Jump directly to page content

Kriminalitätsbekämpfung im Dark Net

Neue Ermittlungsansätze statt Verbote

SWP-Aktuell 2019/A 28, 29.04.2019, 8 Pages

doi:10.18449/2019A28

Research Areas

Gegenwärtig werden wieder Forderungen nach einem Verbot illegaler Bereiche im Internet – sogenannter Dark Nets – laut. Im Entwurf des Bundesinnenministeriums für das neue IT-Sicherheitsgesetz soll das »Zugänglichmachen von Leistungen zur Begehung von Straftaten« über internetbasierte Dienste unter Strafe gestellt werden. In der öffentlichen Wahrnehmung dominieren insbesondere die negativen Aspekte des Dark Nets: illegaler Waffen- und Drogenhandel, Cyber-Kriminalität und Kinderpornografie. Neuere Daten zeigen jedoch, dass die Bedrohungen, die vom Dark Net ausgehen, weitaus geringer sind als häufig angenommen. Daher ist zu fragen, ob ein Verbot dieser Technologie sinnvoll, ohne negative Kollateraleffekte umsetzbar und zudem verhältnismäßig ist. Statt das Dark Net als solches verbieten zu wollen, sollte der Fokus darauf gerichtet werden, in neuen Ermittlungstechniken zu schulen und die internationale Kooperation bei der Strafverfolgung zu intensivieren. Dies wäre eine nachhaltige Lösung, da diese Fähigkeiten auch im Kampf gegen das weitaus grö­ßere Problem – Cyber-Kriminalität im regulären Internet – von Nutzen wären.

Im politischen Diskurs ist oft nicht klar, was unter dem Dark Net verstanden wird. Das Internet ist ein Netzwerk, das Milliar­den von Geräten mittels kleinerer Netzwerke (LAN, WLAN, WAN, Mobilfunk) in eine große Infrastruktur integriert. Es werden drei Ebenen unterschieden: die Ebene der Anwendungen des Internets (etwa das World Wide Web bzw. WWW, Datenbanken oder Apps), die Protokoll- bzw. Netzwerkebene der Datenübertragung und die Ebene der Hard­ware (Router, Glasfaserleitungen). Ein Merk­mal des Internets ist, dass es keinen zentra­len Wachturm gibt, der das gesamte Netz­werk überblicken kann. Folglich gibt es sichtbare und unsichtbare Bereiche, sowohl auf der Protokoll- als auch auf der Anwendungsebene.

Zu den sichtbaren Bereichen zählt in erster Linie das World Wide Web. Das WWW in Form von Websites ist lediglich der Bereich, der über den Browser sichtbar ist. Man schätzt, dass es circa 1,6 Milliarden Web­sites im WWW gibt (davon wird die über­wiegende Mehrheit nicht mehr aktualisiert).

Unsichtbare Teile des Internets, das so­genannte Deep Net, sind zum Beispiel Daten­banken und Apps, die nicht öffentlich oder nur eingeschränkt zugänglich sind. Dazu gehören Firmen- oder Regierungsnetzwerke. Es wird vermutet, dass das gesamte Internet aus circa 40000 Deep Nets besteht.

Das Deep Web wiederum wird häufig als jener Bereich des WWW bezeichnet, der nicht von Suchmaschinen indiziert wird. Die Services von Facebook, Twitter und Snapchat sind Teil des Deep Webs, da sie nur durch eine Applikation bzw. passwortgeschützte Programminterfaces aufgerufen werden können. Seiten, die nicht von Such­maschinen erfasst werden, sind Teil des Deep Web. Das sind sozusagen Orte des WWW, die zwar existieren, aber auf keiner Karte auftauchen.

Zu guter Letzt gibt es noch verschiedene Dark Networks als Teilbereich des Internets. Diese werden ebenfalls nicht von Such­maschinen indiziert und basieren auf eige­nen Übertragungsprotokollen (etwa dem Onion Service Protocol). Dieses Protokoll verschlüsselt die Kommunikation und leitet sie mehrfach über sogenannte Relay-Server um, so dass Inhalte und IP-Adressen für Außenstehende unsichtbar werden. Auch innerhalb des Dark Nets gibt es wieder eine Ebene der Netzwerkkommunikation, das Tor Netzwerk (The Onion Routing), und eine Ebene der Anwendungen, in Form von Tor Hidden Services (HS) oder anderen Anwendun­gen wie OnionShare (ein anonymer Cloud-Speicher). Tor Hidden Services sind oft Websites, können aber auch Steuerungs­server zur Kontrolle von Bot-Netzen sein. Die Summe der Seiten bildet ein Dark Web. Viele der darin enthaltenen HS-Websites können nur von denjenigen besucht wer­den, die die Onion-Adresse des HS kennen. HS sind ein optionales Feature des Tor-Netzwerks, das es Website-Besuchern und Website-Servern ermöglicht, sich anonym gegenüberzustehen. Technisch funktioniert dies wie ein sogenannter »toter Briefkasten«: Website-Betreiber speisen eine Information ein, die dann später von einem Website-Besucher anonym aufgesammelt wird.

Verglichen mit dem WWW machen HS-Websites nur einen verschwindend gerin­gen Anteil aller Websites aus. Es gibt circa 110000 HS. HS werden von nur 1–3 Pro­zent der regelmäßig aktiven 2 Millionen Tor-Nutzer überhaupt aufgerufen. Aufgrund der Anonymisierungsfunktion des Tor-Netzwerks sind genaue Metriken aller­dings kaum zu bekommen, weshalb hier mit Ungenauigkeiten gerechnet werden muss. HS machen schätzungsweise zwi­schen 3 und 6 Prozent des Datenverkehrs des Tor-Netzwerks aus. Tor-Nutzer sind also nicht automatisch Dark-Web-Nutzer.

Die folgende Grafik veranschaulicht die hierarchischen Beziehungen zwischen den verschiedenen Teilnetzwerken:

Differenzierung von Netzwerk- und Web‑Protokollen

Anwendungsebene

Protokoll-Ebene

Internet (TCP/IP)

40–50 Mrd. Geräte in 40000 Netz­werken

World Wide Web

HTTP

ca. 1,6 Mrd. Websites

Deep Web

Deep Net (802.11-WLAN, Ethernet)

Dark Web (Tor Hidden Services, Freenet etc., Onion Sharing)

Dark Nets (z.B. Onion Service Protocol, I2P und weitere)

ca.2Mio. Tor- Nutzer; ca. 110000 Hid­den Services

Licht und Schatten

Weil Hidden Services bewusst verborgen werden und fluktuieren, lassen sie sich kaum wissenschaftlich auswerten. Auf­grund solcher methodologischen Schwierig­keiten beschränken sich die meisten Unter­suchungen auf Ausschnitte des Dark Webs zu bestimmten Zeitpunkten. Websites im Dark Web funktionieren mittlerweile so wie ihre WWW-Pendants. Es gibt Shops, Chats und Foren. Mangels effizienter Such­maschinen dokumentieren zahlreiche Wikis, welche Dark-Web-Websites welche Adresse haben. Aber auch über Google lassen sich Adressen zu Dark-Web-Wikis finden. Nutzerkommentare und Bewertungen sind üblich. Einer britischen, nicht-wissenschaftlichen Studie zufolge sind circa 50 Prozent der Dienste im Dark Web als legal einzustufen. Darunter fallen etwa Foren, in denen Themen disku­tiert werden, die in einigen Ländern tabuisiert sind. Auch Journalisten und Aktivisten nutzen das Dark Net aus Angst vor Verfolgung durch autoritäre Regierungen. Sichere Kommunikationsplattformen für Whistleblower (»Secure Drops«) werden im Dark Web auch von etablierten Organen wie der Washington Post gehostet. Tor wird insbesondere von Bürgern in repressiven Regimen genutzt, um die Internet-Zensur zu umgehen und auf westliche Dienste zugreifen zu können. Aus diesem Grund sponsert das US State Department seit 2011 die Entwicklung und Verbreitung von Tor im Rahmen der Inter­net Freedom Agenda.

Das Tor-Netzwerk wurde Mitte der 1990er Jahre am United States Naval Re­search Lab mit dem Ziel entwickelt, geheim­dienstliche und militärische Kommunika­tion zu verbergen, und diese Funktion er­füllt es auch heute noch. Auch staatliche Cyber-Angriffe laufen über Tor.

Cyber-Kriminalität im Dark Net und Internet

Wie jede Technologie kann auch das Dark Web missbraucht werden. Die in den Medien oft zitierten illegalen Marktplätze (Cryptomarkets) für Waffen und Drogen machen jedoch nur einen sehr kleinen Teil der Websites im Dark Web aus (0,3 bzw. 4%) aus. Eine niederländische Studie kam 2016 zu dem Schluss, dass es rund 50 so­genannte Kryptomärkte gibt, auf denen Dro­gen und Waffen gehandelt werden. Einige davon haben Prominenz erlangt, wie etwa die 2013 geschlossene Plattform Silk Road.

Drogenhandel ist auf diesen Kryptomärkten das größte Phänomen im Bereich Cyber-Kriminalität. 57 Prozent der Angebote auf den 8 größten Märkten betreffen Drogen, wo­bei der Großteil auf Cannabis und Amphe­tamine entfällt. Harte Drogen wie Heroin werden dort selten gehandelt. Die Drogenmärkte verbuchen einen monatlichen Um­satz zwischen 10 und 18 Millionen Euro.

Malware und gestohlene digitale Güter sind neben Drogen und verschreibungspflichtigen Medikamenten eine häufige Pro­duktkategorie auf Kryptomärkten. Die fol­genden digitalen Güter waren 2018 auf einer Plattform namens Dream Market die meistgehandelten: kompromittierte Nutzer­accounts (42%), Kreditkartendetails (29%), einfache Hacking-Tools (10%), Ausweis­doku­mente (6,7%), komplexere Exploits (0,9%) und diverse Arten von Schadsoftware (je ca. 0,7%). Zudem gibt es eine rege Com­munity bösartiger Hacker, die sich dort zum Erfahrungsaustausch treffen.

Auch der Vertrieb von Kinderpornografie findet über das Dark Web statt. Interessanterweise wird in diversen Kryptomärkten der Handel mit Kinderpornografie aber nicht toleriert und mit Ausschluss sanktioniert. Laut einer kürzlich erschienenen Studie gibt es nur etwa 51 dezidierte Seiten mit kinderpornografischen Inhalten im Dark Web. Gleichwohl muss man hier von einer höheren Dunkelziffer ausgehen.

Europol und die Europäische Beobachtungsstelle für Drogen und Drogensucht stellen in einer aktuellen Untersuchung fest, dass der Drogenhandel über Dark Nets verglichen mit dem Handel im offenen WWW relativ klein ist. Verglichen mit dem Offline-Drogenhandel spielt das Dark Net zwar eine wachsende, bisher aber dennoch eher marginale Rolle. Die Autoren einer Studie aus dem Jahr 2018 beleuchteten die Einnahmen aus dem Verkauf von Drogen auf den 8 größten Kryptomärkten im Dark Web. Demnach werden dort jähr­lich ins­gesamt rund 61 Millionen US-Dollar um­gesetzt. Verglichen mit dem Gesamt­volu­men des europäischen Drogenhandels (ca. 24–31 Mrd. Euro im Jahr), hat das Dark Net also einen Anteil von nur etwa 1 Pro­zent an diesem Geschäft. Laut einer Analyse des EU-Parlaments spielt das Dark Net auch für Formen der Cyber-Kriminalität (u.a. Software-Piraterie, Urheberrechtsverletzun­gen, digitaler Steuerbetrug, Kreditkarten­betrug und Click-Fraud) eine geringere Rolle als oft angenommen wird. Es trage nur zu circa 1 Prozent der direkten wirtschaftlichen Schäden bei, die durch diese Arten von Cyber-Kriminalität entstehen. Der weit­aus größere Teil werde durch Cyber-Krimi­nali­tät im regulären Internet verursacht, etwa durch digitale Steuervermeidung. Allerdings sind Sekundärschäden kaum zu berechnen.

Es gibt auch erheblich mehr kinder­porno­grafische Angebote im frei verfügbaren Teil des Internets als im Dark Web. Eine Studie von 2014 kommt zu dem Schluss, dass von rund 31000 mit Kinderpornografie assozi­ier­ten Websites nur 51, also 0,2 Prozent, über das Dark Net gehostet wurden. Der Rest wird häufig in Ländern mit schwacher Staatlichkeit im regulären Deep Web gehos­tet. Aber auch die direkte Distribution über Mailing­listen oder Messenger-Dienste ist weiter ver­breitet als der Handel über das Dark Web.

Es gibt auch weitaus mehr Webshops für Narkotika im offenen Teil des Internets als im Dark Web. Drogenhandel findet zudem in viel stärkerem Maße über öffentliche Social Media Plattformen wie Facebook, Twitter und Reddit statt. Auch spezialisierte Apps und Messenger-Kommunikation spie­len im heutigen Drogenvertrieb eine grö­ße­re Rolle als das Dark Web.

Das Dark Web und das Tor-Netzwerk sind also durchaus ein treibender Faktor für Kriminalität, verglichen mit dem Rest des Internets aber ein unbedeutender. Eine Fokussierung auf das Dark Net als zentralen Schauplatz für Straftaten wäre Zeichen einer unangemessenen Gewichtung des Problems. Jedwede politischen Maßnahmen müssen umfassender gedacht werden. Ein Verbot des Dark Nets würde folglich kaum etwas am Phänomen der Cyber-Kriminalität ändern.

Ein oder viele Dark Nets verbieten?

Wenn pauschal über ein Verbot des Dark Nets gesprochen wird, stellt sich als Erstes die Frage, was genau eigentlich damit ge­meint ist. Historisch betrachtet war vor der Erfindung des World Wide Web 1991 das gesamte Internet eine Art nicht-indexiertes, unsichtbares Dark Web. Die Erfinder des Internet-Vorläufers Arpanet bezeichneten bereits in den 1970er Jahren all jene Com­puternetzwerke, die vom Arpanet isoliert waren, als Dark Net. Was also zum Dark Net zählt, ist willkürlich und eine Definition ex negativo: Das Dark Net ist ein Teil des Internets, der nicht das WWW ist und bestimmte kryptografische Verfahren zur Gewährleistung von Anonymität um­fasst. Das trifft aber auf Vieles zu, etwa auf Vir­tual Private Networks (VPN), auf den HTTPS-Datenverkehr oder auf verschlüsselte Foren im regulären WWW. Es gibt auch noch andere Dark Nets, etwa das anonyme Peer-to-peer-Netzwerk Freenet oder das Invisible Internet Project (I2P). Die Marktplatzplattform OpenBazaar zerlegt verbor­gene Web­sites in Teile und speichert diese dezentral über alle Nutzer hinweg. All diese individuellen Dark-Networks sind nicht eindeutig voneinander getrennt, da das TCP/IP-Proto­koll sie in einem Netzwerk vereint. Das zeigt, dass ein pauschales Verbot des Dark Nets schnell zu einem Akt der Überregulierung mit Kollateraleffekten werden kann. Wer das Dark Net verbieten will, verbietet fast zwangsläufig legitime Inhalte mit.

Technische Implikationen eines Verbots

Ein nationaler Alleingang beim Verbot des oder eines Dark Nets wäre kaum realisierbar, da durch das Internet zahlreiche Alter­nativen frei verfügbar sind. Ein Verbot von Tor würde bedeuten, dass der Staat kontrol­lie­ren müsste, welche Software auf den Geräten seiner Bürger installiert ist. Das stellt selbst autoritäre Regime wie China und Russ­land, die verschlüsselten Internet-Diensten den Kampf angesagt haben, vor große Probleme. Russland gab 2015 ein mehrjähriges, millionenschweres Forschungsprojekt zur Deanonymisierung des Tor-Netzwerks erfolglos auf. Tor kann seine Datenverbindungen über Tarnprotokolle als Verkehr zu legitimen Websites maskieren und somit nicht mit klassischen Blacklis­ting-Internetfiltern zensiert werden. China ist nur deshalb in der Lage, den Tor-Daten­verkehr zu blockieren, weil es alle Zugänge zum globalen Internet mit der »Great Fire­wall« überwacht und alle Pakete des In­ter­netdatenverkehrs per Deep-Packet-In­spec­tion nach Tor-Indikatoren durchsucht. Das erfordert diverse Rechenzentren samt Super­computern an zentralen Internet-Glasfaserleitungen. Die Durchsetzung eines Dark-Net-Verbots wäre also ohne eine gigantische Zensurinfrastruktur und ohne eine Segregation des deutschen Internets vom Rest der Welt kaum zu bewerkstelligen. Ein solches Vorhaben wäre weder mit wirtschaftlichen Interessen kompatibel noch mit demokratischen Normen.

Politische Konsequenzen einer Verbotspolitik

Das Verbot eines Dark Nets, zum Beispiel des Tor-Netzwerks, hätte international Signalwirkung. Mit einem solchen Schritt würde sich Deutschland einer Koalition autoritärer Regime wie Russland oder China anschließen. Diese fordern derartige Maßnahmen schon seit Jahren und sind bisher am Widerstand der liberalen west­lichen Demokratien gescheitert. Mit der Entscheidung für ein Verbot würden die repressiven Tendenzen in der Internet-Governance gestärkt und würde zudem weltweit der Boden für Menschenrechts­verletzungen bereitet. Aus diesem Grund haben demokra­tische Regierungen ein solches Vorgehen bisher stets verhindert und Tor als Medium der freien Meinungsäußerung betrachtet.

Alternative Optionen

Ein alternativer Vorschlag wäre, die den Kryptomärkten zugrundeliegenden Techno­logien zu regulieren. Dazu gehören im Wesentlichen das Tor-Netzwerk (Browser, Hidden Services und physische Tor-Relay-Server) und die für das digitale Bezahlen eingeführten Kryptowährungen wie Bitcoin oder Monero. Die hinter all diesen Baustei­nen steckende Technologie ist Verschlüsse­lung. Der Wesenskern von Verschlüsselung ist der Schutz der Integrität und Authenti­zität von Daten gegenüber unautorisierten Dritten, also auch staatlichen Stellen. Ver­suche, Verschlüsselungsverfahren zu ver­bieten oder mittels eingebauter Hinter­türen staatlicher Kontrolle zu unterwerfen, sind bisher an technischen Realitäten geschei­tert. Die Schwächung von Verschlüsselung würde die Cyber-Sicherheit im Zeitalter der Hacker und Cyber-Konflikte nachhaltig negativ beeinträchtigen, so dass der Weg des Verbots nicht ratsam ist.

Eine Möglichkeit wäre, dass das Betreiben von sogenannten Tor-Exit-Nodes, also Relays im Tor-Netzwerk, unter Strafe gestellt wird. Relay-Betreiber gerieten in der Ver­gangenheit immer wieder ins Visier von Strafverfolgungsbehörden. Ein Verbot des Betreibens von Exit-Nodes würde dazu führen, dass sich deutsche Tor-Nutzer über eines der rund 7000 ausländischen Tor-Relays verbinden würden, was die Internetverbindung lediglich verlangsamt. Das Tor-Projekt hat sich in der Vergangenheit als äußert resilient erwiesen, so dass bei Aus­fall eines Exit-Nodes mit dem Nachwachsen neuer Relays zu rechnen ist. Dieser Weg wäre also wenig sinnvoll.

Zu guter Letzt gäbe es die Option, die Hidden Services selbst zu unterbinden. Die Politikwissenschaftler Daniel Moore und Thomas Rid sprechen sich etwa dafür aus, dass die Betreiber des Tor-Projekts die HS vom Tor-Netzwerk trennen sollten, da Erstere die legitimen Funktionen – also vor allem das anonyme Besuchen von Websites im Inter­net und die Umgehung von Zensur­maßnahmen – von Tor in Verruf bringen. Technisch betrachtet würde dies nur eine kleine Änderung im Protokoll der Tor-Infra­struktur erfordern. Damit würden verborgene HS unterbunden. Nicht-anonymisierte Tor-Seiten wie Secure Drops oder Facebook wären davon aber nicht betroffen. Im Wesentlichen würde sich der Schritt also gegen die Kryptomärkte richten. Einige der Pioniere des Tor-Projekts haben in der Ver­gangenheit immer mal wieder diese Option erwogen und auch in der Hacker-Communi­ty wird periodisch darüber diskutiert. Aller­dings müsste sich dafür innerhalb dieser Com­munity eine lautstarke Graswurzel­bewegung formieren, damit die in Seattle ansässige Non-Profit-Organisation, die das Tor-Pro­jekt verwaltet, um­gestimmt werden könnte. Die Hacker-Community könnte zu­dem selbst aktiv werden, indem die priva­ten Tor-Relay-Betreiber Anfragen für HS mittels einer von der Community kuratierten Black­list blockieren. Viele Tor-Relays werden von Universitäten und NGOs betrieben, die hier vorangehen könnten. Im Einklang mit der krimi­nologischen Verdrängungstheorie ist aber davon auszugehen, dass Nutzer nach dem Wegfall der Tor-HS zu alternativen Techno­logien abwandern würden.

Neues IT-Sicherheitsgesetz

Im gegenwärtigen Entwurf des neuen IT-Sicherheitsgesetzes von 2019 soll »das Zu­gänglichmachen von Leistungen zur Be­gehung von Straftaten« strafbar gemacht werden. Die Klausel zur Änderung des Strafgesetzbuches § 126a ist besonders weit gefasst. »Wer Dritten eine internetbasierte Leistung zugänglich macht, deren Zweck oder Tätigkeit darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten zu ermöglichen, zu fördern oder zu erleichtern, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.« Unter diese Bestimmung würde faktisch das ge­samte TCP/IP-Internet fallen. Entgegen dem ursprünglichen Entwurf des Bundes­rats ist die Klausel auch nicht mehr auf bestimmte, besonders schwere Delikttypen (Kinderpornografie) begrenzt. Je nach Rechtsprechung könnte damit auch das Be­treiben von legitimen Tor-Nodes kriminali­siert werden. Eine engere gesetzliche Rege­lung, die sich auf bestimmte Straftaten sowie auf das kon­krete administrative Betrei­ben von Dark-Web-Foren auf der Anwendungsebene, also das Dark Web, beschränken würde, wäre verhältnismäßiger. Problematisch ist eine weitgefasste Dark-Net-Klausel auch im Hin­blick auf Entwicklungen, die sich bereits ab­zeichnen: Wenn in Zukunft mehr Dienste über Peer-to-peer-Services wie Blockchains gehostet werden, würde jeder Nutzer der Technologie – wissentlich oder unwissentlich – beim »Zugänglichmachen« von Kryptomärkten mitwirken. Verfassungsrechtler sehen eine Aus­weitung kritisch, da Mittäter schon heute über eine Beihilfehand­lung belangt werden können.

Polizeistreifen im Dark Net

Die zentrale politische Herausforderung liegt darin, die negativen Effekte des Dark Webs (Hidden Services und Kryptomärkte) einzudämmen und gleichzeitig die positi­ven Effekte des Dark Nets (Whistleblowing, Schutz vor Repression) zu bewahren. Dies lässt sich über ein pauschales Verbot oder die Strafbarmachung von Tor-Diensten nicht erreichen. Es ist nachvollziehbar, dass der Gesetzgeber Ermittlungen im Dark Net ver­einfachen will. Dieses Ziel ließe sich aber durch eine verstärkte Präsenz und eine Verbesserung der Ausbildung und Ausstattung der Dark-Web-Fahnder leichter errei­chen. Diese Maßnahmen würden nicht nur bei der Bekämpfung der Kriminalität im Dark Web helfen, sondern auch im Hin­blick auf das reguläre Internet sinnvoll sein.

Traditionelle Strafverfolgung und neue Ermittlungsstrategien

Das Dark Web ist dem Internet ähnlicher als oft angenommen. Die Cyber-Sicherheit von Kryptomärkten und die IT-Sicherheits­praktiken vieler Nutzer sind nicht perfekt und somit anfällig für innovative Ermitt­lungsmethoden der Strafverfolgungsbehörden, inklusive staatliches Hacking. Oft ist nicht einmal der Einsatz von Schadsoftware (z.B. Bundestrojaner) erforderlich, sondern reicht der clevere Einsatz von frei verfüg­baren Tools aus.

Wie im regulären Internet sind auch im Dark Web die Nutzer faul und verwenden über viele Websites hinweg die gleichen Nicknames, E-Mail-Adressen und schwache Passwörter. Kryptomärkte sind oft unsicher konfiguriert und damit für intelligente Strafverfolgungsoperationen angreifbar. Die FBI-Operation gegen den Kryptomarkt Silk Road machte sich etwa einen Fehler in der Anmeldemaske des Marktes zunutze, dank dessen User deanonymisiert werden konn­ten. Nutzer und Betreiber verwenden für Dark-Web-Foren oder Bitcoin-Wallets oft die gleichen E-Mail-Adressen, die sie auch im regulären Internet nutzen. Das macht sie über verschiedene Internet-Dienste hin­weg verfolg- und identifizierbar. Bei der er­folgreichen Strafverfolgungsoperation Bayo­net, in deren Rahmen es gelang, zwei der größten Krypto­märkte zu deaktivieren und deren Infrastruktur zu beschlagnahmen, nutzten die Ermittler diesen Umstand aus. In einer international koordinierten Aktion übernahm das FBI die Kontrolle über den Kryptomarkt Alphabay. Als dies bekannt wurde, wanderten die Nutzer in den von Europol fast zeitgleich übernommenen Kryptomarkt Hansa ab. Dabei verwendeten sie oft die gleichen Namen und Passwörter und konnten so identifiziert werden.

Die Betreiber von Online-Märkten treten zudem oft unvorsichtig im regulären Inter­net in Erscheinung, wie etwa in den Foren Reddit oder 4chan. Sie verwenden für ihre Shops zudem häufig Vorschaubilder von anderen Websites wieder, was sie identifizierbar macht. Oft entfernen sie die EXIF-Metadaten aus Bilddateien nicht. All diese Indizien können auch ohne Hacking durch sorgfältige Polizeiarbeit gesammelt und zu Beweismaterial verdichtet werden. Bitcoin-Transaktionen können durch sogenannte Chain-Analysis und Big-Data-Verfahren auch heute schon zum Teil deanonymisiert werden. Das zeigt, dass sich Dark-Web-Ermittlungen nicht nur auf das Dark Net beschränken dürfen, sondern holistisch verschiedene Informationen und Quellen im offenen Internet miteinbeziehen müs­sen (Open Source Intelligence). Erforderlich ist dazu allerdings eine permanente Präsenz der Polizei im Dark Web bzw. eine konti­nuierliche Aktua­lisierung des Lagebilds.

Der ehemalige Direktor des US-Heimat­schutzministeriums Michael Chertoff weist darauf hin, dass die Anonymität im Dark Net für Strafverfolgungsbehörden nicht nur ein Nachteil, sondern auch ein Vorteil ist: Für Website-Betreiber und Nutzer ist nicht ohne weiteres nachvollziehbar, ob das Gegenüber nicht ein Undercover-Polizist ist bzw. der Kryptomarkt nicht von der Polizei gehostet wird. Viele erfolgreiche Strafverfol­gungsoperationen gegen solche Märkte machen sich genau diesen Umstand zu­nutze. Interessant ist in diesem Zusammen­hang die FBI-Operation Pacifier: durch einen technischen Hack gelang es dem FBI, die Kontrolle über die KinderpornografieSeite Playpen zu über­nehmen und so die Nutzer zu deanonymisieren. Bei der Opera­tion Bayonet gegen den Kryptomarkt Hansa konnten Ermittler den Markt-Server in einem Rechenzentrum lokalisieren und vor Ort den Software-Code des HS manipulieren. Die Kontrolle des HS-Servers ist immer das primäre Ziel, da auf diese Weise alle Trans­aktionen verfolgt und Nutzerdaten trotz Anonymisierung extrahiert werden können. Ferner können sogenannte »beacon files« in illegale Güter, wie etwa pornografische Bilder, implantiert werden, die den Ermitt­lern die wahre IP-Adresse eines Downloads mitteilen. Wenn Nutzer in Kryptomärkten, die von der Polizei kontrolliert werden, physische Waren bestellen, können Sen­dungen nachverfolgt werden (etwa durch GPS-Sender in Paketen). Packstationen – die von den Kunden bevorzugten Zustellorte für illegale Warensendungen – können videoüberwacht und die Empfänger bei Ab­holung festgenommen werden.

Zwar ist die physische Lokalisierung und Übernahme von HS-Servern komplex, zeit­aufwendig und kostenintensiv, sie ist aber enorm effektiv. Bei der Operation gegen Hansa konnten durch die Übernahme des Servers mehr als 400000 Nutzer identifiziert und über 10000 physische Privatadres­sen ermittelt werden. Bessere Ermittlungs­techniken tragen dazu bei, dass die durch­schnittliche Lebenszeit eines Kryptomarkts bei nur etwa 12 Monaten liegt. Allerdings zieht das Abschalten eines Dienstes in der Regel binnen Sekunden das Auftauchen neuer, alternativer Plattformen nach sich.

Polizeiausbildung und internationale Zusammenarbeit

Europol hat in einer kürzlich erschienenen Studie dargestellt, dass in den verschiedenen europäischen Polizeibehörden zum Teil noch erhebliche Wissenslücken bezüglich des Dark Nets existieren. Ein häufiger Fehl­schluss ist etwa anzunehmen, dass das tra­ditionelle kriminalistische Erfahrungs­wissen im Angesicht der neuen Kriminalitätsformen, die das Dark Net ermöglicht, ob­solet geworden ist. Die digitale Ermitt­lungsarbeit gleicht in einigen Bereichen sehr stark den bewährten Praktiken des Analysierens und Verbindens von ver­schie­denen Spuren. Das Ziel sollte daher sein, die in Europa durchaus vorhandene Exper­tise in Sachen Dark-Net-Ermittlungen besser zu bündeln und zu teilen.

Elementar wäre es dabei, mehr Polizeibeamte in neuen technischen Verfahren und Kenntnissen der IT-Sicherheit auszubil­den und diese Fähigkeiten mit den bekann­ten und erprobten Ermittlungsmethoden zu verknüpfen. Nur die Kombination dieser Skill-Sets wird langfristig zum Erfolg füh­ren. Europol hat dafür spezielle Teams auf­gestellt, die IT-Security-Experten, IT-Juristen und erfahrene Kriminalisten mit verschie­denen Spezialgebieten zusammenbringen. Solche Dark Net Task Forces sollten gestärkt und auch in den Mitgliedstaaten auf- und ausgebaut werden. Das bedeutet, dass die EU und die Mitgliedstaaten in die­sen Berei­chen »capacity building« betreiben müssen.

Eine rege internationale Kooperation ist bei der Bekämpfung von Kryptomärkten, die oft über mehrere Ländergrenzen hinweg ge­hostet werden, zentral. Operationen gegen solche Märkte können nur dann erfolgreich sein, wenn zeitgleich mehrere der wichtigsten Server von Strafverfolgungsbehörden übernommen werden. Die Ermittlungen sollten also, ähnlich wie bei der gemein­samen Terrorbekämpfung, europäisch ko­ordiniert werden. Dazu gehört ganz wesent­lich, dass die EU-Partner elektronische Be­weismittel reibungsloser austauschen und sich gegenseitig schneller Rechtshilfe leisten.

Auch die Zoll-Behörden sollten verstärkt und die Kooperation unter ihnen intensiviert werden. Ein Großteil der über das Dark Net verschickten physischen Waren wandert unkontrolliert über die offenen EU-Binnen­grenzen. Deshalb wäre ein inter­nationaler Austausch darüber, welche Methoden Kryptomarkt-Händler nutzen, damit ihre Päckchen vom Zoll nicht erkannt werden, elementar. Finnland beispielsweise hat vergleichsweise strenge Paketkontrollbestimmungen, weshalb Kryptomarkt-An­bieter aus Angst vor Strafverfolgung weni­ger häufig Waren dorthin versenden. Zu­dem ist zu überlegen, ob man nicht maschinelles Lernen oder automatisierte Screening-Prozesse im Warenverkehr einführen sollte, zumin­dest bei Paketen, die an Packstationen geliefert werden. Hier wäre die EU ge­fragt, einen Entwurf zu präsentieren, der die bestehenden Freiheiten wie das Post­geheimnis nicht unnötig einschränkt, aber bestimmte Kontrollen ermöglicht.

Fazit

Das Dark Net ist Schauplatz durchaus ab­scheulicher Kriminalitätsformen, die nicht zu verharmlosen sind. Eine sachliche Be­trach­tung zeigt aber, dass die gleichen Straftaten in oft größerem Ausmaß im all­gemeinen Internet oder in der physischen Welt stattfinden. Eine zu enge Fokussierung auf das Dark Net als Brennpunkt der Kriminalität ist daher wenig sinnvoll. Neue Ermittlungsmethoden haben schon gezeigt, dass die Anonymität von Straftätern im Dark Net kein unüberwindbares Hindernis mehr ist. Allerdings gleicht der Kampf gegen die Kriminalität im Dark Web einem stetigen Katz-und-Maus-Spiel. Auch die Kri­minellen verwenden immer neue Metho­den und die Polizei muss darauf reagieren. Damit sie dazu in der Lage ist, müssen in­nerhalb der EU mehr finanzielle Mittel für Personal, Ausbildung und Kooperation be­reitgestellt und mehr Beamte in Verfah­ren der digitalen Technik geschult werden. Die­ser Weg ist zwar kostenintensiver, aber auch nachhaltiger als scheinbar schnelle Lösungen in Form von Verboten oder einer Über­regulierung, die technisch und poli­tisch kaum ohne Kollateralschäden um­setz­bar wären.

Dr. Matthias Schulze ist Wissenschaftler in der Forschungsgruppe Sicherheitspolitik.

© Stiftung Wissenschaft und Politik, 2019

SWP

Stiftung Wissenschaft und Politik

ISSN 1611-6364