Der Kanadier Alexandre Cazes kannte sich gut aus mit Softwareentwicklung, Webhosting, Netzwerkadministration und Verschlüsselung. So gut, dass er Multimillionär wurde, als Betreiber des Darknet-Markts AlphaBay, auf dem mit Drogen und anderen illegalen Gütern gehandelt wurde. Doch trotz seiner technischen Kenntnisse hat Calzes geradezu haarsträubende Bedienungsfehler gemacht, die letztlich zu seiner Festnahme in Thailand und dem Ende von AlphaBay führten.

Welche das waren, geht aus der gerade veröffentlichten 27-seitigen Anklageschrift der US-Staatsanwaltschaft hervor. Cazes, der eine Woche nach der Festnahme erhängt in seiner Gefängniszelle aufgefunden wurde, hatte quasi eine Leuchtspur im Darknet gelegt, der die Ermittler nur noch folgen mussten.

An hellsten leuchtete seine E-Mail-Adresse pimp_alex_91@hotmail.com. Eine Adresse mit seinem Vornamen und, wie sich herausstellen sollte, mit seinem Geburtsjahr. Sie stand zumindest Ende 2014, also ein Jahr nach der Gründung von AlphaBay, in der Willkommensnachricht, die jeder neue Nutzer bekam. Sie stand zu diesem Zeitpunkt außerdem in jeder Mail zum Zurücksetzen eines Nutzerpassworts. Die Polizei muss solche Mails von jemandem bekommen haben, der den AlphaBay-Chef anschwärzen wollte, oder im Zuge von Ermittlungen gegen Nutzer der Seite darauf gestoßen sein.

Eine einzige E-Mail-Adresse für jeden Zweck

Die E-Mail-Adresse war zudem einem PayPal-Konto zugeordnet und damit einem unter Cazes' vollen Namen registrierten Bankkonto. Sie tauchte auch in einem Technikforum auf, in dem er vor neun Jahren über die Entfernung eines Computervirus schrieb, zusammen mit seinem vollen Namen sowie seinem späteren AlphaBay-Nutzernamen: Alpha02.

Unter dem Namen Alexandre Cazes fand die Polizei auch ein LinkedIn-Profil, in dem sich der junge Mann als Mitarbeiter von EBX Technologies ausgab. Wie sich herausstellte, war das nur seine schlecht getarnte, weil zu offensichtlich inaktive Tarnfirma, über die er Konten verwaltete und mit der er versuchte, seine großen Bestände an Kryptowährungen zu rechtfertigen – die er über AlphaBay eingenommen haben dürfte.

Laut dem Dokument gab es noch mehr Beweise, dass hinter pimp_alex_91, EBX und Alpha02 der Kanadier Alexandre Cazes steckte. Sein grundsätzlicher Fehler war es, seine wahre Identität nicht strikt von seiner AlphaBay-Identität zu trennen.

OPSEC ist hart

Ein südafrikanischer, in Thailand lebender Hacker, der sich The Grugq nennt und als Spezialist für die Kommunikation von Terroristen gilt, hält gelegentlich Vorträge über solche sogenannten OPSEC-Fehler (Operational oder Operations Security). In diesem aus dem Jahr 2012 etwa erklärt er ab Minute 6:40, welche Verhaltensmaßnahmen unerlässlich sind, um eine echte Identität von einem Alias getrennt zu halten, und wie fatal ein einziger kleiner Fehler sein kann. Cazes hat so ziemlich alle dieser Maßnahmen missachtet.

Aus der Anklageschrift geht des Weiteren hervor, dass (aber nicht wie) die Polizei das Rechenzentrum ausfindig gemacht hat, in dem zumindest ein AlphaBay-Server stand. Eine mögliche Erklärung ist, dass Cazes seine E-Mail-Adresse immer mit dem gleichen Passwort für verschiedene Dienste genutzt hat, unter anderem auch bei einem Webhoster. Das hätten die Ermittler problemlos über eine Abfrage auf der Website haveibeencompromised.com herausfinden und so auf den Betreiber des Rechenzentrums stoßen können.

Jedenfalls erzwangen sie die kurzzeitige Abschaltung des Servers, sodass Cazes ihn aus der Ferne neu starten musste. Genau in diesem Moment stürmte die thailändische Polizei sein Haus. Sein Laptop lag im Schlafzimmer, Cazes war zu diesem Zeitpunkt mit dem Nutzernamen Admin am Server wie auch im AlphaBay-Forum eingeloggt, um seine Nutzer nach dem Ausfall zu beruhigen. Auf dem Laptop fand die Polizei zudem geöffnete Textdateien mit allen wichtigen Zugangsdaten und Passwörtern für AlphaBay.

Immer wieder sind es solche Fehler, Unachtsamkeiten oder schlicht Bequemlichkeit, die der Polizei helfen, die Betreiber illegaler Marktplätze im vermeintlich anonymen und unkontrollierbaren Tor-Netzwerk zu finden und die Seiten stillzulegen. Immer wieder zeigt sich, dass going dark, wie das FBI das Verstecken von Kriminellen hinter Verschleierungs- und Verschlüsselungstechnik nennt, kein unlösbares Problem für Strafverfolger ist. Und dass Behörden keine Schwachstellen im Tor-Netzwerk geheim halten und ausnutzen müssen, anstatt sie den Entwicklern zu melden und die Technik dadurch für alle Anwender sicherer zu machen.