Eine der wichtigsten deutschen Cybercrime-Seiten ist weg vom Fenster

Seitdem die deutschsprachigen Cybercrime-Boards Fato.me, Comlync.cc und andere Websites unter der Kontrolle des Users asmir_cracker vom BKA Anfang März im Rahmen einer internationalen Ermittlung gegen die Online-Kriminalität vom Netz genommen wurden, ist die deutsche Kleingangster-Gemeinde in ziemlicher Aufruhr.

Nun scheint die Clearnet-Fraudszene zumindest in Bezug auf ihre Operationsbasis noch weiter zu schrumpfen. Seit dem 4. März ist eins der größten deutschen Foren für Betrug und Internetkriminalität, Bus1nezz.biz, offline—was genau passiert ist, ist bislang nicht klar. Ein idealer Nährboden für wilde Spekulationen.

Im Angebot hatte das Board Bus1nezz.biz gehackte Accounts, Viren, „Treuhand-Dienste", Drogen, Remote Access Tools (RATs), Ransomware und verschiedene Dienstleistungen rund um digitalen Betrug und Diebstahl. Dem Forum wurde der DDoS-Schutz CloudFlare vorgeschaltet, die Domain ist in China registriert.

„Ein deutsches Szene-Forum. Themen: Fraud, Hacking, Drogen, Waffen uvm. Bin da Super-Moderator. Reinschauen lohnt sich!"—so bewarb der Online-Medikamentenhändler OxyWhite an anderer Stelle das Forum, auf dem er bis zu seinem Verschwinden Ende 2015 als Co-Admin gelistet war.

Zusammen mit dem technischen Administrator unter dem Nutzernamen Lab511 führte der Admin mit dem Handle MoOe das Forum als Administrator. MoOe soll auch der Betreiber von german-plaza.cc gewesen sein—einem weiteren größeren Board der deutschen Cybercrime-Szene. Seit dem 4. März ist auch noch besagtes German-Plaza.cc, ein bekanntes deutsches Clearnet-Forum für den Verkauf gestohlener Accounts und kopierter Kreditkartendaten, nicht mehr online. Nutzer anderer Plattformen berichten ihrerseits vom Betrug beim Handel auf diesem Board, bevor es endgültig von der Bildfläche verschwand.

Das Verschwinden von Bus1nezz.biz folgte außerdem kurz nach der Meldung, dass ein 29-Jähriger aus dem Landkreis Pinneberg seit dem 10. März in Untersuchungshaft sitzt. Er soll 85 Konten mit falschen Personalien erstellt und in deutschen Untergrundforen verkauft haben (man nennt das Bankdrops). Bei einer Hausdurchsuchung fanden die Ermittler zusätzlich noch Blendgraten, Gras und 2000 Euro Bargeld.

Ein Nutzer eines Deepweb-Forums spekulierte über einen Exit-Scam (bei dem sich die Betreiber mit von Nutzern eingezahltem Geld davon machen) und über die Hintergründe für das Abtauchen der Plattformen: „Ist ein weiterverbreitetes Phänomen in der deutschen Cybercrimeszene, nennt sich Eierflattern. Nachdem fato & comlync dicht gemacht worden, machen die anderen freiwillig dicht bzw. ziehen ihren Exit-Scam durch."

Wie bei allen Boards, auf denen kriminelle Dienstleistungen angeboten und getauscht werden, hatte auch bus1nezz.biz Probleme damit, sogenannte Ripper von ihrem Board fernzuhalten. Auf einen bestimmten User, der seitdem immer wieder versuchte, das Board durch DDoS-Attacken lahmzulegen, wurde einige Monate später auf dem Forum und per Twitter sogar ein „Kopfgeld" ausgesetzt.

Als Teillösung führten die Admins im Oktober 2014 zusätzlich zur Möglichkeit der kostenpflichtigen Registrierung ein Bewerbungssystem ein, bei dem man sich durch eine Abstimmung der User verifizieren lassen konnte: „Damit ein Bewerber zum normalen Member befördert, also quasi akzeptiert wird, benötigt er mind. 60% positive Stimmen", schrieben die Admins im Forum—auch das ein Zeichen dafür, wie eng die Szene miteinander verflochten ist und Zeuge eines Versuchs, durch Erfahrungswerte aus bislang abgeschlossenen Deals eine gewisse Vertrauensbasis unter den Mitgliedern zu schaffen. Im September 2015 übernahm OxyWhite die meist manuelle Registrierung der Nutzer, welche in Folge zunehmend restriktiver gehandhabt wurde. Zur Registrierung musste man dem Admin eine PGP-verschlüsselte Mail schicken.

Regeln für den Verkauf gab es trotz aller Illegalität der angebotenen Waren dennoch: Jeder, der sich als Verkäufer anmeldete, durfte—als eine Art Incentive— fünfmal gratis verkaufen. Anschließend musste der Nutzer eine Vendor-Lizenz zum Verkaufen erwerben—die Preise dafür waren je nach Angebot des Nutzers gestaffelt.

Das System funktionierte so gut, dass das Forum sogar Eingang in eine systematische Untersuchung der IT-Sicherheitsberatungsfirma TrendMicro fand. Der Bericht „Der deutsche U-Markt" listet das Forum Bus1nezz.biz als eine geschlossenes Forum mit eingeschränktem Zugang, auf dem registrierte Nutzer Accounts, Arzneimittel, Malware und Drogen handeln. Das Forum war seit 2011 aktiv, von den 6.100 registrierten Nutzern posten allerdings laut TrendMicro nur rund 1.580 regelmäßig.

In einem großen deutschsprachigen Deepweb-Forum kündigte OxyWhite vor gut einem Jahr an: „Wie jeder weiß, ist Bus1nezz (…) mein Lieblingsboard. Nun sind sie auch über den Tor-Browser erreichbar." Auch diese Seite—die nur einen Mirror darstellte—ist bereits seit Beginn dieses Jahres nicht mehr verfügbar:

Manche Sub-Moderatoren, insbesondere die, die sich mit Investitionen im Altcoin-Bereich befassen, suchen nun nach einem neuen Zuhause auf Deepweb-Foren. Andere Nutzer kündigen an, auf kleinere Clearnet-Boards auszuweichen.

Die Erfahrung der letzten Jahre hat zwar gezeigt, dass bald nach dem ersten Schock eines Zugriffs immer neue Anbieter auftauchen. Doch auf den noch verbliebenen Cybercrime-Foren wird nichtsdestotrotz heiß diskutiert: Wem kann man überhaupt noch trauen? Ist Cloudflare überhaupt sicher? Welcher Hoster ist zuverlässig in seiner Nicht-Kooperation mit Behörden? Und wer hat sich mit welchem Geld aus dem Staub gemacht?

Es entbehrt nicht einer gewissen branchenbedingten Ironie, dass sich die Menschen, die sich hauptberuflich vom Abzocken ernähren (oder zumindest so tun), sich nun beschweren, dass es keine Foren mehr gibt, denen sie vertrauen können.

Ein Nutzer fasst die Misere der deutschen Kleinkriminellen, die auf der Suche nach „verlässlichen" Account- und Kreditkartenverkäufern sind, so zusammen: „Zur Zeit gibt es wirklich keine seriösen Seiten mehr."