www.ssoar.info
Kriminalitätsbekämpfung im Dark Net: neue Ermittlungsansätze statt Verbote Schulze, Matthias
Veröffentlichungsversion / Published Version Arbeitspapier / working paper
Zur Verfügung gestellt in Kooperation mit / provided in cooperation with: Stiftung Wissenschaft und Politik (SWP)
Empfohlene Zitierung / Suggested Citation: Schulze, M. (2019). Kriminalitätsbekämpfung im Dark Net: neue Ermittlungsansätze statt Verbote. (SWP-Aktuell, 28/2019). Berlin: Stiftung Wissenschaft und Politik -SWP- Deutsches Institut für Internationale Politik und Sicherheit. https://doi.org/10.18449/2019A28
Nutzungsbedingungen: Terms of use: Dieser Text wird unter einer Deposit-Lizenz (Keine This document is made available under Deposit Licence (No Weiterverbreitung - keine Bearbeitung) zur Verfügung gestellt. Redistribution - no modifications). We grant a non-exclusive, non- Gewährt wird ein nicht exklusives, nicht übertragbares, transferable, individual and limited right to using this document. persönliches und beschränktes Recht auf Nutzung dieses This document is solely intended for your personal, non- Dokuments. Dieses Dokument ist ausschließlich für commercial use. All of the copies of this documents must retain den persönlichen, nicht-kommerziellen Gebrauch bestimmt. all copyright information and other information regarding legal Auf sämtlichen Kopien dieses Dokuments müssen alle protection. You are not allowed to alter this document in any Urheberrechtshinweise und sonstigen Hinweise auf gesetzlichen way, to copy it for public or commercial purposes, to exhibit the Schutz beibehalten werden. Sie dürfen dieses Dokument document in public, to perform, distribute or otherwise use the nicht in irgendeiner Weise abändern, noch dürfen Sie document in public. dieses Dokument für öffentliche oder kommerzielle Zwecke By using this particular document, you accept the above-stated vervielfältigen, öffentlich ausstellen, aufführen, vertreiben oder conditions of use. anderweitig nutzen. Mit der Verwendung dieses Dokuments erkennen Sie die Nutzungsbedingungen an.
Diese Version ist zitierbar unter / This version is citable under: https://nbn-resolving.org/urn:nbn:de:0168-ssoar-62700-8
NR. 28 APRIL 2019 Einleitung
Kriminalitätsbekämpfung im Dark Net Neue Ermittlungsansätze statt Verbote Matthias Schulze
Gegenwärtig werden wieder Forderungen nach einem Verbot illegaler Bereiche im Internet – sogenannter Dark Nets – laut. Im Entwurf des Bundesinnenministeriums für das neue IT-Sicherheitsgesetz soll das »Zugänglichmachen von Leistungen zur Begehung von Straftaten« über internetbasierte Dienste unter Strafe gestellt werden. In der öffentlichen Wahrnehmung dominieren insbesondere die negativen Aspekte des Dark Nets: illegaler Waffen- und Drogenhandel, Cyber-Kriminalität und Kinder- pornografie. Neuere Daten zeigen jedoch, dass die Bedrohungen, die vom Dark Net ausgehen, weitaus geringer sind als häufig angenommen. Daher ist zu fragen, ob ein Verbot dieser Technologie sinnvoll, ohne negative Kollateraleffekte umsetzbar und zudem verhältnismäßig ist. Statt das Dark Net als solches verbieten zu wollen, sollte der Fokus darauf gerichtet werden, in neuen Ermittlungstechniken zu schulen und die internationale Kooperation bei der Strafverfolgung zu intensivieren. Dies wäre eine nachhaltige Lösung, da diese Fähigkeiten auch im Kampf gegen das weitaus grö- ßere Problem – Cyber-Kriminalität im regulären Internet – von Nutzen wären.
Im politischen Diskurs ist oft nicht klar, auf der Protokoll- als auch auf der Anwen- was unter dem Dark Net verstanden wird. dungsebene. Das Internet ist ein Netzwerk, das Milliar- Zu den sichtbaren Bereichen zählt in erster den von Geräten mittels kleinerer Netzwer- Linie das World Wide Web. Das WWW in ke (LAN, WLAN, WAN, Mobilfunk) in eine Form von Websites ist lediglich der Bereich, große Infrastruktur integriert. Es werden der über den Browser sichtbar ist. Man drei Ebenen unterschieden: die Ebene der schätzt, dass es circa 1,6 Milliarden Web- Anwendungen des Internets (etwa das World sites im WWW gibt (davon wird die über- Wide Web bzw. WWW, Datenbanken oder wiegende Mehrheit nicht mehr aktualisiert). Apps), die Protokoll- bzw. Netzwerkebene der Unsichtbare Teile des Internets, das so- Datenübertragung und die Ebene der Hard- genannte Deep Net, sind zum Beispiel Daten- ware (Router, Glasfaserleitungen). Ein Merk- banken und Apps, die nicht öffentlich oder mal des Internets ist, dass es keinen zentra- nur eingeschränkt zugänglich sind. Dazu len Wachturm gibt, der das gesamte Netz- gehören Firmen- oder Regierungsnetzwerke. werk überblicken kann. Folglich gibt es Es wird vermutet, dass das gesamte Internet sichtbare und unsichtbare Bereiche, sowohl aus circa 40000 Deep Nets besteht.
Das Deep Web wiederum wird häufig als dings kaum zu bekommen, weshalb hier jener Bereich des WWW bezeichnet, der mit Ungenauigkeiten gerechnet werden nicht von Suchmaschinen indiziert wird. muss. HS machen schätzungsweise zwischen Die Services von Facebook, Twitter und 3 und 6 Prozent des Datenverkehrs des Tor- Snapchat sind Teil des Deep Webs, da sie Netzwerks aus. Tor-Nutzer sind also nicht nur durch eine Applikation bzw. passwort- automatisch Dark-Web-Nutzer. geschützte Programminterfaces aufgerufen Die folgende Grafik veranschaulicht die werden können. Seiten, die nicht von Such- hierarchischen Beziehungen zwischen den maschinen erfasst werden, sind Teil des verschiedenen Teilnetzwerken: Deep Web. Das sind sozusagen Orte des WWW, die zwar existieren, aber auf keiner Karte auftauchen. Differenzierung von Netzwerk- und Zu guter Letzt gibt es noch verschiedene Web-Protokollen Dark Networks als Teilbereich des Internets. Anwendungs- Protokoll-Ebene Diese werden ebenfalls nicht von Such- ebene maschinen indiziert und basieren auf eige- Internet (TCP/IP) 40–50 Mrd. nen Übertragungsprotokollen (etwa dem Geräte in Onion Service Protocol). Dieses Protokoll 40000 Netz- verschlüsselt die Kommunikation und leitet werken sie mehrfach über sogenannte Relay-Server um, so dass Inhalte und IP-Adressen für World Wide HTTP ca. 1,6 Mrd. Außenstehende unsichtbar werden. Auch Web Websites innerhalb des Dark Nets gibt es wieder eine Deep Web Deep Net (802.11- Ebene der Netzwerkkommunikation, das WLAN, Ethernet) Tor Netzwerk (The Onion Routing), und eine Dark Web (Tor Dark Nets (z.B. ca.2Mio. Tor- Ebene der Anwendungen, in Form von Tor Hidden Services, Onion Service Nutzer; ca. Hidden Services (HS) oder anderen Anwendun- Freenet etc., Protocol, I2P und 110000 Hid- gen wie OnionShare (ein anonymer Cloud- Onion Sharing) weitere) den Services Speicher). Tor Hidden Services sind oft Websites, können aber auch Steuerungs- server zur Kontrolle von Bot-Netzen sein. Licht und Schatten Die Summe der Seiten bildet ein Dark Web. Viele der darin enthaltenen HS-Websites Weil Hidden Services bewusst verborgen können nur von denjenigen besucht wer- werden und fluktuieren, lassen sie sich den, die die Onion-Adresse des HS kennen. kaum wissenschaftlich auswerten. Auf- HS sind ein optionales Feature des Tor- grund solcher methodologischen Schwierig- Netzwerks, das es Website-Besuchern und keiten beschränken sich die meisten Unter- Website-Servern ermöglicht, sich anonym suchungen auf Ausschnitte des Dark Webs gegenüberzustehen. Technisch funktioniert zu bestimmten Zeitpunkten. Websites im dies wie ein sogenannter »toter Briefkasten«: Dark Web funktionieren mittlerweile so Website-Betreiber speisen eine Information wie ihre WWW-Pendants. Es gibt Shops, ein, die dann später von einem Website- Chats und Foren. Mangels effizienter Such- Besucher anonym aufgesammelt wird. maschinen dokumentieren zahlreiche Verglichen mit dem WWW machen HS- Wikis, welche Dark-Web-Websites welche Websites nur einen verschwindend gerin- Adresse haben. Aber auch über Google gen Anteil aller Websites aus. Es gibt circa lassen sich Adressen zu Dark-Web-Wikis 110000 HS. HS werden von nur 1–3 Pro- finden. Nutzerkommentare und Bewertun- zent der regelmäßig aktiven 2 Millionen gen sind üblich. Einer britischen, nicht- Tor-Nutzer überhaupt aufgerufen. Auf- wissenschaftlichen Studie zufolge sind circa grund der Anonymisierungsfunktion des 50 Prozent der Dienste im Dark Web als Tor-Netzwerks sind genaue Metriken aller- legal einzustufen. Darunter fallen etwa
SWP-Aktuell 28 April 2019
2 Foren, in denen Themen diskutiert werden, pflichtigen Medikamenten eine häufige Pro- die in einigen Ländern tabuisiert sind. Auch duktkategorie auf Kryptomärkten. Die fol- Journalisten und Aktivisten nutzen das genden digitalen Güter waren 2018 auf Dark Net aus Angst vor Verfolgung durch einer Plattform namens Dream Market die autoritäre Regierungen. Sichere Kommuni- meistgehandelten: kompromittierte Nutzer- kationsplattformen für Whistleblower accounts (42%), Kreditkartendetails (29%), (»Secure Drops«) werden im Dark Web auch einfache Hacking-Tools (10%), Ausweis- von etablierten Organen wie der Washington dokumente (6,7%), komplexere Exploits Post gehostet. Tor wird insbesondere von (0,9%) und diverse Arten von Schadsoftware Bürgern in repressiven Regimen genutzt, (je ca. 0,7%). Zudem gibt es eine rege Com- um die Internet-Zensur zu umgehen und munity bösartiger Hacker, die sich dort auf westliche Dienste zugreifen zu können. zum Erfahrungsaustausch treffen. Aus diesem Grund sponsert das US State Auch der Vertrieb von Kinderpornografie Department seit 2011 die Entwicklung und findet über das Dark Web statt. Interessan- Verbreitung von Tor im Rahmen der Inter- terweise wird in diversen Kryptomärkten net Freedom Agenda. der Handel mit Kinderpornografie aber nicht Das Tor-Netzwerk wurde Mitte der toleriert und mit Ausschluss sanktioniert. 1990er Jahre am United States Naval Re- Laut einer kürzlich erschienenen Studie search Lab mit dem Ziel entwickelt, geheim- gibt es nur etwa 51 dezidierte Seiten mit dienstliche und militärische Kommunika- kinderpornografischen Inhalten im Dark tion zu verbergen, und diese Funktion er- Web. Gleichwohl muss man hier von einer füllt es auch heute noch. Auch staatliche höheren Dunkelziffer ausgehen. Cyber-Angriffe laufen über Tor. Europol und die Europäische Beobach- tungsstelle für Drogen und Drogensucht stellen in einer aktuellen Untersuchung Cyber-Kriminalität im Dark Net fest, dass der Drogenhandel über Dark Nets und Internet verglichen mit dem Handel im offenen WWW relativ klein ist. Verglichen mit dem Wie jede Technologie kann auch das Dark Offline-Drogenhandel spielt das Dark Net Web missbraucht werden. Die in den zwar eine wachsende, bisher aber dennoch Medien oft zitierten illegalen Marktplätze eher marginale Rolle. Die Autoren einer (Cryptomarkets) für Waffen und Drogen Studie aus dem Jahr 2018 beleuchteten die machen jedoch nur einen sehr kleinen Teil Einnahmen aus dem Verkauf von Drogen der Websites im Dark Web aus (0,3 bzw. auf den 8 größten Kryptomärkten im Dark 4%) aus. Eine niederländische Studie kam Web. Demnach werden dort jährlich ins- 2016 zu dem Schluss, dass es rund 50 so- gesamt rund 61 Millionen US-Dollar um- genannte Kryptomärkte gibt, auf denen Dro- gesetzt. Verglichen mit dem Gesamtvolu- gen und Waffen gehandelt werden. Einige men des europäischen Drogenhandels (ca. davon haben Prominenz erlangt, wie etwa 24–31 Mrd. Euro im Jahr), hat das Dark die 2013 geschlossene Plattform Silk Road. Net also einen Anteil von nur etwa 1 Pro- Drogenhandel ist auf diesen Kryptomärk- zent an diesem Geschäft. Laut einer Analyse ten das größte Phänomen im Bereich Cyber- des EU-Parlaments spielt das Dark Net auch Kriminalität. 57 Prozent der Angebote auf für Formen der Cyber-Kriminalität (u.a. den 8 größten Märkten betreffen Drogen, wo- Software-Piraterie, Urheberrechtsverletzun- bei der Großteil auf Cannabis und Amphe- gen, digitaler Steuerbetrug, Kreditkarten- tamine entfällt. Harte Drogen wie Heroin betrug und Click-Fraud) eine geringere Rolle werden dort selten gehandelt. Die Drogen- als oft angenommen wird. Es trage nur zu märkte verbuchen einen monatlichen Um- circa 1 Prozent der direkten wirtschaftlichen satz zwischen 10 und 18 Millionen Euro. Schäden bei, die durch diese Arten von Malware und gestohlene digitale Güter Cyber-Kriminalität entstehen. Der weitaus sind neben Drogen und verschreibungs- größere Teil werde durch Cyber-Kriminali-
SWP-Aktuell 28 April 2019
3 tät im regulären Internet verursacht, etwa zählt, ist willkürlich und eine Definition durch digitale Steuervermeidung. Allerdings ex negativo: Das Dark Net ist ein Teil des sind Sekundärschäden kaum zu berechnen. Internets, der nicht das WWW ist und Es gibt auch erheblich mehr kinderporno- bestimmte kryptografische Verfahren zur grafische Angebote im frei verfügbaren Teil Gewährleistung von Anonymität umfasst. des Internets als im Dark Web. Eine Studie Das trifft aber auf Vieles zu, etwa auf Vir- von 2014 kommt zu dem Schluss, dass von tual Private Networks (VPN), auf den HTTPS- rund 31000 mit Kinderpornografie assoziier- Datenverkehr oder auf verschlüsselte Foren ten Websites nur 51, also 0,2 Prozent, über im regulären WWW. Es gibt auch noch das Dark Net gehostet wurden. Der Rest wird andere Dark Nets, etwa das anonyme Peer- häufig in Ländern mit schwacher Staatlich- to-peer-Netzwerk Freenet oder das Invisible keit im regulären Deep Web gehostet. Aber Internet Project (I2P). Die Marktplatzplatt- auch die direkte Distribution über Mailing- form OpenBazaar zerlegt verborgene Web- listen oder Messenger-Dienste ist weiter ver- sites in Teile und speichert diese dezentral breitet als der Handel über das Dark Web. über alle Nutzer hinweg. All diese individu- Es gibt auch weitaus mehr Webshops für ellen Dark-Networks sind nicht eindeutig Narkotika im offenen Teil des Internets als voneinander getrennt, da das TCP/IP-Proto- im Dark Web. Drogenhandel findet zudem koll sie in einem Netzwerk vereint. Das in viel stärkerem Maße über öffentliche zeigt, dass ein pauschales Verbot des Dark Social Media Plattformen wie Facebook, Nets schnell zu einem Akt der Überregulie- Twitter und Reddit statt. Auch spezialisierte rung mit Kollateraleffekten werden kann. Apps und Messenger-Kommunikation spie- Wer das Dark Net verbieten will, verbietet len im heutigen Drogenvertrieb eine größe- fast zwangsläufig legitime Inhalte mit. re Rolle als das Dark Web. Das Dark Web und das Tor-Netzwerk Technische Implikationen eines sind also durchaus ein treibender Faktor für Verbots Kriminalität, verglichen mit dem Rest des Internets aber ein unbedeutender. Eine Ein nationaler Alleingang beim Verbot des Fokussierung auf das Dark Net als zentralen oder eines Dark Nets wäre kaum realisier- Schauplatz für Straftaten wäre Zeichen bar, da durch das Internet zahlreiche Alter- einer unangemessenen Gewichtung des nativen frei verfügbar sind. Ein Verbot von Problems. Jedwede politischen Maßnahmen Tor würde bedeuten, dass der Staat kontrol- müssen umfassender gedacht werden. Ein lieren müsste, welche Software auf den Verbot des Dark Nets würde folglich kaum Geräten seiner Bürger installiert ist. Das etwas am Phänomen der Cyber-Kriminalität stellt selbst autoritäre Regime wie China ändern. und Russland, die verschlüsselten Internet- Diensten den Kampf angesagt haben, vor große Probleme. Russland gab 2015 ein Ein oder viele Dark Nets verbieten? mehrjähriges, millionenschweres For- schungsprojekt zur Deanonymisierung des Wenn pauschal über ein Verbot des Dark Tor-Netzwerks erfolglos auf. Tor kann seine Nets gesprochen wird, stellt sich als Erstes Datenverbindungen über Tarnprotokolle als die Frage, was genau eigentlich damit ge- Verkehr zu legitimen Websites maskieren meint ist. Historisch betrachtet war vor der und somit nicht mit klassischen Blacklis- Erfindung des World Wide Web 1991 das ting-Internetfiltern zensiert werden. China gesamte Internet eine Art nicht-indexiertes, ist nur deshalb in der Lage, den Tor-Daten- unsichtbares Dark Web. Die Erfinder des verkehr zu blockieren, weil es alle Zugänge Internet-Vorläufers Arpanet bezeichneten zum globalen Internet mit der »Great Fire- bereits in den 1970er Jahren all jene Com- wall« überwacht und alle Pakete des Inter- puternetzwerke, die vom Arpanet isoliert netdatenverkehrs per Deep-Packet-Inspec- waren, als Dark Net. Was also zum Dark Net tion nach Tor-Indikatoren durchsucht. Das
SWP-Aktuell 28 April 2019
4 erfordert diverse Rechenzentren samt bieten oder mittels eingebauter Hintertüren Supercomputern an zentralen Internet- staatlicher Kontrolle zu unterwerfen, sind Glasfaserleitungen. Die Durchsetzung eines bisher an technischen Realitäten geschei- Dark-Net-Verbots wäre also ohne eine tert. Die Schwächung von Verschlüsselung gigantische Zensurinfrastruktur und ohne würde die Cyber-Sicherheit im Zeitalter der eine Segregation des deutschen Internets Hacker und Cyber-Konflikte nachhaltig vom Rest der Welt kaum zu bewerkstelli- negativ beeinträchtigen, so dass der Weg gen. Ein solches Vorhaben wäre weder mit des Verbots nicht ratsam ist. wirtschaftlichen Interessen kompatibel Eine Möglichkeit wäre, dass das Betrei- noch mit demokratischen Normen. ben von sogenannten Tor-Exit-Nodes, also Relays im Tor-Netzwerk, unter Strafe gestellt wird. Relay-Betreiber gerieten in der Ver- Politische Konsequenzen einer gangenheit immer wieder ins Visier von Verbotspolitik Strafverfolgungsbehörden. Ein Verbot des Betreibens von Exit-Nodes würde dazu Das Verbot eines Dark Nets, zum Beispiel führen, dass sich deutsche Tor-Nutzer über des Tor-Netzwerks, hätte international eines der rund 7000 ausländischen Tor- Signalwirkung. Mit einem solchen Schritt Relays verbinden würden, was die Internet- würde sich Deutschland einer Koalition verbindung lediglich verlangsamt. Das Tor- autoritärer Regime wie Russland oder Projekt hat sich in der Vergangenheit als China anschließen. Diese fordern derartige äußert resilient erwiesen, so dass bei Aus- Maßnahmen schon seit Jahren und sind fall eines Exit-Nodes mit dem Nachwachsen bisher am Widerstand der liberalen west- neuer Relays zu rechnen ist. Dieser Weg lichen Demokratien gescheitert. Mit der wäre also wenig sinnvoll. Entscheidung für ein Verbot würden die Zu guter Letzt gäbe es die Option, die repressiven Tendenzen in der Internet- Hidden Services selbst zu unterbinden. Die Governance gestärkt und würde zudem Politikwissenschaftler Daniel Moore und weltweit der Boden für Menschenrechts- Thomas Rid sprechen sich etwa dafür aus, verletzungen bereitet. Aus diesem Grund dass die Betreiber des Tor-Projekts die HS haben demokratische Regierungen ein vom Tor-Netzwerk trennen sollten, da solches Vorgehen bisher stets verhindert Erstere die legitimen Funktionen – also vor und Tor als Medium der freien Meinungs- allem das anonyme Besuchen von Websites äußerung betrachtet. im Internet und die Umgehung von Zensur- maßnahmen – von Tor in Verruf bringen. Technisch betrachtet würde dies nur eine Alternative Optionen kleine Änderung im Protokoll der Tor-Infra- struktur erfordern. Damit würden verbor- Ein alternativer Vorschlag wäre, die den gene HS unterbunden. Nicht-anonymisierte Kryptomärkten zugrundeliegenden Techno- Tor-Seiten wie Secure Drops oder Facebook logien zu regulieren. Dazu gehören im wären davon aber nicht betroffen. Im Wesentlichen das Tor-Netzwerk (Browser, Wesentlichen würde sich der Schritt also Hidden Services und physische Tor-Relay- gegen die Kryptomärkte richten. Einige der Server) und die für das digitale Bezahlen Pioniere des Tor-Projekts haben in der Ver- eingeführten Kryptowährungen wie Bitcoin gangenheit immer mal wieder diese Option oder Monero. Die hinter all diesen Baustei- erwogen und auch in der Hacker-Communi- nen steckende Technologie ist Verschlüsse- ty wird periodisch darüber diskutiert. Aller- lung. Der Wesenskern von Verschlüsselung dings müsste sich dafür innerhalb dieser ist der Schutz der Integrität und Authenti- Community eine lautstarke Graswurzel- zität von Daten gegenüber unautorisierten bewegung formieren, damit die in Seattle Dritten, also auch staatlichen Stellen. Ver- ansässige Non-Profit-Organisation, die das suche, Verschlüsselungsverfahren zu ver- Tor-Projekt verwaltet, umgestimmt werden
SWP-Aktuell 28 April 2019
5 könnte. Die Hacker-Community könnte zu- Mittäter schon heute über eine Beihilfe- dem selbst aktiv werden, indem die privaten handlung belangt werden können. Tor-Relay-Betreiber Anfragen für HS mittels einer von der Community kuratierten Black- list blockieren. Viele Tor-Relays werden von Polizeistreifen im Dark Net Universitäten und NGOs betrieben, die hier vorangehen könnten. Im Einklang mit der Die zentrale politische Herausforderung kriminologischen Verdrängungstheorie ist liegt darin, die negativen Effekte des Dark aber davon auszugehen, dass Nutzer nach Webs (Hidden Services und Kryptomärkte) dem Wegfall der Tor-HS zu alternativen einzudämmen und gleichzeitig die positi- Technologien abwandern würden. ven Effekte des Dark Nets (Whistleblowing, Schutz vor Repression) zu bewahren. Dies lässt sich über ein pauschales Verbot oder Neues IT-Sicherheitsgesetz die Strafbarmachung von Tor-Diensten nicht erreichen. Es ist nachvollziehbar, dass Im gegenwärtigen Entwurf des neuen IT- der Gesetzgeber Ermittlungen im Dark Net Sicherheitsgesetzes von 2019 soll »das Zu- vereinfachen will. Dieses Ziel ließe sich gänglichmachen von Leistungen zur Be- aber durch eine verstärkte Präsenz und eine gehung von Straftaten« strafbar gemacht Verbesserung der Ausbildung und Ausstat- werden. Die Klausel zur Änderung des tung der Dark-Web-Fahnder leichter errei- Strafgesetzbuches § 126a ist besonders weit chen. Diese Maßnahmen würden nicht nur gefasst. »Wer Dritten eine internetbasierte bei der Bekämpfung der Kriminalität im Leistung zugänglich macht, deren Zweck Dark Web helfen, sondern auch im Hinblick oder Tätigkeit darauf ausgerichtet ist, die auf das reguläre Internet sinnvoll sein. Begehung von rechtswidrigen Taten zu ermöglichen, zu fördern oder zu erleich- Traditionelle Strafverfolgung und tern, wird mit Freiheitsstrafe bis zu fünf neue Ermittlungsstrategien Jahren oder mit Geldstrafe bestraft.« Unter diese Bestimmung würde faktisch das ge- Das Dark Web ist dem Internet ähnlicher samte TCP/IP-Internet fallen. Entgegen dem als oft angenommen. Die Cyber-Sicherheit ursprünglichen Entwurf des Bundesrats ist von Kryptomärkten und die IT-Sicherheits- die Klausel auch nicht mehr auf bestimmte, praktiken vieler Nutzer sind nicht perfekt besonders schwere Delikttypen (Kinderpor- und somit anfällig für innovative Ermitt- nografie) begrenzt. Je nach Rechtsprechung lungsmethoden der Strafverfolgungsbehör- könnte damit auch das Betreiben von den, inklusive staatliches Hacking. Oft ist legitimen Tor-Nodes kriminalisiert werden. nicht einmal der Einsatz von Schadsoftware Eine engere gesetzliche Regelung, die sich (z.B. Bundestrojaner) erforderlich, sondern auf bestimmte Straftaten sowie auf das kon- reicht der clevere Einsatz von frei verfüg- krete administrative Betreiben von Dark- baren Tools aus. Web-Foren auf der Anwendungsebene, also Wie im regulären Internet sind auch im das Dark Web, beschränken würde, wäre Dark Web die Nutzer faul und verwenden verhältnismäßiger. Problematisch ist eine über viele Websites hinweg die gleichen weitgefasste Dark-Net-Klausel auch im Hin- Nicknames, E-Mail-Adressen und schwache blick auf Entwicklungen, die sich bereits ab- Passwörter. Kryptomärkte sind oft unsicher zeichnen: Wenn in Zukunft mehr Dienste konfiguriert und damit für intelligente über Peer-to-peer-Services wie Blockchains Strafverfolgungsoperationen angreifbar. Die gehostet werden, würde jeder Nutzer der FBI-Operation gegen den Kryptomarkt Silk Technologie – wissentlich oder unwissent- Road machte sich etwa einen Fehler in der lich – beim »Zugänglichmachen« von Anmeldemaske des Marktes zunutze, dank Kryptomärkten mitwirken. Verfassungs- dessen User deanonymisiert werden konn- rechtler sehen eine Ausweitung kritisch, da ten. Nutzer und Betreiber verwenden für
SWP-Aktuell 28 April 2019
6 Dark-Web-Foren oder Bitcoin-Wallets oft gungsoperationen gegen solche Märkte die gleichen E-Mail-Adressen, die sie auch machen sich genau diesen Umstand zu- im regulären Internet nutzen. Das macht nutze. Interessant ist in diesem Zusammen- sie über verschiedene Internet-Dienste hin- hang die FBI-Operation Pacifier: durch weg verfolg- und identifizierbar. Bei der er- einen technischen Hack gelang es dem FBI, folgreichen Strafverfolgungsoperation Bayo- die Kontrolle über die Kinderpornografie- net, in deren Rahmen es gelang, zwei der Seite Playpen zu übernehmen und so die größten Kryptomärkte zu deaktivieren und Nutzer zu deanonymisieren. Bei der Opera- deren Infrastruktur zu beschlagnahmen, tion Bayonet gegen den Kryptomarkt Hansa nutzten die Ermittler diesen Umstand aus. konnten Ermittler den Markt-Server in In einer international koordinierten Aktion einem Rechenzentrum lokalisieren und vor übernahm das FBI die Kontrolle über den Ort den Software-Code des HS manipulieren. Kryptomarkt Alphabay. Als dies bekannt Die Kontrolle des HS-Servers ist immer das wurde, wanderten die Nutzer in den von primäre Ziel, da auf diese Weise alle Trans- Europol fast zeitgleich übernommenen aktionen verfolgt und Nutzerdaten trotz Kryptomarkt Hansa ab. Dabei verwendeten Anonymisierung extrahiert werden können. sie oft die gleichen Namen und Passwörter Ferner können sogenannte »beacon files« in und konnten so identifiziert werden. illegale Güter, wie etwa pornografische Die Betreiber von Online-Märkten treten Bilder, implantiert werden, die den Ermitt- zudem oft unvorsichtig im regulären Inter- lern die wahre IP-Adresse eines Downloads net in Erscheinung, wie etwa in den Foren mitteilen. Wenn Nutzer in Kryptomärkten, Reddit oder 4chan. Sie verwenden für ihre die von der Polizei kontrolliert werden, Shops zudem häufig Vorschaubilder von physische Waren bestellen, können Sen- anderen Websites wieder, was sie identifi- dungen nachverfolgt werden (etwa durch zierbar macht. Oft entfernen sie die EXIF- GPS-Sender in Paketen). Packstationen – die Metadaten aus Bilddateien nicht. All diese von den Kunden bevorzugten Zustellorte Indizien können auch ohne Hacking durch für illegale Warensendungen – können sorgfältige Polizeiarbeit gesammelt und zu videoüberwacht und die Empfänger bei Ab- Beweismaterial verdichtet werden. Bitcoin- holung festgenommen werden. Transaktionen können durch sogenannte Zwar ist die physische Lokalisierung und Chain-Analysis und Big-Data-Verfahren Übernahme von HS-Servern komplex, zeit- auch heute schon zum Teil deanonymisiert aufwendig und kostenintensiv, sie ist aber werden. Das zeigt, dass sich Dark-Web- enorm effektiv. Bei der Operation gegen Ermittlungen nicht nur auf das Dark Net Hansa konnten durch die Übernahme des beschränken dürfen, sondern holistisch Servers mehr als 400000 Nutzer identifi- verschiedene Informationen und Quellen ziert und über 10000 physische Privatadres- im offenen Internet miteinbeziehen müs- sen ermittelt werden. Bessere Ermittlungs- sen (Open Source Intelligence). Erforderlich techniken tragen dazu bei, dass die durch- ist dazu allerdings eine permanente Präsenz schnittliche Lebenszeit eines Kryptomarkts der Polizei im Dark Web bzw. eine konti- bei nur etwa 12 Monaten liegt. Allerdings nuierliche Aktualisierung des Lagebilds. zieht das Abschalten eines Dienstes in der Der ehemalige Direktor des US-Heimat- Regel binnen Sekunden das Auftauchen schutzministeriums Michael Chertoff weist neuer, alternativer Plattformen nach sich. darauf hin, dass die Anonymität im Dark Net für Strafverfolgungsbehörden nicht nur Polizeiausbildung und ein Nachteil, sondern auch ein Vorteil ist: internationale Zusammenarbeit Für Website-Betreiber und Nutzer ist nicht ohne weiteres nachvollziehbar, ob das Europol hat in einer kürzlich erschienenen Gegenüber nicht ein Undercover-Polizist ist Studie dargestellt, dass in den verschiede- bzw. der Kryptomarkt nicht von der Polizei nen europäischen Polizeibehörden zum Teil gehostet wird. Viele erfolgreiche Strafverfol- noch erhebliche Wissenslücken bezüglich
SWP-Aktuell 28 April 2019
7 des Dark Nets existieren. Ein häufiger Fehl- nationaler Austausch darüber, welche schluss ist etwa anzunehmen, dass das tra- Methoden Kryptomarkt-Händler nutzen, ditionelle kriminalistische Erfahrungs- damit ihre Päckchen vom Zoll nicht erkannt wissen im Angesicht der neuen Kriminali- werden, elementar. Finnland beispielsweise tätsformen, die das Dark Net ermöglicht, hat vergleichsweise strenge Paketkontroll- obsolet geworden ist. Die digitale Ermitt- bestimmungen, weshalb Kryptomarkt-An- lungsarbeit gleicht in einigen Bereichen bieter aus Angst vor Strafverfolgung weni- sehr stark den bewährten Praktiken des ger häufig Waren dorthin versenden. Zudem Analysierens und Verbindens von verschie- ist zu überlegen, ob man nicht maschinel- denen Spuren. Das Ziel sollte daher sein, les Lernen oder automatisierte Screening- © Stiftung Wissenschaft die in Europa durchaus vorhandene Exper- Prozesse im Warenverkehr einführen sollte, und Politik, 2019 tise in Sachen Dark-Net-Ermittlungen besser zumindest bei Paketen, die an Packstatio- Alle Rechte vorbehalten zu bündeln und zu teilen. nen geliefert werden. Hier wäre die EU ge- Elementar wäre es dabei, mehr Polizei- fragt, einen Entwurf zu präsentieren, der Das Aktuell gibt die Auf- beamte in neuen technischen Verfahren die bestehenden Freiheiten wie das Post- fassung des Autors wieder. und Kenntnissen der IT-Sicherheit auszubil- geheimnis nicht unnötig einschränkt, aber In der Online-Version dieser den und diese Fähigkeiten mit den bekann- bestimmte Kontrollen ermöglicht. Publikation sind Verweise ten und erprobten Ermittlungsmethoden zu auf SWP-Schriften und verknüpfen. Nur die Kombination dieser wichtige Quellen anklickbar. Skill-Sets wird langfristig zum Erfolg füh- Fazit ren. Europol hat dafür spezielle Teams auf- SWP-Aktuells werden intern einem Begutachtungsverfah- gestellt, die IT-Security-Experten, IT-Juristen Das Dark Net ist Schauplatz durchaus ab- ren, einem Faktencheck und und erfahrene Kriminalisten mit verschie- scheulicher Kriminalitätsformen, die nicht einem Lektorat unterzogen. denen Spezialgebieten zusammenbringen. zu verharmlosen sind. Eine sachliche Be- Weitere Informationen Solche Dark Net Task Forces sollten gestärkt trachtung zeigt aber, dass die gleichen zur Qualitätssicherung der und auch in den Mitgliedstaaten auf- und Straftaten in oft größerem Ausmaß im all- SWP finden Sie auf der SWP- Website unter https://www. ausgebaut werden. Das bedeutet, dass die gemeinen Internet oder in der physischen swp-berlin.org/ueber-uns/ EU und die Mitgliedstaaten in diesen Berei- Welt stattfinden. Eine zu enge Fokussie- qualitaetssicherung/ chen »capacity building« betreiben müssen. rung auf das Dark Net als Brennpunkt der Eine rege internationale Kooperation ist Kriminalität ist daher wenig sinnvoll. Neue SWP bei der Bekämpfung von Kryptomärkten, die Ermittlungsmethoden haben schon gezeigt, Stiftung Wissenschaft und oft über mehrere Ländergrenzen hinweg ge- dass die Anonymität von Straftätern im Politik Deutsches Institut für hostet werden, zentral. Operationen gegen Dark Net kein unüberwindbares Hindernis Internationale Politik und solche Märkte können nur dann erfolgreich mehr ist. Allerdings gleicht der Kampf Sicherheit sein, wenn zeitgleich mehrere der wichtigs- gegen die Kriminalität im Dark Web einem ten Server von Strafverfolgungsbehörden stetigen Katz-und-Maus-Spiel. Auch die Kri- Ludwigkirchplatz 3–4 übernommen werden. Die Ermittlungen minellen verwenden immer neue Metho- 10719 Berlin Telefon +49 30 880 07-0 sollten also, ähnlich wie bei der gemein- den und die Polizei muss darauf reagieren. Fax +49 30 880 07-100 samen Terrorbekämpfung, europäisch ko- Damit sie dazu in der Lage ist, müssen in- www.swp-berlin.org ordiniert werden. Dazu gehört ganz wesent- nerhalb der EU mehr finanzielle Mittel für [email protected] lich, dass die EU-Partner elektronische Be- Personal, Ausbildung und Kooperation be- weismittel reibungsloser austauschen und reitgestellt und mehr Beamte in Verfahren ISSN 1611-6364 doi: 10.18449/2019A28 sich gegenseitig schneller Rechtshilfe leisten. der digitalen Technik geschult werden. Die- Auch die Zoll-Behörden sollten verstärkt ser Weg ist zwar kostenintensiver, aber und die Kooperation unter ihnen intensi- auch nachhaltiger als scheinbar schnelle viert werden. Ein Großteil der über das Lösungen in Form von Verboten oder einer Dark Net verschickten physischen Waren Überregulierung, die technisch und poli- wandert unkontrolliert über die offenen tisch kaum ohne Kollateralschäden umsetz- EU-Binnengrenzen. Deshalb wäre ein inter- bar wären.
Dr. Matthias Schulze ist Wissenschaftler in der Forschungsgruppe Sicherheitspolitik.
SWP-Aktuell 28 April 2019
8