Cybercrime: Wie die Arbeit einer Cyber-Staatsanwältin wirklich aussieht
Wer am 15. März 2023 auf die Internetseite von Chipmixer klickte, sah nur noch das Logo – das von zwei Händen in Gummihandschuhen gründlich reingewaschen wird. „Diese Webseite wurde beschlagnahmt”, hieß es da. Jana Ringwald und ihre Kollegen von der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) bei der Generalstaatsanwaltschaft in Frankfurt am Main haben ihren Stempel hinterlassen.
Gemeinsam mit dem Bundeskriminalamt (BKA) schalteten sie den umsatzstärksten Krypto-Geldwäschedienst im Internet ab. Bei der Aktion wurden Bitcoin im Wert von rund 44 Millionen Euro und etwa sieben Terabyte Daten sichergestellt.
Kriminelle, die ihr Geld mit Darknet-Marktplätzen oder Ransomware-Angriffen verdienen, hatten den Dienst genutzt, um etwa 154.000 Bitcoin im Wert von rund 2,8 Milliarden Euro reinzuwaschen. In solchen „Mixern“ wird das Geld in kleine Beträge („Chips“) aufgeteilt und mit denen anderer Nutzer vermengt. So wird die Herkunft der Gelder verschleiert. Chipmixer ist nur einer der prominenten Fälle, an deren Aufklärung die Frankfurter Oberstaatsanwältin Jana Ringwald beteiligt war.
Cybercrime als neues Phänomen
Seit knapp sieben Jahren ist sie als Cyber-Ermittlerin im Einsatz. Bei der ZIT leitet sie das Team Cybercrime im engeren Sinne sowie die Zentralstelle zur Verwertung virtueller Währungen der hessischen Justiz. In dieser Funktion vertritt sie auch den Bund im European Judicial Cybercrime Network bei Eurojust in Den Haag.
„Was wir Cybercrime im engeren Sinne nennen, ist ein neues Phänomen“, erklärt Ringwald. Zwar sind viele Kriminalitätsbereiche ins Internet abgewandert, vom Drogenhandel über die Kinderpornografie bis hin zur Terrorfinanzierung. Ihre Abteilung beschäftigt sich aber nur mit Taten, die es ohne das Internet gar nicht gäbe. Die Hauptdelikte, mit denen Ringwald zu tun hat, lassen sich unter dem Stichwort „Daten-Straftaten“ zusammenfassen.
Dazu zählen etwa cybergestützte Erpressung, das Ausspähen von Daten, Datenfälschung und -hehlerei sowie Computersabotage. „Wir haben es mit wirtschaftlich denkenden Tätern zu tun, die hauptsächlich mit Betrügereien, Erpressungsversuchen oder mit einer DDoS-Attacke ans Ziel kommen wollen“, sagt Ringwald.
Ihr größter Erfolg bislang war allerdings nicht Chipmixer, sondern Wallstreet Markets. Der damals zweitgrößte Darknet-Marktplatz war einer der größten Umschlagplätze für Drogen, Schadsoftware, gefälschte Dokumente sowie ausgespähte Daten – und wurde von einem unterirdischen Rechenzentrum in Deutschland aus gehostet. Der „Cyberbunker“ lag in einer ehemaligen Kaserne der Bundeswehr.
In einer gemeinsamen Aktion von Europol, der niederländischen Polizei, dem FBI und dem BKA konnten Ermittler den Marktplatz im Jahr 2019 stilllegen. Auch drei Täter aus Deutschland wurden verhaftet und später verurteilt. Aus Sicht von Ringwald ist Wallstreet Markets damit der „perfekte Ermittlungsfall“: Die Täter wurden gefasst, die kriminelle Infrastruktur komplett vom Netz genommen und auch alle durch die Täter erlangten Kryptowerte eingesammelt und später erfolgreich verkauft.
Nicht jede Straftat ist relevant
Nur: So läuft es natürlich nicht immer. Denn die Cyber-Staatsanwältin muss sich genau überlegen, welche Fälle sie überhaupt verfolgen will – Anknüpfungspunkte gibt es zuhauf. „Grundsätzlich gilt: Als Staatsanwältin darf ich nicht weggucken, wenn ich von irgendeiner Straftat höre“, sagt Ringwald. Wenn sie im Darknet unterwegs ist, findet sie relativ schnell viele Straftaten – und trifft auf Täter, die ihre Spuren sehr gut verwischen können.
Das Problem der Ermittler um Ringwald: Ihre Zuständigkeit ist begrenzt auf Fälle, die auch nach deutschem Strafrecht verfolgt werden können. Nur dann lohnt es sich, den Ermittlungsapparat von Polizei und BKA in Bewegung zu setzen.
„Wir können nicht jeder Datenspur im Internet hinterher rennen“, sagt Ringwald. Erkennen lassen sich relevante Fälle etwa daran, dass in Foren oder Marktplätzen auf Deutsch kommuniziert wird. Aber auch die Bekanntheit eines Marktplatzes oder Forums spielt für die Ermittler bei der Auswahl der Fälle eine Rolle. Wenn sie vermutet, dass ein wichtiges kriminelles Forum in Deutschland gehostet wird, kann die deutsche Polizei dagegen vorgehen – wie im Fall von Wallstreet Markets.
Von dem Marktplatz gab es eine deutsche Vollversion – und damit ein starkes Indiz, dass dahinter deutsche Betreiber stecken könnten. Die agierten im Darknet unter den Pseudonymen Coder420, Kronos und TheOne und wurden im Juli 2021 vom Frankfurter Landgericht zu mehrjährigen Haftstrafen unter anderem wegen bandenmäßigem Rauschgifthandel verurteilt.
Über 40 Millionen Euro Umsatz liefen über den Darknet-Marktplatz, mehr als eine Million Kundenkonten existierten dort. Die Hintermänner verdienten ihr Geld mit Provisionen und Verkaufsgebühren aus dem Handel, gezahlt wurde auf der Plattform vor allem mit Bitcoin.
Follow the money
Zwar ist der Bitcoin nicht die sicherste Variante für Betrüger und Erpresser, im Darknet bezahlt zu werden. Denn Coins wie der Bitcoin bieten keine volle Anonymität, sondern allenfalls Pseudonymität. Andere Kryptowährungen, wie etwa Monero, versprechen mehr Privatsphäre. Doch der Bitcoin ist nunmal die am weitesten verbreitete Kryptowährung.
Genauso wie es nicht den typischen Krypto-Verbrecher gebe, seien auch Bitcoin und Co. nicht per se krimineller als Fiat-Geld, betont Ringwald. Fiat-Geld sind Währungen, die von Regierungen geschaffen werden wie der Euro oder US-Dollar. Doch die Sicherstellung der Vermögenswerte aus Straftaten, auch Vermögensabschöpfung genannt, gehört während der Ermittlungen zu den Standardmaßnahmen.
Zumal das Geld auch oft einen Weg zum Täter weist. Folgten Ermittler früher nach dem Motto „Follow the Money“ der Spur des Geldes, sind nun bei den „Daten-Taten“ Bitcoin und andere Kryptowährungen die Brotkrumen, die sie zu den Kriminellen führen.
„Früher galten Kryptowährungen als ein Nischenanwendungsfall für Cyberangriffe, doch inzwischen verstehen die Behörden, dass Kryptowährungen in nahezu alles involviert sind – von Betrug über Drogenhandel bis hin zur Umgehung von Sanktionen und Bedrohung der nationalen Sicherheit“, sagt Maik Jordt, Head of Sales beim Analysehaus Chainalysis.
Sein Unternehmen untersucht laufend, von welchen Adressen auf der Blockchain Kryptowährungen transferiert werden und stellt Regierungen und Behörden das Analysetool Chainalysis Reactor zur Verfügung. In mehr als 50 Ländern nutzen Ermittler die Technologie, um illegale Aktivitäten im Kontext von Kryptowährungen aufzudecken.
Als illegal stuft Chainalysis Wallets, also digitale Geldbörsen, ein, wenn sie Teil eines bekannten illegalen Dienstes sind, etwa eines Darknet-Marktes oder einer sanktionierten Einrichtung. Persönliche oder ungehostete Wallets können als illegal gekennzeichnet werden, wenn sie zum Beispiel durch einen Hack gestohlene Gelder enthalten.
„Der von uns erstellte Knowledge-Graph ist viel mehr als nur Daten: Er sagt nicht nur, wo eine Transaktion stattgefunden hat, sondern ermöglicht es, Erkenntnisse über alle damit verbundenen Aktivitäten zu gewinnen“, erklärt Jordt. „Durch die Analyse aller Transaktionsbewegungen können beispielsweise Schwerpunkte kriminellen Handelns erkannt oder Transfers von und zu illegalen Wallets erfasst werden“, ergänzt er.
Trends der Krypto-Kriminalität
Rein statistisch gesehen hat nur ein kleiner Teil der Kryptowährungen mit illegalen Geschäften zu tun: Laut dem aktuellen Chainalysis Crypto Crime Report sind es deutlich unter ein Prozent. Im vergangenen Jahr stellte der Analysedienst sogar eine Rückgang der kriminellen Aktivitäten mit Kryptowährungen fest. Bis Ende Juni 2023 gab es 65 Prozent weniger Krypto-Zahlungen an bekannte illegale Organisationen als im Vorjahreszeitraum.
Aber auch Krypto-Kriminelle folgen offenbar Trends. So sind „Einnahmen“ aus Betrugsfällen und Hacks im Jahr 2023 deutlich zurückgegangen.Gleichzeitig nahmen Darknet-Aktivitäten und die Zahl der Ransomware-Angriffe stark zu. Während Verkäufe im Darknet und Erpressung durch Ransomware noch immer überwiegend in Bitcoin stattfinden, werden dagegen immer häufiger Stablecoins für Scams und zur Umgehung von Sanktionen eingesetzt. Das sind Kryptowährungen, die den Kurs einer Fiat-Währung wie den Dollar oder den Euro wiedergeben und deshalb als wertstabiler gelten.
Für Oberstaatsanwältin Ringwald ist die Entdeckung einer verdächtigen Wallet, auf die illegale Assets geflossen sind, oft ein erster Anknüpfungspunkt. Dazu arbeitet sie mit Kryptobörsen und anderen Anbieter zusammen, die entsprechende Transaktionen melden. Die Kryptowelt macht es der Ermittlerin sogar leicht, herauszufinden, an welche Adresse die Coins geschickt werden.
„Wenn die Kryptowährung nicht durch einen Mixer geht, kann man der Spur recht gut folgen“, sagt sie. „Aber auch bei vermeintlich unauflösbaren Mixing-Diensten können wir mittlerweile erfolgreich ermitteln.“
Solange die Täter ihre Kryptos aber nicht über eine Börse in Euro oder Dollar umtauschen, ist es schwierig, ihre Identität zu enthüllen. Die Kryptowährungen auf der Wallet kann Ringwald nur einfrieren lassen, wenn sie auch das Passwort für die Geldbörse kennt.
Ein Katz-und-Maus-Spiel
Je mehr sich die Ermittler aufschlauen, umso ausgefeilter werden auch die Taktiken und Techniken ihrer Gegenspieler, um Transaktionen zu verschleiern. „Das rührt größtenteils daher, dass sich das Wissen ausbreitet, wie Blockchain-Transaktionen zurückverfolgt werden können, sowie aus der Erkenntnis, dass Strafverfolgungsmaßnahmen zunehmend erfolgreich sind“, sagt Jordt. Es ist ein digitales Katz-und-Maus-Spiel.
Auch deshalb sind für Jana Ringwald wohl gar nicht die Fälle am spannendsten, die in der Presse landen – sondern solche, die technisch knifflig sind und von denen sie und ihre Kollegen lernen können. Dass sie mal eine Expertin für Verbrechen im Cyberspace werden würde, hätte sie zu Beginn ihrer Karriere nicht gedacht.
Ringwald, die neben Jura auch Geschichte studiert hat, verfolgte Wirtschaftsverbrechen, bevor es sie zum ZIT verschlug. Das Wissen um Kryptowährungen und die Technik rund um Geldwäschedienste wie Chipmixer hat sie sich dann nach und nach selbst drauf geschafft.
In ihrem aktuellen Job darf sie aber „nicht zu sehr Juristin und nicht zu sehr Technikerin sein“, betont sie. Denn ein wesentlicher Teil ihrer Arbeit besteht mittlerweile darin, Cyber-Taten in die reale (juristische) Welt zu übersetzen: Etwa in den Gerichtssaal, wo sie Richtern erklärt, wie die Verbrecher im Netz agieren.
Auch Polizisten sensibilisiert sie in Seminaren und Schulungen dafür, worauf es bei einer Ermittlung im Zusammenhang mit Kryptowährungen ankommt. „Für uns ist die große Herausforderung, dass Krypto-Ermittlungen und datenbasierte Ermittlungen zur Normalität für Polizei und Justiz werden“, sagt sie.
Vernetzung ist wichtig
Nicht immer führt die Ermittlungsarbeit dazu, dass Täter in Deutschland gefasst und dann auch vor Gericht gebracht werden können. Im Fall Chipmixer gelang das zum Beispiel nicht. In vielen Fällen sitzen die Täter gar nicht in Deutschland – damit enden die Zugriffsmöglichkeiten der deutschen Staatsanwälte schnell.
In solchen Fällen kann Ringwald zwar die Vermögenswerte einfrieren, die Strafverfolgung übernehmen dann aber Kollegen in den entsprechenden Ländern. Auch deshalb sind nicht nur die Cyberstaatsanwälte international gut vernetzt, das gleiche gilt für die Kollegen bei der Polizei.
Gelingt es Jana Ringwald, Krypto-Assets zu beschlagnahmen, stellt sich noch die Frage, mit der ihre „Cyber-Karriere“ einst begann: Wie kommen die eingefroren Coins wieder zurück in den Markt – und damit das Geld in die Staatskasse?
Mittlerweile hat jedes Bundesland eine Verwertungsstelle eingerichtet, die den Abverkauf von Kryptowährungen koordiniert. Hessen arbeitet dazu mit dem Frankfurter Bankhaus Scheich zusammen. Beim Verkauf darf der Markt aber nicht manipuliert werden. Hohe Summen werden daher in mehreren Schritten abverkauft.
Als Ringwald Anfang 2018 zur ZIT kam, war das Thema Krypto noch völlig neu und das Land Hessen stand zum ersten Mal vor der Aufgabe, eine hohe Zahl von Bitcoins versilbern zu müssen. Die Aufgabe, sich einen Prozess dafür auszudenken, fiel ihr zu. „Um so einen Job reißen sich in der Justiz nicht viele“, sagt sie.
Bereut hat sie den Einstieg in die Ermittlungen im Datenumfeld aber nie, im Gegenteil: Ringwald brennt für ihr Thema, gerade weil es noch keine festen Leitplanken gibt, sondern viel Raum, um selbst an Lösungen zu tüfteln – und am Ende neue Betrugsmaschen aufzudecken.