Deutsche Darknet-Größe: Wie "Lucky" demaskiert wurde

Als das Spezialeinsatzkommando vor der Tür steht, bekommt Luckyspax eine Nachricht. Geschickt hat sie ein Nutzer seines Forums mit dem Namen Gazza. "Hi Lucky", schreibt er, "ich will dich ja nicht beunruhigen, aber ich habe eine ernsthafte Sicherheitslücke gefunden." Lucky soll sich in einen Chat einloggen, dort werde er mehr Details erfahren.

Das Registrierungsdatum von Gazza - der 23. August 2016 - hätte ein Indiz sein können, dass verdeckte Ermittler des Bundeskriminalamts (BKA) Lucky längst auf die Schliche gekommen waren. Gazza hatte eine Mission. Knapp einen Monat nach dem Amoklauf am Olympia-Einkaufszentrum in München hatte er sich im Forum angemeldet, er schrieb 55 Beiträge und kundschaftete "Deutschland im Deep Web" (DiDW) aus. DiDW war das größte derartige Forum im deutschsprachigen Raum, mehr als 20.000 angemeldete Nutzer, sechs Millionen Seitenaufrufe im Monat. Erreichbar war DiDW nur über das Darknet, also mit einem Tor-Browser, der verschleierte, wer sich dort herumtrieb. Alle schrieben hier unter Pseudonym.

Seit zwei Wochen läuft nun am Landgericht in Karlsruhe ein Prozess gegen Lucky, einen 31-jährigen Informatiker, der mit bürgerlichem Namen Alexander U. heißt. Die Staatsanwaltschaft wirft ihm vor, als "alleiniger Administrator" die Plattform betrieben zu haben. Sie ermittelt unter anderem wegen des Verdachts der fahrlässigen Tötung in neun Fällen und der fahrlässigen Körperverletzung in fünf Fällen. Denn über dieses Forum kaufte sich der Mörder David S. jene Waffe und Munition, mit der er später neun Menschen erschießen sollte. Fast alle seine Opfer hatten Migrationshintergrund, fast alle waren Jugendliche.

Zwei Wege verfolgt

Ein technischer Ermittler des BKA erzählt vor Gericht, wie die Fahnder herausfanden, dass Alexander U. die Seite betrieb. Lucky rief unter seinem Pseudonym zu Spenden auf, um die Kosten für seinen Server zu decken. Knapp 10.000 Euro wurden mit der Digitalwährung Bitcoin eingezahlt. Die Ermittler konnten den Weg des Geldes nachverfolgen, er führte sie zu bitcoin.de, einem Marktplatz für die Währung. Die Ermittler forderten von den Betreibern der Seite Bestandsdaten an, so kamen sie auf Alexander U. und seine Wohnadresse in Karlsruhe.

Stellenmarkt

1. BG-Phoenics GmbH, München
2. schröter managed services GmbH, Krefeld

Es sind Aussagen wie diese, bei denen U. - weißes Hemd, Igelschnitt, Mundwinkel nach unten - im Gericht aufmerksam mitschreibt. An den ersten zwei Prozesstagen schwieg er die meiste Zeit. Er beantwortete nur einige Fragen des Richters und verlas eine allgemein gehaltene Erklärung. U. hat einen Bachelor-Abschluss in Informatik und ist derzeit für den Master eingeschrieben. Er ist verlobt. Als seine Freundin den Gerichtssaal verlassen muss, weil sie noch als Zeugin vernommen wird, schaut er ihr traurig hinterher.

In Dialekt spricht U. darüber, was ihn antrieb, DiDW aufzusetzen und das "Syschdem" technisch zu warten. Ihm sei es darum gegangen, eine Plattform zu schaffen, auf der man "in Zeiten von Massenüberwachung" anonym kommunizieren und surfen konnte.

Über das Forum wickelten Nutzer Waffendeals ab, verkauften auch Drogen. In erster Linie handelte es sich aber nicht um eine Art Ebay für Kriminelle, sondern um ein Diskussionsforum, auf dem auch Drogen und Waffen verkauft wurden. Neue Drogenverkäufer mussten sich direkt an Lucky wenden und ihm Bilder schicken. Zu sehen sollten sein: Nutzername, Datum, die Drogen und der Name des Forums sowie ein "aussagekräftiger Aussagetext", wie es der Staatsanwalt formuliert. Lucky musste dann entscheiden, ob er diese Beiträge freischaltete.

Auch deshalb fiel DiDW den Ermittlern des BKA auf. Noch bevor erste Meldungen aufkamen, dass die Waffe für den Amoklauf über dieses Forum verkauft wurde, habe man DiDW in den Fokus genommen. Für Ermittlungen ausschlaggebend seien jedoch die Taten in München gewesen.

Nachdem die Ermittler U. identifiziert hatten, überwachten sie seinen Internetverkehr. Sie hatten zu diesem Zeitpunkt bereits festgestellt, dass Lucky seine Systeme technisch gut abgesichert hatte. Eine seiner Methoden war, bei jedem Aufruf der Seite einen zufällig generierten Textblock mitzuladen. Dadurch war die Seite bei jedem Aufruf unterschiedlich groß. Das verhindert, dass Nutzer durch einen speziellen Angriff auf das Tor-Netzwerk demaskiert werden können.