Abo
  • IT-Karriere:

Deutsche Darknet-Größe: Wie "Lucky" demaskiert wurde

Alexander U. hat das Forum betrieben, über das die Waffe für den Amoklauf in München verkauft wurde. BKA-Ermittler schildern vor Gericht, wie sie ihm auf die Schliche kamen.

Artikel von Hakan Tanriverdi/Sueddeutsche.de veröffentlicht am
Bei dem Terroranschlag in München kamen neun Menschen ums Leben.
Bei dem Terroranschlag in München kamen neun Menschen ums Leben. (Bild: Arnd Wiegmann/Reuters)

Als das Spezialeinsatzkommando vor der Tür steht, bekommt Luckyspax eine Nachricht. Geschickt hat sie ein Nutzer seines Forums mit dem Namen Gazza. "Hi Lucky", schreibt er, "ich will dich ja nicht beunruhigen, aber ich habe eine ernsthafte Sicherheitslücke gefunden." Lucky soll sich in einen Chat einloggen, dort werde er mehr Details erfahren.

Inhalt:
  1. Deutsche Darknet-Größe: Wie "Lucky" demaskiert wurde
  2. Die Systeme durften nicht gesperrt sein

Das Registrierungsdatum von Gazza - der 23. August 2016 - hätte ein Indiz sein können, dass verdeckte Ermittler des Bundeskriminalamts (BKA) Lucky längst auf die Schliche gekommen waren. Gazza hatte eine Mission. Knapp einen Monat nach dem Amoklauf am Olympia-Einkaufszentrum in München hatte er sich im Forum angemeldet, er schrieb 55 Beiträge und kundschaftete "Deutschland im Deep Web" (DiDW) aus. DiDW war das größte derartige Forum im deutschsprachigen Raum, mehr als 20.000 angemeldete Nutzer, sechs Millionen Seitenaufrufe im Monat. Erreichbar war DiDW nur über das Darknet, also mit einem Tor-Browser, der verschleierte, wer sich dort herumtrieb. Alle schrieben hier unter Pseudonym.

Seit zwei Wochen läuft nun am Landgericht in Karlsruhe ein Prozess gegen Lucky, einen 31-jährigen Informatiker, der mit bürgerlichem Namen Alexander U. heißt. Die Staatsanwaltschaft wirft ihm vor, als "alleiniger Administrator" die Plattform betrieben zu haben. Sie ermittelt unter anderem wegen des Verdachts der fahrlässigen Tötung in neun Fällen und der fahrlässigen Körperverletzung in fünf Fällen. Denn über dieses Forum kaufte sich der Mörder David S. jene Waffe und Munition, mit der er später neun Menschen erschießen sollte. Fast alle seine Opfer hatten Migrationshintergrund, fast alle waren Jugendliche.

Zwei Wege verfolgt

Ein technischer Ermittler des BKA erzählt vor Gericht, wie die Fahnder herausfanden, dass Alexander U. die Seite betrieb. Lucky rief unter seinem Pseudonym zu Spenden auf, um die Kosten für seinen Server zu decken. Knapp 10.000 Euro wurden mit der Digitalwährung Bitcoin eingezahlt. Die Ermittler konnten den Weg des Geldes nachverfolgen, er führte sie zu bitcoin.de, einem Marktplatz für die Währung. Die Ermittler forderten von den Betreibern der Seite Bestandsdaten an, so kamen sie auf Alexander U. und seine Wohnadresse in Karlsruhe.

Stellenmarkt
  1. Impactory GmbH, Darmstadt (Home-Office)
  2. SCHILLER Medizintechnik GmbH, Feldkirchen

Es sind Aussagen wie diese, bei denen U. - weißes Hemd, Igelschnitt, Mundwinkel nach unten - im Gericht aufmerksam mitschreibt. An den ersten zwei Prozesstagen schwieg er die meiste Zeit. Er beantwortete nur einige Fragen des Richters und verlas eine allgemein gehaltene Erklärung. U. hat einen Bachelor-Abschluss in Informatik und ist derzeit für den Master eingeschrieben. Er ist verlobt. Als seine Freundin den Gerichtssaal verlassen muss, weil sie noch als Zeugin vernommen wird, schaut er ihr traurig hinterher.

In Dialekt spricht U. darüber, was ihn antrieb, DiDW aufzusetzen und das "Syschdem" technisch zu warten. Ihm sei es darum gegangen, eine Plattform zu schaffen, auf der man "in Zeiten von Massenüberwachung" anonym kommunizieren und surfen konnte.

Über das Forum wickelten Nutzer Waffendeals ab, verkauften auch Drogen. In erster Linie handelte es sich aber nicht um eine Art Ebay für Kriminelle, sondern um ein Diskussionsforum, auf dem auch Drogen und Waffen verkauft wurden. Neue Drogenverkäufer mussten sich direkt an Lucky wenden und ihm Bilder schicken. Zu sehen sollten sein: Nutzername, Datum, die Drogen und der Name des Forums sowie ein "aussagekräftiger Aussagetext", wie es der Staatsanwalt formuliert. Lucky musste dann entscheiden, ob er diese Beiträge freischaltete.

Auch deshalb fiel DiDW den Ermittlern des BKA auf. Noch bevor erste Meldungen aufkamen, dass die Waffe für den Amoklauf über dieses Forum verkauft wurde, habe man DiDW in den Fokus genommen. Für Ermittlungen ausschlaggebend seien jedoch die Taten in München gewesen.

Nachdem die Ermittler U. identifiziert hatten, überwachten sie seinen Internetverkehr. Sie hatten zu diesem Zeitpunkt bereits festgestellt, dass Lucky seine Systeme technisch gut abgesichert hatte. Eine seiner Methoden war, bei jedem Aufruf der Seite einen zufällig generierten Textblock mitzuladen. Dadurch war die Seite bei jedem Aufruf unterschiedlich groß. Das verhindert, dass Nutzer durch einen speziellen Angriff auf das Tor-Netzwerk demaskiert werden können.

Die Systeme durften nicht gesperrt sein 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 0,49€
  2. (-67%) 3,30€
  3. 4,99€
  4. 3,99€

xMarwyc 24. Nov 2018

Die Sonderrechte sind aber für einen bestimmten Zweck da. Willkürlich und zu jeder Zeit...

Belgarion2001 23. Nov 2018

+1 DonnieDarknet1337 und PädoPhilipp123 sind wohl auch auf Golem.de unterwegs :D

Belgarion2001 23. Nov 2018

So what? Angenommen in einem Bürgerkrieg wird ein Zivilist von einer Miliz erschossen...

flasherle 16. Nov 2018

den laptop zu klappen passiert doch unterbewusst. so wie das sperren des pcs wenn du aufs...

chefin 16. Nov 2018

Ja ne is klar. Man kauft eine Waffe und hunderte Schuss Munition nur um Spaß mit Flaggen...


Folgen Sie uns
       


Ghost Recon Breakpoint - Fazit

Das Actionspiel Ghost Recon Breakpoint von Ubisoft schickt Spieler als Elitesoldat Nomad auf eine fiktive Pazifikinsel.

Ghost Recon Breakpoint - Fazit Video aufrufen
IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

    •  /