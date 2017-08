Der Amokläufer vom Olympia-Einkaufszentrum in München hatte seine Waffe im Darknet bestellt. Doch dieser virtuelle Ort, der einmal als absolut sicherer und anonymer Weg für geheim zu haltende Transaktionen aller Art galt, ist das heute nicht mehr. Die Polizei hat den mutmaßlichen Verkäufer der Waffe ermittelt, er steht jetzt vor Gericht.

Das Tor-Netzwerk anonymisiert den Datenverkehr

Der "Tor"-Browser ist auch das Tor ins Darknet.

Eigentlich wäre der Handel im Darknet ein ziemlich gut ausgeklügeltes Konstrukt, was die beabsichtigte Anonymität angeht: Das Darknet ist ein Teil des Internets, den zum Beispiel Suchmaschinen wie Google nicht erfassen und in den man nicht ohne eine spezielle Software hineinkommt. Diese spezielle Software ist der Tor-Browser, der - anders als zum Beispiel der Internet Explorer oder Chrome - den Datenverkehr anonymisiert. Das geschieht, indem der Tor-Browser die Daten über mehrere sogenannte Proxy-Server umleitet.

Jeder dieser Computer "kennt" nur seinen direkten Vorgänger und Nachfolger. Die Route über verschiedene Tor-Server wird alle paar Minuten geändert, zudem stehen die Server des Tor-Netzwerks in diversen Ländern über den Globus verteilt. Für Ermittler ist es damit so gut wie unmöglich, etwa den Besucher eines Darknet-Forums über die IP-Adressen dieser Server bis zu ihm nach Hause zurück zu verfolgen. Auf dem üblichen Weg gelangen Strafverfolger immer nur zum ersten Server in der Kette. Und bis man die nächste Station ermitteln könnte, hat sich die Server-Route längst wieder geändert.

Die Bezahlung läuft anonym per Bitcoin ab

Diese Waffe hatte der Münchner Amokläufer vermeintlich anonym im Darknet erworben.

Bezahlt wird die Ware im Darknet in aller Regel in Bitcoin - die Digital- oder auch Krypto-Währung, die anonymes Bezahlen ohne Klarnamen oder Kontodaten ermöglicht. Damit ist auch der Ansatzpunkt für Ermittlungen über Kontobewegungen aus dem Spiel. Klassische Ermittlungsansätze im Internet greifen im Darknet also nicht: Etwa bei Mitgliedern sozialer Netzwerke, die strafrechtlich Relevantes posten oder bei Internetnutzern, die auf eBay Diebesgut verkaufen, können Strafverfolger leicht beim Internetanbieter die IP-Adresse abfragen, mit der ihr Computer oder Handy im Internet angemeldet ist. Darüber lassen sich die Personen dann zuallermeist identifizieren. Bei Ermittlungen im Darknet läuft diese Taktik ins Leere.

Allerdings muss, wer in einem Darknet Marketplace - eine Art eBay oder Amazon für meist illegale Waren - etwas bestellt, eine Postadresse hinterlassen, an welche der Darknet-Händler dann die Ware verschickt; oder die Adresse einer Packstation. Mancher Käufer gibt auch einen toten Briefkasten an, den er nur kurz zum Abholen der Ware aufsucht. Aber aufsuchen muss er diesen Briefkasten irgendwann eben doch, wenn er seine Ware in Empfang nehmen möchte. Der Zugriffspunkt liegt bei Darknet-Ermittlungen also oft eher in der Offline- als in der Onlinewelt. Er liegt an der "Schnittstelle zum Real Life", wie Andreas May, für Internet-Kriminalität zuständiger Oberstaatsanwalt bei der Generalstaatsanwaltschaft Frankfurt am Main, es in einem in der Fachwelt vielbeachteten Interview zum Thema mit dctp.tv bei der Internet-Konferenz re:publica im Mai in Berlin nannte. Um diese Schnittstelle zu kennen, muss ein Ermittler aber selbst ins Darknet eintauchen.

Ermittler übernehmen Marktplätze

Auf "Hansa" und "Alphabay" wurde unter anderem mit Drogen gehandelt.

Dazu können Netzbetreiber oder IT-Sicherheitsfirmen den Polizeibehörden Tipps liefern, wenn sie verdächtige Datenbewegungen feststellen, die zum Beispiel auf dauernde Zugriffe auf einen bestimmten Webserver über anonymisierte Netze hinweisen; So wie im Fall des Marktplatzes Hansa, den internationale Behörden im Juli übernommen und schließlich stillgelegt haben. Bei der "Bayonet" genannten Operation hatten die US-amerikanische Drogenbehörde DEA, das FBI, Europol, die niederländische Bundespolizei sowie das BKA und die hessische Staatsanwaltschaft die Betreiber von Hansa sowie eines weiteren Marktplatzes, Alphabay, identifiziert, festgenommen und die beiden Marktplätze noch eine Zeit lang selbst weiterbetrieben. Dabei sollen sie an die Daten von rund 10.000 Käufern verschiedenster illegaler Waren gelangt sein.

Schwieriger ist es, auch an die Ver-käufer heranzukommen, hier müssen die Ermittler vor allem auf unvorsichtiges Verhalten hoffen. So hatte etwa sogar der Betreiber von Alphabay selbst in dem Darknet-Marktplatz dieselbe E-Mail-Adresse verwendet, wie im sichtbaren Teil des Netzes - etwa zur Anmeldung bei Paypal. Damit konnten die Ermittler ihn zurückverfolgen. Derselbe Fehler unterläuft auch manchem Händler.

Ermittler infiltrieren Marktplätze

Oberstaatsanwalt Andreas May leitet die Zentralstelle zur Bekämpfung der Internetkriminalität der Generalstaatsanwaltschaft Frankfurt am Main.

Ein weiterer Ansatz ist, dass Ermittler sich selbst ins Geschehen mit einmischen, sich als potenzielle Käufer für im Darknet gehandelte Waren ausgeben. Der Händler, der dem OEZ-Amokläufer mutmaßlich die Waffe verkauft hatte, wurde bei so einem Scheingeschäft überführt, das die Ermittler arrangiert hatten. Zunächst versuchen die Cyber-V-Männer meist, mit den Händlern in eine Kommunikation zu treten und ihm so vielleicht die eine oder andere unvorsichtige Äußerung zu entlocken, "die Hinweise auf die Identität geben könnte", wie Oberstaatsanwalt May in dem Interview sagte.

Die Ermittlungsarbeit im Darknet wirft aber auch Probleme auf, rechtliche wie moralische. Denn: Übernimmt die Polizei einen Darknet-Marktplatz für eine gewisse Zeit, stellt sie zum Beispiel eine Infrastruktur beziehungsweise eine Plattform für kriminelle Handlungen bereit. Dazu macht sie das Darknet zu einem potenziell unsichereren Ort zum Beispiel für politisch Verfolgte in autoritären Regimen, die das Darknet zur sicheren, anonymen Kommunikation mit Gleichgesinnten nutzen.