bedeckt München
vgwortpixel

Cybercrime:Wie eine der größten Kinderporno-Plattformen des Darknets aufflog

Ein Screenshot der beschlagnahmten Seite im Darknet. Die Ermittler konnten neben dem Betreiber der Seite auch Hunderte Nutzer der Kinderporno-Plattform ausfindig machen.

(Foto: AFP)
  • Auf der Darknet-Seite "Welcome to Video" tauschten Nutzer weltweit kinderpornographisches Material.
  • Ein 23-jähriger Südkoreaner soll die Seite aus seinem Schlafzimmer betrieben haben.
  • US-Ermittlern ist es gelungen die Seite abzuschalten und hunderte Nutzer weltweit zu identifizieren - darunter auch Dutzende Deutsche.

Letztlich waren es keine Hintertüren in verschlüsselten Messengern, keine Zero-Day-Lücken und keine Hacker im staatlichen Auftrag. Stattdessen waren es zwei simple Anfragen der Behörden, die eine der größten Darknet-Plattformen für Kinderpornographie zu Fall gebracht haben: Eine IP-Adresse und ein Bitcoin-Konto verrieten den 23-jährigen Südkoreaner Jung Woo S., der die Seite "Welcome to Video" im Darknet betrieben haben soll.

Die erste der beiden Anfragen, so steht es in einem Dokument des US-Justizministeriums, konnten die Ermittler nach einer erstaunlichen Entdeckung am 1. September 2017 stellen. Nach einen einfachen Rechtsklick hatten sie im Quellcode der Plattform eine IP-Adresse entdeckt, die nicht durch die Anonymisierungsverfahren verschleiert war, die normalerweise Plattformen im Darknet vor einer Identifizierung schützen. Die Zahlenfolge deutete auf einen Nutzer in Südkorea hin.

Durch ein Auskunftsersuchen beim Internet-Provider erfuhren sie, dass hinter dem Anschluss der 23-jährige Jung Woo S. steckte. Die Sicherheitslücke der Darknet-Seite war so offensichtlich, dass wenige Wochen später auch eine anonyme Hacker-Gruppe die IP-Adresse aufspürte und einen Journalisten des Technikmagazins Techcrunch über ihre Entdeckung informierte. Auch der alarmierte die Polizei.

Bis die Ermittler S. schließlich verhafteten, dauerte es trotzdem noch mehrere Monate. Das liegt wohl auch daran, dass die Operation gegen die Darknet-Plattform global koordiniert wurde, um zusätzlich zum Betreiber auch möglichst viele Nutzer der Seite festzunehmen. Tatsächlich ist die vom US-Justizministerium geführte Aktion einer der größten Erfolge gegen die in der Anonymität des Darknets operierende Kinderporno-Szene seit langem. Über 300 Nutzer in rund drei Dutzend Ländern wurden festgenommen. Auch das Bundeskriminalamt war beteiligt. Aus Ermittlerkreisen heißt es, dass durch die Hinweise der Amerikaner auch mehrere Dutzend deutsche Nutzer identifiziert wurden. Deutschlandweit wird inzwischen gegen Nutzer der Seite ermittelt.

Die zweite Anfrage, die S. zum Verhängnis wurde, stellten die Ermittler nur wenige Woche später. Denn auch als sie sich auf die Spur des Geldes machten, stießen sie wieder auf den Namen S. In seinem Zahlungssystem fanden sie einen weiteren Anfängerfehler.

"Eine der schlimmsten vorstellbaren Ausprägungen des Bösen"

Wer auf "Welcome to Video" Aufnahmen herunterladen wollte, musste eine Gebühr in der Digitalwährung Bitcoin bezahlen. Ein "VIP-Account", der sechs Monate lang unbegrenzte Downloads ermöglichte, kostete rund 300 Euro in Bitcoin. Wenn ein Nutzer einen neuen Account erstellte, leitete die Plattform die Nutzer daher zu einem amerikanischen Anbieter, bei dem die User ein Bitcoin-Wallet erstellen konnten. Mit einem solchen virtuellen Portemonnaie lassen sich Beträge der Digitalwährung Bitcoin speichern, überweisen und verwalten. Die meisten Nutzer dürften davon ausgegangen sein, dass ihre Zahlungen vollständig anonym sind. Tatsächlich verfolgten die Ermittler aber mehrere Monate lang sehr genau die Spuren, die Überweisungen in Höhe von mehr als 350 000 Dollar an die Seite hinterließen.

Dazu überwiesen verdeckte Ermittler zunächst Ende September 2017 Bitcoin im Wert von rund 120 Dollar an eine Wallet-Adresse von Welcome to Video. Transferiert werden die Beträge über die Blockchain, eine Art digitales Kassenbuch, das von jedem eingesehen werden kann. So können die Ermittler den Weg ihrer Überweisung genau verfolgen. Nach drei Tagen merken sie, dass ihr Geld auf ein anderes Wallet weitergeleitet wurde. Wer hinter den Wallets steckt, lässt sich auf der Blockchain nicht ohne weiteres einsehen. Doch wer seine Bitcoins wieder zu Geld machen möchte, muss sie auf eine Umtauschplattform überweisen, bei der sich Nutzer mit ihrem bürgerlichen Namen registrieren müssen.

Als die Ermittler nun bei einem amerikanischen Wallet-Dienst anfragten, wem das Bitcoin-Portemonnaie gehörte, stießen sie erneut auf den Namen Jong Woo S. Auch seine Handynummer und E-Mail-Adresse hatte S. dort angegeben. Welcher Wallet-Anbieter die Informationen von S. weitergab, machten die Ermittler nicht öffentlich. Über die gleiche Methode gelang es US-Ermittlern, weitere Nutzer von "Welcome To Video" zu identifizieren.