Für einen Moment war es ziemlich still, ich hatte das Gefühl, mein Herzklopfen zu hören. Es pochte schneller als sonst, ich war aufgeregt. Meine Hände fingen an zu schwitzen, ich wischte sie an meiner Jogginghose ab. Während das Notebook des Bundespolizisten Herrn Bauer noch am Hochfahren war, zückte der andere Beamte Herr Götner bereits Stift und Papier. Seine erste Notiz war das Datum, es waren knapp zwei Monate seit meiner Inhaftierung vergangen.
Nachdem mich Herr Bauer belehrt hatte und direkt mit den Fragen beginnen wollte, fiel ihm Herr Götner ins Wort:
„Um das klar zu stellen, Herr Ates, damit ein Geständnis im Gericht als strafmildernd anerkannt wird, sollten Sie ein vollständiges Geständnis ablegen. Also weder lügen, noch irgendetwas auslassen. Sollte rauskommen, dass Sie uns belogen haben, ist ihr Geständnis wertlos.“
Ich gab ihm zu verstehen, dass ich mir dessen bewusst war und mein Anwalt bestätigte nochmals, dass ich ein vollständiges Geständnis abgeben werde.
Herr Bauer hatte mittlerweile sein Textbearbeitungsdokument geöffnet und war bereit zu tippen. „Herr Ates, bezüglich des TrueCrypt-Passwort, welches Sie uns mitgeteilt hatten…Das Passwort war richtig, nur hatten unsere Kollegen das Passwort falsch abgetippt. Da Sie auch Sonderzeichen in ihrem Passwort verwendet hatten, und man seine Eingaben bei der Passworteingabe nicht überprüfen kann, haben sie es erst vor kurzem geschafft, das Passwort richtig einzugeben. Wir haben also noch keinen Einblick auf ihren Rechner bekommen, weshalb wir keine spezifischen Fragen dazu stellen können. Dennoch denken wir, dass Sie uns ohnehin auch ohne die Einsicht in den Rechner genug erzählen können.“
Das war seine Einleitung zum bevorstehenden 8-stündigen-Verhör. Ich kann mich nicht an jede einzelne Frage erinnern, aber im Großen und Ganzen lief das Gespräch wie folgt ab:
Herr Bauer: „Fangen wir von vorne an, wie sind Sie auf das Darknet gestoßen?“
Ich: „Das kann ich nicht genau sagen. Als ich damals noch Informatik-Student war, beschäftigte mich das Thema „Hacken“. Ich wollte unbedingt wissen, wie das funktioniert. Das kann daran liegen, dass mich Leute immer fragten, ob ich hacken könne, wenn ich ihnen mitteilte, dass ich Informatik studiere. Das hat auch dazu beigetragen, dass ich endlich mal „Ja, natürlich kann ich das“, sagen wollte. Hacker wurden in meiner Welt bewundert, wahrscheinlich wollte ich auch bewundert werden. Doch ich hatte nicht mal gute Programmierkenntnisse, geschweige denn irgendeine Ahnung von Netzwerken und IP-Protokollen, etc. Auch war mein Verlangen, im Internet Geld zu verdienen, stets recht hoch gewesen. Ich war mir sicher, dass sich im Internet Geld verdienen ließe. Doch ich hatte nie eine kriminelle Absicht. Als ich dann eines Tages auf Google nach Wörtern wie „hacken lernen“ suchte, begegnete ich einem Begriff. „Carding“ war das Wort. Ich verstand nicht, was das bedeutete, aber es tauchte häufig in Verbindung mit „hacken“ auf. Bis dahin wusste ich nicht einmal, was ein Darknet ist. Ehrlicherweise weiß ich das heute auch noch nicht so genau. Auf den Foren, in denen ich mich bewegte, konnte man sich ganz normal registrieren, wie auf anderen legalen Foren auch. Jedenfalls habe ich dann nach dem Begriff „Carding“ gegoogelt. Schließlich landete ich auf einem sogenannten „Darknet-Forum“. Es gab einige Threads, also Foreneinträge, die öffentlich sichtbar waren. Ich las mich ein und war überrascht, beeindruckt und geschockt zugleich. Denn die Themen waren in etwa wie: ‘Wie am besten Kreditkarten phishen? Tutorials für Anonymisierung.’ Ohne zu zögern registrierte ich mich auf dem Forum und bekam Einblicke in eine Welt, die ich bisher nicht kannte. Vorerst war ich nur stiller Leser. Ich denke, etwa einen Monat lang. Irgendwann fing ich dann selbst an, nämlich mit der Deutschen Bahn.“
Herr Bauer tippte fleißig mit, natürlich unterbrach er mich immer wieder, da er nicht so schnell mitkam. Am liebsten hätte ich ihm das Notebook weggenommen und selber geschrieben, dann hätte es wohl weitaus kürzer gedauert als 8 Stunden. Denn die meiste Zeit verging eher damit, dass ich alles, was ich erzählte, nochmals langsam wiederholen musste. Herr Götner hingegen versuchte mir nur logisch zu folgen, stellte zwischendurch Verständnisfragen und notierte sich weitere Fragen, die er im Laufe unseres Gespräches stellte.
Herr Götner: „Am besten Sie erzählen erstmal was genau Sie gemacht haben und wie Sie das angestellt haben.“
Ich: „Zuerst erstellte ich auf mitfahrgelegenheit.de einen Fake-Account. Danach stellte ich Fahrten von z.B. Hamburg nach München hinein und als Preis trug ich 40 EUR ein. In meinem Anzeigentext schrieb ich, dass ich Bahntickets für 40 EUR hätte und die Strecke dabei egal wäre. Jedes Mal gingen mehrere dutzend, also um die 50 E-Mails, mit Anfragen ein. Das ging solange, bis mein Fake-Account von mitfahrgelegenheit.de gesperrt wurde. Die 50 E-Mails beantwortete ich, indem ich den „Kunden“ mitteilte, dass ich wissen musste, von wo nach wo sie fahren wollten, wie die letzten 4 Ziffern ihres Personalausweises lautete und natürlich noch ihren vollen Namen. Meist bekam ich die Daten auch direkt, bei manchen musste ich noch Überzeugungsarbeit leisten, doch das war auch immer schnell erledigt. Nachdem ich also die Daten (außer die Anschrift) von den Kunden hatte, ging ich auf bahn.de und buchte die Fahrt über die Daten des Kunden. Bei der Anschrift gab ich fiktive Daten ein, als ich gemerkt hatte, dass die Deutsche Bahn das nicht überprüft. Als Zahlungsmittel wählte ich ‘Kreditkarte’ aus und trug die Kreditkartendaten ein, die ich mir zuvor im Darknet-Forum für 5 EUR gekauft hatte. Danach bekam ich das Online-Ticket auf meinen Fake-Mail-Account zugesandt. Diese leitete ich an den Kunden weiter und bekam dann eine Überweisung auf mein Bankdrop, von welchem ich dann das Geld abhob, sobald sich mindestens 1000 EUR darauf befanden.“
Herr Bauer: „Wie sind Sie auf die Idee mit der Deutsche Bahn gekommen?“
Ich: „Es gab eine Tutorial-Sektion in diesem Darknet-Forum. Dort wurden Tutorials für „wenig“ Geld angeboten. Ich hatte eine Anleitung gefunden. Im dem „Anzeigen-Text“ hieß es, dass man nur Random Kreditkarten benötigte, und die kosten nur 5 EUR, im Gegensatz zu FULL-Kreditkarten, die gleich mal 40-50 EUR das Stück kosten. Zudem wäre ein Bankdrop nötig und eben anonymes Internet. Ich kontaktierte den Verkäufer, über ICQ und Pidgin. Ich hatte gelesen, dass es ein Plugin gibt, mit dem die Kommunikation verschlüsselt abläuft. Seltsamerweise verriet er mir gleich seinen Namen und was noch komischer war: Er war auch Türke. Sein Name war Hasan. Nachdem er kurz mit mir über den Ablauf geredet hatte, bekam ich schon die Daten für eine Western-Union-Überweisung. Ich sendete ihm sofort das Geld zu und keine 12 Stunden später besaß ich das Tutorial. Er zeigte mir zudem noch per TeamViewer, wie er selber Bahntickets verkaufte. Allerdings hatte er kein Bankdrop, er erhielt das Geld für die Bahntickets als Paysafecard. Nun musste ich mir nur noch ein Bankdrop kaufen und schauen, dass ich anonymes Internet bekomme.“
Herr Bauer: „Was ist ein Bankdrop, was sind Random- und Full-Kreditkarten?“
Ich: „Also, ein Bankdrop ist einfach nur ein gefälschtes Bankkonto. So etwas kostet ungefähr 1.000 bis 1.500 EUR. Die Leute, die das verkaufen, erstellen sich gefälschte Personalausweise und eröffnen Konten damit. Eine Random-Kreditkarte ist einfach nur ein Kreditkartensatz, dessen Secure-Code nicht bekannt ist. Wenn also in einem Shop das SecureCode-Verfahren eingesetzt wird, kann man mit Random Kreditkarten nicht bezahlen, weil man eben den SecureCode nicht besitzt. Die Deutsche Bahn setzt aber das SercureCode-Verfahren nicht ein, deshalb reicht eine Random-Kreditkarte. Diese ist dementsprechend nur 5 bis 10 EUR wert, da sie nicht überall genutzt werden kann. Bei einer Full-Kreditkarte ist der SecureCode dabei und man kann theoretisch überall damit einkaufen.“
Herr Bauer: „Woher haben Sie die Kreditkarten gekauft?“
Ich: „Da gab es einige Leute, die Kreditkarten verkauft haben. Das ist wie ein herkömmliches Inserat, wenn jemand etwas zu verkaufen hat, schaltet er eben eine Anzeige. Allerdings hatte ich einen Stammverkäufer, MySQL nannte er sich. Von ihm habe ich immer größere Mengen an Random-Kreditkarten gekauft. Die Kreditkarten waren auch immer recht gut, also sie hatten ein hohes Kreditkartenlimit. Umso höher das Limit war, desto mehr Bahntickets konnte ich damit kaufen und desto weniger Kreditkarten musste ich mir beschaffen. Kurz bevor Sie mich verhaftet haben, habe ich mir allerdings einen Shop-Zugang zugelegt. Das lag daran, dass MySQL nicht immer Kreditkarten auf Lager hatte, wenn ich mal welche gebraucht habe. Und auf Vorrat konnte ich die Kreditkartendaten auch nicht kaufen. Denn nach einiger Zeit bekommen die Kreditkarteninhaber mit, dass ihre Kreditkartendaten gestohlen/gephisht wurden und lassen diese entsprechend sperren. Also kam ich auf einen User namens „sprint“ und kaufte einen Zugang zu einem kleinen Werkzeug-Shop, sodass ich quasi Administrator-Zugänge erhielt. Ich wusste nicht, wie er an die Admin-Zugänge gekommen war, allerdings waren die Admin-Passwörter recht simpel gewählt. Im Administrator-Bereich konnte man die Kreditkarten-Daten der Käufer herauslesen, das war dann auch schon alles, was ich brauchte. Jeden Tag kamen mehrere neue Kreditkartendaten rein, da es immer neue Käufer von Werkzeugen gab. Allerdings hatte ich den Shop-Zugang nur für eine Woche, danach wurde ich eben verhaftet.“
Mein Anwalt war die ganze Zeit stillt gewesen und hörte mir fleißig zu. Kein einziges Mal funkte er dazwischen und auch sonst tat er nichts, was ein Anwalt eigentlich tun sollte. Wir beide wussten, dass er genauso gut hätte daheim bleiben können. Und das tat er auch:
„Also dann, machen wir Schluss für heute und machen morgen weiter. Herr Ates, leider kann ich morgen nicht bei dem Geständnis anwesend sein, ich hoffe, das stellt kein Problem für Sie dar?“ „Achso, ok.“ Ich war verwirrt und schockiert zugleich.
Die Bundespolizisten waren wohl erfreut über die Nachricht. Ich hingegen dachte mir, dass es sowieso keinen Unterschied machte, ob mein Anwalt dabei war oder nicht, da er sich gar nicht einmischte. Dennoch hatte ich Angst, dass mir die Polizeibeamten am nächsten Tag hinterhältige Fragen stellen würden.
Herr Götner hatte die ganze Zeit während meines Geständnisses interessiert zugehört, von seinen Blicken und seiner Mimik her erkannte ich, dass beide von alldem keine Ahnung hatten – das alles schien Neuland für sie zu sein. Dieses Gefühl zog sich auch durch das ganze Geständnis hindurch. Deshalb dachte ich, dass ich den Ermittlungen stark weitergeholfen hatte und eine Strafmilderung auf jeden Fall möglich sein sollte. Doch so dumm waren die Beamten dann doch nicht. Denn obwohl Herr Götner mich hingewiesen hatte, dass sich nur ein vollständiges Geständnis strafmildernd auswirkt, hatte ich dies bei einer einzigen Frage ignoriert.
Eine einzige Frage, die mein Geständnis nahezu wertlos machte. Ein Jahr später las ich meine Urteilsbegründung. In der hieß es, dass aus einem einzigen Grund mein Geständnis sich nicht strafmildernd ausgewirkt hatte, und somit der Paragraph §49 StGB nicht zur Wirkung kam. Heute frage ich mich, was passiert wäre, wenn ich diese eine Frage damals wahrheitsgemäß beantwortet hätte…ich werde es wohl nie erfahren.
Toller Blog. Schade, dass du so ein beschissenen Anwalt hattest. Aber nettes Beispiel, dass man bei der Polizei einfach immer die KLappe halten sollte. Es hilft halt einfach nicht
Ich hoffe mustafa der Hund wurde von seiner reichen Frau beim fremd gehen erwischt un niedergestochen ….