Trügerische Sicherheit – Kryptographie und Organisierte Kriminalität

Pexels Pixabay 207580

Im Juni 2021 gingen mit der “Operation Trojanerschild” internationale Sicherheitsbehörden aus 16 Ländern gegen die Organisierte Kriminalität (OK) vor, die weltweit 800 Festnahmen zur Folge hatten. Nach Angaben des BKA wurden in Deutschland 150 Objekte durchsucht und 70 Verdächtige festgenommen. Ausgangspunkt dieser Ermittlungen waren Kryptohandys, die von Täter*innen der OK genutzt werden. Kryptohandys sollen durch verschlüsselte Telefongespräche und VPN-basierte Internetzugänge Schutz vor Abhörmaßnahmen durch Sicherheitsbehörden, aber auch konkurrierenden OK-Gruppen bieten.  Der Zugriff auf die bis zu 20.000 Euro teuren Handys ist für Sicherheitsbehörden nahezu unmöglich, was das FBI dazu veranlasste, ein eigenes Netzwerk mit einer vermeintlich sicheren Verschlüsselung auf den Markt zu bringen und dieses als Geheimtipp global zu verbreiten. Das sog. ANOM-Netzwerk gab dem FBI die Möglichkeit, auf die Chats und Gespräche der Drahtzieher*innen unverschlüsselt zuzugreifen.

Bei der “Operation Trojanerschild” wurden durch die Infiltration von EncroChat und Sky ECC rund 27 Mio. Nachrichten mitgelesen. Der Entschluss, diese Operation durchzuführen, sei getroffen worden, da die kryptographischen Netzwerke für kriminelle Taten verwendet werden: die Planung und Organisation von Delikten, Mord, Drogenhandel sowie weiteren Aktivitäten. Der Ermittlungserfolg basierte auf der Annahme der Täter*innen, dass die Kryptohandys abhörsicher seien, weshalb sie keinerlei Vorsicht innerhalb der Kommunikationswege walten ließen. In einer anderen Operation griff der französische Geheimdienst auf Kryptonetzwerke zu und konnte die Tätigkeiten mexikanischer Kartelle in den Niederlanden aufdecken. Die Datensätze legten 35 Crystal-Meth-Labore offen, welche in der Folge von den niederländischen Sicherheitsbehörden durchsucht wurden.

Ebenso wurde der Ermittlungserfolg gegen den Remmo-Clan (teilweise abweichend auch Rammo-Clan genannt) durch den Zugriff auf das Kryptonetzwerks EncroChat ermöglicht. Hierbei wurden Razzien und Festnahmen unter dem Tatverdacht von Drogenhandel, Schutzgelderpressung, Sprengstoffhandel im Februar 2021 durchgeführt. Ermittlungsgruppen weisen immer wieder darauf hin, dass die Nachrichten tiefe Einblicke in interne Strukturen sowie in Persönlichkeitsmuster erlauben. Den Sicherheitsbehörden war es möglich, den Konflikt des Remmo-Clans mit einer rivalisierenden Gruppe nachzuvollziehen, die Tathergänge zu rekonstruieren und dadurch Drogen- und Waffenhandel nachzuweisen.

OK versus Staat und Justiz

Die Herstellung von Kryptohandys wurde in den frühen 2000ern vom Bundesministerium für Sicherheit in der Informationstechnologie (BSI) unterstützt und sollte zunächst Beamt*innen und Politiker*innen zum Austausch vertraulicher Daten dienen. Hierbei wurde eine Ver- und Entschlüsselung auf den Endgeräten entwickelt, die mit 128 Bit arbeitete und zudem die Kamera und das Mikrophon erst bei beabsichtigter Inbetriebnahme aktivierten und somit ein externes Abhören unmöglich machten. Im Laufe der Zeit wurden sie auch für die OK zu einem Werkzeug, welches über Jahre Ermittlungen nahezu unmöglich machten. Dazu operieren solche Handys mit einem zweiten Betriebssystem, welches das Gerät im Netz unsichtbar macht. Die verschlüsselten Daten werden über spezielle Server der Anbieter wie Sky Global, Phantom Secure oder EncroChat übertragen und an den Empfänger weitergeleitet. Kryptohandys verfügen zudem über eine sog. „Killfunktion“, d.h. Daten können beim Verlust des Handys aus der Ferne gelöscht werden, was ein Einsehen streng vertraulicher Daten verhindern soll. Mexikanische und kolumbianische Kartelle profitierten ebenso von der Technik wie organisierte Rockerbanden. Erschwert wurden die Ermittlungen, da der Fokus der Sicherheitsbehörden auf Terrorismus lag und Personal im Bereich OK fehlte.

Unter Verwendung von erstellten Chatprotokollen können daher einfacher Ermittlungen eingeleitet werden, die dann vor Gericht durch Zeugen bestätigt werden, wie im Fall von Giuseppe M. (siehe auch: Operation Pollino), einem Mitglied der `Ndrangheta. In Duisburg müssen er und seine Mittäter sich wegen Kokainhandel verantworten. Chatprotokolle fungieren in deutschen Strafverfahren grundsätzlich als ein zusätzliches, vom Gericht verwertbares Beweismittel. [MF1] .

Grundsätzlich stellt die Herstellung von Kryptosmartphones durch hochspezialisierte Firmen keine Straftat dar, es sei denn, den Betreibenden wird nachgewiesen, dass sie, wie im Falle von Sky Global, aktiv Handys für die Organisierte Kriminalität angeboten haben. Die US-amerikanische Justiz sah in der Arbeitsweise der Smartphones einen bewussten Verstoß gegen den RICO Act (Racketeer Influenced and Corrupt Organizations Act), der der Bekämpfung von kriminellen Vereinigungen dient. Die Anklage sah durch das aktive Anbieten der Kryptohandys an Kriminelle den Tatbestand der Beihilfe zur Organisierten Kriminalität erfüllt.  In der Anklageschrift wurde insbesondere auf die hohen Anonymitätsstandards und das dauerhafte Löschen der Nachrichten nach dem Lesen verwiesen.

Auswirkungen der Ermittlungen?

Wie sich der Umgang mit sensiblen Daten in der OK entwickeln wird, ist aktuell unklar. Es kann davon ausgegangen werden, dass die Ermittlungserfolge eine tiefe Verunsicherung bei der OK hinterlassen haben. Es besteht die Möglichkeit für neue Anbieter, die Lücke der gehackten Sicherheitsfirmen zu füllen. Eine weitere Möglichkeit besteht in Sprachschöpfungen, die in kriminellen Kreisen genutzt werden, um die Hintergründe der Kommunikation zu verschleiern. Ebenso kann dies durch bestimmte Handzeichen erfolgen. Vor Gericht sind solche Kommunikationscodes schwer zu verwerten.

Nutzt die OK allgemein übliche Dienste?

Einfache Messengerdienste wie Whatsapp oder Telegram lassen sich von Konkurrenten oder Sicherheitsbehörden einfach ausspionieren. Dieses geschieht u.a. durch Spyware, die die Kommunikation vor oder nach der Verschlüsselung ausliest. Auch die von Sicherheitsbehörden genutzte Software Pegasus arbeitet auf diese Weise. Der Zugriff ist gemäß §202b StGB strafbar und Ermittlungsbehörden benötigen eine gesetzlich geregelte Ermächtigungsgrundlage für eine Telekommunikationsüberwachung (TKÜ), was im Falle der Kriminellen Vereinigung[MF2]  §129 StGB, gegeben ist. Anders als bei Kryptohandys, bei denen die verschlüsselte Kommunikation in einer anderen App versteckt wird (z.B. Taschenlampenapp), können Ermittlungsbehörden, die das Handy bei einer Hausdurchsuchung auslesen, den Datenverkehr des Messengerdienstes zu weiteren Ermittlungen nutzen.

Auch das allseits beschworene Darknet bietet Kriminellen, die im Umfang der OK illegale Geschäfte betreiben, nur begrenzt Schutz und wird nicht zur Übermittlung sensibler Daten genutzt. Dies hat mehrere Gründe: Zum einen ist das TOR-Netzwerk, allgemein als Darknet bekannt, von den USA aufgebaut worden und die NSA hat Zugriff auf Knotenpunkte, sodass sie nach eigenen Angaben einen Rechner nach (spätestens) 6 Monaten genau lokalisieren kann. Insbesondere wenn die Sicherheitsbehörden Zugriff auf die Daten der Telekommunikationsgesellschaften haben, geht dies schneller, da der Einstieg ins Netzwerk lokalisiert werden kann. Lediglich eine aufwendige Konfiguration des TOR-Browsers kann unter Umständen einen Zugriff durch die Sicherheitsbehörden verhindern. Auch asymmetrische Verschlüsselungen durch PGP gilt in IT-Kreisen nicht als vertrauenswürdig, da es als gesicherte Erkenntnis gilt, dass die Sicherheitsbehörden die Verschlüsselung umgehen können.

Fazit

Insgesamt sind die Ermittlungserfolge der Sicherheitsbehörden durch Operationen wie „Trojanerschild“, deren Erfolg auf der Entschlüsselung von Kryptonetzwerken basiert, zu begrüßen. Der Zugriff auf die Daten der OK ermöglichte global 800 Festnahmen. Auch der Angriff auf Kryptonetzwerke durch den französischen Geheimdienst konnte durchgeführt werden, da ein französisches Gesetz nicht legitimierte Verschlüsselungssoftware verbietet und somit den juristischen Freiraum schafft, die Sicherheitslücken der Server durch Schadsoftware anzugreifen. Wie die OK mit dem Angriff auf ihre Kommunikationsinfrastruktur umgehen wird, bleibt abzuwarten. Zweifelsohne wird sie Kommunikationswege finden, ihre Schattenwirtschaft weiter zu betreiben. Auch wenn die Dienste Wire und Threema als sicher gelten, ist nicht davon auszugehen, dass diese in diesem Kontext eine Rolle spielen werden.