Fünf Gramm Marihuana führen Cybercrime-Experten übers Darknet zu großem Fund nach Thüringen

Erfurt  Cybercrime-Experten des Landeskriminalamtes beenden nach einem kleinen Drogenfund einen illegalen Onlinehandel und finden millionenfach erbeutete Daten.

Auch die Kriminaltechnik im LKA rüstet auf. Kriminalhauptkommissar Richter zeigt ein Gerät, das Chips zum Auslesen der Daten automatisch von einer Platine lötet und wieder einsetzten kann.       

Auch die Kriminaltechnik im LKA rüstet auf. Kriminalhauptkommissar Richter zeigt ein Gerät, das Chips zum Auslesen der Daten automatisch von einer Platine lötet und wieder einsetzten kann.       

Foto: Kai Mudra

Ein kleines Päckchen bei der Polizei in Meiningen führt Thüringer Internetermittler tief in die Bereiche Cybercrime und Drogenhandel. Sein Inhalt sind gerade einmal fünf Gramm Marihuana. Anfangs können die Experten des Landeskriminalamtes (LKA) nur wenig mit dem Asservat anfangen. Dem Marihuana liegt Werbung für einen Onlineshop bei, dessen Spezialität der Verkauf illegaler Drogen ist.

Als kurz nach dem ersten ein zweites Päckchen auftaucht, diesmal in Österreich, wieder mit Drogen gefüllt und wieder vermeintlich aus Südthüringen, nehmen die Ermittlungen Fahrt auf. Das LKA entscheidet, der Sache nachzugehen. Zuständig für den Fall ist das Dezernat 64 „Cybercrime“. Gefährliche Machenschaften, Kinderpornografie und kriminelle Geschäfte im Internet gerichtsfest aufzudecken, ist die Aufgabe der Experten.

Postfiliale ist die erste Spur zum illegalen Onlinehandel

Der Onlineshop sei damals ganz normal im Internet zu finden gewesen, erzählt Manuel Nolte, Chef des Dezernats 64. Vergangenen Donnerstag präsentiert er die Arbeit der Internetermittler im LKA. Und genau diese Beamten finden damals einen weiteren Onlinehandel, diesmal im sogenannten Darknet, der offensichtlich denselben, noch unbekannten Anbieter hat. Vor allem wegen seiner Anonymität und der schwer zu verfolgenden Spuren ist dieser dunkle Bereich des Internets bei Kriminellen beliebt.

Im zweiten Shop sei alles an Drogen zu bekommen gewesen, heißt es. Zudem wurde ganz wie auf den großen Plattformen mit positiven Bewertungen von Kunden geworben. Fotos präsentierten die Angebote, darunter illegale Drogen. Genau diese Bilder helfen später dem LKA, die Geschäfte auch nachzuweisen. Denn die Drogen wurden immer auf einem schwarzen Tablett abgelichtet.

Paketdienst liefert wichtige Hinweise

Per Paketdienst erreicht die heiße Ware ihre Empfänger. Genau da setzten die Kriminalisten an. Um den Päckchen auf die Spur zu kommen, borgen sich die Thüringer aus einem der Nachbarländer einen verdeckten Ermittler, der sich im Bereich Cybercrime auskennt. Dem Freistaat fehlt bisher ein solcher Experte. Dieser veranlasst Scheinbestellungen beim verdächtigen Versandhandel.

Alles läuft glatt, beim Paketdienst können die Sendungen nachverfolgt werden. So weiß die Polizei recht schnell, wo die Päckchen aufgegeben werden. Während der Observation einer Postfiliale fallen zwei Personen – eine 19-jährige Frau und ein etwa 50-jähriger Mann – auf, weil sie immer wieder kleinere Lieferungen verschicken. Parallel dazu durchforsten die Beamten weiter das Internet. Beim genauen Prüfen des Onlineshops im Darknet stoßen sie auf 2300 vermutlich illegale Drogengeschäfte.

Wer ist Mister P.?

Die Ermittler durchleuchten auch weiter die verdächtigen Bereiche des Internets und entdecken die Frage eines anonymen Nutzers nach einem „Mister P.“. Die Antwort lautet, dass genau dieser Mister P. den verdächtigen Onlinehandel betreiben soll.

Jetzt werden die Thüringer Cyber-Experten erst recht hellhörig und bitten das Bundeskriminalamt um Hilfe. Vielleicht finden sich ja Hinweise auf Mister P. in einer der sichergestellten Datenbanken. Es folgt ein Volltreffer. Ein älteres Geschäft im Darknet bezahlt Mister P. mit seiner Kreditkarte und richtigen Angaben.

Spur führt nach Südthüringen

Diese Echtdaten führen zum Freund der 19-jährigen Frau, erzählt Kriminaldirektor Nolte. Sie befindet sich bereits im Fokus des LKA, weil sie die Drogenpäckchen aufgegeben haben soll. Die Ermittler können es anfangs kaum glauben, Drogensendungen und der Onlineshop stammten offensichtlich wirklich aus Südthüringen, aus einer Gemeinde im Kreis Schmalkalden-Meiningen.

Jetzt läuft die Spurensuche auf Hochtouren. Die Kriminaltechnik beim LKA untersucht die abgefangenen Drogensendungen auf mögliche DNA-Rückstände und Fingerabdrücke. Beim Auswerten der Drogenfotos fällt auf, dass immer wieder das gleiche Samsung-Smartphone benutzt wird.

Smartphone-Daten helfen den Ermittlern mehrfach weiter

Um weiterzukommen, greifen die Experten tief in ihre technische Trickkiste. Sie setzen einen sogenannten IMSI-Catcher in der verdächtigen Region ein. Dieser simuliert eine Mobilfunkzelle und kann so Kommunikations-Daten abgreifen – mit Erfolg, denn in der Gemeinde, in der die Verdächtigen vermutet werden, befinden sich auch drei Smartphones des gesuchten Typs im Funknetz. „Zwei davon hatten auswärtige Registrierungsadressen“, erklärt Manuel Nolte. Das sei auffällig.

Damit haben Ermittler und Staatsanwaltschaft alles beisammen, um erfolgreich einen Durchsuchungsbeschluss zu beantragen. Mit 13 Seiten ist dieser riesig, listet er doch mehr als 1000 Straftaten auf. Die kriminelle Energie der Verdächtigen sollte so deutlich werden.

Doch die Ermittlungen sind noch immer nicht am Ende. Der Zufall führt die Beamten auf eine weitere Spur. Diesmal ist das Polizeipräsidium Köln Ausgangspunkt. Dort geht eine Anzeige ein, wonach per Mail versucht wurde, Daten wie Passwörter abzufischen. Phishing nennt sich deshalb dieses Vorgehen. Das Interesse der Thüringer LKA-Beamten weckt ein Detail. Die technische Absende-Adresse der verdächtigen Mail weist nach Südthüringen.

Mister P. suchte Hilfe im Darknet

Beim genauen Auswerten der Daten zeigt sich, die Mail stammt offenbar von der Adresse eines engen Bekannten des Mister P.

Also übernimmt das LKA den Fall aus Köln. Im Dezernat Cybercrime wird die Frage diskutiert, ob der mutmaßliche Drogendealer auch ein Cyberkrimineller ist, denn beim Analysieren ihrer Daten finden die Experten eine Darknet-Anfrage von Mister P. Er sucht offenbar Hilfe beim Programmieren spezieller Mails zum Ausspähen von Daten eines Bezahlsystems.

Während der Razzia bei ihm können offenbar einige Drogen sichergestellt und das Tablett gefunden werden, auf dem diese fotografiert wurden. Beschlagnahmt wird auch ein Smartphone sowie eine Festplatte. Diese ist verschlüsselt und nur schwer zu knacken.

Doch die Ermittler haben Glück und finden eine Hintertür. IT-Forensiker, also Kriminaltechniker im Dezernat 43, die auf Digitaltechnik spezialisiert sind, entdecken beim Auslesen der Handydaten das Passwort für eine Online-Seite. Dieser Code entschlüsselt auch die Festplatte. Damit knackt der Bereich Cybercrime den Jackpot.

Tausendfach illegal erlangte Daten sichergestellt

Denn das Speichermedium enthält millionenfach persönliche Daten. Die Ermittler stehen vor der Frage, ob diese gekauft oder gehackt wurden. Für ein künftiges Gerichtsverfahren ist das ein entscheidender Punkt. Letztlich finden die Beamten heraus, dass der Verdächtige bei mehreren Kampagnen sechs Millionen Phishing-Mails verschickt hat. Dabei soll er etwa 4000 Bankkontodaten, 3500 Zugangsdaten für einen großen Internetshop sowie 13.000 Bezahldaten für ein Online-System erbeutet haben. Es sei ihm gelungen etwa 500 Internetshops zu hacken, sagt Manuel Nolte.

BKA und LKA informieren die Betroffenen. Viele davon, auch unter den Onlinehändlern, haben den Datenverlust bis dahin nicht bemerkt.

Die Cybercrime-Experten zeigen, dass der Verdächtige nur mit frei zugänglicher Software und Hilfe aus dem Darknet seine Straftaten begehen konnte. Er soll die erbeuteten Datensätze im Internet weiterverkauft haben. In seinem Onlineshop gab es sogar einen Reklamationsbutton, betonen die Ermittler. Dort konnte sich beschwert werden, wenn beispielsweise Daten für eine Kreditkarte nicht funktionierten, weil diese inzwischen gesperrt worden war.

Genau dieser Button hilft dem LKA, die Datenhehlerei erstmals erfolgreich nachzuweisen. Denn der Verdächtige soll auf die Reklamation geantwortet haben und wusste damit auch, dass die gelieferten Angaben missbraucht wurden, ist sich Manuel Nolte sicher.

Anklage listet auf 318 Seiten die Drogenverstöße auf

Nach Abschluss des Falls gibt das LKA etwa 2000 Ermittlungsverfahren bundes- und weltweit an die zuständigen Dienststellen der Polizei ab. Diese betreffen Kunden des Onlineshops, sollten sie Drogen gekauft haben.

Die Erkenntnisse sind so umfassend, dass die Staatsanwaltschaft Gera 2017 vor dem Landgericht Meiningen drei Tage zum Verlesen der Anklage braucht. Die 318 Seiten listen akribisch jeden einzelnen Fall auf. Im Dezember 2017 wird der Angeklagte wegen der Drogendelikte zu zehn Jahren Haft verurteilt. Bisher ist der Richterspruch noch nicht rechtskräftig.

Wegen der Cybercrime-Straftaten klagt die Staatsanwaltschaft Mühlhausen den Beschuldigten 2018 an. Er wird noch einmal zu dreieinhalb Jahren Haft verurteilt.

Auf die Frage, ob der Verdächtige mit einem Täterprofil enttarnt worden wäre, meint Manuel Nolte „nein“. Der Mann habe einen Realschulabschluss, spricht nur Deutsch, war Langzeitarbeitsloser ohne eine IT-Ausbildung oder spezielle IT-Kenntnisse. Seine einzige Erfahrung sei der Straßenhandel mit Drogen gewesen, ergänzt ein Ermittler.

Der Fall zeige, wie aufwendig Cybercrime-Verfahren sind und warum dringend mehr Personal benötigt werde, meint der Dezernatsleiter.

Hintergrund: Cybercrime im LKA

Im Dezernat 64 „Cybercrime“ arbeiten derzeit 20 Spezialisten. Zu ihren Aufgaben gehören neben Betrug im Internet auch Ermittlungen zu Kinder- und Jugendpornografie im Netz. In Thüringen werden Daten zur strafbaren Pornografie zentral vom Dezernat 64 ausgewertet. Sechs Beamtinnen und Beamte sind dafür zuständig. Sie erhalten zunehmend auch Unterstützung durch den Einsatz künstlicher Intelligenz. Die letzte Entscheidung über die Strafbarkeit von Bildern oder Videos treffen die Beamten.

Im Dezernat 43, „Forensische Imformations- und Kommunikationstechnik“, werden im LKA digitale Geräte ausgewertet. Die acht spezialisierten Kriminaltechniker können unter anderem Speichermedien ohne sie zu verändern entschlüsseln und auslesen, aber auch Daten noch aus zerstörten aus Handys oder verschlüsselten Speicherchips gewinnen.

Zu den Kommentaren