Tobias K. war monatelang auf der Flucht, wurde international gesucht. Im Sommer 2016 soll er während eines Hafturlaubs in Zürich einen IT-Fachmann getötet haben. Geschnappt hat ihn schliesslich die Kantonspolizei Bern, nachdem er im Internet eine Waffe kaufen wollte. Ausgerechnet im anonymen Darknet tappte Tobias K. im Januar in die Falle.

So wurde der Zürcher Seefeld-Mord zu einen Fall Darknet – und zu einer Erfolgsmeldung für die Polizei. Die Botschaft: Auch in den dunkelsten Ecken des Internets soll kein Täter vor den Strafverfolgern sicher sein.

Tatsächlich haben schon verschiedene Spezialisten beim Bund und bei einigen Kantonen im Darknet verdeckt ermittelt und Cyberkriminelle entlarvt. Doch die Erfolge lassen sich an einer Hand abzählen.

Denn die meisten Ermittler, Staatsanwälte und Gerichtsbehörden kennen das Darknet bestenfalls vom Hörensagen. Nur die wenigsten wissen, wie anonyme Marktplätze funktionieren, wie Kriminelle gefälschte Pässe, geklaute Kreditkarten, Waffen, Drogen und Medikamente verkaufen. Kaum ein Staatsanwalt hat jemals selber mit der Kryptowährung Bitcoin bezahlt, die heute an jedem SBB-Automaten zu haben ist und im Darknet als Standardwährung verwendet wird.

Auch Tobias K. wäre den Ermittlern fast entwischt. Die Öffentlichkeit weiss bis heute nicht, dass das Bundesamt für Polizei bereits am 10. November eine brisante Information aus dem Ausland erhalten hatte: Tobias K. wolle im Darknet eine Waffe kaufen. Was K. nicht wusste: Er korrespondierte nicht mit einem Waffenhändler, sondern mit einem verdeckten Ermittler.

Weil das Bundesamt für Polizei (Fedpol) in diesem Fall nicht zuständig war, musste es einen Kanton finden, der das Dossier übernahm. Die Zeit drängte. Daher kontaktierte die beim Fedpol angesiedelte Koordinationsstelle zur Bekämpfung der Internetkriminalität (Kobik) am 1. Dezember 100 Staatsanwälte quer durch die Schweiz. Nur zwei reagierten positiv auf die Anfrage. Es dauerte bis am 23. Dezember, bis ein Berner Staatsanwalt ein Strafverfahren eröffnete – sechs Wochen nachdem die Schweiz den Tipp erhalten hatte. Schliesslich fädelten die Berner Ermittler mit Tobias K. ein Treffen für die Waffenübergabe ein und verhafteten ihn am 18. Januar.

Der Fall zeigt beispielhaft, was Ermittler hinter vorgehaltener Hand immer wieder bestätigen: Bund und Kantone schieben Cyberdelikte wie heisse Kartoffeln hin und her. Offiziell haben sie sich auf eine Liste mit 26 Deliktarten geeinigt und festgelegt, wer in welchem Fall zuständig ist. So kümmert sich etwa die Bundesanwaltschaft um Phishing-Aktionen von internationalen Banden. Oder um E-Banking-Trojaner, die Zugangsdaten von Bankkunden abfangen. Der Bund ist auch zuständig für Trickanrufe, wenn sich Kriminelle als Bankmitarbeiter ausgeben und Kunden dazu bewegen, ihre Zugangsdaten am Telefon bekannt zu geben – und die Betrüger dann das Konto leer räumen.

Doch trotz der gemeinsam definierten Deliktliste herrscht in etlichen Kantonen eine unterschiedliche Auffassung darüber, was unter Cybercrime zu verstehen ist. Für weniger sachkundige Ermittler ist selbst ein Betrug auf einer Versteigerungsplattform ein Fall von Cybercrime.

«Es fehlt nicht am Know-how der Mitarbeiter, das Problem sind die Entscheidungsträger», sagte ein Fedpol-Mitarbeiter im kleinen Kreis. Wichtige Entscheide würden oft hinausgezögert. Bei Cybercrime ist das fatal, weil sich digitale Spuren schnell verlieren.

Gleichzeitig stehen die Ermittler vor einer Flut von Strafanzeigen. Bei der Bundesanwaltschaft und bei verschiedenen Kantonen liegen Hunderte von unerledigten Anzeigen. Die meisten bleiben unbearbeitet. Im Kanton Bern betonen die Verantwortlichen, es gebe derzeit keine unerledigten Cybercrime-Anzeigen. Aber: «Wir können nicht jeden Fall von Cybercrime aufklären, so wie wir auch nicht jeden Einbruch aufklären können», sagt Martin Schindler, stellvertretender Chef der Kriminalabteilung der Kantonspolizei Bern. Mit konkreten Zahlen halten sich die Ermittlungsbehörden zurück. Doch die Kobik-Statistik 
über die registrierten Meldungen spricht Bände: 2011 wurden 5330 Meldungen registriert, 2014 bereits 10'214. Letztes Jahr schnellte die Zahl auf 14'033. Fast 84 Prozent der Hinweise betreffen Vermögensdelikte, gut 9 Prozent verbotene Pornografie. Angesichts dieser Zahlen ist der Handel mit Kinderpornografie kaum mehr ein Thema. Doch von einer Abnahme kann keine Rede sein, wie die Datenmenge zeigt. 2015 analysierte die Kobik Daten im Umfang von 164 Terabytes (164'000 Gigabytes). 2016 ging es schon um 260 Terabytes. Diese Unmengen an Fotos und Videos mit problematischen Inhalten müssen Kobik-Mitarbeitende sichten und beurteilen. Die pädokriminellen Bilder bringen viele an den Rand ihrer seelischen Belastbarkeit.

Die Dienststellen sind sich auch nicht einig darüber, wie man Cyberkriminalität am effektivsten bekämpft. Zürich beispielsweise setzt auf ein Kompetenzzentrum, Bern zieht seine Spezialisten aus verschiedenen Ermittlungsabteilungen fallweise zusammen.

Beide Kantone bauen ihren Bestand laufend aus. Doch inzwischen hat sich die Erkenntnis durchgesetzt, dass die Lösung nicht einfach bei der Anstellung zusätzlicher IT-Spezialisten liegen kann. Denn mehrere grosse Fälle von Drogenhandel im Darknet wurden letztlich mit klassischen Ermittlungsmethoden aufgeklärt.

Etwa der Fall des knapp 20-jährigen Maximilian S. Unter dem Pseudonym «Shiny Flakes» hat er von Leipzig aus innerhalb von 15 Monaten fast eine Tonne verschiedenster Drogen sowie Tausende rezeptpflichtiger Medikamente verkauft. Dazu nutzte er eine Verkaufsplattform im Darknet. Im Februar 2015 flog er auf. Die Verschlüsselung im Internet hatte er im Griff. Aber er flog auf, weil er seine Pakete falsch frankiert zur Post brachte.

Trotz einiger Ermittlungserfolge wachsen die anonymen Marktplätze im Darknet ungehindert weiter: Im Oktober 2014 verfügte Silk Road 2.0, die zweite Version der bis heute bekanntesten Plattform, über rund 14'000 Angebote im Bereich Drogen und Medikamente. Nur Tage später wurde sie geschlossen. Aus heutiger Sicht erscheint der einst grösste Drogenmarkt als Winzling. Der aktuelle Marktführer Alphabay listet rund 230'000 Verkaufsangebote auf. Mit anderen Worten: Die Zahl der illegalen Angebote hat sich allein in diesem Bereich innerhalb eines Jahres fast vervierfacht.

Auf den Marktplätzen werden aber nicht nur Drogen gehandelt. Für wenige Dollars kann man auch eine E-Mail-Bombe kaufen, um missliebige Gegner auszuschalten. Programmierkenntnisse braucht es nicht. «Crime-as a Service» nennt sich das. Und ist nicht mal teuer. Das E-Mail-Konto eines Nationalrats zu hacken, kostet beispielsweise 150 Dollar, wie eine Testanfrage bei einem Hacker ergibt.

Staatliche Stellen warnen zwar immer wieder vor Hackerattacken und Internetbetrügern. Doch Cyberkriminelle haben kaum etwas zu befürchten. Erpressungsversuche, Phishing und Schadprogramme sind an der Tagesordnung. 2016 wurden der Bundesbehörde Melani (Melde- und Analysestelle Informationssicherung) über 4500 Phishingseiten gemeldet. Wenn grosse Hackergruppen auffliegen, imitieren andere als Trittbrettfahrer einfach deren Methoden.

«Betrüger werden immer trickreicher und planen Angriffe bis ins Detail», schreibt die Melde- und Analysestelle in ihrem jüngsten Bericht. Beliebt ist seit einiger Zeit ein Trick, bei dem sich Betrüger ins soziale Umfeld von potenziellen Opfern einschleichen. Sie geben sich als Firmenchefs aus und weisen die Buchhaltungsabteilung an, in einer besonders vertraulichen Angelegenheit Zahlungen auszulösen. «Social Engineering» nennt sich diese Masche, gemäss Melani «eine der erfolgreichsten Methoden».

Die Meldestelle rät, auch am Telefon zurückhaltend zu sein mit vertraulichen Daten. Denn kein seriöser Dienstleistungsanbieter fragt per E-Mail oder am Telefon nach Login und Passwörtern.

Melani rät auch, Verschlüsselungserpressern unter keinen Umständen Geld zu überweisen. Das ist zwar gut gemeint, taugt aber in der Praxis nicht immer. Insbesondere kleine und mittlere Unternehmen sehen sich gezwungen, solchen Erpressern Tausende Franken zu überweisen, da sie in den seltensten Fällen die Ressourcen haben, um langwierige Ermittlungen abzuwarten. Ausserdem sind die Erfolgsaussichten nicht allzu gross.

Diese Erfahrung machte etwa das Architekturbüro von Heinz Studer*. Eines Morgens erschien auf seinem Bildschirm ein grosses Vorhängeschloss-Symbol. Dazu eine Mailadresse und die Anweisung, sich zu melden. Der Erpresser hatte alle Daten des Architekten verschlüsselt. Und dieser hatte – wie viele kleine Firmen – kein Backup. Er rief die Polizei an, doch dort habe man ihm kurzerhand beschieden: «Eine Anzeige bringt nichts.» Als man ihm auf telefonische Anfrage hin auch bei Melani erklärt habe, man könne nichts für ihn tun, organisierte Studer Bitcoin im Wert von 10'000 Franken und überwies diese an den unbekannten Erpresser.

«Was blieb mir anderes übrig? Ich konnte nichts tun», sagt Heinz Studer. Seine Daten hat er inzwischen wieder, als Konsequenz hat er nun den Provider gewechselt – und seinen Schutz verbessert. Und auch ein Backup erstellt er seither regelmässig.

*Name der Redaktion bekannt