zurück zum Artikel

Forum im Darkweb: Prozess beleuchtet das Vorgehen eines Attentäters und die Ermittlungen

Forum im Darkweb: Prozess beleuchtet Ermittlungen und Vorgehen eines Attentäters

(Bild: PopTika / Shutterstock.com)

Mitte 2017 wurde der Betreiber des Darkweb-Forums DiDW festgenommen, über das die Vorbereitung eines Anschlags eingeleitet wurde. Nun steht er vor Gericht.

Alles schien nach Plan zu laufen bei der Festnahme von Alexander U., dem Betreiber des Darkweb-Forums "Deutschland im Deep Web" (DiDW) im Frühjahr 2017 [1]. Mit einem Trick hatten die Ermittler ihn vor seinen Computer gelockt. GSG-9-Beamte knackten dann mit einem Rammbock seine Wohnungstür und ihre Kollegen vom Bundeskriminalamt rannten ins Wohnzimmer und zogen den großgewachsenen, kräftigen Mann von seiner Tastatur. Sein Computer lief noch. Passwörter und Verschlüsselungen lagen offen zutage.

Ein IT-Experte des Ermittlerteams machte sich an die Arbeit. Alles lief perfekt. Aber dann zog ein BKA-Mann das Server-Stromkabel aus der Steckdose – wie ein BKA-Beamter im Zeugenstand des Landgerichts Karlsruhe kleinlaut einräumte. Dort ist Alexander U. wegen fahrlässiger Tötung und Beihilfe zu Waffen- und Drogenhandel angeklagt. Der Prozess legt nicht nur jede Menge Details zu den Ermittlungen offen, sondern auch zu einem Anschlag im Sommer 2016.

Vier Jahre lang hatte U. DiDW betrieben. Zu erreichen war es nur im Tor-Netz unter der Adresse germanyhusicaysx.onion. In die Schlagzeilen war es wegen des Anschlags am Münchner Olympia-Einkaufszentrum geraten. Dort hatte ein 18-Jähriger mit einer Pistole um sich geschossen, neun Menschen getötet und weitere verletzt. Bis auf eine Mutter kleiner Kinder waren alle Todesopfer Jugendliche. Weitere Menschen wurden verletzt, teils mit drastischen Folgen.


Die Waffe hatte der Täter von einem Händler, den er im DiDW-Forum kennengelernt hatte [2]. Alexander U. ist dafür wegen fahrlässiger Tötung angeklagt. Der Waffenhändler Philipp K. [3] wurde bereits Anfang 2018 in München zu sieben Jahren Gefängnis verurteilt. Gegen den DiDW-Administrator verhandelt das Landgericht Karlsruhe außerdem wegen zahlreicher Fälle von Beihilfe zu illegalem Waffen- und Drogenhandel. Ob dieses Jahr noch ein Urteil fallen wird, ist ungewiss. Das Gericht plant das jedenfalls so. Die Beweisaufnahme gestaltet sich aber aufwändiger als gedacht, auch, weil der Angeklagte bis auf eine kurze Erklärung kaum zur Aufklärung beiträgt.

Seine Plattform habe eine "Informationsquelle für Techniken sein" sollen, las er am ersten Prozesstag von einem von Hand beschriebenen Blatt. Sie sollte außerdem offenen Meinungsaustausch gegen die "Verfolgung von Menschenrechtlern und Journalisten" ermöglichen. Er habe ein eigenes System zur Nachrichtenübermittlung mit PGP-Verschlüsselung geschrieben und als Alternative zu Bitmessage nutzen wollen. In seinem Forum sei ausdrücklich nichts verboten gewesen, auch nicht Betrug oder "Störungen". Derartige Einträge habe er allerdings in die Rubrik "Spackentreff" wegsortiert. Ob in seinem Forum irgendwo Geschäfte zustande kamen, sei ihm "nicht wichtig" gewesen. Erst auf Nachfrage des Richters stellte er klar, wie sein Username lautete und welche Rolle er einnahm: "Ja, ich bin Luckyspax und ich habe das Forum eingerichtet".

Was die Wichtigkeit von Geschäften betrifft – da schreibt die Staatsanwaltschaft dem Angeklagten eine deutlich aktiverere Rolle zu. Verkäufer habe nur werden können, wer von "Luckyspax" in die Rubrik "Biete" verschoben wurde. Wer sich dort bewährte und von seinen Kunden gute Bewertungen erhielt wurde zusätzlich ausgezeichnet. Solche Händler verschob er in die Unterrubrik "Biete zertifiziert".

Mit 23.800 registrierten Nutzern war DiDW nach Ansicht der Anklage "eines der größten Underground-Foren" im deutschsprachigen Raum. Die Zahl der vom Angeklagten freigeschalteten Händler belief sich quer durch die Kategorien für Waffen und Drogen auf rund 600. "Luckyspax" sei vom Beginn bis zum unfreiwilligen Ende der alleinige Admin gewesen. Die Zahl der abgewickelten Deals will der Staatsanwalt nicht beziffern. Da vor allem im Bereich Drogen viele Händler bestehende Angebote einfach immer wieder aktualisierten, sei die Zahl der formal feststellbaren Angebote wohl deutlich niedriger als die der abgewickelten Deals. Etliche Tausend Drogen- und Waffengeschäfte dürften es gewesen sein. Bei der Verlesung der Anklage nennt der Staatsanwalt nur "Beispielfälle". Die – so schätzen es auch Nebenklage-Vertreter ein – könnten für mehrere Jahre Gefängnis genügen.

Der krasseste dieser Beispielfälle ist der Anschlag am Olympia-Einkaufszentrum am 22. Juli 2016. Welche teils dramatischen Konsequenzen dieses Verbrechen auch nach mehr als zwei Jahren noch mit sich bringt, schilderte am Montag ein Beamter des bayerischen Landeskriminalamtes. Ein Überlebender, der von einer Kugel getroffen wurde, leide bis heute aufgrund seiner Verletzungen an einer "fortpflanzungsrelevanten Dysfunktion". Ein anderer könne wegen eines Bauchdurchschusses schmerzfrei weder liegen, sitzen noch stehen. Ein Überlebender habe einen Lungendurchschuss erlitten mit der Folge dauerhaft "reduzierter Ventilation" Die meisten Opfer und Hinterbliebenen litten an psychischen Problemen wie Depressionen, Konzentrationsstörungen, Leistungsabfall oder Schlafstörungen.

Ausführlich erkundigte sich der Vorsitzende Richter Holger Radke auch nach Täter David S. und seinen Motiven. Der sei mehrfach in psychologischer Behandlung gewesen, sagte einer der bayerischen Ermittler, der auch in der "Soko OEZ" tätig war. Er habe wohl sehr zurückgezogen gelebt und "autistische Züge" gezeigt. Überdies sei er ein extremer Gamer gewesen. Bei den Ermittlungen habe sich nachweisen lassen, dass er mehr als 4000 Stunden mit Spielen verbracht habe.

Konkreter wurde das im Prozess noch nicht. Allerdings finden sich viele Details in den Akten. Einen wesentlichen Teil dieser Spiele-Zeit verbrachte S. demnach bei Steam. Dort lautete sein User-Name "Tim K." mit dem Beschreibungstext: "I am the ghost of Tim K. I will come back and kill again." Tim K. hieß der 17-jährige Schütze, der an der Albertville-Realschule in Winnenden 15 Menschen getötet und sich dann selbst das Leben genommen hatte. Knapp zwei Monate vor seinem eigenen Anschlag war S. nach Winnenden gefahren und hatte die Gedenkstätte für den Anschlag besucht und fotografiert.

Auf Steam traf S. Gleichgesinnte, die wie er von Amoktätern geradezu besessen waren. In einer Steam-Gruppe mit dem Namen "Anti-Refugee-Club" chattete er mit einem US-Amerikaner der später in einer Schule zwei Schüler ermordete und sich selbst richtete. Zur Gruppe gehörte auch ein deutscher Schüler aus Ludwigsburg (Baden-Württemberg), der später festgenommen wurde, in seiner Wohnung fand die Polizei Masken, Pläne von Schulen und Pläne für mögliche Amokläufe.

Dass S. selbst "eine rechtsextreme Einstellung" vertreten habe, sagte einer der bayerischen LKA-Ermittler im Karlsruher Gericht. S. Haltung sei "geprägt gewesen von Hass auf Migranten". Er sei als Schüler gemobbt worden, von Mitschülern "mit Migrationshintergrund". Daraus habe er "einen Hass auf Migranten entwickelt". Dass David S. selbst Migrationshintergrund hatte, spielte bei dieser Vernehmung – wie auch in früheren Verfahren – keine Rolle. Seine Eltern waren aus dem Iran nach Deutschland gekommen, geboren wurde er in München. Wenige Wochen vor dem tödlichen Anschlag ließ er auf eigenen Wunsch seinen Vornamen ändern – von Ali auf David.

Zu dieser Zeit war S. auch schon bei DiDW registriert. Der Weg dorthin war steiniger als zu Steam. DiDW – so der Staatsanwalt – "war auf größtmögliche Abschottung ausgerichtet". Die erste Hürde, die jeder Interessent zu nehmen hatte, war schon das Tor-Netz, die nächste, die dortige URL in Erfahrung zu bringen. Als nächstes war ein längerer Einführungstext zu finden und zu lesen und die darin verborgene URL zur Registrierungsseite zu finden. Offensives Marketing mit Suchmaschinenoptimierung war das nicht.

Aber S. hatte den dringenden Wunsch nach einer scharfen Waffe, und zwar einer Glock 17, Generation 3 oder 4. Dieser Waffentyp deshalb, weil sein Vorbild, der norwegische Attentäter Anders Breivik eine solche hatte. Nachdem er die Hürden bis hinein ins DiDW genommen hatte, registrierte er sich dort unter dem Namen "Maurächer". Ob jemand eine Glock habe, die er ihm verkaufen würde, fragte er herum. Eine seiner Anfragen schickte er an einen User namens "Erichhartmann". Das war am 24. Juli 2015, ein Jahr vor seinem Anschlag.

Dass S. daraufhin nicht sofort aufflog gehört bis heute zu den Rätseln in diesem Fall. Der echte "Erichhartmann" war da nämlich nicht mehr im Geschäft. Ermittler des Zollfahndungsamtes hatten ihn geschnappt und seinen Account übernommen. "Erichhartmann" war weiter online bei DiDW, dahinter verbarg sich jetzt aber ein verdeckter Ermittler. Auf Anfrage bestätigt die Ermittlungsbehörde die Anfrage auch, man habe sie aber nicht bewerten können. Eine Antwort von "Erichhartmann" an "Maurächer" ist nicht überliefert.

Wer aber antwortete, wenn auch erst fast ein Jahr später, war Philipp K., DiDW-Username "Rico". Der gehörte schon eine Weile zu den regelmäßigen Besuchern bei DiDW. Als persönliches Motto hatte er unter seinen Profilnamen geschrieben: "Rico kennt sich aus". "Rico" hatte etwa Ratschläge für andere User parat, wenn die sich nach der Seriosität von Waffenhändlern erkundigten, vor allem dann, wenn die sich vorab in Bitcoin bezahlen lassen wollten."Einen wirklich seriösen Waffenseller wirst Du im Darkweb nicht finden", schrieb er einmal, "wer seriös ist, macht das nicht mit Bitcoins" (Alle Aktenzitate aus rechtlichen Gründen nicht wörtlich, sondern nur sinngemäß wiedergegeben).

Auch Philipp K. gilt politisch als rechtsextrem. Im Forum erkundigte er sich, ob ihm jemand das Paulchen-Panther-Bekennervideo des NSU ("Nationalsozialistischer Untergrund“) schicken könne. Für seinen PGP-Schlüssel verwendete er die Kennung: "Johnny-Rico 4K Heil Hitler". Bei seinen Waffengeschäften bevorzugte er echte Treffen, bei denen die Geschäfte Zug um Zug abgewickelt wurden. Der Verkäufer übergab die Waffe, der Käufer den Kaufpreis in bar. Die ersten Kontakte kamen im Forum zustande. Die konkreten Absprachen traf Rico mit seinem Kunden meist in privaten und verschlüsselten Bitmessages.

Im April 2016 schrieb "Rico" an "Maurächer", er habe jetzt über längere Zeit mitbekommen, dass er eine Glock suche. Er habe eine. Er würde sie ihm auch verkaufen. Am 20. Mai 2016 fuhr S. mit einem Flixbus nach Marburg zum vereinbarten Treffpunkt. K. erinnerte sich in einer Vernehmung, dass als Kaufpreis 4000 Euro vereinbart waren und dass er 100 Schuss Munition beilegte. S. sei nervös gewesen. Er habe erzählt, irgendwelche Türken hätten sein Auto zerkratzt. Er wohne in einer "Assi-Gegend". Da benötige er eine Waffe.

Am 18. Juli reiste S. ein zweites Mal zu Philipp K. nach Marburg. Dieses Mal kaufte er 350 Schuss Munition für 350 Euro. Einen Teil seiner alten Munition hatte er in Keller seines Mietshauses in der Münchner Innenstadt verschossen und den Umgang mit der Waffe trainiert. Vier Tage später verübte er seinen Anschlag und nahm sich selber das Leben.

Und dann dauerte es auch nur wenige Wochen, bis die Zollfahnder seinen Waffenlieferanten erwischten. Einer der verdeckten Ermittler schickte "Rico" eine Nachricht und äußerte Interesse, eine Waffe zu kaufen, eine Maschinenpistole. "Rico" antwortete, er müsse leider absagen. Sein eigener Dealer habe sich zurückgezogen. „Es ist nämlich so, dass Maurächer seine Tatwaffe von mir hatte. Und ich hatte sie von besagtem Dealer“. Die beiden schickten sich dann noch mehrere Nachrichten hin und her. Rico änderte seine Meinung und letztlich wurde sogar ein Paket-Deal vereinbart.

Am 16. August 2016, vier Wochen nach dem Anschlag in München, fand das Treffen zwischen Rico und seinem vermeintlichen Kunden statt, wieder in Marburg. Rico hatte Waffen und Munition dabei. Bei der Übergabe nehmen ihn die Beamten fest.

Nur an den Admin von DiDW, an den waren die Fahnder bisher nicht herangekommen. Bei Zoll und Bundeskriminalamt hatte sich der Mann inzwischen einen gewissen Ruf erworben. "König des Darkweb" nannte ihn einige Beamte. Mehr als seinen Usernamen "Luckyspax" kannten sie nicht. Und es schien sogar, dass im Forum Leute unterwegs waren, die die von Ermittlern übernommenen Accounts intern enttarnt hatten.

Einer, er nannte sich "blab", schrieb einen dieser Accounts an und gab auch gleich zu erkennen, er wisse, dass ein verdeckter Ermittler ihn jetzt betreibe. "Hey, ich liege doch richtig, dass ich es hier mit einem Fahnder zu tun habe?" Ob er nicht wisse, dass "Rico" einen Windows-10-PC benutze, dass sein Speicher unverschlüsselt sei und er seine Platte mit Eraser 5.8.8 formatiert habe? Hätten die Beamten schon vorher geantwortet, als er "gebustete" Accounts kontaktierte, dann hätten sie den Münchner Anschlag verhindern können. Er biete ihnen jetzt die Infos, die sie benötigten, um "die großen Fische" zu fangen. Das sollte 5 Bitcoin kosten.

Die Zollfahnder antworteten diesmal. "blab" solle ein Bauernopfer bringen. Danach könne man über das Geschäft reden. Darauf ging "blab" aber nicht mehr ein. Die Ermittler hörten nie wieder von ihm. Bisher ist ungeklärt, wer hinter diesem Namen steckt. Die Staatsanwaltschaft Köln führt die Ermittlungen dazu – bisher ohne Ergebnis, wie ein Sprecher mitteilte. Seine Identität dürfte im Karlsruher Prozess gegen Alexander U. noch eine Rolle spielen.

Am 25. Dezember 2016 wandte sich dann "Luckyspax" an seine Foren-Gemeinde. Er benötige Geld und bitte um Spenden auf sein Bitcoin-Wallet. Damit hatte er dann endlich doch einen Fehler gemacht. Zu seinem Bitcoin-Wallet finden die Ermittler einen Account bei der digitalen Wechselstube bitcoin.de. Eine Behördenanfrage dort lieferte den Klarnamen von dessen Verantwortlichen, seine Wohnanschrift in Karlsruhe, seine Bankverbindung und seine E-Mail-Adresse. Es dauert noch einmal ein halbes Jahr, bis die Fahnder den Zugriff vorbereitet haben.

Am Tag X schickt dann wieder ein verdeckter Ermittler, der als Foren-User einen Fake-Account führt, eine Nachricht an "Luckyspax". Sein Server weise angeblich ein veritables Datenleck auf. Man könne von außen auf alle Daten und Schlüssel zugreifen. Alexander U. setzte sich sofort an seinen Rechner im Wohnzimmer, aufgebaut auf einem Arbeitsplatz über Eck mit zwei Monitoren. Die GSG-9-Beamten rammten die Tür auf, die BKA-Fahnder stürmten herein. Da war es 21.08 Uhr. Mehrere Programme waren geöffnet. Eines verband den Computer mit dem Server "torbox2.home". Die Hardware dazu stand neben der Waschmaschine in einer Abstellecke.

Die Forendaten konnten die Ermittler noch spiegeln, 2 Gigabyte. Insgesamt stießen sie auf Daten im Umfang von 75 Gigabyte. Das meiste davon seien Spiele gewesen, erinnerte sich einer im Karlsruher Gericht. Aber gegen 4:30 Uhr zog einer der Polizisten den Stecker. Seitdem sind die Daten wieder verschlüsselt und bis heute nicht lesbar gemacht. Wie das passieren konnte und was es für das Verfahren bedeutet werden die kommenden Verhandlungstage klären. (mho [4])


URL dieses Artikels:
http://www.heise.de/-4219446

Links in diesem Artikel:
[1] https://www.heise.de/meldung/Betreiber-eines-Darknet-Forums-in-Karlsruhe-festgenommen-3740829.html
[2] https://www.heise.de/meldung/Amok-in-Muenchen-Waffe-stammte-offenbar-aus-dem-Darknet-3277276.html
[3] https://www.heise.de/meldung/Amoklauf-von-Muenchen-Mutmasslicher-Darknet-Waffenverkaeufer-festgenommen-3296994.html
[4] mailto:mho@heise.de