Deutsche Darknet-Größe Wie "Lucky" demaskiert wurde

In Darknet-Foren wird auch Verbotenes gehandelt. (Symbolbild)

(Foto: Silas Stein/dpa)

Alexander U. hat das Forum betrieben, über das die Waffe für den Amoklauf in München verkauft wurde. BKA-Ermittler schildern vor Gericht, wie sie ihm auf die Schliche kamen.

Von Hakan Tanriverdi, Karlsruhe

Als das Spezialeinsatzkommando vor der Tür steht, bekommt "Luckyspax" eine Nachricht. Geschickt hat sie ein Nutzer seines Forums mit dem Namen "Gazza". "Hi Lucky", schreibt er, "ich will dich ja nicht beunruhigen, aber ich habe eine ernsthafte Sicherheitslücke gefunden." Lucky soll sich in einen Chat einloggen, dort werde er mehr Details erfahren.

Das Registrierungsdatum von Gazza - der 23. August 2016 - hätte ein Indiz sein können, dass verdeckte Ermittler des Bundeskriminalamts (BKA) Lucky längst auf die Schliche gekommen waren. Gazza hatte eine Mission. Knapp einen Monat nach dem Amoklauf am Olympia-Einkaufszentrum in München hatte er sich im Forum angemeldet, er schrieb 55 Beiträge und kundschaftete "Deutschland im Deep Web" (DiDW) aus. DiDW war das größte derartige Forum im deutschsprachigen Raum, mehr als 20 000 angemeldete Nutzer, sechs Millionen Seitenaufrufe im Monat. Erreichbar war DiDW nur über das Darknet, also mit einem speziellen Browser, der verschleierte, wer sich dort herumtrieb. Alle schrieben hier unter Pseudonym.

Seit zwei Wochen läuft nun am Landgericht in Karlsruhe ein Prozess gegen Lucky, einen 31-jährigen Informatiker, der mit bürgerlichem Namen Alexander U. heißt. Die Staatsanwaltschaft wirft ihm vor, als "alleiniger Administrator" die Plattform betrieben zu haben. Sie ermittelt unter anderem wegen des "Verdachts der fahrlässigen Tötung in neun Fällen und der fahrlässigen Körperverletzung in fünf Fällen". Denn über dieses Forum kaufte sich der Mörder David S. jene Waffe und Munition, mit der er später neun Menschen erschießen sollte. Fast alle seine Opfer hatten Migrationshintergrund, fast alle waren Jugendliche.

Zwei Wege verfolgt

Ein technischer Ermittler des BKA erzählt vor Gericht, wie die Fahnder herausfanden, dass Alexander U. die Seite betrieb. Zum einen rief Lucky unter seinem Pseudonym zu Spenden auf, um die Kosten für seinen Server zu decken. Knapp 10 000 Euro wurden mit der Digitalwährung Bitcoin eingezahlt. Die Ermittler konnten den Weg des Geldes nachverfolgen, er führte sie zu bitcoin.de, einem Marktplatz für die Währung. Die Ermittler forderten von den Betreibern der Seite Bestandsdaten an, so kamen sie auf Alexander U. und seine Wohnadresse in Karlsruhe.

Es sind Aussagen wie diese, bei denen U. - weißes Hemd, Igelschnitt, Mundwinkel nach unten - im Gericht aufmerksam mitschreibt. An den ersten zwei Prozesstagen schwieg er die meiste Zeit. Er beantwortete nur einige Fragen des Richters und verlas eine allgemein gehaltene Erklärung. U. hat einen Bachelor-Abschluss in Informatik und ist derzeit für den Master eingeschrieben. Er ist verlobt. Als seine Freundin den Gerichtssaal verlassen muss, weil sie noch als Zeugin vernommen wird, schaut er ihr traurig hinterher.

In Dialekt spricht U. darüber, was ihn antrieb, DiDW aufzusetzen und das "Syschdem" technisch zu warten. Ihm sei es darum gegangen, eine Plattform zu schaffen, auf der man "in Zeiten von Massenüberwachung" anonym kommunizieren und surfen konnte.

Über das Forum wickelten Nutzer Waffendeals ab, verkauften auch Drogen. In erster Linie handelte es sich aber nicht um eine Art Ebay für Kriminelle, sondern um ein Diskussionsforum, auf dem auch Drogen und Waffen verkauft wurden. Neue Drogen-Verkäufer mussten sich direkt an Lucky wenden und ihm Bilder schicken. Zu sehen sollten sein: Nutzername, Datum, die Drogen und der Name des Forums sowie ein "aussagekräftiger Aussagetext", wie es der Staatsanwalt formuliert. Lucky musste dann entscheiden, ob er diese Beiträge freischaltete.

Auch deshalb fiel DiDW den Ermittlern des BKA auf. Noch bevor erste Meldungen aufkamen, dass die Waffe für den Amoklauf über dieses Forum verkauft wurde, habe man DiDW in den Fokus genommen. Für Ermittlungen ausschlaggebend seien jedoch die Taten in München gewesen.

Nachdem die Ermittler U. identifiziert hatten, überwachten sie seinen Internet-Verkehr. Sie hatten zu diesem Zeitpunkt bereits festgestellt, dass Lucky seine Systeme technisch gut abgesichert hatte. Eine seiner Methoden war, bei jedem Aufruf der Seite einen zufällig generierten Textblock mitzuladen. Dadurch war die Seite bei jedem Aufruf unterschiedlich groß. Das verhindert, dass Nutzer durch einen speziellen Angriff auf das Tor-Netzwerk demaskiert werden können.

Die Systeme durften nicht gesperrt sein

Die Ermittler waren also gewarnt. Sie wollten sichergehen, dass sie U. am offenen Laptop erwischen. Nur dann sind Systeme entsperrt, die Ermittler können darauf zugreifen. Klappt U. den Rechner zu, wird alles verschlüsselt - und damit vor dem Blick des Staates geschützt. Das Einsatzkommando sei "mündlich unterrichtet" worden, wie wichtig es sei, sich den Rechner zu schnappen.

Um den perfekten Moment zu erwischen, dachten sich die Ermittler das Szenario mit dem verdeckt arbeitenden Gazza aus - und verwendeten Methoden, die sonst nur Hacker nutzen. "Wir haben einen SQL-Injection-Angriff versucht", erzählt der Ermittler. Mit solchen Angriffen können Hacker Daten auslesen, auf die sie eigentlich keinen Zugriff haben dürften. Das sollte Lucky nervös machen und ihn dazu bringen, sich für längere Zeit am Rechner aufzuhalten.

Es ging dabei nicht darum, Daten zu erbeuten, sondern um Ablenkung. "Wir wussten, welche Software eingesetzt wurde. Uns war also klar, dass der Angriff nicht funktionieren wird", sagt der Ermittler. Lucky habe die Angriffe blockiert. Linus Neumann vom Chaos Computer Club (CCC) bezeichnet ein solches Vorgehen als "effektiven psychologischen Trick". "Die Ermittler konnten davon ausgehen, dass die Person sich umgehend und für längere Zeit mit ihren Systemen beschäftigen würde, auf der Suche nach Anhaltspunkten für eine Schwachstelle oder einen erfolgreichen Angriff". So kam es dann auch.

Weil die Polizisten vor seiner Tür standen und seinen Internet-Verkehr beobachteten, konnten sie sehen, dass Lucky sich im Tor-Netzwerk befand. Sie rammten die Tür ein und beschlagnahmten den Rechner. Alles lief nach Plan.

Doch ist es Polizisten überhaupt gestattet, solche Hacker-Methoden anzuwenden? "Das kann ich Ihnen nicht sagen", erwidert der Ermittler dem Anwalt von U. Die Idee sei bei einem "Brainstorming" entstanden. Er verweist auf die Pressestelle. Die will die Frage, auf welcher rechtlichen Grundlage der Angriff stattfand, nicht beantworten. "Sie werden verstehen, dass es uns nicht obliegt, der durch das Gericht durchzuführenden Beweiserhebung durch die Beantwortung von Presseanfragen vorzugreifen."

Matthias Bäcker lehrt Öffentliches Recht und Informationsrecht an der Universität Mainz und spricht von einer "schwierigen Situation". "Wenn ich von vornherein weiß, dass der Angriff nicht funktionieren kann und ich auch gar nicht vorhabe, Daten zu erheben, sondern nur den Administrator provozieren will: Ist das eine Online-Durchsuchung? Schwer zu beantworten." Klar sei: Bewerte man das Vorgehen als Online-Durchsuchung, dann bedürfe es einer richterlichen Anordnung.

Den Ermittlern ist es gelungen, an die notwendigen Informationen zu kommen. Sie können "Deutschland im Deep Web" im Detail analysieren, U. kam vor Gericht. Das Urteil soll Mitte Dezember fallen. Ihm droht eine lange Haftstrafe.

IT-Sicherheit Wie Ermittler den mutmaßlichen Betreiber des Darknet-Forums festnahmen

OEZ-Anschlag

Wie Ermittler den mutmaßlichen Betreiber des Darknet-Forums festnahmen

"Lucky" war Administrator der Plattform, über die der Münchner Täter seine Waffe kaufte. Nach jahrelanger Suche schlugen die Fahnder zu - mit einem Rammbock.   Von Ronen Steinke und Hakan Tanriverdi