natürlich, neben der Zerstörung der kriminellen Infrastruktur, ein Riesenerfolg.

Takedown Hydra Market. Bild: BKA

Wer nach dem Takedown den Hydra Market besuchen wollte, bekam diese Nachricht zu sehen. Bild: BKA

Zum Zeitpunkt des Takedowns war aber noch nichts über die Hintermänner oder die Betreibenden dieses Marktplatzes bekannt.

 

Richtig. Die Kommunikation lief sehr viel in russischer Sprache und auch der Handel, gerade mit Rauschgift, war sehr stark fokussiert auf das Gebiet Russlands. Wir haben bis heute keine Hintermänner ermitteln können. Wir haben uns darauf konzentriert, die Infrastruktur zu zerstören. Es ist kein Handel mehr möglich auf diesem Marktplatz, und es ist sehr aufwendig, eine solche Infrastruktur von 55 Servern wieder einzurichten.

 

Gibt es überhaupt eine Möglichkeit, die unzähligen Käufer:innen und Händler:innen zu ermitteln?

 

Erfahrungsgemäß gibt es auf diesen Marktplätzen ein Angebot und einen Kaufwilligen, und dann tauscht man persönliche Nachrichten aus. Diese Daten liegen teilweise auf den Servern, die wir sichergestellt haben. Jetzt werten wir diese Daten aus, um größere Händlerstrukturen zu identifizieren und Strafverfolgung gegen die Händler betreiben zu können.

Wie sinnvoll ist es, Server-Infrastrukturen zu zerstören? Wenn ein Marktplatz geschlossen wird, eröffnet sicher am nächsten Tag ein neuer …

Das ist natürlich so. Wenn jemand Rauschgift kaufen will, hat er viele Möglichkeiten. Wenn ein Marktplatz stirbt, gibt es vielleicht einen anderen. Aber wir wissen, dass diese Nadelstiche, die wir setzen, eine große Wirkung auf die kriminelle Gemeinde haben. Grundsätzlich ist unser Ziel, dass wir die Betreiber eines solchen Marktplatz ermitteln, dass wir die kriminelle Infrastruktur zerstören und dass wir natürlich auch die kriminellen Akteure ermitteln, die dort Handel treiben. Da schließen wir nichts aus.

Wo machen Kriminelle am häufigsten Fehler?

Trotz Anonymität und Verschlüsselungstechniken hinterlassen Kriminelle Spuren. Bei allem, was sie tun. Sie benutzen E-Mail-Adressen und Bitcoin Wallets, sie hinterlassen Nutzernamen. Der Benutzername sorgt auch für ein Standing in der Szene, etwa wenn ein Name für gute Dienstleistungen bekannt ist. Wir müssen darauf setzen, dass die Cyberkriminellen bei allen Möglichkeiten, die sie hinsichtlich Anonymisierung und Verschlüsselung haben, Fehler begehen. Wenn wir die Spuren, die sie hinterlassen, zu Bestandsdaten nachverfolgen können, haben wir gute Möglichkeiten, ihre Identität zu ermitteln.

Umgekehrt heißt das dann ja: Wenn ich als Cyber-Krimineller keinen einzigen Fehler mache, können sie mich auch nicht erwischen.

Wenn Sie das so wollen … In der analogen Welt sind Sie sichtbar, Sie können auf Zeugen stoßen, die zu der kriminellen Tat, die Sie begehen, etwas aussagen können. Das ist in der digitalen Welt ein bisschen anders. Hier brauchen Sie nur einen Nutzernamen und einen Rechner. Den können Sie von jedem Ort der Welt betreiben, wenn Sie Strom und einen Internetzugang haben.

Ein anderes internettypisches Merkmal ist die Internationalität. Nehmen wir das Beispiel Hydra Market: Die Informationen kamen aus den USA, die Server standen in Deutschland, betrieben wurde die Plattform vor allem von russischsprachigen Nutzer:innen. Wie laufen dann die Ermittlungen? Welches Land ist zuständig, gibt es einen guten Austausch?

In den allermeisten Fällen ist die Zusammenarbeit sehr gut. Ermittelt wird natürlich immer in den Nationalstaaten, die betroffen sind. Dann kommt man auf einer internationalen Ebene zusammen, bespricht sich und schaut: Wer hat welche Spuren, wie gestaltet sich der Fall? Wir kennen unsere Partner im Ausland sehr gut, wir haben sehr gute Verbindungen nach Amerika und innerhalb Europas, zu den Niederlanden, zu Frankreich, zu Großbritannien. Häufig kennt man sich auf der Sachbearbeiter-Ebene auch persönlich. Das ist eine kleine, hochqualifizierte Community, die da zusammenarbeitet. Letztlich hat jedes Ermittlungsverfahren internationale Bezüge. Es ist kaum eine Fallkonstellation vorstellbar, bei der die Täter und die kriminellen Infrastrukturen rein in den nationalen Grenzen gehalten werden und auch die Kommunikation dort stattfindet.

Haben Sie für so eine internationale Zusammenarbeit noch andere Beispiele?

Zum Beispiel der Takedown von „Emotet“, der bis dato gefährlichsten Schadsoftware der Welt. Wir konnten die kriminelle Infrastruktur zerstören und die Täter sind damit bisher nicht zurückgekommen. Die Art, wie wir das gemacht haben, hat weltweit für Aufsehen gesorgt. Hier haben wir mit einer internationalen Allianz zusammengearbeitet und die Maßnahmen entsprechend geplant.

Was ist Emotet?

Emotet hat den zweifelhaften Ruf der gefährlichsten Schadsoftware der Welt. Der Schädling zählt zu den so genannten Trojanern und ist in der Lage, sich selbst zu verbreiten, etwa mittels verseuchter E-Mails. Zudem kann er sich extrem gut vor Antivirus-Programmen verstecken. Ursprünglich war Emotet ein Banking-Trojaner, der Zugangsdaten zum Online-Banking ausspähen sollte. Inzwischen hat sich die Software aber weiterentwickelt, sie kann unter anderem weitere Banking-Trojaner oder Ransomware herunterladen.

Einige Monate nach dem Takedown von Emotet kam die Nachricht: Emotet ist zurück. Ist Ihr Job eine Sisyphusarbeit? Können Sie überhaupt gewinnen?

 

Das ist gar nicht so sehr unsere Absicht. Kennen Sie den Film Minority Report? Da wollen wir nicht hin. Wir bekämpfen Straftaten, wenn sie begangen werden. Natürlich können die Täter immer wieder zurückkommen. In diesem Fall haben sie nach zehn Monaten ein erstes Lebenszeichen gesendet, offensichtlich über eine neue Infrastruktur. Das heißt aber auch: Es hat zehn Monate lang keine Straftat stattgefunden, und die Täter sind immer noch nicht mit der alten Schlagkraft zurück. Nach dem Takedown konnten zudem wir eine ganz große Menge an Opfern warnen, die Schadsoftware auf dem Rechner hatten. Die konnten dadurch weiteren konkreten Straftaten entkommen.

Im Film Minority Report werden Verbrechen vorhergesagt und die zukünftigen Täter vorsorglich in Gewahrsam genommen. Da sind wir zum Glück noch nicht. Aber Verbrecher sind nicht auf den Kopf gefallen und denken sich ständig neue Methoden aus. Mit welchen neuen, vielleicht auch unkonventionellen Technologien versuchen Sie, Schritt zu halten?

Am wichtigsten ist gut ausgebildetes Personal. Wir arbeiten mit IT-Fachkräften, die bei uns als Cyber-Analysten im Team mit den Vollzugsbeamten zusammenarbeiten. Und wir brauchen eine Technik, die auf der Höhe der Zeit ist. Damit können wir eine ganze Menge erreichen.

Was gehört denn in den Werkzeugkoffer eines BKA-Cybercrime-Experten?

Technik, die auf dem aktuellen Stand ist. Wir nutzen eine Menge Tools, mit denen wir auch größere Mengen an Daten verarbeiten können. Sie werden aber sicher verstehen, dass ich das hier nicht ganz transparent machen kann. Da hören bestimmt auch Leute zu, die dann vielleicht etwas anderes planen. Denen möchte ich keine entsprechende Hinweise geben.

Aus der Sicht eines Ermittlers: Ist das Darknet für Sie eher Fluch oder eher Segen? Wünschen sie sich, dass es das Darknet nicht gäbe?

Es ist sicher Fluch und Segen zugleich. Ich bin ja nicht nur Ermittler, sondern auch Mensch und Bürger. Und ich sehe natürlich, dass es auch guten Zwecken dient. Dass es etwa für Menschen, die unter sehr schwierigen Bedingungen oder in diktatorischen Verhältnissen leben, oftmals die einzige Möglichkeit ist, sich auszutauschen und zu informieren. Also: Nehmen wir es so, wie es ist.