Digitaler Schwarzmarkt So einfach kann man in Russland Daten kaufen
Hauptinhalt
19. Januar 2021, 16:53 Uhr
Gekaufte Online-Daten sollen beweisen, dass der Oppositionelle Alexej Nawalny von Geheimdienstmitarbeitern vergiftet wurde. Doch wie verlässlich sind die Quellen? Ein Selbstversuch.
Es ist ein bisher wohl einmaliger Coup: Der im August vergiftete russische Oppositionelle Alexej Nawalny veröffentlichte Ende 2020 zusammen mit Rechercheuren der Onlineportale Bellingcat und The Insider eine eindrucksvolle Recherche. Diese zeichnet detailliert nach, wie ein halbes Dutzend Chemie-Experten des russischen Inlandsgeheimdienstes FSB Nawalny über mehrere Jahre in Russland verfolgte.
Außerdem hätte die Gruppe Kontakt zu Mitarbeitern von Instituten gehabt, die an der Entwicklung von chemischen Kampfstoffen gearbeitet haben. Schließlich rief Nawalny einen der mutmaßlichen FSB-Agenten persönlich an und entlockte ihm wichtige Details des Anschlags, in dem er sich als Assistent des Vorsitzenden des russischen Sicherheitsrats ausgab.
Staatliche Sammelwut erschafft Schwarzmarkt
Für die Recherche hatten sich Nawalnys Helfer Zugang zu Passagierlisten, Mobilfunkdaten und Standorten, den persönlichen Ausweisen der Männer, ihren KFZ-Zulassungen und vielen anderen privaten Daten verschafft. Informationen, die eigentlich nicht frei zugänglich sind.
Tatsächlich jedoch blüht im russischen Internet seit Jahren ein digitaler Schwarzmarkt. Dort finden sich die Daten sämtlicher Behörden, Mobilfunkanbieter, Banken, Fluglinien der staatlichen Eisenbahn und dutzender anderer Einrichtungen. Denn in Russland werden die privaten Daten einzelner flächendeckend aufgezeichnet und gesammelt.
Grund dafür sind verschiedene Anti-Terror-Regelungen, die eigentlich den Sicherheits- und Geheimdiensten bei ihrer Arbeit helfen sollen. Die gesammelten Daten lassen sich jedoch oft so einfach von Beamten oder Mitarbeitern abfragen, dass diese aus dem Verkauf einen einträglichen Nebenerwerb gemacht haben.
Die Rechercheure von Bellingcat erklärten offen, dass sie sich die benötigten Informationen von anonymen Händlern zusammengekauft haben. Der Bellingcat-Rechercheur Christo Grozev bezifferte die Kosten auf insgesamt bis zu 20.000 Euro. Dabei reichen in Russland oft wenige Euro, um an die Daten einer Person zu gelangen.
Selbstversuch: Wieviel kostet ein Bewegungsprofil?
Deshalb starte ich einen Selbstversuch: Wie schnell kann man wirklich ein Bewegungsprofil einer Einzelperson erstellen und wieviel kostet das? Meine Zielperson bin ich selbst. Für die Recherche nutze ich nichts weiter als meine eigene Handynummer.
Um in die Welt des illegalen Datenhandels einzutauchen, reicht eine einfache Google-Suche. Die führt schnell in Foren der Gamer-Communities oder für IT-Fachleute. So findet man auf dem Portal miped.ru bereits nach wenigen Klicks detaillierte Preislisten für die Einsicht in unterschiedlichste Datenbanken, auch für die Abfrage der Nutzerdaten zu einem Handyvertrag.
15 Euro für persönliche Datensätze
Hier bestelle ich bei einem anonymen Verkäufer die Nutzerdaten zu meiner Mobilfunknummer. Nach kurzer Kommunikation über den Messengerdienst Telegram bekomme ich einen Link zu einer anonymen Bitcoin-Wallet, auf die ich umgerechnet etwa 15 Euro überweise. Der Händler reicht meine Anfrage daraufhin an einen Mitarbeiter des entsprechenden Mobilfunkanbieters weiter.
Etwa 12 Stunden später bekomme ich wieder per Telegram ein schlecht aufgelöstes aber lesbares Foto eines Monitors. Darauf sind meine vollständigen Angaben zu sehen, die ich beim Abschluss des Vertrags machen musste: Voller Name, Geburtsdatum, Adresse und die Passnummer.
Nahezu unbegrenzter Datenzugriff
Mit diesen Basisdaten lassen sich nun fast unbegrenzt weitere Informationen herausfinden. Der Datenhändler aus dem Forum bietet mir Zugriff auf eine Offline-Datenbank Namens Solaris. Dort fließen Informationen aus älteren Datenpaketen zusammen.
Für umgerechnet vier Euro erhalte ich eine PDF-Datei mit einer Art persönlichem Dossier. Darin finden sich auch meine früheren Wohnadressen in Moskau und Sankt-Petersburg, eine inaktive Mobilfunknummer und die Angaben zu einem Flug zwischen Moskau und Sankt-Petersburg, inklusive Datum und Flugnummer.
Etwas länger dauert die Abfrage aktueller Datenbanken der Behörden. Diese werden im Darknet, dem anonymen Teil des Internets gehandelt. Eine beliebte Plattform heißt Hydra Market, zugänglich ausschließlich über einen speziellen Browser. Das Hauptgeschäft der Verkäufer auf Hydra sind Drogen, aber auch gefälschte Papiere und Datenbankabfragen.
Flugdaten vollständig übermittelt
Besonders günstig ist der Zugriff auf die aktuellen Passdaten, umgerechnet etwa 12 Euro. Etwas teurer sind Reisedatenbanken des Migrationsdienstes oder der Datenbank Magistral, in der Informationen über sämtliche gekauften Zug- und Flugtickets zusammenlaufen, die in Russland ausschließlich auf Vorlage des Personalausweises ausgestellt werden.
In einem anonymen Chat beraten Verkäufer, welche Infos für die Auskunft benötigt werden und wie lange der Prozess dauert. Die ersten drei winken gleich ab. Nach den Nawalny-Enthüllungen sei das Risiko hoch und die Nachfrage zu groß. Ein Händler findet sich dennoch. Nach drei Tagen erhalte ich die vollständige Liste aller meiner Reisen in diesem Jahr, darunter ein Flug von Sankt-Petersburg nach Moskau und nach Minvody in Südrussland.
Mit diesen hätte ich ein recht detailliertes Bewegungsprofil von mir erstellen und durch weitere, teurere Daten ergänzen können. Insgesamt hat mich der Selbstversuch gerade einmal 50 Euro gekostet. Außerdem könnte ich Bilder von mir aus Moskaus Verkehrskameras suchen lassen, Daten der Grenzbehörden und mein eigenes Handy orten. Alles gegen Aufpreis natürlich.
Kaum Kontrolle und geringe Strafen
Dass der Handel tatsächlich so einfach funktioniert, ist für IT-Spezialisten längst keine Überraschung mehr. "Die Digitalisierung ist oft weiter fortgeschritten als in Westeuropa. Das führt jedoch dazu, dass Angestellte in den Filialen von Mobilfunkanbietern oder fast jeder Polizist und Behördenmitarbeiter auf sehr viele Informationen und Datenbanken zurückgreifen kann", erklärt Aschot Oganessjan von der Moskauer IT-Beratung Data Leckage and Breach Intelligence.
Billig seien alltägliche Abrufe, wie etwa die Datenbank der Personalausweise und die Handyverträge. Teuer wird es erst, wenn es um detaillierte Handy-Daten geht: etwa Anrufe, SMS oder die Lokalisierung eines Handynutzers. Dafür brauche es eine Anfrage der Polizei, was bis zu 300 Euro kosten kann.
In einer ähnlichen Preisklasse bewegen sich Passagierlisten ganzer Flüge oder Zugverbindungen. Diese wurden bei der Nawalny-Recherche genutzt, um die FSB-Agenten zu enttarnen. Einige saßen mehrmals im gleichen Zug oder Flugzeug wie der Oppositionelle.
Ein weiterer Grund für den Datenhandel seien die vergleichsweise geringen Strafen. "Wer Daten handelt bekommt in Russland oft nur eine Geldstrafe", erklärt Aschot Oganessjan. Unternehmen wie Banken oder Mobilfunkanbieter können nach aktueller Rechtslage gar nicht belangt werden. Der Nawalny-Fall werde den Markt höchsten für eine Zeit aufmischen, so der IT-Experte: "Die Preise werden etwas steigen, einige Händler werden für ein paar Wochen Aufträge ablehnen, aber dann wird alles zum Business as Usual zurückkehren."
Dieses Thema im Programm: MDR AKTUELL RADIO | 01. Oktober 2020 | 10:00 Uhr