Cybercrime:Wie eine der größten Kinderporno-Plattformen des Darknets aufflog

Cybercrime: Ein Screenshot der beschlagnahmten Seite im Darknet. Die Ermittler konnten neben dem Betreiber der Seite auch Hunderte Nutzer der Kinderporno-Plattform ausfindig machen.

Ein Screenshot der beschlagnahmten Seite im Darknet. Die Ermittler konnten neben dem Betreiber der Seite auch Hunderte Nutzer der Kinderporno-Plattform ausfindig machen.

(Foto: AFP)
  • Auf der Darknet-Seite "Welcome to Video" tauschten Nutzer weltweit kinderpornographisches Material.
  • Ein 23-jähriger Südkoreaner soll die Seite aus seinem Schlafzimmer betrieben haben.
  • US-Ermittlern ist es gelungen die Seite abzuschalten und hunderte Nutzer weltweit zu identifizieren - darunter auch Dutzende Deutsche.

Von Max Hoppenstedt, Berlin

Letztlich waren es keine Hintertüren in verschlüsselten Messengern, keine Zero-Day-Lücken und keine Hacker im staatlichen Auftrag. Stattdessen waren es zwei simple Anfragen der Behörden, die eine der größten Darknet-Plattformen für Kinderpornographie zu Fall gebracht haben: Eine IP-Adresse und ein Bitcoin-Konto verrieten den 23-jährigen Südkoreaner Jung Woo S., der die Seite "Welcome to Video" im Darknet betrieben haben soll.

Die erste der beiden Anfragen, so steht es in einem Dokument des US-Justizministeriums, konnten die Ermittler nach einer erstaunlichen Entdeckung am 1. September 2017 stellen. Nach einen einfachen Rechtsklick hatten sie im Quellcode der Plattform eine IP-Adresse entdeckt, die nicht durch die Anonymisierungsverfahren verschleiert war, die normalerweise Plattformen im Darknet vor einer Identifizierung schützen. Die Zahlenfolge deutete auf einen Nutzer in Südkorea hin.

Durch ein Auskunftsersuchen beim Internet-Provider erfuhren sie, dass hinter dem Anschluss der 23-jährige Jung Woo S. steckte. Die Sicherheitslücke der Darknet-Seite war so offensichtlich, dass wenige Wochen später auch eine anonyme Hacker-Gruppe die IP-Adresse aufspürte und einen Journalisten des Technikmagazins Techcrunch über ihre Entdeckung informierte. Auch der alarmierte die Polizei.

Bis die Ermittler S. schließlich verhafteten, dauerte es trotzdem noch mehrere Monate. Das liegt wohl auch daran, dass die Operation gegen die Darknet-Plattform global koordiniert wurde, um zusätzlich zum Betreiber auch möglichst viele Nutzer der Seite festzunehmen. Tatsächlich ist die vom US-Justizministerium geführte Aktion einer der größten Erfolge gegen die in der Anonymität des Darknets operierende Kinderporno-Szene seit langem. Über 300 Nutzer in rund drei Dutzend Ländern wurden festgenommen. Auch das Bundeskriminalamt war beteiligt. Aus Ermittlerkreisen heißt es, dass durch die Hinweise der Amerikaner auch mehrere Dutzend deutsche Nutzer identifiziert wurden. Deutschlandweit wird inzwischen gegen Nutzer der Seite ermittelt.

Die zweite Anfrage, die S. zum Verhängnis wurde, stellten die Ermittler nur wenige Woche später. Denn auch als sie sich auf die Spur des Geldes machten, stießen sie wieder auf den Namen S. In seinem Zahlungssystem fanden sie einen weiteren Anfängerfehler.

"Eine der schlimmsten vorstellbaren Ausprägungen des Bösen"

Wer auf "Welcome to Video" Aufnahmen herunterladen wollte, musste eine Gebühr in der Digitalwährung Bitcoin bezahlen. Ein "VIP-Account", der sechs Monate lang unbegrenzte Downloads ermöglichte, kostete rund 300 Euro in Bitcoin. Wenn ein Nutzer einen neuen Account erstellte, leitete die Plattform die Nutzer daher zu einem amerikanischen Anbieter, bei dem die User ein Bitcoin-Wallet erstellen konnten. Mit einem solchen virtuellen Portemonnaie lassen sich Beträge der Digitalwährung Bitcoin speichern, überweisen und verwalten. Die meisten Nutzer dürften davon ausgegangen sein, dass ihre Zahlungen vollständig anonym sind. Tatsächlich verfolgten die Ermittler aber mehrere Monate lang sehr genau die Spuren, die Überweisungen in Höhe von mehr als 350 000 Dollar an die Seite hinterließen.

Dazu überwiesen verdeckte Ermittler zunächst Ende September 2017 Bitcoin im Wert von rund 120 Dollar an eine Wallet-Adresse von Welcome to Video. Transferiert werden die Beträge über die Blockchain, eine Art digitales Kassenbuch, das von jedem eingesehen werden kann. So können die Ermittler den Weg ihrer Überweisung genau verfolgen. Nach drei Tagen merken sie, dass ihr Geld auf ein anderes Wallet weitergeleitet wurde. Wer hinter den Wallets steckt, lässt sich auf der Blockchain nicht ohne weiteres einsehen. Doch wer seine Bitcoins wieder zu Geld machen möchte, muss sie auf eine Umtauschplattform überweisen, bei der sich Nutzer mit ihrem bürgerlichen Namen registrieren müssen.

Als die Ermittler nun bei einem amerikanischen Wallet-Dienst anfragten, wem das Bitcoin-Portemonnaie gehörte, stießen sie erneut auf den Namen Jong Woo S. Auch seine Handynummer und E-Mail-Adresse hatte S. dort angegeben. Welcher Wallet-Anbieter die Informationen von S. weitergab, machten die Ermittler nicht öffentlich. Über die gleiche Methode gelang es US-Ermittlern, weitere Nutzer von "Welcome To Video" zu identifizieren.

Bitcoin sind weniger anonym als die meisten glauben

Das Ende von "Welcome to Video" kam im März 2018. Bei einer Razzia in der Wohnung von S. stieß die südkoreanische Polizei auf den Server der Darknet-Seite. Der mutmaßliche Betreiber hatte ihn in seinem Schlafzimmer aufgestellt. Die acht Terabyte an beschlagnahmten Videos offenbaren das ganze Grauen von "Welcome to Video". Wer auf der Seite etwas hochladen wollte, bekam eine klare Anweisung: "Laden Sie keine Pornos mit Erwachsenen hoch", so stand es laut der Anklageschrift der US-Behörden auf der Upload-Seite.

"Ein Großteil der Aufnahmen auf der Seite zeigt den Missbrauch von Kindern, Kleinkindern und Babys", sagte die US-Ermittlerin Jessie Liu diesen Mittwoch auf einer Pressekonferenz. Zu den am meisten gesuchten Suchbegriffen zählt laut Anklageschrift unter anderem die Abkürzung "%2yo" für Zweijährige. Liu bezeichnete die Seite in einer Pressekonferenz als "eine der schlimmsten Ausprägungen des Bösen, die man sich nur vorstellen kann."

Die erfolgreichen Ermittlungen gegen "Welcome to Video" zeigen auch, dass Ermittler nicht unbedingt teure Hacking-Tools wie den Staatstrojaner brauchen, um Kriminelle im Darknet zu identifizieren. Oft helfen den Behörden klassische Methoden, wie der Einsatz von verdeckten Ermittlern oder die Analyse von offen verfügbaren Datensätzen. Das war schon bei der großen deutschen Kinderporno-Seite Elysium der Fall.

Das Darknet-Imperium, das S. sich aufgebaut hatte, war riesig. Seine Seite hatte die Kapazität für eine Millionen Nutzer. Über 250 000 Videos sollen über die Plattform geteilt worden sein. Fast die Hälfte des Materials kannten die Ermittler aus dem internationalen Ermittlungsverbund nicht. Aber Darknet-Plattformen wie "Welcome to Video" sind oft weit mehr als Tauschbörsen für Videomaterial. Über solche Darknet-Seiten verabreden sich häufig Täter zum Missbrauch oder bieten Kinder an. So war es offenbar auch hier: 23 Kinder konnten durch die Ermittlungen weltweit befreit werden.

Zur SZ-Startseite

Wall Street Market
:Die Fehler der Darknet-Bosse

Sie fühlten sich zu sicher hinter VPN-Verbindungen und Bitcoin - nach der Verhaftung der drei deutschen Administratoren des Drogen-Marktplatzes "Wall Street Market" zeigen US-Dokumente , welche Fehler die Ermittler auf ihre Spur führten.

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: