Das US-Justizministerium hat vergangene Woche zahlreiche Accounts auf Krypto-Börsen beschlagnahmt, die mit terroristischen Organisationen in Verbindung stehen. Die Ermittler haben ein Netzwerk der Geldwäsche enthüllt, das vor allem über soziale Medien operierte und Bitcoins benutzte, um zu versuchen, die Spur der Spendengelder zu verschleiern.

Das Justizministerium der Vereinigten Staaten von Amerika hat am vergangenen Donnerstag bekanntgegeben, drei Terrorifinanzierungs-Kampagnen enthüllt zu haben, welche Geld zu unter anderem den Kassam-Brigaden der Hamas sowie mit al-Quaida und dem Islamischen Staat verbündeten Organisationen gesendet haben. Die Ermittlungen führten zur „größten Beschlagnahmung von Kryptowährungen im Kontext des Terrorismus“. Mehrere Millionen Dollar, mehr als 300 Accounts an Börsen sowie mehrere Webseiten und Facebook-Seiten seien eingezogen worden.

„Es dürfte keine Überrschaung sein, dass unsere Feinde moderne Technologien, soziale Medien und Kryptowährungen benutzen, um ihre bösartigen und gewalttätigen Ziele zu verfolgen,“ kommentiert Generalanwalt William P. Barr. „Das Verteidigungsministerium wird alle verfügbaren Ressourcen in Anspruch nehmen, um die amerikanische Öffentlichkeit vor Terrorgruppen zu schützen. Wir werden Geldwäsche, Terrorfinanzierung und gewalttätige illegale Aktivitäten verfolgen, wo immer wir ihnen auf die Spur kommen. Und wir werden, wie wir heute bekanntgeben, die Gelder und Materialien beschlagnahmen, die den Lebenssaft ihrer Operationen darstellen.“

An den Ermittlungen nahmen das FBI, die Steuerbehörde IRS sowie die Homeland Security statt. In mehreren Anklageschriften und Protokollen erklärt das Justizministerium den Hergang der Ermittlungen. Diese zeichnen ein Bild von einem Netzwerk der Geldwäsche im Dienste des Terrorismus – zeigen aber auch, dass der Terrorismus technisch einige Jahre zurück hängt.

Über soziale Netzwerke zu Blockchain-Analysen

Die Muster, mit denen die Organisationen zu Spenden aufrufen, ähneln sich oft: Die Terrorgruppen betreiben Kanäle auf der Messenger-Plattform Telegram, geben vor, wohltätige Zwecke in Syrien zu verfolgen, zeigen ihre wahren Intentionen aber durch Fotos von bewaffneten Kämpfern und posten Bitcoin-Adressen, an die die Teilnehmer angeblich sicher und anonym spenden können. Teilweise verwendeten die Organisationen auch Twitter oder Facebook.

Wie das Beispiel der zur palästinensischen Hamas gehörenden Kassam-Brigaden zeigt, sind die Organisationen durchaus lernfähig. Sie begannen, auf Twitter einzelne Adressen zu posten, die zu einer Börse führten, gingen dann dazu über, Adressen zu benutzen, die zu ihrer eigenen Wallet führten, und bildeten schließlich eine Webseite, auf der für jede Zahlung eine neue Adresse gepostet wurde. Diese Methode ist technisch nicht ganz trivial, aber dank zahlreicherer Software-Werkzeuge für jeden Webentwickler machbar. Sie bietet zwar eine deutlich bessere Privatsphäre als das Posten lediglich einer Adresse, ist aber alles andere als kugelsicher. Daher benutzen Internetkriminelle, wie Hacker oder Drogendealer im Darknet, seit langem wesentlich ausgefeiltere Methoden.

Die Ermittlungen setzten in den sozialen Netzwerken an, um Bitcoin-Adressen in Erfahrung zu bringen. Eine einzelne Adresse kann ausreichen, um durch Blockchain-Analyse-Werkzeuge die gesamte Wallet zu identifizieren, unabhängig davon, wie viele Adressen diese verwaltet. Die sogenannten Wallet-Cluster entstehen auf die folgende Weise: Eine Wallet kann zwar für jede Transaktion eine neue Adresse generieren. Doch sobald sie beginnt, die empfangenen Coins in einer weiteren Transaktion zu verschmelzen, verbinden sie die Adressen. Nach mehreren Transaktionen durch einen unaufmerksamen User kann man dann in der Regel einen Großteil der Wallet rekonstruieren.

Diese Methode ist seit langem bekannt und wird von Strafverfolgern intensiv genutzt. Ohne Wallet-Clustering wäre es nicht möglich gewesen, die Wallets der Kassam-Brigaden zu identifizieren. Mit der Kenntnis der Wallets konnten die Ermittler herausfinden, dass die Kassam-Brigaden auf 130 Adressen etwa 2,4 Bitcoin empfangen hatte. Dabei zeigte sich auch, dass sie Accounts bei insgesamt 11 Börsen hatten und Konten bei 5 Banken.

Neben den Kassam-Brigaden fanden die Ermittler Wallets von weiteren Terrororganisationen: Eine der Al-Quaida nahestehende Gruppe, eine syrische Organisation, deren Name als „Hinterlasst einen Eindruck, bevor sie abziehen“ zu übersetzen ist, Al Ikhwa, eine Organisation, die angeblich wohltätig ist, aber gewalttätige Bilder postet und über die Blockchain in Verbindung zu Al-Quaida steht, Malhama Tactical, ein Terrorunternehmen, das Söldner und Trainer aus Usbekistan und dem Kaukasus anheuert und vermittelt, die „Mahner aus Syrien“ sowie Al-Sadaquah.

Dabei offenbarte sich, dass mehrere Organisationen denselben Mittelsmann benutzen, um die Bitcoin-Spenden zu waschen und zu verteilen. Die Terrorfinanzierungs-Netzwerke holen Spenden zwar extrem dezentral ein, leiten diese aber über einen oder mehrere zentrale Knoten an die Terror-Organisationen weiter.

So nahm etwa eine dem Jihad gewidmete Gruppe, die für Al-Quaida-nahe Organisationen sammelte, durch in Telegram gepostete Adressen im Lauf eines Jahres 0,1461 Bitcoin ein und sendete sie an eine andere Wallet. Diese andere Wallet gehörte dem zentralen Knoten des Netzwerk. Sie erhielt zwischen Februar 2019 und 2020 gut 15.000 Bitcoins. Von diesen sandte sie große Teile zu einer Börse und von dort zu Plattformen, bei denen man mit Kryptowährungen Gutscheine kaufen kann. Auch die Organisation „Hinterlasst einen Eindruck, bevor sie abziehen“ hatte über Telegram Adressen gepostet und die Einnahmen an den zentralen Knoten gesandt. Dasselbe trifft auf Al Ikhwa, Malhama Tactical sowie die Kassam-Brigaden zu.

Finanzdienstleister des Terors

Den Ermittlern gelang es, Accounts bei Börsen zu identifizieren, die in dieses Netzwerk verstrickt waren. Einer davon gehörte Mehmet Akti, einem türklischer Staatsangehöriger, der den Account im Oktober 2017 registriert hatte. Als die Börse im März 2019 Akti einem Know-Your-Customer-Verfahren unterzog, erklärte er, den Account zu benutzen, um Kryptowährungen zu kaufen und zu verkaufen und Dienstleistungen rund um diese Aktivitäten bereitzustellen.

Akti betrieb also, so die Ermittler, einen unlizensierten Betrieb als Finanzdienstleister. Mit dem Account auf der Börse hatte er zwischen Oktober 2017 und März 2010 2.328 Bitcoin sowie 2.296 Ether empfangen und zahlreiche Dollar-Einzahlungen erhalten, was sich alles in allem auf rund 82,8 Millionen Dollar summierte. Alle Dollar-Überweisungen kamen von einem türkischen Bankkonto, das unter dem Namen Deniz Royal geführt wurde.

Mit den überwiesenen Dollar kaufte Akti weitere Kryptowährungen. In derselben Zeit zog er von dem Account zahlreiche virtuelle Währungen ab, etwa 11.228 Bitcoin, 7.063 Ether, 957.109 XRP und 118.008 EOS. Insgesamt habe er Kryptowährungen im Wert von mehr als 90 Millionen Dollar an mehr als 250 Adressen ausgezahlt, weshalb die Ermittler annehmen, Akti habe „hunderte von Kunden gehabt, an die er als unlizensierter Finanzdienstleister Geld überwies.“ Im März 2019, kurz nachdem die Börse ihn aufgefordert hatte, ein KYC-Formular auszufüllen, zog Akti in ahnender Voraussicht fast das gesamte Guthaben von der Börse auf eine andere Wallet ab. Diese Wallet gehörte zu einer anderen Börse und war, wie die Ermittler herausfanden, von einem Hüsamettı̇n Karataş registriert worden. Der wurde danach natürlich ebenfalls zu einem Verdächtigen.

Karataş erklärte den Ermittlern, lediglich ein Kundn von Akti gewesen zu sein, aber keine weitere Geschäftsbeziehung mit diesem gepflegt zu haben. Er habe Akti Bargeld gegeben, damit dieser für ihn virtuelle Währungen kaufe. Akti habe die Währungen zunächst für Karataş aufbewahrt, diesen aber aufgefordert, ihm eine Adresse zu geben, als er seinen Börsen-Account leerte. Die Ermittlungen zeigten jedoch, dass auch Karataş im Auftrag anderer Menschen handelte, also ebenfalls als unlizensierter Finanzdienstleister operierte. Dabei hatte er in vielen Fällen dieselben Kunden wie Akti, unter anderem den Besitzer des türkischen Bankkontos.

Man sollte allerdings nicht kurzschließen, dass sämtliche Gelder, die Akti und Karataş verwaltet haben, im Zusammenhang zum Terrorismus stehen. Die türkischen Staatsbürger könnten auch Menschen im nahen Osten, die keinen Zugang zu Kryptobörsen haben, geholfen haben, einen Anteil am Aufstieg von Kryptowährungen zu nehmen, oder sie könnten Flüchtlinge dabei unterstützt haben, durch Kryptowährungen ihr Kapital mit in ihre neue Heimat zu nehmen. Dass Broker, die Menschen helfen, den Ausschluss durch ein oft allzu strenges KYC-Regime zu umgehen, auch in Berührung mit kriminellem oder gar terroristischem Kapital kommen, ist oft unvermeidbar – macht aber weder sie noch ihre anderen Kunden zu Terroristen. Eine solche Vorverurteilung führt vielmehr dazu, dass Menschen, die Kryptowährungen mehr als alles andere brauchen, diesen beraubt werden.

Die Bitcoins und anderen Kryptowährungen, die das US-Justizministerium als Ergebnis der Ermittlungen beschlagnahmt hat, befanden sich in den Wallets von Börsen. Die Coins dagegen, die auf unabhängigen Wallets ruhen, wurden hingegen nicht beschlagnahmt. Dies zeigt, dass Kryptowährungen zwar ein schlechtes Instrument sind, um Anonymität zu wahren, aber es den Terrororganisationen dennoch ermöglichten, zumindest einen Teil der Guthaben in Sicherheit zu bringen. Ein Glück für die Ermittler ist dabei, dass die Terrororganisationen zwar technisch aufholen, aber noch weit hinter den Privacy-Standards sind, die im Darknet üblich sind, wenn Kriminelle etwa Mixer oder anonyme Kryptowährungen wie Monero verwenden.

[Gesamt: 0   Durchschnitt:  0/5]