Anzeige
Anzeige
Reportage

Cybercrime: Wie die Arbeit einer Cyber-Staatsanwältin wirklich aussieht

Kriminelle nutzen Kryptowährungen wie Bitcoin gerne für ihre Machenschaften. Doch die Strafverfolger rüsten auf. An vorderster Front kämpft Jana Ringwald als Staatsanwältin.

Von Ulrike Barth
8 Min.
Artikel merken
Anzeige
Anzeige
Jana Ringwald. (Foto: Privat)

Wer am 15. März 2023 auf die Internetseite von Chipmixer klickte, sah nur noch das Logo – das von zwei Händen in Gummihandschuhen gründlich reingewaschen wird. „Diese Webseite wurde beschlagnahmt”, hieß es da. Jana Ringwald und ihre Kollegen von der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) bei der Generalstaatsanwaltschaft in Frankfurt am Main haben ihren Stempel hinterlassen.

Anzeige
Anzeige

Gemeinsam mit dem Bundeskriminalamt (BKA) schalteten sie den umsatzstärksten Krypto-Geldwäschedienst im Internet ab. Bei der Aktion wurden Bitcoin im Wert von rund 44 Millionen Euro und etwa sieben Terabyte Daten sichergestellt.

Kriminelle, die ihr Geld mit Darknet-Marktplätzen oder Ransomware-Angriffen verdienen, hatten den Dienst genutzt, um etwa 154.000 Bitcoin im Wert von rund 2,8 Milliarden Euro reinzuwaschen. In solchen „Mixern“ wird das Geld in kleine Beträge („Chips“) aufgeteilt und mit denen anderer Nutzer vermengt. So wird die Herkunft der Gelder verschleiert. Chipmixer ist nur einer der prominenten Fälle, an deren Aufklärung die Frankfurter Oberstaatsanwältin Jana Ringwald beteiligt war.

Anzeige
Anzeige

Cybercrime als neues Phänomen

Seit knapp sieben Jahren ist sie als Cyber-Ermittlerin im Einsatz. Bei der ZIT leitet sie das Team Cybercrime im engeren Sinne sowie die Zentralstelle zur Verwertung virtueller Währungen der hessischen Justiz. In dieser Funktion vertritt sie auch den Bund im European Judicial Cybercrime Network bei Eurojust in Den Haag.

„Was wir Cybercrime im engeren Sinne nennen, ist ein neues Phänomen“, erklärt Ringwald. Zwar sind viele Kriminalitätsbereiche ins Internet abgewandert, vom Drogenhandel über die Kinderpornografie bis hin zur Terrorfinanzierung. Ihre Abteilung beschäftigt sich aber nur mit Taten, die es ohne das Internet gar nicht gäbe. Die Hauptdelikte, mit denen Ringwald zu tun hat, lassen sich unter dem Stichwort „Daten-Straftaten“ zusammenfassen.

Anzeige
Anzeige

Dazu zählen etwa cybergestützte Erpressung, das Ausspähen von Daten, Datenfälschung und -hehlerei sowie Computersabotage. „Wir haben es mit wirtschaftlich denkenden Tätern zu tun, die hauptsächlich mit Betrügereien, Erpressungsversuchen oder mit einer DDoS-Attacke ans Ziel kommen wollen“, sagt Ringwald. 

Ihr größter Erfolg bislang war allerdings nicht Chipmixer, sondern Wallstreet Markets. Der damals zweitgrößte Darknet-Marktplatz war einer der größten Umschlagplätze für Drogen, Schadsoftware, gefälschte Dokumente sowie ausgespähte Daten – und wurde von einem unterirdischen Rechenzentrum in Deutschland aus gehostet. Der „Cyberbunker“ lag in einer ehemaligen Kaserne der Bundeswehr. 

Anzeige
Anzeige

In einer gemeinsamen Aktion von Europol, der niederländischen Polizei, dem FBI und dem BKA konnten Ermittler den Marktplatz im Jahr 2019 stilllegen. Auch drei Täter aus Deutschland wurden verhaftet und später verurteilt. Aus Sicht von Ringwald ist Wallstreet Markets damit der „perfekte Ermittlungsfall“: Die Täter wurden gefasst, die kriminelle Infrastruktur komplett vom Netz genommen und auch alle durch die Täter erlangten Kryptowerte eingesammelt und später erfolgreich verkauft. 

Nicht jede Straftat ist relevant

Nur: So läuft es natürlich nicht immer. Denn die Cyber-Staatsanwältin muss sich genau überlegen, welche Fälle sie überhaupt verfolgen will – Anknüpfungspunkte gibt es zuhauf. „Grundsätzlich gilt: Als Staatsanwältin darf ich nicht weggucken, wenn ich von irgendeiner Straftat höre“, sagt Ringwald. Wenn sie im Darknet unterwegs ist, findet sie relativ schnell viele Straftaten – und trifft auf Täter, die ihre Spuren sehr gut verwischen können.

Das Problem der Ermittler um Ringwald: Ihre Zuständigkeit ist begrenzt auf Fälle, die auch nach deutschem Strafrecht verfolgt werden können. Nur dann lohnt es sich, den Ermittlungsapparat von Polizei und BKA in Bewegung zu setzen. 

Anzeige
Anzeige

„Wir können nicht jeder Datenspur im Internet hinterher rennen“, sagt Ringwald. Erkennen lassen sich relevante Fälle etwa daran, dass in Foren oder Marktplätzen auf Deutsch kommuniziert wird. Aber auch die Bekanntheit eines Marktplatzes oder Forums spielt für die Ermittler bei der Auswahl der Fälle eine Rolle. Wenn sie vermutet, dass ein wichtiges kriminelles Forum in Deutschland gehostet wird, kann die deutsche Polizei dagegen vorgehen – wie im Fall von Wallstreet Markets. 

Von dem Marktplatz gab es eine deutsche Vollversion – und damit ein starkes Indiz, dass dahinter deutsche Betreiber stecken könnten. Die agierten im Darknet unter den Pseudonymen Coder420, Kronos und TheOne und wurden im Juli 2021 vom Frankfurter Landgericht zu mehrjährigen Haftstrafen unter anderem wegen bandenmäßigem Rauschgifthandel verurteilt.

Über 40 Millionen Euro Umsatz liefen über den Darknet-Marktplatz, mehr als eine Million Kundenkonten existierten dort. Die Hintermänner verdienten ihr Geld mit Provisionen und Verkaufsgebühren aus dem Handel, gezahlt wurde auf der Plattform vor allem mit Bitcoin. 

Anzeige
Anzeige

Follow the money

Zwar ist der Bitcoin nicht die sicherste Variante für Betrüger und Erpresser, im Darknet bezahlt zu werden. Denn Coins wie der Bitcoin bieten keine volle Anonymität, sondern allenfalls Pseudonymität. Andere Kryptowährungen, wie etwa Monero, versprechen mehr Privatsphäre. Doch der Bitcoin ist nunmal die am weitesten verbreitete Kryptowährung. 

Genauso wie es nicht den typischen Krypto-Verbrecher gebe, seien auch Bitcoin und Co. nicht per se krimineller als Fiat-Geld, betont Ringwald. Fiat-Geld sind Währungen, die von Regierungen geschaffen werden wie der Euro oder US-Dollar. Doch die Sicherstellung der Vermögenswerte aus Straftaten, auch Vermögensabschöpfung genannt, gehört während der Ermittlungen zu den Standardmaßnahmen.

Googles neue KI-Suche geht nach hinten los Quelle: (Bild: Koshiro K/Shutterstock)

Anzeige
Anzeige

Zumal das Geld auch oft einen Weg zum Täter weist. Folgten Ermittler früher nach dem Motto „Follow the Money“ der Spur des Geldes, sind nun bei den „Daten-Taten“ Bitcoin und andere Kryptowährungen die Brotkrumen, die sie zu den Kriminellen führen. 

„Früher galten Kryptowährungen als ein Nischenanwendungsfall für Cyberangriffe, doch inzwischen verstehen die Behörden, dass Kryptowährungen in nahezu alles involviert sind – von Betrug über Drogenhandel bis hin zur Umgehung von Sanktionen und Bedrohung der nationalen Sicherheit“, sagt Maik Jordt, Head of Sales beim Analysehaus Chainalysis.

Sein Unternehmen untersucht laufend, von welchen Adressen auf der Blockchain Kryptowährungen transferiert werden und stellt Regierungen und Behörden das Analysetool Chainalysis Reactor zur Verfügung. In mehr als 50 Ländern nutzen Ermittler die Technologie, um illegale Aktivitäten im Kontext von Kryptowährungen aufzudecken. 

Anzeige
Anzeige

Als illegal stuft Chainalysis Wallets, also digitale Geldbörsen, ein, wenn sie Teil eines bekannten illegalen Dienstes sind, etwa eines Darknet-Marktes oder einer sanktionierten Einrichtung. Persönliche oder ungehostete Wallets können als illegal gekennzeichnet werden, wenn sie zum Beispiel durch einen Hack gestohlene Gelder enthalten.

„Der von uns erstellte Knowledge-Graph ist viel mehr als nur Daten: Er sagt nicht nur, wo eine Transaktion stattgefunden hat, sondern ermöglicht es, Erkenntnisse über alle damit verbundenen Aktivitäten zu gewinnen“, erklärt Jordt. „Durch die Analyse aller Transaktionsbewegungen können beispielsweise Schwerpunkte kriminellen Handelns erkannt oder Transfers von und zu illegalen Wallets erfasst werden“, ergänzt er. 

Trends der Krypto-Kriminalität

Rein statistisch gesehen hat nur ein kleiner Teil der Kryptowährungen mit illegalen Geschäften zu tun: Laut dem aktuellen Chainalysis Crypto Crime Report sind es deutlich unter ein Prozent. Im vergangenen Jahr stellte der Analysedienst sogar eine Rückgang der kriminellen Aktivitäten mit Kryptowährungen fest. Bis Ende Juni 2023 gab es 65 Prozent weniger Krypto-Zahlungen an bekannte illegale Organisationen als im Vorjahreszeitraum.

Anzeige
Anzeige

Aber auch Krypto-Kriminelle folgen offenbar Trends. So sind „Einnahmen“ aus Betrugsfällen und Hacks im Jahr 2023 deutlich zurückgegangen.Gleichzeitig nahmen Darknet-Aktivitäten und die Zahl der Ransomware-Angriffe stark zu. Während Verkäufe im Darknet und Erpressung durch Ransomware noch immer überwiegend in Bitcoin stattfinden, werden dagegen immer häufiger Stablecoins für Scams und zur Umgehung von Sanktionen eingesetzt. Das sind Kryptowährungen, die den Kurs einer Fiat-Währung wie den Dollar oder den Euro wiedergeben und deshalb als wertstabiler gelten. 

Für Oberstaatsanwältin Ringwald ist die Entdeckung einer verdächtigen Wallet, auf die illegale Assets geflossen sind, oft ein erster Anknüpfungspunkt. Dazu arbeitet sie mit Kryptobörsen und anderen Anbieter zusammen, die entsprechende Transaktionen melden. Die Kryptowelt macht es der Ermittlerin sogar leicht, herauszufinden, an welche Adresse die Coins geschickt werden.

„Wenn die Kryptowährung nicht durch einen Mixer geht, kann man der Spur recht gut folgen“, sagt sie. „Aber auch bei vermeintlich unauflösbaren Mixing-Diensten können wir mittlerweile erfolgreich ermitteln.“

Solange die Täter ihre Kryptos aber nicht über eine Börse in Euro oder Dollar umtauschen, ist es schwierig, ihre Identität zu enthüllen. Die Kryptowährungen auf der Wallet kann Ringwald nur einfrieren lassen, wenn sie auch das Passwort für die Geldbörse kennt. 

Ein Katz-und-Maus-Spiel

Je mehr sich die Ermittler aufschlauen, umso ausgefeilter werden auch die Taktiken und Techniken ihrer Gegenspieler, um Transaktionen zu verschleiern. „Das rührt größtenteils daher, dass sich das Wissen ausbreitet, wie Blockchain-Transaktionen zurückverfolgt werden können, sowie aus der Erkenntnis, dass Strafverfolgungsmaßnahmen zunehmend erfolgreich sind“, sagt Jordt. Es ist ein digitales Katz-und-Maus-Spiel.  

Auch deshalb sind für Jana Ringwald wohl gar nicht die Fälle am spannendsten, die in der Presse landen – sondern solche, die technisch knifflig sind und von denen sie und ihre Kollegen lernen können. Dass sie mal eine Expertin für Verbrechen im Cyberspace werden würde, hätte sie zu Beginn ihrer Karriere nicht gedacht.

Ringwald, die neben Jura auch Geschichte studiert hat, verfolgte Wirtschaftsverbrechen, bevor es sie zum ZIT verschlug. Das Wissen um Kryptowährungen und die Technik rund um Geldwäschedienste wie Chipmixer hat sie sich dann nach und nach selbst drauf geschafft. 

In ihrem aktuellen Job darf sie aber „nicht zu sehr Juristin und nicht zu sehr Technikerin sein“, betont sie. Denn ein wesentlicher Teil ihrer Arbeit besteht mittlerweile darin, Cyber-Taten in die reale (juristische) Welt zu übersetzen: Etwa in den Gerichtssaal, wo sie Richtern erklärt, wie die Verbrecher im Netz agieren.

Auch Polizisten sensibilisiert sie in Seminaren und Schulungen dafür, worauf es bei einer Ermittlung im Zusammenhang mit Kryptowährungen ankommt. „Für uns ist die große Herausforderung, dass Krypto-Ermittlungen und datenbasierte Ermittlungen zur Normalität für Polizei und Justiz werden“, sagt sie. 

Vernetzung ist wichtig

Nicht immer führt die Ermittlungsarbeit dazu, dass Täter in Deutschland gefasst und dann auch vor Gericht gebracht werden können. Im Fall Chipmixer gelang das zum Beispiel nicht. In vielen Fällen sitzen die Täter gar nicht in Deutschland – damit enden die Zugriffsmöglichkeiten der deutschen Staatsanwälte schnell.

In solchen Fällen kann Ringwald zwar die Vermögenswerte einfrieren, die Strafverfolgung übernehmen dann aber Kollegen in den entsprechenden Ländern. Auch deshalb sind nicht nur die Cyberstaatsanwälte international gut vernetzt, das gleiche gilt für die Kollegen bei der Polizei. 

Gelingt es Jana Ringwald, Krypto-Assets zu beschlagnahmen, stellt sich noch die Frage, mit der ihre „Cyber-Karriere“ einst begann: Wie kommen die eingefroren Coins wieder zurück in den Markt – und damit das Geld in die Staatskasse? 

Mittlerweile hat jedes Bundesland eine Verwertungsstelle eingerichtet, die den Abverkauf von Kryptowährungen koordiniert. Hessen arbeitet dazu mit dem Frankfurter Bankhaus Scheich zusammen. Beim Verkauf darf der Markt aber nicht manipuliert werden. Hohe Summen werden daher in mehreren Schritten abverkauft. 

Als Ringwald Anfang 2018 zur ZIT kam, war das Thema Krypto noch völlig neu und das Land Hessen stand zum ersten Mal vor der Aufgabe, eine hohe Zahl von Bitcoins versilbern zu müssen. Die Aufgabe, sich einen Prozess dafür auszudenken, fiel ihr zu. „Um so einen Job reißen sich in der Justiz nicht viele“, sagt sie.

Bereut hat sie den Einstieg in die Ermittlungen im Datenumfeld aber nie, im Gegenteil: Ringwald brennt für ihr Thema, gerade weil es noch keine festen Leitplanken gibt, sondern viel Raum, um selbst an Lösungen zu tüfteln – und am Ende neue Betrugsmaschen aufzudecken. 

15 Simulatoren, die wirklich existieren Quelle:

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare

Community-Richtlinien

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige