Die in den KIRAS Projekten „VIRTCRIME“ und „KRYPTOMONITOR“ entwickelte Software GraphSense trägt maßgeblich zur Abschaltung von 373.000 Kindesmissbrauchs- und Betrugsseiten im Darknet bei.“
Fünf Jahre lang hatte das Ermittlungsteam der Zentralstelle Cybercrime Bayern (ZCB) in der „Operation Alice“ ermittelt. Am Freitag vermeldete der bayrische Justizminister Georg Eisenreich, dass 373.000 Darknet-Seiten vom Netz genommen worden seien. Es handle sich um den größten Ermittlungserfolg im Kampf gegen Kindesmissbrauchsdarstellungen in der Geschichte des Darknets, so der für die Ermittlungen zuständige Oberstaatsanwalt Stephan Schäl gegenüber ORF Wissen. Die Zahl der offline genommenen Seiten entspreche Schätzungen zufolge rund zwei Drittel aller überhaupt im Darknet verfügbaren Seiten, so Schäl.
Ausgang der Ermittlungen war eine Darknet-Seite mit dem Namen „Alice with Violence CP“, die dem Ermittlungsteam 2021 aufgefallen war. Auf der Seite waren Aufnahmen von besonders schwerwiegendem Kindesmissbrauch angeboten worden. Der Name nimmt Anlehnung an das Kinderbuch „Alice im Wunderland“, CP steht für „Child Pornography“. Es handle sich um „tatsächlich wirklich sehr verstörende Inhalte“, gibt Schäl gegenüber ORF Wissen an.
Seiten tausendfach geklont
Mit Hilfe einer von Wiener Komplexitätsforscherinnen und -forschern entwickelten Software gelang es den Ermittlern, ein Netzwerk an Seiten aufzudecken, die mit der Ausgangsseite über gemeinsame Kryptowährungsadressen in Verbindung stehen. Insgesamt gehörten 122 verschiedene Seiten zu dem Netzwerk, die jeweils tausendfach geklont wurden. Somit erhöhte der Betreiber die Wahrscheinlichkeit, dass die Seiten im Darknet gefunden werden.
ORF Sound 20.3.2026, 12.29 Uhr
Darknet-Razzia dank Wiener Forschung
32 unterschiedliche Seiten verbreiteten Kindesmissbrauchsmaterial über insgesamt 90.000 Kopieseiten. 90 weitere Seiten boten vermeintlich gestohlene Kreditkartendaten, Falschgeld, Gutscheinkarten und Ähnliches dar – wiederum insgesamt über 283.000 Kopieseiten. Alle in Summe 373.000 Seiten konnten einem einzigen Betreiber zugeordnet werden.
Allerdings: In allen Fällen handelte es sich laut Angaben der Generalstaatsanwaltschaft Bayern um Betrugsseiten. Die Kunden zahlten zwar Geld ein, erhielten aber keine Ware im Gegenzug.
36-jähriger Chinese steckt hinter Netzwerk
Mutmaßlicher Betreiber des Netzwerks ist der 36-jährige chinesische Staatsbürger Wang Shuaibo, wohnhaft laut den Erkenntnissen der bayrischen Ermittlungsbehörden in der chinesischen Provinz Hebei. Gegen ihn konnte ein internationaler Haftbefehl erwirkt werden. Der mutmaßliche Täter dürfte sich weiterhin in der Volksrepublik China aufhalten. Ob er von den lokalen Behörden gefahndet und ausgeliefert wird, ist allerdings fraglich.
Deutschland verfügt über kein bilaterales Auslieferungsabkommen mit China. Wahrscheinlicher dürfte deshalb eine Festnahme des Beschuldigten während einer Auslandsreise sein. Anschließend würde der Mann vermutlich nach Deutschland ausgeliefert und dort vor ein Gericht gestellt.
1,1 Millionen Euro in fünf Jahren
In fünf Jahren dürfte es der mutmaßliche Betreiber über das „Alice“-Netzwerk an Missbrauchs- und Betrugsseiten zu erheblichem Wohlstand gebracht haben. Aus den Ermittlungsdaten ergibt sich, dass der mutmaßliche Täter insgesamt 18 Bitcoins mit einem aktuellen Zeitwert von 1,14 Millionen Euro einnehmen konnte.
Alleine für die Seiten mit Kindesmissbrauchsdarstellungen beziffert die Generalstaatsanwaltschaft Bayern den Kundenkreis auf rund 10.000 Personen. 437 konnten namentlich identifiziert werden, mehrere Personen davon seien in Österreich ansässig, so Schäl: „Wir haben die Verfahren an die jeweiligen Ermittlungsstaaten abgegeben.“
In Österreich bestätigte das Bundeskriminalamt (BK) die Ermittlungen. Laut BK konnten insgesamt vier männliche Tatverdächtige im Alter zwischen 21 und 38 Jahren identifiziert werden. Die Männer waren in Niederösterreich, Oberösterreich, Tirol und der Steiermark wohnhaft. Bei den Verdächtigen handelt es sich um zwei österreichische, einen bosnischen sowie einen ungarischen Staatsbürger
Im Zuge von Hausdurchsuchungen seien mehrere Datenträger sichergestellt worden, heißt es. „Das Bundeskriminalamt geht mit voller Härte gegen den sexuellen Missbrauch von Kindern vor", so BK-Direktor Andreas Holzer.
Alle Seiten auf deutschen Servern
Damit dürften zahlreiche ehemalige Kunden des Seitenbetreibers weltweit bereits Besuch von der Polizei bekommen haben bzw. in Kürze bekommen. Man warne die ehemaligen Kunden bewusst vor, sagt Schäl, um Abschreckung zu generieren. Auf den betroffenen Seiten ist seit Freitag ein Sperrbanner mit Informationen zum Ermittlungsverfahren zu finden. Weil alle Seiten auf 105 in Deutschland installierten Servern lagen, konnten die bayrischen Ermittlerinnen und Ermittler auf diese relativ einfach zugreifen. Warum der Täter gerade Deutschland als Serverstandort wählte, sei noch unklar, so Schäl auf Nachfrage.
„Wir wollen zeigen, dass sich niemand, auch nicht im Darknet, vor Strafverfolgung sicher geschützt sehen kann“, betont der Oberstaatsanwalt. Bisher würden sich viele Täter im Darknet anonym und sicher wähnen. Mit „Operation Alice“ habe man zeigen können, dass Ermittlungserfolge auch im Darknet möglich sind, so Schäl.
ORFKomplexitätsforscher Bernhard Haslhofer zeigt die Netzwerke hinter den Kryptotransaktionen
Angebot allein steigert Nachfrage
Zwar sei nachweislich kein Kindesmissbrauchsmaterial tatsächlich an Kunden ausgehändigt worden, dennoch stelle auch der Betrieb von betrügerischen Missbrauchsseiten einen Straftatbestand dar, gegen den rigoros vorgegangen werden müsse, so Schäl. Denn das Angebot an „extrem harten kinderpornografischen Inhalten“ steigere nachweislich deren Nachfrage, erklärt er.
Bei Hausdurchsuchungen bei geprellten Kunden der Plattformen sei festgestellt worden, dass diese häufig nach dem erfolglosen Einkauf im „Alice“-Netzwerk anschließend erfolgreich auf anderen Seiten Missbrauchsmaterial einkauften. Im „Alice“-Netzwerk sei bei vielen das Interesse für derartiges Material geweckt worden, sagt Schäl. „Uns war es wichtig, diese riesige Anzahl an Betrugsseiten aus dem Netz zu nehmen, um das Angebot im Darknet deutlich zu reduzieren.“
Kein Coup ohne Wiener Software
Maßgeblich zum Ermittlungserfolg beigetragen habe die unter der Leitung des Wiener Komplexitätsforschers Bernhard Haslhofer entwickelte Software GraphSense, heißt es seitens der Generalstaatsanwaltschaft Bayern. Haslhofer forscht am Complexity Science Hub und ist Mitbegründer dessen Spinn-offs Iknaio. „Wir hätten ohne Iknaio dieses Ermittlungsverfahren niemals führen können“, sagt Oberstaatsanwalt Schäl.
Die Software kann den Zahlungsverkehr einzelner Kryptowährungsadressen nachverfolgen und zusammenhängende Netzwerkverbindungen sichtbar machen. Dabei kann das Programm große Mengen an Daten automatisiert auswerten. „Wir konnten mit Massendaten umgehen, die man händisch nicht hätte nachprüfen können“, so Schäl.
„Universum an illegalen Plattformen“
Bereits früh sei aufgefallen, dass mehrere Plattformen dieselbe Kryptowährungsadresse verwenden, erklärt Haslhofer gegenüber ORF Wissen. „Das ist so, wie wenn zwei Webshops dieselbe Kontonummer auf die Webseite schreiben.“ Dadurch sei klar gewesen, dass zwischen den beiden Seiten eine Verbindung bestehe.
Haslhofer setzte die Kryptowährungsdaten in die Software ein, das Programm las automatisiert alle Transaktionsverbindungen aus. Daraus habe sich ein „Universum an illegalen Darknet-Plattformen“ ergeben, so Haslhofer, „die über gemeinsam verwendete Kryptowährungsadressen zusammenhängen“.
CSH/IknaioDie Iknaio/CSH-Software kann Kryptozahlungsströme sichtbar machen
Darknet-Anonymität endet bei Geld
Das Darknet ist für Kriminelle deshalb so attraktiv, weil Seiten weitgehend anonym betrieben und besucht werden können. Allerdings ende die Anonymität spätestens beim Geld, erklärt Haslhofer. Zwar lassen sich Kryptowährungen grundsätzlich anonym betreiben, sobald das virtuelle Geld aber in eine echte Währung gewechselt wird, könne die Identität des Besitzers ermittelt werden.
„Am Ende des Tages wollen die Täter ja Geld einnehmen“, erklärt der Komplexitätsforscher. Sie bekommen die Gelder in Kryptowährungen, müssen diese aber dann irgendwann in echtes Geld tauschen. „An dieser Schnittstelle haben dann die Strafverfolgungsbehörden den Hebel, die Täter auszuforschen.“
Kleines Team hat ermittelt
Natürlich ist das nur möglich, wenn die Spur des Geldes zuvor von den Ermittlungsbehörden nachverfolgt wurde. Dabei handelt es sich um Massendaten, die niemals von Ermittlerinnen und Ermittlern händisch ausgewertet werden könnten, sagen Haslhofer und Schäl. Über Softwares wie GraphSense könnten die Daten auch von einem kleinen Team verarbeitet werden. Das sei für die Ermittlungen ein entscheidender Vorteil, betont Schäl.
„Es geht darum, dass man nicht mehr in einzelnen Punkten denkt, sondern dass man versucht, die Netzwerke zu verstehen“, erklärt Komplexitätsforscher Haslhofer. Die Dimension des „Alice“-Netzwerks hätte aber auch die Komplexitätsforscherinnen und -forscher seines Teams überrascht, sagt er.
Weitere Missbrauchsnetzwerke online
Trotzdem könnte das „Alice“-Netzwerk nur eines von möglicherweise mehreren ähnlich großen Seitenkonglomeraten im Darknet sein. Wie viele weitere Missbrauchsnetzwerke existieren und wie groß deren Kundenkreis ist, können Haslhofer und Schäl auf Nachfrage nicht beziffern. Es dürften aber noch weitere Netzwerke existieren, ist sich Haslhofer sicher.
Seit 2022 arbeitet die Zentralstelle Cybercrime Bayern mit dem CSH zusammen, von Beginn an auch in der „Operation Alice“. Zuletzt konnte im Vorjahr gemeinsam die Kindesmissbrauchsplattform „Kidflix“ zerschlagen werden.
Bundeskriminalamt nutzt Iknaio-Software nicht
Das österreichische Bundeskriminalamt (BK) nutzt die Softwarelösungen der CSH-Tochter Iknaio derzeit nicht, stehe aber im fachlichen Austausch mit dem CSH. Auf Nachfrage gab das BK an, eine Zusammenarbeit mit Iknaio zu evaluieren. Davon war bereits im September des Vorjahres die Rede. Details zu dieser Evaluierung wurden nicht genannt. Grundsätzlich sei festzuhalten, „dass das Bundeskriminalamt keine Empfehlungen, Bewertungen oder Einschätzungen zu konkreten Unternehmen oder Softwareprodukten abgibt.“
Tobias Mayr, ORF Wissen
https://science.orf.at/stories/3234652/
About Us — The Creators of GraphSense | Iknaio, Graphsense - AIT Austrian Institute Of Technology
