2015: Titelstory in der WirtschaftsWoche 26/2015 vom 19.06.2015 über die „Märkte des Bösen“ im Darknet

Verbrechen in einer neuen Dimension

Im Internet ist eine Parallelwelt entstanden: Fernab von Google und Facebook lassen sich Daten, Drogen, Waffen und alles, was das Licht der Öffentlichkeit scheut, handeln. Verbrechen ist plötzlich skalierbar. Wie funktionieren diese digitalen Märkte des Bösen? Eine Expedition in die Welt des Darknet.

Matthias S. ist Drogendealer und wüsste nicht, warum er deshalb besonders vorsichtig sein sollte. Der junge Mann sitzt auf einer Rattancouch, lehnt sich zur Seite, schlägt die Beine übereinander und nimmt einen tiefen Zug Marlboro Gold. „Angst? Wovor sollte ich Angst haben?“ , fragt er und pustet den Rauch hörbar aus. „Die Gefahr, dass ich von einem Auto überfahren werde, ist größer, als dass ich erwischt werde.“ Die Gesichtsmuskeln des jungen Manns bewegen sich kaum. Er ist sich der Unmöglichkeit, ihn ob seiner dubiosen Geschäfte zu verfolgen, sehr sicher. Und das liegt daran, dass Matthias S. seinen Handel nicht an dunklen Bahnhofsecken und nicht in zwielichtigen Stadtparks betreibt, wo er von der Polizei enttarnt werden könnte. Matthias S. zieht seine Sicherheit aus dem Marktplatz, auf dem er handelt: Er verkauft sein Kokain im „Darknet“ .

Das ist der Teil des Internets, den Suchmaschinen wie Google nicht finden. Der Teil, in dem nahezu niemand Spuren hinterlässt und in den man nicht über Internet Explorer, Firefox oder Chrome eintritt, sondern über eine Software namens Tor, die keine Daten sammelt und Identitäten verschleiert. Es ist ein Jahrmarkt der unbegrenzten Möglichkeiten, auf dem sich Dissidenten treffen, die sich der Kontrolle durch Geheimdienste entziehen möchten, aber auch Kriminelle - mal als Einzeltäter, mal als internationale Banden mit mafiösen Strukturen.

Dass die digitale Revolution nicht nur ungeahnte Möglichkeiten des Miteinanders schafft, sondern auch neue Möglichkeiten des Gegeneinanders eröffnet, ist schon länger klar: geknackte Online-Konten, heimlich auf Rechner geschmuggelte Trojaner, gefälschte Identitäten. Jetzt aber wächst eine neue Gefahr heran: neue Wege, mit all diesen Daten und allerlei schummrigen Zeugs anonym zu handeln. Von überall, zu jeder Zeit, mit jedem. Kriminalität ist somit plötzlich skalierbar: Früher gab es Grenzen, wie viele Menschen ein Verbrecher pro Tag ausrauben konnte, er musste physisch vor Ort sein. Heute ist das anders.

Im Darknet wird gehandelt, was hohe Profite abwirft: Drogen, Sex, Kreditkarten, Blüten, Waffen, Pässe. Auch die Software, mit der der Hacker-Angriff auf den Deutschen Bundestag durchgeführt wurde, könnte aus dem Darknet stammen.

„ Die kriminellen Banden sind straff organisiert, sie arbeiten wie reguläre Firmen, indem sie im Darknet Aufträge an Profis vergeben“ , sagt Peter Kestner, Ex-Hacker und Spezialist für Cyber Security bei der Wirtschaftsprüfungsgesellschaft Deloitte. „Dadurch bleiben die Strippenzieher im Hintergrund und werden von der Polizei meist nicht erwischt.“ Der dunkle Teil des Internets bietet, wonach sich Kriminelle seit Jahrhunderten sehnen: die perfekte Tarnkappe. „Das Verbrechen auf Bestellung erobert den digitalen Untergrund“ , warnt das European Cybercrime Center, eine Spezialeinheit von Europol in Brüssel. „Für nahezu jede Art von Cyberkriminalität gibt es inzwischen im Darknet eine Vielzahl von kommerziellen Angeboten.“ Schäden laut Europol: mehr als 300 Milliarden US-Dollar pro Jahr.

Wie funktioniert dieser Untergrundmarkt? Und wer tummelt sich dort? Um Antworten darauf zu finden, steigen wir selbst ins Darknet, vergleichbar einem Höhlenforscher, der hinter einer Felsspalte eine bislang unerschlossene Schattenwelt entdeckt.

Abtauchen in einen rechtsfreien Raum

Der Felsspalt in die virtuelle Welt ist der Browser Tor, der eigentlich nichts Böses tut und auch von Demokratiebewegungen in diktatorisch regierten Ländern als vertraulicher Kommunikationskanal eingesetzt wird. Knapp drei Millionen Internet-Nutzer aktivieren täglich diese Software, die ursprünglich für das US-Verteidigungsministerium entwickelt wurde und alle Daten so verschlüsselt, dass nicht mehr feststellbar ist, welcher Computer gerade welche Inhalte abruft.

Das Herunterladen des kostenlosen Tor-Browsers ist simpel. Ein Fenster auf dem Laptop geht auf: „Herzlichen Glückwunsch! Sie können jetzt anonym im Internet surfen“ , empfängt uns die grün eingefärbte Homepage mit dem markanten Zwiebel-Logo der Organisation „The Tor Project“ , eine in den USA gegründete gemeinnützige Stiftung, die den Schutz der Privatsphäre auf ihre Fahnen geschrieben hat.

Schon beim Einsatz des Tor-Browsers ist höchste Vorsicht geboten. Kurz in der Mittagspause vom Firmen-PC ins Darknet wechseln? Lieber nicht. Die Darknet-Bewohner lauern darauf, einen PC mit Schadprogrammen zu infizieren. Vor solchen Angriffen gefeit ist nur, wer einen Laptop ohne Verbindung ins Firmennetz benutzt.

Wir wagen den zweiten Schritt und stehen vor der nächsten Hürde: Die Suche im Schattenreich des Internets ist längst nicht so schnell und unkompliziert wie die Suche im World Wide Web. Die Internet-Adressen der Marktplätze bestehen aus kryptischen Zahlen- und Buchstabenkolonnen.

Dieses Versteckspiel ist offenbar auch der Unterwelt zu kompliziert. Einige Portale - wie die TorLinks und das Hidden Wiki - bieten deshalb Orientierungshilfen an. Wir geben die Adresse von TorLinks ein und es passiert - erst einmal nichts. Adressen im Darknet werden nicht direkt angesteuert, sondern über andere Netzwerk-Nutzer umgeleitet. So wird jede Identität verschleiert. Deshalb dauert es länger, bis sich die Seiten aufbauen, in unserem Fall knapp 30 Sekunden. Dann öffnet sich die erste Tür in die digitale Unterwelt.

Schon die Startseite verrät: Wir betreten einen rechtsfreien Raum. Hier gibt es all das zu kaufen, wofür man in der realen Welt sofort ins Gefängnis kommt. Eine Liste mit „Links“ zu rund 250 Marktplätzen erscheint - fein säuberlich in verschiedene Kategorien wie „Financial Services“ , „Hacking“ oder „Drugs“ unterteilt: Ganz unverblümt bietet die Seite „Hqer“ in der Rubrik „Financial Services“ gefälschte 50-Euro-Noten zum Kauf an. Ein Bündel mit 25 Scheinen (Wert: 1250 Euro) kostet nur 500 Euro. Die Noten sind angeblich so perfekt gefälscht, dass sie sogar den Echtheitstest mit dem im Handel oft eingesetzten Prüfstift bestehen.

Wer die Bündel kauft, muss kaum Angst haben: Weil im Darknet in der Regel mit Bitcoins bezahlt wird, bleiben neben den Nutzerdaten auch die Zahlungsströme verborgen. Die digitale Währung Bitcoin können die Nutzer untereinander über virtuelle Konten austauschen, ohne dass eine Bank oder andere Abwicklungsstelle dazwischengeschaltet werden muss.

Geldfälscher erleben dank Internet einen zweiten Frühling. In Deutschland brachten sie laut Bundeskriminalamt (BKA) im vergangenen Jahr 76 000 Euro-Blüten mit einem Nennwert von 5,3 Millionen Euro in Umlauf - 60 Prozent mehr als 2013. Ein Grund für den Anstieg, so das BKA: Das Falschgeld werde zunehmend durch organisierte Banden auf illegalen Handelsplattformen im Darknet verbreitet.

Vier Links weiter wirbt „Rent-A-Hacker“ um Aufträge. „Hacken ist mein Geschäft, seit ich 16 Jahre alt bin“ , schreibt er. „Ich hatte noch nie einen anderen Job und habe in den vergangenen 20 Jahren richtig viel Geld damit gemacht.“ Er sei Computerexperte. „Kleinere Jobs“ wie E-Mail-Hacking kosten 200 Euro pro Stunde, größere Jobs wie das „Ausspionieren von Unternehmen“ oder das „Ruinieren von Leuten“ übernimmt er ab 500 Euro pro Stunde. „Für Geld tue ich alles. Ich kann Geschäfte zerstören, aber auch das Leben einer Person.“

Das Muster der Hacker ist immer gleich. Erster Kriminalakt: Über das illegale Eindringen in fremde Rechner werden Daten gesammelt. Zweiter Akt: Diese Daten werden über die Marktplätze im Darknet verkauft. Beides passiert in der Regel innerhalb weniger Tage.

Zu den Bestsellern dort gehören Kreditkartendaten (inklusive persönlicher Identifikationsnummer) und gestohlene Zugangsdaten für Online-Shops wie Ebay (siehe Seite 26).

Das Angebot auf den weit mehr als 40 000 Marktplätzen im Darknet ist so vielfältig, dass eine bislang unbekannte Gruppe dort unter der Marke „Grams“ ein Pendant zu Google im Darknet aufbaut. Das Grams-Logo enthält sogar das gleiche blau-gelb-rot-grüne Regenbogen-Muster wie das legale Vorbild. Selbst die Suchergebnisse präsentiert Grams wie Google. Wer das Wort „Cannabis“ eingibt, bekommt 1572 Treffer, in Klammern dahinter die genaue Zeitangabe, wie lange Grams danach gesucht hat. An der Spitze der Trefferliste blendet Grams sogar Werbeanzeigen ein. „Komme zum ,The Real Deal Market' heute - Kaufe und Verkaufe, was immer Du willst.“ Derzeit durchsucht Grams elf Schwarzmärkte - darunter die drei großen Handelsplätze AlphaBay, Agora und Nucleus Market, die in die Fußstapfen des ehemaligen Marktführers Silk Road treten wollen.

Silk Road war bis Oktober 2013 der größte Drogenumschlagplatz im Darknet - und der erste öffentlich dokumentierte Beweis, welche Dimension die Kriminalität dort angenommen hat. Seit dem Start im Januar 2011 hatte Silk Road 4000 Anbieter und 150 000 Kunden weltweit angelockt, die Waren und Dienstleistungen im Wert von 1,2 Milliarden US-Dollar austauschten. Allein die Provisionszahlungen für die Betreiber summierten sich auf mehr als 80 Millionen Dollar.

So virtuell der kriminelle Handel, so real die Folgen: Silk-Road-Gründer Ross Ulbricht wurde zu einer lebenslangen Gefängnisstrafe verurteilt. Die Geschäfte im Schmuddel-Web stört das nicht (siehe Seite 24). Aktuelle Untersuchungen in Großbritannien kommen zu dem Ergebnis, dass sich bereits jeder fünfte Drogensüchtige seinen Stoff im Darknet bestellt.

Die noch dubiosere Subkultur des Darknet

Wir wollen tiefer ins Darknet - und stoßen auf eine neue Barriere: geschlossene Foren und Marktplätze, deren „Adressen“ nur noch kleinsten Kreisen bekannt sind und die ständig wechseln. Wer hier verdächtige Fragen stellt und nicht die Szenesprache beherrscht, wird ausgesperrt. Wir brauchen Experten als Reisebegleiter, handeln uns von Profi-Hackern aber genauso Absagen ein wie vom BKA - und landen schließlich bei Privatdetektiven, die im Auftrag von Unternehmen das Darknet durchleuchten.

Einer davon ist Bert Weingarten, Chef der Pan Amp AG in Hamburg. Das Unternehmen entwickelt Filter- und Analysewerkzeuge, die Alarm schlagen sollen, sobald gestohlene Daten auf einem der Schwarzmärkte im Darknet auftauchen. Welche Unternehmen Pan Amp anheuern, will Weingarten nicht verraten. Aber warum sie ihn buchen, ist klar: Manchmal liefern erst die Inserate im Darknet Hinweise, dass ein Unternehmen Opfer eines Cyberangriffs geworden ist.

In den tieferen Schichten des Darknet verstecken die Profis ihre Angebote und organisieren ihr „Großkundengeschäft“ - wie Weingarten es nennt. Mitmachen darf nur, wer sich das Vertrauen einer Community erworben hat oder Bürgen vorweisen kann. „Verkäufer analysieren die Nachfrage auf Authentizität und Bedarf, um gegebenenfalls selbst in Kontakt zu treten, um bessere Konditionen und sichere Übergabemöglichkeiten für die illegalen Produkte zu unterbreiten“ , sagt Weingarten. „Weicht ein Käufer von der Norm ab, wird der Kontakt abgebrochen.“

Hier dominieren vor allem Banden das Geschäft. Ein russischer Schwarzmarkt im Darknet bot jüngst die Software, die Ende 2014 beim Hacking-Angriff auf Sony eingesetzt wurde, für 30 000 US-Dollar an. Am teuersten gehandelt werden Sicherheitslücken in IT-Systemen. Hacker fanden allein im vergangenen Jahr 700 Programmierfehler in den Produkten von Softwareriesen wie Microsoft und Adobe. Statt wie früher die bisher unbekannten Lücken selbst für Angriffe auszunutzen, bieten Hacker sie im Darknet zum Verkauf an. Die Käufer, darunter auch Geheimdienste, zahlen dafür bis zu 400 000 US-Dollar. Das Kalkül: Programmierer brauchen Monate, um den Fehler zu korrigieren und den Kunden ein Update aufzuspielen. So lange können Hacker die Lücke nutzen.

Mit dem „Bitcoin Fog“ betreibt die organisierte Kriminalität sogar eine eigene Geldwaschanlage. „Wer hier Bitcoins einzahlt, bekommt gewaschene Bitcoins abzüglich einer Provision zurück“ , erklärt Pan Amp-Chef Weingarten.

Je einfacher die Bezahlung wird, desto skrupelloser weiten die Händler des Bösen ihre Angebotspalette aus. Bei unserer Expedition ins Darknet gewinnen wir den Eindruck, dass an jeder Ecke mit Waffen gehandelt wird. Da wäre etwa ein Online-Shop namens „Executive Outcomes“ . Hier entdecken wir halbautomatische Gewehre wie das Ruger Mini-14 für etwa 1100 Euro. Der Shop bewirbt neben einem sicheren Zahlungsverfahren eine Geld-zurück-Garantie und eine 100-prozentige Erfolgsrate. Die Shopbetreiber behaupten, den Hauptsitz in Texas zu haben und die Waren über mehrere Zweigstellen weltweit, eine davon in Rostock, zu versenden. Ob die Firma tatsächlich ein professionelles Handelsunternehmen ist, bleibt unklar. In einigen Forenbeiträgen wird behauptet, dass es sich bei dem Händler um einen „Scam“ - einen Vorschussbetrüger - handelt. Die Gefahr, im Darknet auf Täuscher hereinzufallen, ist groß. Die amerikanische Nichtregierungsorganisation Rand mutmaßt über den digitalen Schwarzmarkt, dass 30 Prozent aller Darknet-Verkäufer Betrüger sind.

Mit Pan Amp an unserer Seite tauchen wir noch tiefer ins Darknet ein. In dieser dritten Stufe verstecken sich die Syndikate der organisierten Kriminalität. Wir stoßen auf Banden, die mit dem vernetzten Auto das ganz große Geschäft wittern. Eine nennt sich „Erfurt Connection“ und ist angeblich auf Mercedes-Fahrzeuge spezialisiert. „Unsere dynamische Crew“ , wirbt die Bande, „hat viel Erfahrung beim Programmieren von Microchips, die in den neuesten Modellen von Mercedes eingesetzt werden.“ In Ganovenkreisen hat sich die „Erfurt Connection“ offenbar schon einen guten Ruf beim Zurückdrehen von Kilometerzählern erworben. Gebrauchtwagenhändler nutzen seit Jahren im Darknet angebotene Programme, die den Kilometerstand älterer Fahrzeuge manipulieren. Jetzt will die „Erfurt Connection“ ein neues Standbein aufbauen: das Kopieren von elektronischen Autoschlüsseln. Zielgruppe sind professionelle Autoschieber, die Aushilfskräfte in den Park-Service von Veranstaltungen oder Hotels einschleusen und so kurzzeitig in den Besitz von Autoschlüsseln kommen. Die könnten dann schnell kopiert werden. Preis pro Autoschlüssel: 980 Euro, ab zehn Fahrzeugen gibt es Mengenrabatt - dann kostet eine Kopie 760 Euro.

Die Bande traut sich sogar, ein Video mit einer Bauanleitung ins Darknet zu stellen. Ein Mitglied demonstriert, wie sich der Chip aus dem Schlüsselgehäuse herauslösen lässt, die dort hinterlegten Daten ausgelesen und auf einen neuen Chip übertragen werden können. Daimler bestätigt solche Angriffsversuche. „Mit der im Video gezeigten Methode könnte mit speziellen Kenntnissen sowie spezieller Hard- und Software ein entwendeter Fahrzeugschlüssel kopiert werden“ , heißt es in einer Stellungnahme des Konzerns. Die Methode funktioniere aber nur bei Fahrzeugen bis Baujahr 2009, und sie ist auch besonders umständlich. Anzeichen, dass das Programm rege genutzt wird, gibt es nicht. Eine Gelddruckmaschine haben die Tüftler mit der Software also wohl kaum erfunden. Wie überhaupt neben haufenweise krimineller Energie auch viel Schmuh im Darknet zu finden ist.

Sicherheitsexperte Manfred Göth sieht allerdings keinen Grund für Entwarnung. „Die Erfurt Connection benutzt ein älteres Verfahren“ , sagt der Geschäftsführer des Kriminaltechnischen Prüflabors Göth GmbH in Mayen. Andere Banden sind offensichtlich kreativer. „In Beirut sitzt ein Systementwickler, der schon die aktuelle Version der Sicherheitssysteme in den neuen Mercedes-Modellen geknackt hat.“

Es wäre also wie bei so vielen Ideen für ein kriminelles Geschäftsmodell im Darknet, die anfangs klein wirkten: Die Möglichkeit, es irgendwann zu Geld zu machen, ist keine Frage des Ob - sondern des Wann.

Co-Autorin: Melanie Bergermann