Deutsche Darknet-Größe: Wie "Lucky" demaskiert wurde

Alexander U. hat das Forum betrieben, über das die Waffe für den Amoklauf in München verkauft wurde. BKA-Ermittler schildern vor Gericht, wie sie ihm auf die Schliche kamen.

Artikel von Hakan Tanriverdi/Sueddeutsche.de veröffentlicht am
Bei dem Terroranschlag in München kamen neun Menschen ums Leben.
Bei dem Terroranschlag in München kamen neun Menschen ums Leben. (Bild: Arnd Wiegmann/Reuters)

Als das Spezialeinsatzkommando vor der Tür steht, bekommt Luckyspax eine Nachricht. Geschickt hat sie ein Nutzer seines Forums mit dem Namen Gazza. "Hi Lucky", schreibt er, "ich will dich ja nicht beunruhigen, aber ich habe eine ernsthafte Sicherheitslücke gefunden." Lucky soll sich in einen Chat einloggen, dort werde er mehr Details erfahren.

Inhalt:
  1. Deutsche Darknet-Größe: Wie "Lucky" demaskiert wurde
  2. Die Systeme durften nicht gesperrt sein

Das Registrierungsdatum von Gazza - der 23. August 2016 - hätte ein Indiz sein können, dass verdeckte Ermittler des Bundeskriminalamts (BKA) Lucky längst auf die Schliche gekommen waren. Gazza hatte eine Mission. Knapp einen Monat nach dem Amoklauf am Olympia-Einkaufszentrum in München hatte er sich im Forum angemeldet, er schrieb 55 Beiträge und kundschaftete "Deutschland im Deep Web" (DiDW) aus. DiDW war das größte derartige Forum im deutschsprachigen Raum, mehr als 20.000 angemeldete Nutzer, sechs Millionen Seitenaufrufe im Monat. Erreichbar war DiDW nur über das Darknet, also mit einem Tor-Browser, der verschleierte, wer sich dort herumtrieb. Alle schrieben hier unter Pseudonym.

Seit zwei Wochen läuft nun am Landgericht in Karlsruhe ein Prozess gegen Lucky, einen 31-jährigen Informatiker, der mit bürgerlichem Namen Alexander U. heißt. Die Staatsanwaltschaft wirft ihm vor, als "alleiniger Administrator" die Plattform betrieben zu haben. Sie ermittelt unter anderem wegen des Verdachts der fahrlässigen Tötung in neun Fällen und der fahrlässigen Körperverletzung in fünf Fällen. Denn über dieses Forum kaufte sich der Mörder David S. jene Waffe und Munition, mit der er später neun Menschen erschießen sollte. Fast alle seine Opfer hatten Migrationshintergrund, fast alle waren Jugendliche.

Zwei Wege verfolgt

Ein technischer Ermittler des BKA erzählt vor Gericht, wie die Fahnder herausfanden, dass Alexander U. die Seite betrieb. Lucky rief unter seinem Pseudonym zu Spenden auf, um die Kosten für seinen Server zu decken. Knapp 10.000 Euro wurden mit der Digitalwährung Bitcoin eingezahlt. Die Ermittler konnten den Weg des Geldes nachverfolgen, er führte sie zu bitcoin.de, einem Marktplatz für die Währung. Die Ermittler forderten von den Betreibern der Seite Bestandsdaten an, so kamen sie auf Alexander U. und seine Wohnadresse in Karlsruhe.

Stellenmarkt
  1. Azure Full-Stack Web Developer (m/w/d)
    Team Beverage Convenience GmbH, Rostock
  2. Softwareentwickler / Software Engineer (w/m/d) - DataLab
    INFORM GmbH, Aachen
Detailsuche

Es sind Aussagen wie diese, bei denen U. - weißes Hemd, Igelschnitt, Mundwinkel nach unten - im Gericht aufmerksam mitschreibt. An den ersten zwei Prozesstagen schwieg er die meiste Zeit. Er beantwortete nur einige Fragen des Richters und verlas eine allgemein gehaltene Erklärung. U. hat einen Bachelor-Abschluss in Informatik und ist derzeit für den Master eingeschrieben. Er ist verlobt. Als seine Freundin den Gerichtssaal verlassen muss, weil sie noch als Zeugin vernommen wird, schaut er ihr traurig hinterher.

In Dialekt spricht U. darüber, was ihn antrieb, DiDW aufzusetzen und das "Syschdem" technisch zu warten. Ihm sei es darum gegangen, eine Plattform zu schaffen, auf der man "in Zeiten von Massenüberwachung" anonym kommunizieren und surfen konnte.

Über das Forum wickelten Nutzer Waffendeals ab, verkauften auch Drogen. In erster Linie handelte es sich aber nicht um eine Art Ebay für Kriminelle, sondern um ein Diskussionsforum, auf dem auch Drogen und Waffen verkauft wurden. Neue Drogenverkäufer mussten sich direkt an Lucky wenden und ihm Bilder schicken. Zu sehen sollten sein: Nutzername, Datum, die Drogen und der Name des Forums sowie ein "aussagekräftiger Aussagetext", wie es der Staatsanwalt formuliert. Lucky musste dann entscheiden, ob er diese Beiträge freischaltete.

Auch deshalb fiel DiDW den Ermittlern des BKA auf. Noch bevor erste Meldungen aufkamen, dass die Waffe für den Amoklauf über dieses Forum verkauft wurde, habe man DiDW in den Fokus genommen. Für Ermittlungen ausschlaggebend seien jedoch die Taten in München gewesen.

Nachdem die Ermittler U. identifiziert hatten, überwachten sie seinen Internetverkehr. Sie hatten zu diesem Zeitpunkt bereits festgestellt, dass Lucky seine Systeme technisch gut abgesichert hatte. Eine seiner Methoden war, bei jedem Aufruf der Seite einen zufällig generierten Textblock mitzuladen. Dadurch war die Seite bei jedem Aufruf unterschiedlich groß. Das verhindert, dass Nutzer durch einen speziellen Angriff auf das Tor-Netzwerk demaskiert werden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Die Systeme durften nicht gesperrt sein 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Realme GT im Test
Realmes neues Top-Smartphone startet zum Sonderpreis

Das Realme GT mit Snapdragon 888, schnellem AMOLED-Display und guter Kamera kostet anfangs nur 370 Euro - aber auch zum Normalpreis lohnt es sich.
Ein Test von Tobias Költzsch

Realme GT im Test: Realmes neues Top-Smartphone startet zum Sonderpreis
Artikel
  1. Elon Musk: Tesla-Chef verkauft sein letztes Haus in Kalifornien
    Elon Musk
    Tesla-Chef verkauft sein letztes Haus in Kalifornien

    Seit Mitte 2020 trennt sich Elon Musk nach und nach von seinen Immobilien. Nun verkauft er sein letztes Anwesen - eine Villa in Kalifornien.

  2. Apple: Manche iMacs sind schief
    Apple
    Manche iMacs sind schief

    Immer mehr Kunden erhalten wohl ihre iMacs mit schief installierten Panels. Käufer sind frustriert, die Community sieht Meme-Material.

  3. App Store ausgetrickst: Illegale Streaming-App als Sudoku-Client getarnt
    App Store ausgetrickst
    Illegale Streaming-App als Sudoku-Client getarnt

    In Apples App Store war sie als Sudoku-App gelistet, doch nach der Installation änderte sich die Oberfläche nach wenigen Sekunden.

xMarwyc 24. Nov 2018

Die Sonderrechte sind aber für einen bestimmten Zweck da. Willkürlich und zu jeder Zeit...

Belgarion2001 23. Nov 2018

+1 DonnieDarknet1337 und PädoPhilipp123 sind wohl auch auf Golem.de unterwegs :D

Belgarion2001 23. Nov 2018

So what? Angenommen in einem Bürgerkrieg wird ein Zivilist von einer Miliz erschossen...

flasherle 16. Nov 2018

den laptop zu klappen passiert doch unterbewusst. so wie das sperren des pcs wenn du aufs...

chefin 16. Nov 2018

Ja ne is klar. Man kauft eine Waffe und hunderte Schuss Munition nur um Spaß mit Flaggen...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial MX500 500GB 48,99€ • Amazon-Geräte günstiger • WD Black SN850 500GB PCIe 4.0 89€ • Apple iPhone 12 mini 64GB Rot 589€ • Far Cry 6 + Steelbook PS5 69,99€ • E3-Aktion: Xbox-Spiele bei MM günstiger • Amazon Music Unlimited 6 Monate gratis bei Kauf eines Echo Dot (4. Gen.) [Werbung]
    •  /