2020. Die Freiräume im Internet verschwinden und das anonyme Darknet gilt als eines der letzten Refugien. Wer bewegt sich in der digitalen Unterwelt, wem nützt es – davon berichtet dieses kenntnisreiche und spannend erzählte Buch.
Seit Jahren verfolgen Daniel Mützel und Theresa Locker die Aktivitäten im Darknet. Sie tauchen ein in die verborgenen Winkel der digitalen Unterwelt und erzählen die großen Kriminalfälle, die aus dem dunklen Netz ans Licht gekommen sind: von einem Studenten aus der deutschen Provinz, der Waffen und Munition bis nach Australien verschiffte, vom 19jährigen »Kinderzimmerdealer«, der ein millionenschweres Drogenimperium hochzog, von einem Rechtsradikalen, der in einem »Forum gegen Meinungskontrolle« eine Pistole erwarb und damit neun Menschen ermordete, von vier Männern, die Deutschlands größte Kinderporno-Plattform betrieben. In spannenden und akribisch recherchierten Reportagen erzählen Mützel und Locker von einer neuen Generation von Cyberkriminellen, die am Laptop Millionen verdienen, und von Dissidenten, für die das Darknet eine Frage von Freiheit oder Folter ist. Und sie machen deutlich, warum – trotz des Ansturms der neuen Internetkriminellen – das Darknet für eine offene Gesellschaft unverzichtbar ist.
Daniel Mützel ist freier Reporter. Seine Artikel, Radio- und Videobeiträge erscheinen u.a. bei VICE, Tagesspiegel, Süddeutsche Zeitung, taz, Deutsche Welle, tagesschau.de und Die Welt. Er lebt und schreibt in Berlin und Unterfranken.
Theresa Locker ist Technologie-Redakteurin und verantwortet nach Zwischenstopps bei der Tagesschau und der Deutschen Welle investigative Recherchen bei VICE Deutschland. Sie lebt in Berlin.
Verlag Antje Kunstmann
1. Freiheit oder Finsternis [D. Mützel]
2. Cybercrime-Foren in Deutschland: Das Berufsnetzwerk für Darknet-Täter [T. Locker]
3. Die Geschichte von Shiny Flakes [T. Locker]
4. Die Geschichte von Chemical Love [T. Locker]
5. Kalaschnikow und Kryptogeld: Der Aufstieg der Darknet-Waffenhändler [D. Mützel]
6. Dunkle Biotope [D. Mützel]
7. Wutbürger im Waffenrausch [D. Mützel]
8. Dissidenten im Darknet [D. Mützel]
9. Die Geburt des Darknets aus dem Geist der Cyberanarchisten [D. Mützel]
10. Der Kampf gegen Kinderpornografie im Darknet – und warum der Begriff nicht passt [T. Locker]
11. Ausblick: Das Darknet als negative Freiheit [D. Mützel]
Anhang
Auf den ersten Blick sieht der Brief nicht aus, als käme er von einem verurteilten Waffenhändler: Blaue Luftblasen schmücken den Briefkopf, unten schwimmt ein Fisch mit Glubschaugen über den Meeresboden. Er will reden, schreibt er, aber er darf nicht. Sein letztes Schreiben, dem er einen Besucherschein beigelegt hatte, wurde von der Gefängnisleitung zurückgehalten. »Anscheinend befürchtet man Kritik.«
Der Verfasser des Briefes heißt Philipp K. Vier Jahre zuvor, im Mai 2016, hatte K. einem 18-Jährigen im Darknet eine Pistole verkauft, der damit neun Menschen erschoss. Die Opfer hatten alle einen Migrationshintergrund, die meisten von ihnen gingen noch zur Schule.
Das Münchner OEZ-Attentat am 22. Juli 2016 war eines der schwersten politischen Verbrechen der jüngeren deutschen Geschichte, für das jedoch nicht nur der rechte Attentäter David S. die Verantwortung trägt: Den Abzug drücken, das Schmieden seines Plans, sein Hass auf Migranten – das alles war S.’ alleiniges Tun. Doch es gab Menschen, die ihm die Tat erst ermöglichten: ein Forenbetreiber, der Waffenfreaks aus ganz Deutschland eine Plattform bot und rechte Umtriebe im Forum duldete; eine Darknet-Community, die den Handel mit Feuerwaffen mal als harmlosen Freizeitspaß abtat, mal als rebellischen Akt gegen den Überwachungsstaat feierte; und den Waffenhändler Philipp K., der von der großen Schmugglerkarriere träumte und David die Tatwaffe verkaufte.
K. schreibt, seine »Naivität« und »Scheißegal-Haltung« seien schuld, dass der Anschlag passieren konnte. Doch das erfasst nicht die Dimension des Falls. In zwei Gerichtsverfahren versuchte man, das Verbrechen zu rekonstruieren, suchte nach möglichen Komplizen des Attentäters, stritt um Anträge und geheime Akten, es flogen Stühle im Gerichtssaal, Drohungen wurden ausgesprochen. Den Hinterbliebenen blieben am Ende nur Trauer, Wut und die bis heute nicht geklärte Frage, warum K. so lange seinen Geschäften nachgehen konnte und die Behörden nicht früher einschritten.
***
»Bevor ich hier reingehe, werf’ ich mich vor einen Zug«, Neil* nippt an seiner Cola und zeigt auf die dicken Mauern der Justizvollzugsanstalt Berlin-Moabit, an der wir vorbeilaufen.
Die vier Meter hohen Gefängnismauern mit der Natodrahtkrone wirken in der Dunkelheit ein wenig Furcht einflößend, vor allem für jemanden wie Neil, der nach bestehender Rechtslage eigentlich drinnen sitzen müsste. Der junge Mann arbeitet in der wachsenden Branche Cybercrime, die in Deutschland pro Jahr rund 60 Millionen Euro Schaden verursacht.
Für den mittlerweile abgeschalteten Online-Drogenshop »Webdealer« hatte er die Seite designt und wurde prozentual am Drogengeschäft beteiligt. Für sein aktuelles Projekt, den größten deutschen Online-Schwarzmarkt Crimenetwork (CNW), zieht er als technischer Admin die Fäden im Hintergrund. CNW ist der Platzhirsch der Szene: Gehandelt werden Falschgeld, geklaute Kreditkarten, Erpressungstrojaner, Drogen, Services für SMS-Bomben und Telefonterror. Das Board ist riesig und konkurrenzlos, unterhält Dependancen im Darknet und Clearnet. Die Deals laufen seit Jahren in aller Öffentlichkeit ab, die Polizei kommt bis heute nicht an die Hintermänner heran.
Während wir die Knastmauern entlangschlendern, erzählt Neil von seiner Ex, die ihn für einen Anabolika-Dealer aus dem Fitnessclub verlassen hat, von der ganzen Kohle, die ihn nicht glücklich macht, und davon, wie er es immer allen recht machen will, seinen Eltern, uns Journalisten, seinem Boss von Crimenetwork. Neils damaliger Boss hieß »Sicario«, Auftragskiller.
Dass wir Neil überhaupt treffen konnten, war nicht ganz einfach. Wochenlang hatten wir das Treffen vorbereitet, Bedingungen ausgehandelt, einen Ort zum Reden (belebt, viele Fluchtwege) vereinbart und einen, wo wir unsere Handys einschließen können (öffentlich, keine Überwachungskameras). Wir bestanden auf Dokumente, die seine Rolle (und damit seine Straftaten) belegen, und mussten ihm versprechen, ihn nicht bei der Polizei zu verraten.
Auch wir wussten natürlich nicht, worauf wir uns einlassen. Hat dieser Sicario ihn auf uns angesetzt? Ist Neil nur ein Angeber, eine Luftnummer?
Als er uns wenig später am Tisch einer McDonald’s-Filiale in den Admin-Bereich von Crimenetwork.co führt, in die Schatzkammer der CNW-Bande, wo die Geschäfte, die Dealer, die illegalen Geldflüsse, im Grunde das ganze Ausmaß ihrer Straftaten verzeichnet sind, wissen wir: Wir haben den Richtigen.
***
In Pulli und Jeans sitzt Mario Rönsch auf dem braunen Polster der Anklagebank, ein Waffenschmuggler im ›casual look‹, eingerahmt von zwei Anwälten, die ihn verteidigen. Im Gegensatz zu seinen Auftritten in Internetclips, wo er wie ein Getriebener den völkischen Aufstand beschwört, wirkt Rönsch im Verhandlungssaal des Berliner Landgerichts ruhig, fast friedlich. Was soll er auch machen.
Mario Rönsch sitzt hier, weil er einen illegalen Waffenshop betrieb und Hunderte Deutsche mit Gaspistolen und Langwaffen versorgte. Migrantenschreck nannte er seine Plattform, die wenig Zweifel ließ, welchen Zweck die Waffen hatten: »60 Joule Mündungsenergie strecken jeden Asylforderer nieder«, lautete der Werbetext für einen Revolver. Gegen »Ficki-Ficki-Fachkräfte und rotzfreche Antifanten«, ein anderer. Im Netz lud er martialische Videos hoch, auf denen ein Typ mit doppelläufiger Flinte einem Pappkameraden mit schwarzer Hautfarbe ein faustgroßes Loch in die Schulter schießt. An anderer Stelle feuert ein Vermummter Hartgummiprojektile auf Poster deutscher Politiker.
In einer Zeit, als der Waffenmarkt im Darknet mit Turbulenzen kämpfte, etablierte sich Migrantenschreck als bequeme Alternative für Menschen, denen das Darknet zu kompliziert war und eine echte Schusswaffe zu heikel. Die Hartgummiknarren aus Rönschs Migrantenschreck-Arsenal waren trotzdem gefährlich. Auch sie hätten ein Leben beenden können.
Bevor ich Rönsch im Gerichtssaal wiedersehe, stand ich vor seiner Wohnung in Budapest. Ein schicker Altbau im vornehmen Viertel Pasarét. Der Rechtsextreme betrieb seinen illegalen Waffenhandel von dort aus, bis ihn im März 2018 ungarische Spezialkräfte in Abstimmung mit der Berliner Staatsanwaltschaft hochnahmen. Rönsch sagte bei seiner Festnahme, das »Merkel-Regime« sei für ihn nicht zuständig. Nach Deutschland ausgeliefert wurde er trotzdem.
***
Das Darknet hat die Art und Weise revolutioniert, wie Menschen an verbotene Güter kommen. Ein Gramm Speed, eine Glock 17, ein Imitat einer Breitling-Uhr, ein gefälschter Pass der Bundesrepublik Deutschland – oft genügen wenige Klicks, um den Deal einzutüten. Gezahlt wird in Bitcoin, Monero oder Zcash, pseudonyme Kryptowährungen, ohne die das kommerzielle Darknet nicht vorstellbar wäre. Nie war es so einfach und bequem, beim Shopping gegen das Gesetz zu verstoßen, nie war die Schwelle so niedrig, selbst Anbieter zu werden. Der Schwarzmarkt ist heute Mainstream.
Das Darknet hat die Struktur und Strategien der kriminellen Unterwelt auf den Kopf gestellt: Vielleicht zum ersten Mal sucht man das Licht der Öffentlichkeit, bietet Cyberattacken, Handgranaten und Toxine in offen zugänglichen Marktplätzen an, feilscht um Rabatte und gutes Feedback. Offline-Dealer verwenden viel Geld und Zeit darauf, ihr Treiben von neugierigen Blicken abzuschotten: Lieferrouten, Produktpalette und Geldflüsse waren seit jeher gut geschütztes Geheimwissen von Eingeweihten.
Heute sitzt man in der Jogginghose am Laptop und klickt sich durch die bunten Angebote der eBay- und Amazon-Klone im Darknet, legt das verbotene Produkt in den Warenkorb und geht zum Check-out. Auch wenn die Identität von Verkäufer und Käufer verborgen bleibt, haben Außenstehende einen nie da gewesenen Einblick in die Architektur der digitalen Schattenwirtschaft. Kunden nutzen Bewertungen zur Kauforientierung, Ermittler können Händler, Listings und Stückzahlen studieren, manchmal sogar Lieferwege und Geldflüsse.
Wir recherchieren seit fünf Jahren in der illegalen Halbwelt des Darknets und Clearnets. In diesem Buch erzählen wir die großen Kriminalfälle der letzten Jahre: ein Student aus der fränkischen Provinz, der Maschinenpistolen und Munition bis nach Australien exportierte; ein 18-Jähriger, der aus seinem Kinderzimmer ein millionenschweres Drogenimperium hochzog, ein Rechtsradikaler, der in einem »Forum gegen Meinungskontrolle« eine Pistole erwarb und damit neun Menschen ermordete, vier Männer aus Deutschland, die eine gigantische Kinderporno-Plattform betrieben.
Anhand von internen Dokumenten, Gerichtsakten, Interviews und verschlüsselten Chatnachrichten zeigen wir, wie das deutsche Darknet und seine ›prominenten‹ Protagonisten ticken. Es sind Geschichten über Gier und die Hoffnung auf schnellen Reichtum, über Cyberkriminelle, die am Laptop Millionen verdienen, und über politisch Verfolgte, für die das Darknet eine Frage von Freiheit oder Knechtschaft ist.
In der Öffentlichkeit genießt das Darknet keinen guten Ruf: Für viele ist es eine Projektionsfläche für alles Verkommene im Netz. Auch wenn die meisten Straftaten im Internet, nicht im Darknet begangen werden. Andere sehen es als den letzten Hort von Anarchie und Freiheit in der vollends überwachten Welt. Doch das Darknet an sich ist weder verkommener noch anarchistischer als das Internet, sondern eine Technologie, die, frei nach Habermas, ethisch unmusikalisch ist – sie kann kein Urteil fällen. Sie ist per se weder gut noch schlecht, sondern abhängig von den Menschen, die sie einsetzen. Eine saubere Trennung zwischen einem angeblich »guten« Internet und einem »bösen« Darknet wäre, wie im Verlauf des Buches deutlich wird, falsch und irreführend.
Dass das Darknet von Kriminellen genutzt wird, sagt erst mal wenig. Tatsächlich ist dieses technologisch abgeschirmte Parallelnetz auch eine Reaktion auf Fehlentwicklungen im Internet. Das einst revolutionäre Versprechen des Netzes, die Welt zu einem besseren, freieren Ort zu machen, droht zu verpuffen. Geheimdienste überwachen große Teile des Internets. Datenkonzerne wie Amazon und Google schürfen immer tiefer in unserer Privatsphäre, erschaffen immer präzisere virtuelle Abbilder von uns. Sie kennen unsere Vorlieben, Ziele und Geheimnisse, formen daraus Werbeanzeigen oder verkaufen sie an Datenhändler. Im datengetriebenen Kapitalismus sind wir nicht mehr die Kunden der großen Plattformen, sondern ihre Produkte.
Das freie Netz ist heute, am Beginn der 2020er-Jahre, auch von anderer Seite bedroht. Weltweit arbeiten Staaten wie Russland und Iran an technischen Lösungen für ein nationales, vom globalen Internet abgekapseltes Netz, um Nutzer leichter kontrollieren zu können. Die Kommunistische Partei Chinas hat mittels Big Data und künstlicher Intelligenz den größten Überwachungs- und Kontrollapparat der Menschheitsgeschichte erschaffen. Und seit Edward Snowden wissen wir bereits seit Jahren von der Massenüberwachung durch westliche Geheimdienste.
Als Reaktion auf die beschleunigte digitale Landnahme durch Behörden und Konzerne ist das Bedürfnis nach Anonymität im Netz stetig gewachsen. Das Tor-Netzwerk, die prominenteste Darknet-Technologie, erfreut sich in der Bundesrepublik immer stärkerer Beliebtheit. Fast jeder zehnte Tor-Nutzer im vergangenen Jahr kam aus Deutschland.1 Kaum eine Anonymisierungssoftware bietet besseren Schutz beim Surfen. Doch ob das Darknet eine adäquate Antwort auf diese Herausforderungen ist oder ob es nicht vielmehr ein Problem sichtbar macht, statt eine Lösung zu bieten – auch darum wird es auf den folgenden Seiten gehen.
Die Infrastruktur des Internets lässt sich grob in drei Bereiche einteilen: Das Clearnet, Clear Web oder auch Surface Web2 bezeichnet den öffentlich zugänglichen Teil des Internets, der sich mit herkömmlichen Webbrowsern erkunden lässt. Shoppingportale, Newsseiten, Streaminganbieter, Gamingplattformen – es ist der Teil des Netzes, den die meisten Menschen täglich nutzen. Das World Wide Web, der bekannteste Dienst im Clearnet, zählt mittlerweile fast zwei Milliarden Websites.3 Die Inhalte im Clearnet werden von Suchmaschinen indexiert und lassen sich daher relativ einfach finden.
Für das Deep Web gilt das nicht: Dort befinden sich Inhalte, die sich den Suchalgorithmen von Google oder Bing verweigern. Einen Teil des »tiefen Webs« kann man dennoch ansteuern – wenn man die genaue Browseradresse kennt. Ein Großteil des Deep Web ist jedoch geschützt: Das können Datenbanken von Universitäten sein, Intranets von Firmen und Organisationen oder Seiten, die ihre Inhalte hinter einer Anmeldemaske verbergen, etwa der Login-Bereich auf Amazon. Schätzungen zufolge ist das Deep Web 400 bis 500 Mal größer als das Clearnet.4
Was das Darknet ist oder nicht, darüber streiten Forscher, Polizisten, Hacker und Kriminelle seit vielen Jahren. Der Begriff stammt aus den Anfangstagen des Internets und bezeichnete damals geheime Rechnernetze, auf die nur Eingeweihte zugreifen konnten. Eine allgemeingültige Definition des Darknets gibt es heute nicht, eine recht verbreitete lautet: Ein Darknet beschreibt jedes Netz innerhalb des Internets, das sich technologisch abschottet und in dem die Teilnehmer unsichtbar sind. Inhalte im Darknet können nicht von Suchmaschinen wie Google oder Bing gefunden werden. Befindet sich ein Nutzer in einem Darknet, kann er mit einem vergleichsweise hohen Maß an Anonymität und Privatsphäre rechnen. Aber: Kein Darknet, egal auf welcher Technologie es basiert, kann absolute Sicherheit im Netz bieten.
Das bekannteste und am weitesten verbreitete Darknet ist das Tor-Netzwerk. Wenn wir von Darknet sprechen, meinen wir ausschließlich das Tor-Darknet: ein Pool von Tausenden von Servern, die über die ganze Welt verteilt sind und sich vom Rest des Internets abschirmen. Die meisten Nutzer bekommen von der komplexen Mathematik, die hinter der Technologie von Tor und den Verschlüsselungsprotokollen steckt, nichts mit. Die ganze Technik ist handlich in ein einziges, mächtiges Werkzeug verbaut – den Tor-Browser. Der Tor-Browser ist die Pforte ins Darknet.
Die erste Version der Tor-Software entstand Ende der 90er-Jahre in einem militärischen Forschungslabor der US-Navy. Die US-Armee suchte nach einer Technologie, mit der sich amerikanische Agenten im Ausland anonym im Netz bewegen können. Doch das Programm war unausgereift und schlummerte auf alten Rechnern der Navy. Bis Tor von Netzaktivisten reaktiviert, weiterentwickelt und 2003 als Open Source veröffentlicht wurde.
Ausgangspunkt von Tor ist eine Grundeigenschaft des Internets, die manche als dessen »Geburtsfehler« betrachten5: die IP-Adressstruktur. IP-Adressen fungieren im Internet wie digitale Meldeadressen: Wann immer ein Nutzer eine Webseite aufruft oder einen Beitrag etwa auf Facebook postet, tut er das nicht anonym, sondern unter einer digitalen Kennung – seiner IP-Adresse –, die ihm sein Internetanbieter zuteilt und die ihn identifizierbar macht. Jedes Gerät – ob Computer, Smartphone oder WLAN-Kühlschrank – besitzt eine solche IP-Adresse, sobald es sich mit dem Netz verbindet. IP-Adressen können statisch sein oder variabel, doch auch, wenn ein Nutzer heute mit der einen, morgen mit einer anderen IP-Adresse unterwegs ist, registriert sein Provider jede seiner Aktivitäten im Netz: welche Seiten er besucht, wann und wie lange, welche Inhalte er abfragt. Auch bei den besuchten Seiten hinterlässt der Nutzer Spuren, da Seitenbetreiber sehen können, welche IP-Adressen sich mit ihnen verbinden.
Tor stört diese Kommunikationsbeziehung, bei der IP-Adressen direkt miteinander sprechen. Die Idee klingt simpel: Wenn es IP-Adressen sind, die Nutzer identifizierbar machen, zugleich aber ein unhintergehbares Grundprinzip des Internets sind, muss das IP-Adressprinzip eben gegen sich selbst gewendet werden.
Und das funktioniert so: Anstatt eine Internetanfrage vom Nutzer direkt zur gewünschten Webseite zu bringen, leitet Tor sie durch einen virtuellen Tunnel, der aus drei Servern besteht, den Tor-Knoten. Innerhalb dieses Tunnels ist die Verbindung mehrfach verschlüsselt. Vom dritten Tor-Knoten, dem Endknoten, gelangt die Anfrage, nun unverschlüsselt, ins offene Internet und zur gewünschten Webseite. Das schrittweise Abtragen der Verschlüsselungsschichten an den Tor-Knoten hat die ursprünglichen Programmierer6 offenbar an das Schälen einer Zwiebel erinnert, was die Namensgebung von Tor (das Akronym von »The Onion Routing«) erklärt.
Bei jedem Start sucht sich der Tunnel drei neue Knoten, um die Anfrage zum Ziel zu schicken. Der Tunnel versperrt dem Internetprovider – und allen, die auf dessen Daten zugreifen können – die Sicht auf den Traffic. Knackpunkt dabei ist, dass die drei Tor-Knoten jeweils nur ihre unmittelbaren Nachbarn kennen, also den Tor-Knoten davor und danach. Woher aber die Anfrage ursprünglich kommt und wohin sie geht, lässt sich von keinem Punkt in der Kette nachvollziehen: Die aufgerufene Website sieht nur die IP-Adresse des Endknotens der Kette, nicht aber die des Nutzers; der Internetprovider sieht nur, dass sich der Nutzer ins Tor-Netzwerk einklinkt, nicht aber welche Seite er ansteuert und welche Inhalte er dort abfragt; und die Tor-Knoten kennen jeweils nur einen kleinen Ausschnitt der Route.
Die Identität des Nutzers bleibt damit verborgen. Der Tor-Browser eignet sich also auch für Leute, die bloß im Internet surfen und nicht wollen, dass an beiden Enden der Verbindung Dritte ungefragt zuschauen.
Die zweite Ebene der Tor-Sicherheitsarchitektur ist der Tor-Browser, mit dem Nutzer deutlich weniger Spuren im Netz hinterlassen (etwa durch Cookies) als mit einem herkömmlichen Internetbrowser. Wie jede Software, hat auch Tor Schwachstellen: Sogenannte »globale, passive Angreifer« wie Geheimdienste, die große Teile des Netzes überblicken, können Tor-Nutzer unter Umständen (und mit einigem Aufwand) deanonymisieren. Gegen diese »traffic correlation attacks«, bei denen ein Akteur beide Enden einer Internetverbindung sieht, kann Tor nichts ausrichten.7 Auch andere Angriffe, etwa über eine Sicherheitslücke im Browser, sind vorstellbar. Tor, das sollten Nutzer wissen, bietet keine 100-prozentige Anonymität.
Wenn allerdings Politiker oder Ermittler fordern, das Darknet zu »durchleuchten« oder »Licht ins dunkle Netz« zu bringen, meinen sie in der Regel nicht die Anonymisierungssoftware des Tor-Browsers, sondern sogenannte Onion-Services oder Hidden Services. Vereinfacht gesagt sind es die Webseiten des Darknets.
Hidden Services sind kryptografisch abgesicherte und im weitesten Sinne zensurresistente Dienste, die es Betreibern möglich machen, ihre Inhalte anonym anzubieten und ihren Standort zu verschleiern. Der Kniff: Der Server, über den eine Website oder ein Forum läuft, ist selbst Teil des Tor-Netzwerks und somit nur schwer lokalisierbar. Springt die Anfrage eines Nutzers normalerweise über drei Tor-Knoten, wenn er eine Webseite im Clearnet aufruft, erhöht sich die Zahl der Knoten in der Regel auf sechs, wenn er einen Hidden Service ansteuert. Nutzer und Betreiber von Hidden Services können so miteinander sprechen, ohne zu wissen, mit wem sie es eigentlich zu tun haben. Diese Konstellation erhöht auch den Schutz für Nutzer: Da der Hidden Service die Tor-Architektur verwendet, bleibt die Internetverbindung die ganze Zeit innerhalb des Tor-Netzwerks.
Hidden Services lassen sich nicht über herkömmliche Internetbrowser ansteuern, sondern nur über den Tor-Browser. Die Adressen im Darknet enden nicht auf .de oder .com, sondern auf .onion und bestehen aus einer zufälligen Reihe von (in der Regel) 16 Buchstaben und Zahlen.
Bekannte Onion-Dienste sind etwa der anonyme E-Mail-Dienst ProtonMail (protonirockerxow.onion) oder die Google-Alternative DuckDuckGo (3g2up14pq6kufc4m.onion). Der mit Abstand populärste Onion Service ist die Darknet-Seite von Facebook, erreichbar über facebookcorewwwi.onion.
Es gibt Hidden Services, die die Öffentlichkeit suchen – Schwarzmärkte, Foren, Blogs, Linklisten – und die sich daher relativ leicht finden lassen; und es gibt Hidden Services, die nur wenige Eingeweihte kennen: »invite-only«-Shops, auf die nur ein erlesener Kundenkreis zugreifen kann, oder Ad-hoc-Foren, die nur wenige Tage oder Stunden existieren und von kriminellen Netzwerken im transnationalen Schmuggelgeschäft genutzt werden. Niemand kennt alle Hidden Services, es ist wohl eher so, dass die allermeisten Nutzer nur den kleinsten Teil des Darknets jemals sehen werden.
Wenn wir auf den folgenden Seiten von Darknet-Schwarzmärkten oder Kryptomärkten sprechen, ist von Hidden Services die Rede. Die Hidden Services sind der Grund für den schlechten Ruf des Darknets: Hier haben sich Versandhäuser für Drogen, Waffen, Falschgeld und Hehlerware etabliert, bieten Kleinkriminelle und organisierte Banden Services für Hackerangriffe, Kreditkartenbetrug und Geldwäsche. Und es gibt einen noch dunkleren Bereich des Darknets: Seiten für Auftragsmorde, Verkaufsangebote für Landminen, menschliche Organe und »Snuff«-Filme, »Red Rooms« für Folter-Liveshows und Hurtcore-Foren, in denen Videos gepeinigter Kleinkinder getauscht werden.
Abgesehen von solchen Extrembeispielen ist das Tor-Netzwerk ein durchaus vielseitiger Ort, dem das Klischee virtueller Finsternis oft nicht gerecht wird: Politische Aktivisten und Dissidenten in autoritären Regimen nutzen das Darknet, um keine Spuren im Netz zu hinterlassen; Journalisten dient es als sicherer Kommunikationskanal für sensible Informationen.
Doch ob das Darknet in seiner Gesamtheit so bunt und vielfältig ist, wie manche Befürworter behaupten, ist in der Forschung umstritten. Der britische Computerwissenschaftler Gareth Owenson hatte 2015 herausgefunden, dass 80 Prozent der Nutzeranfragen im Darknet auf Missbrauchsseiten zugreifen.8 2019 sank die Zahl laut Owenson auf knapp die Hälfte.9 Auf der Angebotsseite sieht es nicht besser aus: Über die Hälfte der Hidden Services bieten illegale Waren an, schlussfolgert eine Analyse des King’s College im Jahr 2016.10 Ein kleiner Lichtblick war eine Studie indischer Forscher vergangenes Jahr: Von 3.500 analysierten Hidden Services handelten »nur« knapp 40 Prozent mit verbotenen Gütern.11
In Zeiten von Corona gilt das umso mehr. Die weltweiten Ausgangsbeschränkungen führten zu einem regelrechten Boom des Darknet-Drogenhandels: Um bis zu 500 Prozent durchschnittlich wuchsen die Trades mit illegalen Substanzen zwischen Januar und Ende März 2020, schätzt die israelische Cybersicherheitsfirma Sixgill.12 Der größte Kassenschlager war dabei nicht, wie man vermuten würde, Marihuana – sondern Kokain: Während sich die Menschen brav in häusliche Quarantäne begaben, schwoll zeitweise die globale Nachfrage nach dem weißen Pulver im Darknet um 1.000 Prozent an.
»Corona Weekend Deal!!«, »Keine Sorge: Papa liefert weiter«, LSD-Tickets im Virus-Design (»Protect yourself from the virus!«) – die Werbemaschinerie des Cyber-Untergrunds passte sich rasch der neuen Lage an. Während Straßendealern die Kunden wegliefen, fuhren clevere Darknet-Dealer die großen Gewinne ein: 5,2 Millionen Euro Umsatz machte allein der Marihuana-Markt Cannazon in der Hochzeit der Pandemie.13 Der E-Commerce im Darknet gehört wie die meisten Digitalbranchen zu den Corona-Krisenprofiteuren.
Das Darknet ist im Jahr 2020 ein eher düsterer Ort. Im Windschatten libertärer Cyberaktivisten haben es sich Drogenhändler und Waffenschmuggler gemütlich gemacht, bauen deutsche Männer einen Treffpunkt für Pädosexuelle, um ihren nächsten Missbrauch zu planen. Das birgt die Gefahr einer selbst erfüllenden Prophezeiung: Solange es düster bleibt, werden auch weiterhin nur die kommen, die sich in der Dunkelheit wohlfühlen.
Daniel Mützel, Juni 2020
* Name geändert
Neil ist nervös. Als er am vereinbarten Treffpunkt ankommt – rastlose Pupillen, breite Schultern –, dreht er sich alle paar Minuten um, um zu schauen, ob ihm jemand folgt.
Ein bisschen paranoid zu sein, das hat er in den letzten Jahren unter Kreditkartenbetrügern, Datendieben und auf Verschlüsselung spezialisierten Programmierern gelernt. Sein soziales Umfeld sind Nerds, die sich für robuste Verschlüsselung, Anonymität und Sicherheit im Netz interessieren, um die Technologien zu ihrem eigenen geldwerten Vorteil auszunutzen. Als Treffpunkt, Marktplatz, Ausbildungszentrum und Jobbörse dienen ihnen spezielle Plattformen, in denen Methoden des Cybercrime diskutiert und die Mittel dazu gehandelt werden – und wo Menschen nur noch »Vics« (vom englischen »victim«), also Opfer heißen. Plattformen, die Ermittler zu gerne abschalten würden, es aber meistens nicht können. Neil gibt diesen kriminellen Nerds ein Zuhause. Er betreibt zusammen mit einem Partner1 die wohl prominenteste Plattform für Internetkriminalität der vergangenen Jahre: Crimenetwork2. Mit über 300.000 Seitenaufrufen monatlich und 84.000 registrierten Nutzerkonten ist das Cybercrime-Forum das älteste, lebhafteste und größte in Deutschland.
Wir interessieren uns für Neils Crimenetwork (CNW), weil wir die Menschen, die wir dort getroffen und interviewt haben, immer häufiger auch im Darknet wiedersehen. Hier tauschen sich die Täter aus, lernen und bilden Banden. Die Cybercrime-Foren sind eine Art lokaler Kryptomarkt, an dem sich vieles erklären lässt: Die Technologien ähneln sich, die Delikte auch. Für einige unserer Protagonisten ist Crimenetwork ein unverzichtbares Sprungbrett für eine Karriere im Darknet als Drogendealer, Datenhehler oder böswilliger Hacker.
Im World Wide Web gibt es Cybercrime-Foren wie Crimenetwork seit Mitte der 90er-Jahre. Die Domainnamen von Cybercrime-Foren haben Endungen von weit entfernten Atollen wie den Kokosinseln (.cc) oder Vanuatu (.vu) – das soll Strafverfolgungsbehörden den Zugriff erschweren. Die Server der Foren stehen zumeist in Staaten wie Vietnam oder Russland oder werden durch ein kompliziertes System in gleich mehreren Ländern gespeichert. Wo genau, das bleibt das Geheimnis der Betreiber. Man kann die Seite zwar im Clearnet ansteuern, die Foren-Inhalte sind aber erst hinter einer Anmeldemaske zugänglich. Für manche braucht man auch eine dezidierte Einladung. Technisch gesehen liegen die Foren also im Deep Web, denn googeln kann man keinen der Einträge, Nachrichten und Unterhaltungen. CNW kann man auch im Darknet unter einer .onion-Adresse mit dem Tor-Browser erreichen.
Weil es auf den Cybercrime-Foren fast ausschließlich um Illegales geht, zeichnen sie sich durch eine unstete Existenz aus. Seiten tauchen auf, wachsen rasant, verschwinden mehrmals im Jahr. Klar ist jedoch, dass frühe Nutzer ihren Weg in die Cybercrime-Foren aus der Warez-Szene gefunden haben. Das waren Online-Communities in den jungen Tagen des Internets, die sich auf die Beschaffung und Verbreitung von urheberrechtlich geschütztem Material spezialisiert hatten. Diese Raubkopien (»Warez«) wurden vor der Blütezeit der Filesharing-Netzwerke wie Napster oder KazaA auf Boards getauscht. Gegen Mitte der ooer-Jahre änderte sich jedoch der Fokus der Board-Mitglieder vom libertären Informationsaustausch hin zu monetarisierten Interessen. Während sich die Foren spezialisierten und Zugänge zu den Daten selbst zur Handelsware wurden, wichen die Warez-Provider zunehmend kriminellen Hackern und Betrügern, die in ihren diversen Ausprägungen in diesem Kapitel im Fokus stehen sollen.
Heute ist die Bedeutung von Cybercrime kaum zu überschätzen, denn immer mehr Bereiche unseres Lebens werden in Codes übersetzt und von Dritten verarbeitet. Mit jedem Tag, an dem wir Daten produzieren und unseren Alltag ins Netz auslagern, bieten wir auch Betrügern im Netz und böswilligen Hackern eine immer größere Angriffsfläche. Aus diesem Grund nehmen auch Straftaten wie Identitätsdiebstahl, Computersabotage und Netzwerkeinbrüche zu. Nicht mal 40 Prozent der Fälle werden aufgeklärt3. »Im Phänomenbereich Cybercrime ist – wie in kaum einem anderen Deliktsbereich – eine kontinuierlich steigende Kriminalitätsentwicklung zu verzeichnen«, schreibt das Bundeskriminalamt auf seinen Internetseiten. BKA-Abteilungsleiter Carsten Meywirth sagt sogar: »Cybercrime ist eine der größten Bedrohungen unserer Zeit.«4
Mit jeder vernetzten Glühbirne und jeder neuen App multiplizieren sich auch die Schauplätze für Cybercrime – und damit auch das Angebot auf Foren wie Crimenetwork. Das Herz des Forums ist der Marktplatz-Bereich. Was dort feilgeboten wird, bezeichnet Neil als »Sumpf« und die Cybercrime-Abteilung des BKA als »Crime-as-a-service« (CaaS): Hunderte spezialisierte Dienstleistungen und Produkte rund um Internetkriminalität laufen dort zusammen. Crimenetwork hat aber im Gegensatz zu einem Darknet-Markt eine noch stärkere Business-to-Business-Ausrichtung: Hier handeln – vorwiegend junge5 – Kriminelle mit Kriminellen. Wer sich hierhin verirrt, der sucht meistens ganz konkret ein Puzzleteil im riesigen Dienstleistungsspektrum des Cybercrime.
Sind ausländische Foren für Cybercrime-Tools und Drogen oft streng getrennt, sind auf CNW Drogen allgegenwärtig. Anbieter für Kokain, Gras und Speed sind prominent platziert. Für Verkäufer, die mit Online-Drogenhandel Fuß fassen wollen, gelten die Boards als erster Testballon: Mit dem Verkauf über CNW kann man sein Geschäft bekannt machen und sich sogar einen Ruf und einen Kundenstamm erarbeiten, ohne zunächst einen eigenen Drogen-Webshop hosten zu müssen. Wie bei allen Angeboten auf dem Forum wird in der Kryptowährung Bitcoin bezahlt, um Zahlungsströme zu verschleiern. Details der Geschäfte werden über verschlüsselte Messenger abgewickelt. Gleichzeitig findet man auf CNW Dienstleister rund um Internetkriminalität, die man für die Infrastruktur eines Online-Drogengeschäfts braucht. Auch die größten deutschen Online-Drogendealer, die unter den Namen Shiny Flakes, Chemical Love oder Chemical Revolution sehr reich werden sollten, starteten hier ihre Karriere.
Analoge Güter wie Drogen spielen trotzdem nicht die Hauptrolle auf dem CNW-Marktplatz: Der Fokus liegt viel eher auf Identitätsdiebstahl und Betrug. Als »Carding« bezeichnet man den Diebstahl von Kreditkartendaten, mit denen sich dann im Netz Waren bestellen lassen, um sie zu Geld zu machen. Carding gibt es schon seit den 80er-Jahren, doch erst das komplexe Netz von digitalen Gütern und Dienstleistungen, die dieser Art von Kriminalität zuarbeiten, hat diese Betrugsschiene so explodieren lassen.6 Im Jahr 2019 wurden insgesamt 290.707 Waren- und Warenkreditbetrugsfälle polizeilich erfasst. Die erfolgreichsten unter den Internet-Cardern haben sich im Darknet ein zweites Standbein aufgebaut. Ein Kreditkartenbetrüger unter dem Pseudonym Alpha02 zog später einen der größten Darknet-Schwarzmärkte aller Zeiten auf und bewarb ihn mit seinem Namen – AlphaBay.
Am Anfang der Carding-Wertschöpfungskette stehen die Daten fremder Leute. Die erbeuten Kriminelle unter anderem durch Phishing-E-Mails – betrügerische Nachrichten, die Menschen dazu bringen sollen, sich auf einer gefälschten Login-Seite anzumelden und unter einem Vorwand ihre Adresse, vielleicht auch ihre Kreditkartendaten an die Täter zu verraten. Auf dem CNW-Markplatz gibt es in der »Phishing«-Kategorie vorgefertigte Fake-E-Mails, aber auch ganze Datenbanken mit E-Mail-Adressen möglicher Opfer zu kaufen. Hat jemand eine größere Anzahl Zahlungsdaten erbeutet, schnürt er daraus ein Paket und verkauft die Daten auf Crimenetwork in der Rubrik »CC«. Die teuersten dieser Datensätze heißen »Fullz« und bestehen nicht nur aus gültigen Kreditkartendaten inklusive des Codes auf der Rückseite der Karte, sondern auch aus Adressen und anderen persönlichen Daten. Je umfangreicher der Datensatz, desto größer das Missbrauchspotenztial.
Wieder andere Nutzer spezialisieren sich darauf, die mit gestohlenen Daten gekauften Produkte zum Täter zu bringen. Da man mit gestohlenen Zahlungsdaten nicht auf seinen echten Namen an seine eigene Adresse bestellen sollte, bieten CNW-Nutzer gegen Geld sogenannte »Hausdrops« an. Das kann zum Beispiel ein Zugang zu Häusern mit hoher Mieterfluktuation sein, bei denen man ergaunerte Produkte unter falschem Namen in Empfang nehmen kann. Andere Kreditkartenbetrüger überkleben ihr Briefkastenschild einfach mit einem falschen Namen und lassen sich die Ware dorthin liefern. Mindestens genauso beliebt ist der »Packstation-Drop«. Kriminelle organisieren sich auf CNW gestohlene Zugangsdaten für eine Paketbox und holen die Ware dort ab. Das Bundeskriminalamt meldet in den vergangenen fünf Jahren jedes Jahr eine steigende Tendenz von Vergehen, die über Packstationen abgewickelt werden. In vielerlei Hinsicht bilden die öffentlich zugänglichen Packstationen der Post ein Rückgrat der Underground Economy – und haben auch deutschen Darknet-Händlern geholfen, ihr Geschäft etwas größer aufzuziehen.
Auch die Post weiß mittlerweile, wofür ihre Paketboxen missbraucht werden. DHL versucht, den Betrug einzudämmen, indem sich Neukunden per Post-Ident-Verfahren verifizieren müssen. Doch es sind eben nicht nur die Postfilialen, die solche Identifizierungs-Dienste anbieten – auch in Kiosken oder Schreibwarenläden kann man seine Identität überprüfen lassen. Und manche von ihnen bieten auf CNW an, für 200 – 300 Euro bei der Ausweisüberprüfung nicht so genau hinzugucken.7
Neben geklauten Daten werden auch jedes Jahr mehr Schadprogramme in Form von Viren und Trojanern auf den Boards gehandelt.8 Die kleinen Programme verstecken sich zum Beispiel in E-Mail-Anhängen oder Word-Dokumenten, nisten sich unbemerkt auf dem PC ein und stellen eine Verbindung zwischen einem infizierten Rechner und dem Täter her. Das Schadprogramm läuft dann im Hintergrund mit und kann zum Beispiel Passwörter, Login-Daten und Lizenzschlüssel stehlen. Andere Trojaner knipsen in regelmäßigen Abständen Screenshots oder schalten heimlich die Webcam ein. Das wird nicht nur zum Betrug, sondern auch zur Erpressung eingesetzt.
Damit Antivirenprogramme diese Trojaner nicht erkennen und außer Gefecht setzen können, gibt es auf Crimenetwork Programme, die die Schadsoftware verschleiern sollen – sogenannte Crypter9. Programmierer haben außerdem eine Möglichkeit entwickelt, mit der man die verdächtigen Dateien in eine andere Datei »einpackt« und so die Dateiendung fälscht10. All das funktioniert aber nur, solange die Antivirensoftware des Ziel-Rechners nicht auf dem neuesten Stand ist und die Infektion rückgängig macht. Es ist also ein recht zähes Katz- und-Maus-Spiel zwischen der automatisierten Updatefunktion der gängigsten Antivirensoftware und der manuellen Umrüstung einer Schaddatei – alles in allem viel Aufwand für kriminelle Coder.
Auch der Online-Handel hat in Sachen Sicherheit aufgerüstet. 2-Faktoren-Authentifizierung und ein neues System namens 3-D-Secure spielen nicht nur bei Kreditkarten eine immer größere Rolle und machen es Dieben schwerer, an die Daten zu gelangen. Im Großen und Ganzen ist der Betrug schwieriger geworden. Doch wenn die Cybercrime-Szene eins auszeichnet, dann ist es ihre schier endlose Flexibilität und Anpassungsfähigkeit. Die kriminelle Antwort auf die verbesserten Sicherheitsstandards einzelner Firmen: Automatisierte Angriffe durch sogenannte Botnets. Ein Botnet ist ein virtueller Zusammenschluss aus Rechnern oder internetfähigen Geräten, die zentral von einem Server gesteuert werden.
Wie gewaltig solche Botnets werden können, zeigt ein Fall aus Deutschland. Ende November 2016 ging für 1.250.000 Telekom-Kunden urplötzlich nichts mehr: Es war ein Internetausfall, wie ihn deutsche Telekommunikationsanbieter in Jahrzehnten nicht gesehen hatten. Doch schnell stellte sich heraus, dass hier keine Störung vorlag – sondern eine weitaus dramatischere Ursache dahintersteckte. Hacker hatten den Totalausfall zu verantworten – in einem Versuch, das größte Botnet aller Zeiten zu schaffen.
Kurz vor dem Telekom-Desaster hatte sich ein Hacker namens BestBuy den frei verfügbaren Quellcode der Schadsoftware Mirai heruntergeladen und ihn umprogrammiert. Mirai scannt das Internet nach leichter Beute in Form von schlecht gesicherten Geräten wie vernetzten Thermostaten oder Routern, infiziert die Geräte und bringt sie dazu, Ziele im Internet gebündelt mit Anfragen zu bombardieren oder Spam zu verschicken – oft bekommen die Besitzer der Geräte gar nicht mit, dass ihr Router ferngesteuert wird. BestBuys Ziel: Er wollte zahlenden Kunden auf Cybercrime-Foren einen Teil des Botnets zur Miete anbieten, damit diese die infizierten Geräte für mächtige DDoS-Angriffe auf die Websites ihrer Rivalen ausnutzen können.
Der Ausfall der Telekom-Geräte war BestBuys Versuch, Hunderttausende schlecht gesicherte Speedport-Router der Telekom in sein Botnet einzugliedern. Er scheiterte: Sie stürzten allesamt vorher ab. Während die Cybercrime-Abteilung des BKA den Mann hinter dem Alias BestBuy von Proxy-Server zu Proxy-Server durchs Netz jagte, gab er Motherboard US ein anonymes Interview. »Ich möchte mich bei den Telekom-Kunden entschuldigen«, gab sich BestBuy zerknirscht. »Das war nicht meine Absicht.«11 BestBuy führte die Ermittler letztlich durch einen Link in seinem Code zu einem Instagram-Foto auf seine Spur. So konnten die Behörden ihn als einen Briten namens Daniel K. identifizieren und in Deutschland vor Gericht stellen. Acht Monate nach seinem Angriff wurde K. vom Landgericht Köln zu einer Haftstrafe von einem Jahr und acht Monaten auf Bewährung verurteilt, auch, weil er während des Prozesses ein umfassendes Geständnis abgelegt hatte.
Ein Botnet kann aber nicht nur Websites überlasten, sondern auch Krypto-Erpressersoftware verteilen. Die sogenannte Ransomware verschlüsselt die Festplatte eines Nutzers, bis er ein Bitcoin-Lösegeld an eine kryptische Adresse überwiesen hat. Genau deshalb ist Ransomware zu einem heißen Thema auf den Boards geworden – verspricht sie doch einen automatisierten digitalen Beutezug mit geringem Aufwand. Im Februar 2016 katapultierte eine solche Erpressersoftware rund 150 deutsche Krankenhäuser vorübergehend zurück in die 50er-Jahre: Ein beiläufiger Klick auf einen E-Mail-Anhang hatte die Systeme mit einem Erpressungstrojaner infiziert und die wichtigsten Daten verschlüsselt. In der Notfallambulanz in Neuss mussten Patientendaten per Hand aufgenommen werden, die Befunde stapelten sich als Zettel auf den Schreibtischen, komplizierte Eingriffe wie Herz-OPs konnten gar nicht mehr durchgeführt werden. Ob die Krankenhäuser tatsächlich an Kriminelle gezahlt haben, um den Betrieb wieder aufzunehmen, oder anderweitig wieder an ihre Daten kamen, ist nicht bekannt. Wer die Ransomware verteilt hatte, ebenfalls nicht.
Damit ein Botnet seine Wirkung entfalten kann, muss der zentrale Server »kugelsicher« gehostet werden, um schwerer nachweisen zu können, wo der Angriff mit den infizierten Geräten seinen Ursprung hat. Um bei kriminellen Geschäften im World Wide Web unsichtbar zu bleiben, braucht man spezielle Verschleierungstechniken, auf die sich andere CNW-Nutzer in der Kategorie »Hosting« spezialisiert haben – oder ganze Firmen, die sich als »Bulletproof Hoster« anbieten, wie der folgende Fall zeigt.
Im September 2019 rücken 650 Polizisten in das Weinstädtchen Traben-Trarbach an der Mosel vor. Ihr Ziel ist ein unwirklicher, versteckter Ort im Inneren des Stadtbergs Mont Royal. Die knapp 6.000 Einwohner von Traben-Trarbach nennen den Ort liebevoll »unseren Bunker«. Früher war hier mal die NATO, danach die Bundeswehr stationiert.12 Fünf Jahre nach dem endgültigen Auszug der Truppen mietete ein gewisser Herman X. aus den Niederlanden sich im Jahr 2012 in die fünf »Solen« genannten Stockwerke tief unter der Erde ein. X.s Geschäft ist das Vermieten von Online-Speicherplatz. Er wollte den Bunker haben, weil er eine Festung ist. Autarke Notstromaggregate sichern die Energieversorgung, rein kommt man nur über eine militärisch gesicherte Schleuse. Und das Bundesamt für Liegenschaften suchte dringend einen Abnehmer für das teure Grundstück und die Instandhaltung von Grundwasserpumpen, Öltanks, Schiffsdieselmotoren und Lüftungen.
X. bekam den Zuschlag und verschanzte sich dort mit einer bunten Truppe an Mitarbeitern. Er zog Erdwälle um den Bunker hoch, ließ Rottweiler ums Gelände streifen, Besucher sahen nicht mehr als eine Schranke, Überwachungskameras und dichte Bäume. Niemand sollte wissen, was X. im Inneren trieb.
Der »Cyberbunker« wurde die wohl wichtigste Schaltzentrale für organisierte Cybercrime- und Darknet-Geschäfte in Deutschland. Der zweitgrößte Darknet-Drogenmarkt Wall Street Market soll hier seine Daten gespeichert haben, aber oft genug tauchten die im Bunker gesicherten Websites auch im Clearnet auf – die rechtsextreme Gruppierung Identitäre Bewegung mietete sich für ihren Webauftritt angeblich sogar zum Sonderpreis ein.13
Etwa sechs Jahre lang soll Herman X. unter der Erde in Traben-Trarbach unzählige illegale Cybercrime-Websites gehostet haben. Der Gerichtsprozess dazu steht noch aus.14 Er selbst behauptet nach seiner Festnahme, über die digitalen Inhalte seiner Kunden nicht Bescheid gewusst zu haben. In jedem Fall bewarb der Cyberbunker die schrankgroßen Server, die dort standen, mit der Garantie, dass die darauf gehosteten Inhalte vor Strafverfolgung geschützt seien. »No matter what«, wie es auf der Website kompromisslos hieß. Kompromisslos war auch die Betreiber-Policy: Jeder konnte Kunde werden und seinen Daten im Cyberbunker ein Zuhause hinter dicken Mauern bieten, solange er nichts mit Pädophilie oder Terrorismus am Hut hatte. Es war nicht weniger als eine herzliche Einladung für die Organisierte Kriminalität im World Wide Web.
Die Razzia im Cyberbunker traf auch die Daten des Cybercrime-Forums Fraudsters, den damals größten Konkurrenten von Neils CNW. Das gesamte Angebot ging vom Netz. Wo genau CNW gehostet ist, das behält Neil natürlich für sich.
Nur so viel verrät er: Das neue Crimenetwork hat aktuell keine nennenswerte Konkurrenz, und das Geld, das in diesem Unternehmen steckt, macht nicht nur die CNW-Händler, sondern vor allen Dingen den Betreiber Neil15 sehr reich.
Es scheint zunächst erstaunlich, dass man mit einem einfachen Internetforum zu so viel Geld kommen kann. Doch hinter dem simplen, pechschwarzen Layout steckt ein aufwendiges Geschäftsmodell, bei dem sich die Betreiber am Handel ihrer Mitglieder bereichern. Es stützt sich im Wesentlichen auf drei Säulen: Werbung, Lizenzen und Treuhandgebühren.
Genau wie bei legalen Websites können Nutzer Werbung auf CNW schalten – nur eben für ihr Kokain, Falschgeld oder für gestohlene Kreditkarten. Ein winziges Werbebanner kostet mehrere Tausend Euro im Monat.16 Das Geld, bezahlt in Bitcoin, geht direkt an die Forenbetreiber. Zweitens können Verkäufer illegaler Dienstleistungen ihre Handlungsspielräume auf CNW erweitern, indem sie sich eine Monopol-Lizenz kaufen. Damit sichern sie sich gegen eine monatliche Gebühr von 2.000 Euro bis 10.000 Euro 17je nach Produkt an die Führung das alleinige Recht, innerhalb des Forums eine bestimmte Ware anzubieten.
Damit Spezialisten im Datendiebstahl, böswillige Hacker und Online-Betrüger überhaupt irgendwie »sicher« miteinander handeln können, hat Neil als dritte Säule ein sogenanntes Treuhandsystem programmiert. Dieses System zur Absicherung von Transaktionen hat er sich von Darknet-Kryptomärkten abgeschaut – und es ist der Grund, weshalb der Laden läuft. Möchte A etwas von B kaufen, überweist er Bitcoin an Neils System auf der Seite, bis B die Ware an A geliefert hat. Ist das geschehen, zahlt Neils Treuhandsystem dem Verkäufer der Ware das Geld aus. Von jeder Transaktion zweigt sich Neil fünf Prozent ab. Neil, der sich selbst als »geldgeil« bezeichnet, zeigt uns bei einem Treffen, wie viel Geld er mit seinem System verdient hat. Allein 150.000 Euro hat er nach wenigen Monaten bereits in Bitcoin geparkt, eine Viertelmillion Euro in Bitcoin ist durch sein Treuhandsystem gesickert. »Aktuell verdiene ich das Dreifache meines regulären Jobs. Nebenher. Steuerfrei«, sagt er. Im Backend der Seite zeigt er uns, dass jeden Tag 255 GB Traffic über das Board laufen. Je mehr Traffic, desto länger halten sich die Nutzer auf CNW auf, je mehr Leute handeln und das Treuhandsystem nutzen, desto reicher wird Neil.
Neil versteht sich als Architekt einer komplexen verschlüsselten Infrastruktur und nicht unbedingt als Anbieter eines illegalen Angebots. Seine Ausgaben sind im Vergleich zu seinen Einnahmen gering. »Rechnet man grob alle Systeme zusammen, die CNW aktuell hat – Back-up der Maschinen, Backend der Maschinen, Frontend –, kostet das pro Monat 400 bis 600 Euro für den reinen technischen Betrieb«, sagt Neil.18
Es steckt also viel Krypto-Geld im Marktplatz auf CNW. Treuhand-Gelder sind einer der Gründe, warum die Führungsriege mehrere Male in den letzten Jahren gewechselt hat. Bevor es Neils System gab, übernahmen nämlich die jeweiligen Forenbetreiber die Verwaltung von Geldern persönlich – wer handeln wollte, musste ihnen schlicht vertrauen. Einer, der sich sync nannte, verschwand vor vier Jahren mit mehreren Millionen einbehaltener Gebühren und Treuhandgeldern der Nutzer.19 Ob aus Angst vor den Behörden, zur Vernichtung von Beweismitteln oder einfach aus Kalkül und Geldgier, weiß bis heute niemand. Wie sein Nachfolger unter dem Nutzernamen Mr. White verschwand, wissen wir mittlerweile: Der ehemalige CNW-Administrator, ein damals 23-jähriger Student der Wirtschaftswissenschaften, wurde 2017 in Köln festgenommen. Nach neunmonatiger Untersuchungshaft und der polizeilichen Beschlagnahmung von rund einer Million Euro in Bitcoin legte er letztlich ein Geständnis ab.20 Ende Januar verurteilte ihn das Landgericht Köln zu einer Freiheitsstrafe von zwei Jahren auf Bewährung.
Die nächste Reinkarnation des Forums Crimenetwork unter neuer Domain und neuer Führung ließ nicht lange auf sich warten. Bei unserem ersten Treffen mit Neil hieß der CNW-Boss, dem Neil technisch zuarbeitete, noch Sicario – wenige Monate später verschwand auch er. Und Neil rückte von seinem Job als Techmin nach ganz oben in die Führungsriege auf, die er sich nun mit einem Nutzer unter dem Alias inigo teilt.21