Theresa Locker - Report Darknet

Ein Botnet kann aber nicht nur Websites überlasten, sondern auch Krypto-Erpressersoftware verteilen. Die sogenannte Ransomware verschlüsselt die Festplatte eines Nutzers, bis er ein Bitcoin-Lösegeld an eine kryptische Adresse überwiesen hat. Genau deshalb ist Ransomware zu einem heißen Thema auf den Boards geworden – verspricht sie doch einen automatisierten digitalen Beutezug mit geringem Aufwand. Im Februar 2016 katapultierte eine solche Erpressersoftware rund 150 deutsche Krankenhäuser vorübergehend zurück in die 50er-Jahre: Ein beiläufiger Klick auf einen E-Mail-Anhang hatte die Systeme mit einem Erpressungstrojaner infiziert und die wichtigsten Daten verschlüsselt. In der Notfallambulanz in Neuss mussten Patientendaten per Hand aufgenommen werden, die Befunde stapelten sich als Zettel auf den Schreibtischen, komplizierte Eingriffe wie Herz-OPs konnten gar nicht mehr durchgeführt werden. Ob die Krankenhäuser tatsächlich an Kriminelle gezahlt haben, um den Betrieb wieder aufzunehmen, oder anderweitig wieder an ihre Daten kamen, ist nicht bekannt. Wer die Ransomware verteilt hatte, ebenfalls nicht.

Damit ein Botnet seine Wirkung entfalten kann, muss der zentrale Server »kugelsicher« gehostet werden, um schwerer nachweisen zu können, wo der Angriff mit den infizierten Geräten seinen Ursprung hat. Um bei kriminellen Geschäften im World Wide Web unsichtbar zu bleiben, braucht man spezielle Verschleierungstechniken, auf die sich andere CNW-Nutzer in der Kategorie »Hosting« spezialisiert haben – oder ganze Firmen, die sich als »Bulletproof Hoster« anbieten, wie der folgende Fall zeigt.

Im September 2019 rücken 650 Polizisten in das Weinstädtchen Traben-Trarbach an der Mosel vor. Ihr Ziel ist ein unwirklicher, versteckter Ort im Inneren des Stadtbergs Mont Royal. Die knapp 6.000 Einwohner von Traben-Trarbach nennen den Ort liebevoll »unseren Bunker«. Früher war hier mal die NATO, danach die Bundeswehr stationiert. 12Fünf Jahre nach dem endgültigen Auszug der Truppen mietete ein gewisser Herman X. aus den Niederlanden sich im Jahr 2012 in die fünf »Solen« genannten Stockwerke tief unter der Erde ein. X.s Geschäft ist das Vermieten von Online-Speicherplatz. Er wollte den Bunker haben, weil er eine Festung ist. Autarke Notstromaggregate sichern die Energieversorgung, rein kommt man nur über eine militärisch gesicherte Schleuse. Und das Bundesamt für Liegenschaften suchte dringend einen Abnehmer für das teure Grundstück und die Instandhaltung von Grundwasserpumpen, Öltanks, Schiffsdieselmotoren und Lüftungen.

X. bekam den Zuschlag und verschanzte sich dort mit einer bunten Truppe an Mitarbeitern. Er zog Erdwälle um den Bunker hoch, ließ Rottweiler ums Gelände streifen, Besucher sahen nicht mehr als eine Schranke, Überwachungskameras und dichte Bäume. Niemand sollte wissen, was X. im Inneren trieb.

Der »Cyberbunker« wurde die wohl wichtigste Schaltzentrale für organisierte Cybercrime- und Darknet-Geschäfte in Deutschland. Der zweitgrößte Darknet-Drogenmarkt Wall Street Market soll hier seine Daten gespeichert haben, aber oft genug tauchten die im Bunker gesicherten Websites auch im Clearnet auf – die rechtsextreme Gruppierung Identitäre Bewegung mietete sich für ihren Webauftritt angeblich sogar zum Sonderpreis ein. 13

Etwa sechs Jahre lang soll Herman X. unter der Erde in Traben-Trarbach unzählige illegale Cybercrime-Websites gehostet haben. Der Gerichtsprozess dazu steht noch aus. 14Er selbst behauptet nach seiner Festnahme, über die digitalen Inhalte seiner Kunden nicht Bescheid gewusst zu haben. In jedem Fall bewarb der Cyberbunker die schrankgroßen Server, die dort standen, mit der Garantie, dass die darauf gehosteten Inhalte vor Strafverfolgung geschützt seien. »No matter what«, wie es auf der Website kompromisslos hieß. Kompromisslos war auch die Betreiber-Policy: Jeder konnte Kunde werden und seinen Daten im Cyberbunker ein Zuhause hinter dicken Mauern bieten, solange er nichts mit Pädophilie oder Terrorismus am Hut hatte. Es war nicht weniger als eine herzliche Einladung für die Organisierte Kriminalität im World Wide Web.

Die Razzia im Cyberbunker traf auch die Daten des Cybercrime-Forums Fraudsters, den damals größten Konkurrenten von Neils CNW. Das gesamte Angebot ging vom Netz. Wo genau CNW gehostet ist, das behält Neil natürlich für sich.

Nur so viel verrät er: Das neue Crimenetwork hat aktuell keine nennenswerte Konkurrenz, und das Geld, das in diesem Unternehmen steckt, macht nicht nur die CNW-Händler, sondern vor allen Dingen den Betreiber Neil 15sehr reich.

Es scheint zunächst erstaunlich, dass man mit einem einfachen Internetforum zu so viel Geld kommen kann. Doch hinter dem simplen, pechschwarzen Layout steckt ein aufwendiges Geschäftsmodell, bei dem sich die Betreiber am Handel ihrer Mitglieder bereichern. Es stützt sich im Wesentlichen auf drei Säulen: Werbung, Lizenzen und Treuhandgebühren.

Genau wie bei legalen Websites können Nutzer Werbung auf CNW schalten – nur eben für ihr Kokain, Falschgeld oder für gestohlene Kreditkarten. Ein winziges Werbebanner kostet mehrere Tausend Euro im Monat. 16Das Geld, bezahlt in Bitcoin, geht direkt an die Forenbetreiber. Zweitens können Verkäufer illegaler Dienstleistungen ihre Handlungsspielräume auf CNW erweitern, indem sie sich eine Monopol-Lizenz kaufen. Damit sichern sie sich gegen eine monatliche Gebühr von 2.000 Euro bis 10.000 Euro 17je nach Produkt an die Führung das alleinige Recht, innerhalb des Forums eine bestimmte Ware anzubieten.

Damit Spezialisten im Datendiebstahl, böswillige Hacker und Online-Betrüger überhaupt irgendwie »sicher« miteinander handeln können, hat Neil als dritte Säule ein sogenanntes Treuhandsystem programmiert. Dieses System zur Absicherung von Transaktionen hat er sich von Darknet-Kryptomärkten abgeschaut – und es ist der Grund, weshalb der Laden läuft. Möchte A etwas von B kaufen, überweist er Bitcoin an Neils System auf der Seite, bis B die Ware an A geliefert hat. Ist das geschehen, zahlt Neils Treuhandsystem dem Verkäufer der Ware das Geld aus. Von jeder Transaktion zweigt sich Neil fünf Prozent ab. Neil, der sich selbst als »geldgeil« bezeichnet, zeigt uns bei einem Treffen, wie viel Geld er mit seinem System verdient hat. Allein 150.000 Euro hat er nach wenigen Monaten bereits in Bitcoin geparkt, eine Viertelmillion Euro in Bitcoin ist durch sein Treuhandsystem gesickert. »Aktuell verdiene ich das Dreifache meines regulären Jobs. Nebenher. Steuerfrei«, sagt er. Im Backend der Seite zeigt er uns, dass jeden Tag 255 GB Traffic über das Board laufen. Je mehr Traffic, desto länger halten sich die Nutzer auf CNW auf, je mehr Leute handeln und das Treuhandsystem nutzen, desto reicher wird Neil.

Neil versteht sich als Architekt einer komplexen verschlüsselten Infrastruktur und nicht unbedingt als Anbieter eines illegalen Angebots. Seine Ausgaben sind im Vergleich zu seinen Einnahmen gering. »Rechnet man grob alle Systeme zusammen, die CNW aktuell hat – Back-up der Maschinen, Backend der Maschinen, Frontend –, kostet das pro Monat 400 bis 600 Euro für den reinen technischen Betrieb«, sagt Neil. 18

Es steckt also viel Krypto-Geld im Marktplatz auf CNW. Treuhand-Gelder sind einer der Gründe, warum die Führungsriege mehrere Male in den letzten Jahren gewechselt hat. Bevor es Neils System gab, übernahmen nämlich die jeweiligen Forenbetreiber die Verwaltung von Geldern persönlich – wer handeln wollte, musste ihnen schlicht vertrauen. Einer, der sich sync nannte, verschwand vor vier Jahren mit mehreren Millionen einbehaltener Gebühren und Treuhandgeldern der Nutzer. 19Ob aus Angst vor den Behörden, zur Vernichtung von Beweismitteln oder einfach aus Kalkül und Geldgier, weiß bis heute niemand. Wie sein Nachfolger unter dem Nutzernamen Mr. White verschwand, wissen wir mittlerweile: Der ehemalige CNW-Administrator, ein damals 23-jähriger Student der Wirtschaftswissenschaften, wurde 2017 in Köln festgenommen. Nach neunmonatiger Untersuchungshaft und der polizeilichen Beschlagnahmung von rund einer Million Euro in Bitcoin legte er letztlich ein Geständnis ab. 20Ende Januar verurteilte ihn das Landgericht Köln zu einer Freiheitsstrafe von zwei Jahren auf Bewährung.