Muad'Dib
.:.Carpe.Diem.:.
  
Dabei seit: 12.06.2007
Beiträge: 8.296
Herkunft: 51°N/11.5°E Jena/Thuringia
 |
|
 Prozess um Darkweb-Forum: Wie unterschiedlich die Ermittler vorgingen |
     |
In Karlsruhe muss sich der ehemalige Betreiber von DiDW vor Gericht verantworten. Im Prozess erläutert ein BKA-Beamter die Ermittlungen in dem Darkweb-Forum.
Hätte sich der blutige Anschlag am 22. Juli 2016 am Münchner Olympia-Einkaufszentrum verhindern lassen? Diese Frage spielte schon im ersten Prozess nach der Tat in München eine Rolle. Da war der Waffenhändler zu sieben Jahren Gefängnis verurteilt worden, der dem Täter eine Pistole verkauft hatte, nachdem sie sich im Darkweb-Forum "Deutschland im Deep Web" (DiDW) kennengelernt hatten. Mit Alexander U. steht nun der Betreiber dieses Forums in Karlsruhe vor Gericht und die Frage schwebt auch über diesem Verfahren. Dort wurde jetzt offenkundig, dass zwei Bundesbehörden parallel ermittelten, ohne sich miteinander abzusprechen – vermutet wurde das schon länger.
Einmal miteinander telefoniert
Gegen Alexander U. ermittelte das Bundeskriminalamt (BKA). Gegen den Waffenhändler ermittelte das Zollfahndungsamt (ZFA). Beide Behörden sind Bundesministerien unterstellt – das BKA dem Innen- und das ZFA dem Finanzministerium. Beide widmeten sich dem DiDW-Forum mit je eigenen verdeckten Ermittlern, eigenen technischen Spezialisten und je eigener Bürokratie.
Ein "VE-Führer" des Bundeskriminalamtes, der verdeckte Ermittler anleitet, musste sich am Donnerstag als Zeuge in Karlsruhe der Frage stellen, ob sich seine Dienststelle mit anderen Behörden ausgetauscht habe. Seine Antwort: "Ich war mal im Austausch… ähm… mit ZFA in Frankfurt… kann ich mich nicht erinnern". Dann fällt ihm der Name eines Zollfahnders ein. Er nennt ihn und sagt: "Ich habe mit dem telefoniert". Ein Mal.
Wann das BKA erstmals auf das Darkweb-Forum aufmerksam wurde kann der Beamte nicht mehr sagen. Er könne sich an kein konkretes Verfahren erinnern, aber es sei schon vor dem Münchner Anschlag gewesen. Erst nach dem Anschlag aber sei die Sache richtig in Schwung gekommen. Am 15. August 2016 – vier Wochen nach den Schüssen – habe die Staatsanwaltschaft Gießen den Auftrag für Ermittlungen erteilt. Ziel sei es gewesen, den User "Luckyspax" ausfindig zu machen und festzunehmen. "Luckyspax" war das Pseudonym des angeklagten Alexander U., des Administrators von DiDW.
Verdeckte Ermittler handeln mit
Seine Dienststelle habe sodann versucht, verdeckte Ermittler im Forum unterzubringen. Dabei handelte es sich um reguläre BKA-Beamte und nicht um von außen angeworbene V-Leute. In den nächsten Tagen hätten sich seine Mitarbeiter unter mehreren User-Identitäten angemeldet. Die genaue Zahl der Identitäten will der Beamte nicht verraten und beruft sich auf die Beschränkungen seiner Aussagegenehmigung. Als wichtigste User-ID seiner Ermittler nennt er "Gazza". "Gazza" habe damit begonnen, "Telefonkarten" zu verkaufen, vermutlich geht es hier um SIM-Karten. Die waren ein gefragtes Gut im DiDW, weil sie Kommunikation ohne die gesetzlich vorgesehene Registrierung ermöglichten. "Die Telefonkartengeschichten dienten dem Aufbau des Nicknames", erläutert der VE-Führer. "Gazza" habe außerdem zwei Mal Bitcoin an den Admin "Luckyspax" gespendet.
Zwei andere BKA-User hätten zugleich einen Waffendeal simuliert. Der eine habe vorgegeben, er suche eine Waffe, der andere, er habe eine. "Es gab auch eine Waffe, die haben wir abfotografiert", sagt der Beamte. "Wir haben auch ein Paket losgeschickt, aber da war natürlich keine Waffe drin". Weiter hinterfragt wird diese Aussage nicht. Unklar bleibt, wie das Versenden eines leeren Pakets von einer fiktiven Adresse an eine andere fiktive Adresse im Online-Forum Eindruck schinden könnte.
Administrator an Waffenhandel beteiligt?
Der Beamte meint, bei diesem Waffendeal habe "Luckyspax" bereits eine aktive Rolle gespielt. Er als Administrator habe nämlich den verdeckten Ermittler als Verkäufer freigeschaltet. Beim Lesen der Forendiskussionen hätten die Fahnder gelernt, dass nur "Luckyspax" Händler in die Kategorien "Biete" und "Biete zertifiziert" einstellen konnte. Der VE-Führer im Zeugenstand sagt: "Bilder und Angebotstext sollten vom Luckyspax abgesegnet werden, und das hat er getan, indem er es freigeschaltet hat".
Das freilich war für das Karlsruher Gericht eine echte Überraschung, die sich weder aus den Akten noch aus dem Verlauf der bisherigen Prozesshistorie herleiten lässt. Aus alldem ergibt sich nämlich, dass Alexander U. seine "Biete"-Kategorien ausschließlich für Drogendeals zur Verfügung stellte, nicht aber für Waffengeschäfte. Auf Nachfrage erinnert sich der Beamte, es habe mehrere Diskussionen im Forum zu dem Thema gegeben.
Der Richter will wissen: "Wurde die Waffe im Verifiziert-Bereich angeboten?"
"Weiß ich nicht mehr".
Ein Verteidiger hakt nach: "Wurde er nun freigeschaltet oder wurde nur darüber gesprochen?"
"Die Antwort von Luckyspax war: Du wurdest freigeschaltet". Darüber finde sich auch schriftliches Material in der "VE-Akte". Die habe er aber gerade nicht dabei.
Der Vorsitzende Richter Holger Radke merkt an: "Was Sie uns erzählen, widerspricht eigentlich allem, was wir bisher über das Thema Waffenhandel gehört haben". Der BKA-Mann möge ihm bei Gelegenheit besagte VE-Akte zur Verfügung stellen.
Admin schaltete sich nicht immer ein
Die verdeckten BKA-Ermittler testeten auch die Treuhandfunktion bei DiDW. Die ist insofern relevant, als der Angeklagte selber als Treuhänder auftrat. Das kann als Indiz dafür gesehen werden, dass er von den Deals auf seiner Plattform wusste und sie unterstützte. Der Ermittler berichtet von einem weiteren Scheingeschäft zwischen zwei Identitäten seiner Abteilung: Eine bot ein Macbook feil, eine andere kaufte es. Die Käufer-ID schaltete die Treuhandfunktion ein. Das sei ganz einfach gewesen. "Man kann es anklicken". Dann bezahlte der vermeintliche Käufer mit Bitcoin auf die Wallet des Treuhänders. Später teilte er mit, die Ware sei nicht geliefert worden. Der Treuhänder habe dem vermeintlichen Käufer daraufhin sein Geld "zurücküberwiesen".
Auch bei dem fingierten Waffengeschäft hätten die BKA-Ermittler die Treuhandfunktion genutzt. Jedoch: "Da gab’s keine Antwort drauf. Beim Waffengeschäft war kein Eingreifen notwendig". Denn da spielten die Ermittler ja vor, alles klappe bestens, bis hin zum Versand des leeren Pakets. Insofern bleibt jedenfalls für diesen Scheindeal offen, ob Alexander U. als Treuhänder wusste, dass eine Waffe den Besitzer wechseln sollte. Richter Radke fragt mehrmals auf diesen Punkt hin, womöglich leicht enttäuscht über das Resultat. Der Angeklagte hatte ausgesagt, er habe im Falle reibungsloser Deals gar nicht mitbekommen müssen, dass er als Treuhänder eingeschaltet war.
Verräterisches Bitcoin-Konto
Auf die Spur von "Luckyspax" kamen die Behörden allerdings nicht durch derartige Tarngeschäfte. Ende 2016 überprüften sie die ID seiner Bitcoin-Wallet, auf die Mitarbeiter "Gazza" Geld gespendet hatte. Auf der Plattform bitcoin.de wurden sie fündig. Die nutzte "Luckyspax", um Bitcoin in Euro zu tauschen. Dort hatte er sich mit Klarnamen und persönlichen Daten registriert. Es dauert dann aber noch einmal mehrere Monate, bis die BKA-Leute zugriffen und "Gazza" seinen großen Auftritt hatte. Die Ermittler wollten nicht nur den Mann, sondern auch seine Daten. "Die Planung war letztendlich, gemeinsam mit Cyberanalysten des BKA einen gefakten Angriff auf das Board durchzuführen", sagt der VE-Führer im Zeugenstand.
Den zeichnet das Gericht dann mit Aktenvorhalten nach. "Gazza" habe sich am frühen Abend des 6. Juni 2017 im Forum und über seinen Jabber-Client angemeldet. Er habe gesehen, dass "Luckyspax" auf beiden Kanälen online gewesen sei. Er habe ihn angeschrieben und behauptet, er habe eine Sicherheitslücke in seinem Forum gefunden. Die wolle er ihm demonstrieren. "Luckyspax" habe aber nicht reagiert. Am nächsten Tag habe er eine PGP-verschlüsselte Nachricht an "Luckyspax" ins Forum gestellt, die lautete:
"Will Dich ja nicht beunruhigen, aber ich denke, dass ich eine ernsthafte Sicherheitslücke im Board gefunden habe. … Komm mal in Jabber, dann erklär ich es dir".
Erst am nächsten Tag habe Luckyspax zurückgeschrieben:
"Die wäre?"
Darauf "Gazza": "Shell-Zugriff. Kann es dir live zeigen, komm in Jabber".
Worauf "Luckyspax" aber keine Lust zu haben schien:
"Sry, keine Zeit für Jabber. Willst Du etwas zur Sicherheit beitragen, dann kannst Du mir das hier mitteilen" – also in einer PGP-verschlüsselten Nachricht im Forum und nicht im Jabber-Chat. Letzteren hätte der BKA-Ermittler bevorzugt, weil er "bequemer" sei, wie der VE-Führer vor Gericht sagt. Da habe man nicht immer erst die Texte verschlüsseln, einkopieren und verschicken und beim Empfang kopieren und entschlüsseln müssen. Aber da "Luckyspax" nicht chatten wollte, ging es halt nicht anders. "Gazza" teilte mit:
"Hatte durch SQLi Shell-Zugriff auf deinen Server. Was du übrigens bei einer Auswertung deiner Server-Logs aktuell feststellen solltest".
Also eine SQL-Injection, einen direkten Zugriff auf die Datenbank hinter der Foren-Oberfläche. "Gazza" stellte noch fest, dass "Luckyspax" seine Nachricht gelesen hatte. Eine Antwort erhielt er aber nicht mehr.
Jeder Schritt überwacht
Gleichwohl habe eine andere BKA-Abteilung beobachten können, dass "Luckyspax" reagierte, nämlich die Telekommunikations-Überwachung. Die Behörde hatte da bereits alle Anschlüsse ihres Verdächtigen im Blick und verfolgte jeden seiner Online-Schritte mit. "Er hat nach SQL-Injection gegoogelt", erinnert sich der Beamte. "Wir wussten also: Er sitzt vor dem Rechner und haben den Zugriff durch die GSG 9 freigegeben". Und so kam es dann auch: In der Nacht des 8. Juni 2017 flog seine Wohnungstür gewaltsam auf und die Beamten zogen ihn von seinem Rechner weg.
Damit waren dann zwei Männer in der Folge des Münchner Anschlags festgenommen worden – vor "Luckyspax" alias Alexander U. schon Philipp K. alias "Rico", der Lieferant der Mordwaffe. Der Prozess gegen "Rico" in München war noch in vollem Gang, als das BKA in Karlsruhe zuschlug. Die Nebenkläger in München versuchten, die Ermittlungsergebnisse aus Karlsruhe in ihr Verfahren zu bekommen. Allerdings waren sie damit überwiegend nicht erfolgreich. Das Münchner Landgericht hatte sich auf ganz andere Ermittlungen gestützt, die mit denen des BKA nichts zu tun hatten. Die Beweise für das Münchner Verfahren hatte die andere Bundes-Ermittlungsbehörde geliefert, das Zollfahndungsamt.
Deren verdeckte Ermittler waren ganz anders und viel robuster vorgegangen als die des BKA. Sie waren auch nachweislich schon lange vor dem Münchner Anschlag im DiDW tätig. Soweit aus den Akten und dem Münchner Prozess bekannt, haben sie keine künstlichen eigenen Identitäten im Forum angemeldet, sondern die Identitäten festgenommener Waffenhändler- und Käufer übernommen. Sie waren damit im Besitz von als verlässlich bekannten Foristen mit vertrauenswürdiger Historie. An eine davon – "Erichhartmann" – hatte sich der spätere Attentäter – "Maurächer" – auf der Suche nach einer Glock 17 gewandt. Die würde er gern kaufen. Hätte die Behörde den Anschlag verhindern können? Ein Sprecher sagte auf Anfrage: Nein, es sei eine von vielen Nachrichten gewesen. Dass ausgerechnet die von einem echten späteren Terroristen gekommen sei, habe man nicht erkennen können.
Anderer Ermittler, andere Erkenntnisse
Der Zollfahnder hinter dem Pseudonym "Erichhartmann" war derselbe, von dem der BKA-VE-Führer in Karlsruhe vor Gericht sagte, er habe einmal mit ihm telefoniert. Das ist insofern nachvollziehbar, als der Klarname dieses Zollfahnders in der Akte zum Münchner Prozess zu finden ist, er dort auch als Zeuge aufgetreten war und der BKA-Beamte ihn in Karlsruhe namentlich nannte. Sehr tiefschürfend kann dieses Telefonat nicht verlaufen sein. Ermittlungsergebnisse tauschten der Zollfahnder und der BKA-Mann wohl nur bestenfalls oberflächlich aus.
Derselbe Zollfahnder verwendete auch das Pseudonym "Sectorplantone", auch das ein Account, der von einem Festgenommenen übernommen worden war. Die Schüsse in München waren erst wenige Tage her, als "Sectorplantone" im DiDW den User "Rico" ansprach, ihn nach Waffen fragte und zu einem Geschäft verleitete, wissend, dass er dem Münchner Täter die Waffe verkauft hatte.
Es war auch genau dieser Beamte der Zollfahndung, der sich am 16. August 2016 in Marburg mit Philipp K. traf, in der Tasche 8000 Euro. Er spazierte mit Philipp K. zu dessen abseits geparkten blauen VW Lupo. Im Auto öffnete K. eine Gitarrentasche, in der ein Sturmgewehr, Typ VZ 58, und eine Pistole vom Typ Glock 17, 3. Generation lagen. Der Zollfahnder überreichte die Geldscheine. Philipp K. zählte nach. Als er fertig gezählt hatte griffen ihn weitere Beamte, die er bis dahin nicht bemerkt hatte. Unter seiner Jacke fanden die Ermittler eine Pistole in einem Schulterholster, Kaliber 9 mm, elf Schuss im Magazin, eine Patrone schussbereit im Lauf.
Im Gericht in Karlsruhe sagte der BKA-Mann auf Nachfragen, er kenne die Pseudonyme "Rico" oder "Maurächer" nur vom Hörensagen, aber nicht aus seiner Ermittlungsarbeit. Kontakte seiner verdeckten Ermittler zu diesen beiden Identitäten habe es nicht gegeben. Eine Nebenklage-Anwältin will wissen, ob es im BKA Besprechungen über die Auswertung von Beweismitteln gegeben habe. Klar, habe es gegeben. Ob da mal über das Münchner Verfahren gesprochen worden sei? "Vielleicht ist da mal drüber gesprochen worden. Will ich nicht ausschließen". Was denn überhaupt der Anlass für das BKA gewesen sei, mit Ermittlungen gegen DiDW zu beginnen? "Der 22. Juli 2016". Also der Tag des Münchner Anschlags.
Die Anwältin fragt, ob der BKA-Beamte das Pseudonym "Erichhartmann" kenne. Also die Online-ID des Zollfahnders, mit dem er einmal telefoniert habe. Die Antwort: "Da kann ich Ihnen nichts zu sagen". Also nichts dazu, dass es eben jener "Erichhartmann" war, mit dem er einmal telefoniert habe.
Unzufrieden mit der Polizeiarbeit
Für ein Urteil gegen Alexander U. scheint die Beweisaufnahme in Karlsruhe gleichwohl inzwischen zu genügen. Richter Radke stellte nach der Vernehmung fest, sein Programm für diesen Prozess sei überwiegend abgearbeitet. Er könne sich vorstellen, dass zum nächsten Termin am 12. Dezember die Plädoyers gehalten werden könnten.
Ganz sicher ist das aber noch nicht. Einige Nebenkläger möchten vorher noch die gesicherte Datenbank des DiDW auswerten. Die soll ihnen bis dahin zur Verfügung stehen. Sie gehört zu den wenigen Datenfunden, die das BKA sichern konnte, bis ein Beamter den Stecker des Servers in der Karlsruher Wohnung von Alexander U. zog. Diesen Unglücksraben möchten die Nebenkläger zudem noch als Zeugen hören. Der Richter ließ offen, ob er diesem Wunsch folgen wird und argumentierte, neue Erkenntnisse könne der Beamte wohl kaum beitragen.
Der Richter machte aber auch deutlich, dass auch er nicht gerade zufrieden ist mit der Arbeit der Polizeibehörden. "Bei den Ermittlungen nach München ist einiges nicht so gelaufen, wie man das gern gehabt hätte", sagte er. (Christoph Lemmer) / (mho)
Quelle: https://heise.de/-4236871
__________________
| Multifeed Triax Unique 3°e>28°e & motorized FiboStøp120/90/75/55 |
|| VU+ Solo 4K & Blindscan|Mio 4K|Denys H265|S3mini|X-xx0|DVB-Cards ||
Ich bremse nicht für Schnarchroboter. ®²º¹³ Muad'Dib
Alle meine posts stellen meine persönliche und freie Meinungsäußerung dar.
|
|
