Auf den ersten Blick wirkt die Suchmaske ziemlich unspektakulär: Die Suchergebnisse lassen sich nach Sprache, Stichwörtern oder Region filtern. Doch der «Dark Web Monitor» zeigt eben auch Seiten an, die gerade gar nicht online sind und markiert, welche Seiten wahrscheinlich illegal sind.
«Ein sehr signifikanter Anteil aller Darknet-Seiten ist darin erfasst», erzählt Thomas Goger von der Zentralstelle Cybercrime Bayern (ZBC), während er durch die Suchergebnisse scrollt.
Für die Ermittler ist das eine kleine Sensation. Denn im sogenannten Darknet werden Waren und Leistungen wie Drogen, Waffen und Bilder von Kindermissbrauch anonym angeboten – und sogar Mordaufträge. Aber einen richtigen Überblick hatte bisher keiner. Eine vergleichbare Suchmaschine wie Google gibt es für das Darknet nicht, weil viele Nutzer gar nicht gefunden werden möchten. «Seiten im Darknet tauchen auf und verschwinden wieder. Oder sie erscheinen plötzlich unter ganz anderen Domainnamen», erklärt der Oberstaatsanwalt.
Cyberkriminelle sind den Ermittlern eigentlich immer einen Schritt voraus – allein weil die Staatsanwaltschaft erst eingreifen kann, wenn es zumindest einen Anfangsverdacht für konkrete Taten gibt. Doch dann müssen sie die Kriminellen toppen. «Das ist das Ziel. Deshalb haben wir überprüft: Wo ist unsere Lücke?», sagt Goger. «Wir konnten bislang nicht vernünftig recherchieren, was im Darknet passiert.» Mit dem «Dark Web Monitor» als eine Art Suchmaschine und Archiv für das Darknet soll sich das nun ändern.
Ein schwieriges Unterfangen – nicht nur aus technischer Sicht. «Cyberkriminalität ist ein sprudelndes Becken», räumt Goger ein. «Betrüger schauen immer, wie sie sich am besten verkaufen können.» Dementsprechend passen sie ihre Strategie an, wie die Corona-Krise geradezu exemplarisch zeigt. «Wenn sie einen Fake-Shop im April, Mai eröffnet haben, haben sie keine Kaffeemaschinen angeboten, sondern Desinfektionsmittel oder Masken.»
Die Liste der Corona-Betrugsmaschen ist lang: Erpresser drohen in E-Mails, die Familie mit dem Coronavirus zu infizieren. Betrüger versuchen, über Links zu angeblichen Impfstoffen Schadsoftware zu verbreiten oder sensible Daten mit Fake-Seiten für Soforthilfen zu ergaunern. «Unsere Staatsanwälte haben bislang mindestens 1145 Verfahren wegen Corona-Betrugs eingeleitet», teilte Justizminister Georg Eisenreich (CSU) auf Nachfrage mit. Nicht alle Verbrechen sind im Netz passiert – aber wohl der Großteil.
«Die Täter bekommen natürlich mit, dass es immer mehr Ermittlungserfolge gibt», meint Goger von der Zentralstelle Cybercrime Bayern. «Sie sehen beispielsweise, dass wir Ermittler mit Bitcoins umgehen können. Jetzt nutzen sie deshalb verstärkt alternative Kryptowährungen wie zum Beispiel Monero.»
Mit solchen Kryptowährungen bezahlen Cyberkriminelle auch Leute, die die Arbeit im Darknet für sie übernehmen. «Diese „Crime as a Service“ genannte Entwicklung führt dazu, dass die Auftraggeber von schweren Cyberdelikten noch schwerer gefunden werden können», berichtet Cornelius Granig, der als IT-Experte Unternehmen im Bereich Cyberkriminalität berät.
Durch internationale Arbeitsteilung, modernste Technologien und ständig wechselnden Seiten fühlen sich Cyberkriminelle im Darknet offenbar nach wie vor geschützt – trotz aller Ermittlungserfolge und «virtuellen Streifenfahrten» der Polizei. «Eine „Ausweichstrategie“ der Straftäter ist hier nicht zu erkennen», räumt ein Sprecher des Landeskriminalamts ein.
Also kein Darknet 2.0? «Das Darknet 2.0 ist vielleicht eher wieder der Rückgriff auf die physische Welt», beobachtet Felix Freiling vom Graduiertenkolleg «Cyberkriminalität und Forensische Informatik» der Friedrich-Alexander Universität Erlangen-Nürnberg. Cyberkriminelle würden wieder anfangen, sich persönlich zu treffen, um geheime Informationen und Zugangsdaten für das Darknet auszutauschen. «Das ist ein bisschen paradox», meint Freiling. Aber so kann zumindest keine Suchmaschine die Daten erfassen.
dpa