Tech

Das FBI hat Hunderte deutsche Tor-Nutzer gehackt

Der 19. Februar 2015 ist ein Glückstag für deutsche Cybercrime-Ermittler. An jenem Donnerstag nehmen FBI-Beamte den Betreiber von Playpen fest, das ist zu dieser Zeit die größte Pädophilen-Plattform des Darknets. Die Aktion findet in Florida statt, aber sie hat Auswirkungen bis nach Wiesbaden, in die Zentrale des Bundeskriminalamts (BKA): Das FBI liefert dem BKA in den folgenden Tagen hunderte IP-Adressen von deutschen Playpen-Nutzern frei Haus.

Sofort beginnen die Ermittler bei deutschen Internet-Providern wie Vodafone und der Telekom anzufragen, wer hinter den IP-Adressen steckt. Wenige Tage später kennt das BKA insgesamt 408 Namen und Adressen von deutschen Tor-Nutzern, die auf der Plattform unterwegs waren. Das geht aus einem BKA-Dokument hervor, das Jahre später im Netz auftaucht. Einige der Fälle beschäftigen die deutschen Behörden bis heute.

Videos by VICE

Bis zu jenem Tag im Februar 2015 konnten sich die Verdächtigen im Darknet weitgehend sicher fühlen, denn sie waren mit dem für deutsche Ermittler nicht zu knackenden Tor-Browser unterwegs. Auf Playpen kauften, verkauften und tauschten sie in Unterkategorien wie “Kleinkinder”, “Bondage” oder “Schläge” und in Regionalforen wie “deutsch”, “portugiesisch” oder “spanisch” Bilder und Videos. Dank der Hilfe aus den USA weiß das BKA sehr genau, was die deutschen Verdächtigen auf der Darknet-Plattform getan haben: Bei weiteren Ermittlungen schickt das FBI eine Doppel-DVD mit einer detaillierte Auflistung, was ein Verdächtiger, wann auf Playpen gepostet und sich angesehen hat nach Deutschland. Auch die privaten Chat-Nachrichten der verdächtigen deutschen Playpen-User übermittelte das FBI. Die Datensätze sind ein Geschenk für deutsche Ermittler, denen es sonst nur nach monatelangem Aufwand gelingt einzelne Pädophile im Darknet zu demaskieren.

Der Grund für den spektakulären Ermittlungserfolg ist Operation Pacifier: Mit dieser Aktion schaltet das FBI nicht nur die Seite Playpen ab, die zu diesem Zeitpunkt rund 150.000 Nutzer verzeichnet, die Ermittler starten so auch eine Hacking-Kampagne von bis dahin unbekanntem Ausmaß. Über 800 Computer in mehr als 120 Ländern wurden aufgrund eines einzelnen richterlichen Beschluss mit Schadsoftware infiziert, um so möglichst viele Nutzer der Darknet-Seite zu identifizieren. Einer der Verdächtigen, die ins Visier des FBI geraten, ist der im Breisgau lebende Christian L., der unter dem Namen “GeilerDaddy” auf Playpen unterwegs gewesen sein soll. Heute, drei Jahre später, ist er der Hauptverdächtige in einem der aufsehenerregendsten deutschen Pädophilie-Prozesse der vergangenen Jahre.

Der Fall ‘GeilerDaddy’: Wie das FBI einen Breisgauer Pädophilen identifiziert

Als sich “GeilerDaddy” Ende Februar 2015 in dem Forum einloggt, tappt er in eine gut vorbereitete Falle des FBI. Zwar hatten FBI-Ermittler bereits am 19. Februar den damals 56-jährigen Administrator von Playpen verhaftet, doch die Aktion wird streng geheim gehalten. Die Nutzer von Playpen sollen nichts mitbekommen. Denn das FBI macht aus der Pädophilen-Plattform einen sogenannten Honeypot und betreibt die Seite aus eigener Hand weiter – um Daten über die Nutzer zu sammeln.

Der Coup gelingt: Die Ermittler verschaffen sich dank der Festnahme Zugang zu den Servern, täuschen eine Wartungspause der Server vor und sind am 20. Februar wieder online. Solche Wartungen kommen bei großen Darknet-Märkten häufiger vor, die User schöpfen keinen Verdacht. Auch Christian L. ahnt nichts.

Dank des Honeypots kann das FBI jeden Schritt aller User, die sich mit dem Tor-Browser auf Playpen anmelden, nachverfolgen. Sie wissen, wann sich ein User wie “GeilerDaddy” einloggt, was er über die Seite verschickt und ob die Nutzer Bildergalerien erstellen. Im Fall Christian L. landen all diese Daten in der gründlich aufbereiteten Datei index.html auch beim BKA.

Laut Spiegel-Recherchen soll er allein in den kommenden 13 Tagen, in denen das FBI alles beobachtete, 227 Threads angeschaut haben, wohl aus dem WLAN seiner Mutter. Er soll sich für Videos interessiert haben, in denen Erwachsene sexuelle Gewalt an kleine Jungen und Mädchen ausüben.

Erst nach zwei Wochen gibt das FBI in einer Pressekonferenz zusammen mit Europol das Ende von Playpen bekannt. Während das FBI den Playpen-Server betrieb, sind den Ermittlern tausende Nutzer weltweit in die Falle gegangen. Doch der Honeypot ist nur der eine Teil, der Operation Pacifier so effizient macht. Denn die Ermittler wurden für die Operation auch zum Hacker und infizieren die Verdächtigen mit Schadsoftware, die ihnen die IP-Adressen der User verrät.

So funktioniert das Hacking-Tool des FBI

Normalerweise verschleiert der Tor-Browser durch eine Kette von Servern, wer sich mit einer Website verbindet. So bleiben die Nutzer des Darknets anonym und ihre IP-Adresse geheim. Doch der Durchsuchungsbeschluss, den die Richterin Theresa C. Buchanan aus dem Bundesstaat Virginia unterschrieben hatte, erlaubt es den Ermittlern, die Computer von Playpen-Nutzern mit einem sogenannten “Network Investigation Tool” (NIT) anzugreifen. NIT ist der FBI-Begriff für Hacking-Werkzeug – bei Operation Pacifier war es eine Schadsoftware, die den Computer von Verdächtigen infizierte.

Was die Ermittler durch das NIT über die Verdächtigen herausbekommen konnten, verrät der Durchsuchungsbeschluss im Fall Playpen: Das NIT schickte heimlich die IP-Adresse, das Betriebssystem, den Namen des Nutzers des Betriebssystems und die sogenannte MAC-Adresse eines Computers an das FBI. Außerdem vergab das NIT eine einmalige Identifikationsnummer für jeden Verdächtigen und fragte ab, ob das NIT schon einmal auf dem Computer eingesetzt wurde. Die Schadsoftware wurde so programmiert, dass Nutzer erst dann angegriffen werden, wenn sie sich tatsächlich auf Playpen einloggen oder einen neuen Nutzeraccount erstellen wollen.

Weitere technische Details sind über das Tool nicht bekannt. Das FBI hält geheim, wie es die Computer der Verdächtigen gehackt hat. Als ein Richter in einem Verfahren gegen einen Playpen-Nutzer später anordnet, dass die US-Behörden zumindest einen Teil des Codes öffentlich machen müssen, lässt das US-Justizministerium die Anklage fallen. Auch ob die NIT eine bekannte Sicherheitslücke oder einen Zero-Day-Exploit ausnutzt, bleibt unbekannt.

Operation Pacifier wäre in Deutschland verboten und führt trotzdem zu Festnahmen

Was die Behörden in den USA gemacht haben, wäre in Deutschland so nicht möglich gewesen wäre. “Deutsche Ermittlungsbehörden haben keine Rechtsgrundlage, um den Server einer Online-Handelsplattform für illegale Waren und Dienste zu übernehmen”, sagte Diana Nadeborn, die sich mit einer eigenen Kanzlei in Berlin auf IT-Strafrecht spezialisiert hat, zu Motherboard.

Der Playpen-Trick des FBI wäre nach dieser Einschätzung für deutsche Ermittler illegal – sie dürfen keine Honeypots aufstellen. Deshalb sind die Daten aus den USA umso wertvoller. Sie werden dort legal gesammelt, von den US-Kollegen an das BKA geschickt und hier als Anfangsverdacht eingestuft. Die deutschen deutschen Ermittler gehen diesem Verdacht dann eigenhändig nach und finden eigene Beweise gegen die Verdächtigen.

Koordiniert werden die Ermittlungen, die sich aus Operation Pacifier ergeben von den Cybercrime-Spezialisten der Gießener ZIT. Gegen wie viele Verdächtige genau ermittelt werde und ob das BKA-Dokument, das von 408 deutschen Fällen spricht, authentisch ist, wollen die Sonderstaatsanwälte nicht kommentieren. In einer Antwort an Motherboard schrieb der Sprecher der ZIT Georg Ungefuk lediglich im Plural von “deutschen Nutzern” im “noch offenen Ermittlungskomplex” Playpen und verwies darauf, dass sich die Staatsanwaltschaft grundsätzlich nicht zu laufenden Verfahren äußere.

So laufen die deutschen Ermittlungen gegen PlayPen-Verdächtige

Einer der Fälle wird bald in Bremen verhandelt. Der Rechtsanwalt Björn Schüller verteidigt den Beschuldigten, “einen Mann in den Vierzigern”. Dessen Wohnung durchsuchten die Beamten kurz nach dem Playpen-Hack und fanden Material mit sexueller Gewalt an Kindern auf dem Rechner. Schüller will im Prozess ansprechen, dass der Anfangsverdacht aus einem nach hiesigen Maßstäben vermutlich illegalen Hack stammt. Viel verspricht er sich davon aber nicht. Denn im Prozess kommen die Daten aus den USA nicht zum Einsatz.

Das liegt auch am deutschen Rechtssystem, in dem das Prinzip “Früchte des vergifteten Baumes” im Gegensatz zu den USA nicht gilt. Es besagt, dass ein Beweisstück, das die Polizei unter dubiosen Umständen sichergestellt hat, alle nachfolgenden Glieder in der Beweiskette unbrauchbar macht.

Der Berliner Sexualstrafrechtler Malte Höpfner erklärt dieses Prinzip so: Ein Nutzer einer Plattform wird gehackt, seine Identität festgestellt und die Polizei findet bei der Durchsuchung seiner Wohnung Videos mit sexueller Gewalt an Kindern. Wenn der Beschuldigte nachweisen kann, dass der Hack illegal war, dürfen die sichergestellten Videos vor Gericht nicht verwendet werden. Umgekehrt muss die Staatsanwaltschaft nachweisen, wie sie an ihre Beweise kam: In den USA platzten schon Playpen-Prozesse, weil das FBI nicht verraten wollte, wie genau der Hack funktioniert hat.

In Deutschland ist die Lage laut Höpfner und Schüller anders. Hier seien die Beweise vor Gericht entscheidend, die deutsche Behörden auf eigene Faust ermittelt haben: pädosexuelles Material auf dem Computer des Verdächtigen, Chat-Auszüge oder offene Logins auf den Plattformen. Dass sich der Anfangsverdacht aus einem FBI-Hack speist, wie er in Deutschland gar nicht zulässig wäre, spielt dann keine Rolle mehr.

Internationale Ermittlerzusammenarbeit wird immer wichtiger – aber sie birgt Gefahren

Nadeborn schätzt die Rechtslage ähnlich ein. Sie nennt das Beispiel von einem Schweizer Bankmitarbeiter, der Kundendaten ausgespäht und an die deutsche Finanzverwaltung verkauft hat. Darauf stützten Steuerfahnder eine rechtmäßige Durchsuchung wegen des Verdachts der Steuerhinterziehung.

Der Fall wirft ein Schlaglicht auf Polizeiarbeit in einer globalisierten Welt: Wie Unternehmen und Privatpersonen könnten sich auch Ermittler die für ihren Cyber-Fall günstigste Rechtssprechung aussuchen: Bei Tricks, die man in Deutschland nicht machen darf, bittet man dann eben die US-amerikanischen oder niederländischen Kollegen um Hilfe. Diana Nadeborn warnt: “Problematisch wäre es, wenn deutsche Ermittler bestimmte Beweiserhebungen ins Ausland outsourcen würden, gerade weil sie nach deutschem Recht nicht erlaubt sind.” Bislang seien solche Fälle aber nicht bekannt.

Christian L. soll schreckliche Dinge getan haben

Dieser Tage wird der Fall “GeilerDaddy” in Freiburg verhandelt. Der Hack des FBI wird im Prozess eine Fußnote bleiben. Eine Sprecherin der Staatsanwaltschaft Freiburg teilte auf Motherboard-Anfrage mit: “Die Ermittlungen sind auf eine anonyme Anzeige zurückzuführen. Über den anonymen Anzeigeerstatter liegen keine Erkenntnisse vor. Folglich liegen auch keine Hinweise darauf vor, dass diese Hinweise auf Quellen der US-amerikanischen Bundespolizei FBI zurückgehen würden.”

L. soll nach der Übernahme von Playpen noch schrecklichere Dinge getan haben als Videos zu gucken. Ein verdeckter Ermittler fand auf einer anderen Pädophilen-Plattform Videos, in denen offenbar zu sehen ist, wie L. gemeinsam mit einer Frau einen Jungen vergewaltigt. Die Filme dienten laut Ermittlern als Werbung für ein grausames Geschäftsmodell: Die beiden boten anderen Pädophilen an, dem Jungen gegen Geld sexuelle Gewalt anzutun. L. und die Frau trugen nach Angaben der Ermittler keine Masken und waren in den Videos zu erkennen. “Die Staatsanwaltschaft Freiburg hat im Zuge der Ermittlungen verschiedene Beweise erhoben. Ausgewertet wurden auch zahlreiche bei den Beschuldigten sichergestellte elektronische Speichermedien”, sagte die Sprecherin.

Das Tragische am Breisgauer Fall ist, das L. den Jungen nach Spiegel-Informationen noch vergewaltigte, nachdem das FBI ihn als Playpen-Nutzer identifiziert und den deutschen Behörden gemeldet hatte. Damit verstieß der bereits einmal wegen Missbrauchs verurteilte L. gegen seine Bewährungsauflagen. Die Staatsanwaltschaft Freiburg ermittelte, aber es kam nie zum Verfahren. Das Problem waren weder Honeypot noch Hacking-Tools, sondern dass der Fall zwischen verschiedenen deutschen Gerichten versandete.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter