Deutsche Darknet-Größe: Wie "Lucky" demaskiert wurde

Alexander U. hat das Forum betrieben, über das die Waffe für den Amoklauf in München verkauft wurde. BKA-Ermittler schildern vor Gericht, wie sie ihm auf die Schliche kamen.

Artikel von Hakan Tanriverdi/Sueddeutsche.de veröffentlicht am
Bei dem Terroranschlag in München kamen neun Menschen ums Leben.
Bei dem Terroranschlag in München kamen neun Menschen ums Leben. (Bild: Arnd Wiegmann/Reuters)

Als das Spezialeinsatzkommando vor der Tür steht, bekommt Luckyspax eine Nachricht. Geschickt hat sie ein Nutzer seines Forums mit dem Namen Gazza. "Hi Lucky", schreibt er, "ich will dich ja nicht beunruhigen, aber ich habe eine ernsthafte Sicherheitslücke gefunden." Lucky soll sich in einen Chat einloggen, dort werde er mehr Details erfahren.

Inhalt:
  1. Deutsche Darknet-Größe: Wie "Lucky" demaskiert wurde
  2. Die Systeme durften nicht gesperrt sein

Das Registrierungsdatum von Gazza - der 23. August 2016 - hätte ein Indiz sein können, dass verdeckte Ermittler des Bundeskriminalamts (BKA) Lucky längst auf die Schliche gekommen waren. Gazza hatte eine Mission. Knapp einen Monat nach dem Amoklauf am Olympia-Einkaufszentrum in München hatte er sich im Forum angemeldet, er schrieb 55 Beiträge und kundschaftete "Deutschland im Deep Web" (DiDW) aus. DiDW war das größte derartige Forum im deutschsprachigen Raum, mehr als 20.000 angemeldete Nutzer, sechs Millionen Seitenaufrufe im Monat. Erreichbar war DiDW nur über das Darknet, also mit einem Tor-Browser, der verschleierte, wer sich dort herumtrieb. Alle schrieben hier unter Pseudonym.

Seit zwei Wochen läuft nun am Landgericht in Karlsruhe ein Prozess gegen Lucky, einen 31-jährigen Informatiker, der mit bürgerlichem Namen Alexander U. heißt. Die Staatsanwaltschaft wirft ihm vor, als "alleiniger Administrator" die Plattform betrieben zu haben. Sie ermittelt unter anderem wegen des Verdachts der fahrlässigen Tötung in neun Fällen und der fahrlässigen Körperverletzung in fünf Fällen. Denn über dieses Forum kaufte sich der Mörder David S. jene Waffe und Munition, mit der er später neun Menschen erschießen sollte. Fast alle seine Opfer hatten Migrationshintergrund, fast alle waren Jugendliche.

Zwei Wege verfolgt

Ein technischer Ermittler des BKA erzählt vor Gericht, wie die Fahnder herausfanden, dass Alexander U. die Seite betrieb. Lucky rief unter seinem Pseudonym zu Spenden auf, um die Kosten für seinen Server zu decken. Knapp 10.000 Euro wurden mit der Digitalwährung Bitcoin eingezahlt. Die Ermittler konnten den Weg des Geldes nachverfolgen, er führte sie zu bitcoin.de, einem Marktplatz für die Währung. Die Ermittler forderten von den Betreibern der Seite Bestandsdaten an, so kamen sie auf Alexander U. und seine Wohnadresse in Karlsruhe.

Stellenmarkt
  1. Leitung IT-Management (w/m/d)
    Klinikum Altmühlfranken, Gunzenhausen
  2. Operation Manager EMEA (m/w/d) Network Services
    Schweickert GmbH, Walldorf
Detailsuche

Es sind Aussagen wie diese, bei denen U. - weißes Hemd, Igelschnitt, Mundwinkel nach unten - im Gericht aufmerksam mitschreibt. An den ersten zwei Prozesstagen schwieg er die meiste Zeit. Er beantwortete nur einige Fragen des Richters und verlas eine allgemein gehaltene Erklärung. U. hat einen Bachelor-Abschluss in Informatik und ist derzeit für den Master eingeschrieben. Er ist verlobt. Als seine Freundin den Gerichtssaal verlassen muss, weil sie noch als Zeugin vernommen wird, schaut er ihr traurig hinterher.

In Dialekt spricht U. darüber, was ihn antrieb, DiDW aufzusetzen und das "Syschdem" technisch zu warten. Ihm sei es darum gegangen, eine Plattform zu schaffen, auf der man "in Zeiten von Massenüberwachung" anonym kommunizieren und surfen konnte.

Über das Forum wickelten Nutzer Waffendeals ab, verkauften auch Drogen. In erster Linie handelte es sich aber nicht um eine Art Ebay für Kriminelle, sondern um ein Diskussionsforum, auf dem auch Drogen und Waffen verkauft wurden. Neue Drogenverkäufer mussten sich direkt an Lucky wenden und ihm Bilder schicken. Zu sehen sollten sein: Nutzername, Datum, die Drogen und der Name des Forums sowie ein "aussagekräftiger Aussagetext", wie es der Staatsanwalt formuliert. Lucky musste dann entscheiden, ob er diese Beiträge freischaltete.

Auch deshalb fiel DiDW den Ermittlern des BKA auf. Noch bevor erste Meldungen aufkamen, dass die Waffe für den Amoklauf über dieses Forum verkauft wurde, habe man DiDW in den Fokus genommen. Für Ermittlungen ausschlaggebend seien jedoch die Taten in München gewesen.

Nachdem die Ermittler U. identifiziert hatten, überwachten sie seinen Internetverkehr. Sie hatten zu diesem Zeitpunkt bereits festgestellt, dass Lucky seine Systeme technisch gut abgesichert hatte. Eine seiner Methoden war, bei jedem Aufruf der Seite einen zufällig generierten Textblock mitzuladen. Dadurch war die Seite bei jedem Aufruf unterschiedlich groß. Das verhindert, dass Nutzer durch einen speziellen Angriff auf das Tor-Netzwerk demaskiert werden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Die Systeme durften nicht gesperrt sein 
  1. 1
  2. 2
  3.  


xMarwyc 24. Nov 2018

Die Sonderrechte sind aber für einen bestimmten Zweck da. Willkürlich und zu jeder Zeit...

Belgarion2001 23. Nov 2018

+1 DonnieDarknet1337 und PädoPhilipp123 sind wohl auch auf Golem.de unterwegs :D

Belgarion2001 23. Nov 2018

So what? Angenommen in einem Bürgerkrieg wird ein Zivilist von einer Miliz erschossen...

flasherle 16. Nov 2018

den laptop zu klappen passiert doch unterbewusst. so wie das sperren des pcs wenn du aufs...

chefin 16. Nov 2018

Ja ne is klar. Man kauft eine Waffe und hunderte Schuss Munition nur um Spaß mit Flaggen...



Aktuell auf der Startseite von Golem.de
Framework Laptop im Hardware-Test
Schrauber aller Länder, vereinigt euch!

Der modulare Framework Laptop ist ein wahrgewordener Basteltraum. Und unsere Begeisterung für das, was damit alles möglich ist, lässt sich nur schwer bändigen.
Ein Test von Oliver Nickel und Sebastian Grüner

Framework Laptop im Hardware-Test: Schrauber aller Länder, vereinigt euch!
Artikel
  1. FTTH: Liberty Network startet noch mal in Deutschland
    FTTH
    Liberty Network startet noch mal in Deutschland

    Das erste FTTH-Projekt ist gescheitert. Jetzt wandert Liberty von Brandenburg nach Bayern an den Starnberger See.

  2. 5.000 Dollar Belohnung: Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen
    5.000 Dollar Belohnung
    Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen

    Tesla-Chef Elon Musk bot einem US-Teenager jüngst angeblich 5.000 US-Dollar, damit der seinen auf Twitter betriebenen Flight-Tracker einstellt.

  3. Let's Encrypt: Was Admins heute tun müssen
    Let's Encrypt
    Was Admins heute tun müssen

    Heute um 17 Uhr werden bei Let's Encrypt Zertifikate zurückgezogen. Wir beschreiben, wie Admins prüfen können, ob sie betroffen sind.
    Eine Anleitung von Hanno Böck

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 12GB 1.499€ • iPhone 13 Pro 512GB 1.349€ • DXRacer Gaming-Stuhl 159€ • LG OLED 55 Zoll 1.149€ • PS5 Digital mit o2-Vertrag bestellbar • Prime-Filme für je 0,99€ leihen • One Plus Nord 2 335€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Sennheiser Gaming-Headset 169,90€ [Werbung]
    •  /