Dunkle Geschäfte im Cyberbunker – Seite 1

Dreimal hatte Bürgermeister Patrice-Christian-Roger Langer den Bunker kontrolliert. Aber aufgefallen war ihm nichts, als er die Räume durchschritt, in denen er selbst 11 Jahre lang am Großrechner gearbeitet hatte. Hinter jede Tür durfte er sehen. Nirgends erkannte er etwas Ungewöhnliches, abgesehen natürlich von den vielen Computern. Aber was sollte man von einem Rechenzentrum auch anderes erwarten.

Dass diese 290 Server einen der wichtigsten Knotenpunkte im kriminellen Teil des internationalen Darknets bildeten, konnte Bürgermeister Langer während seiner Besuche nicht sehen. Auch nicht, dass Kriminelle über Onlineshops, die auf den Servern verwaltet wurden, in großem Stil Drogen, gefälschte Dokumente, gestohlene Daten und Kinderpornografie handelten. Oder dass diese Rechner dazu dienten, umfangreich angelegte Cyberangriffe auszuführen.

Am vergangenen Freitag stürmten Beamte der GSG 9 und der rheinland-pfälzischen Polizei den früheren Bundeswehr-Bunker, hoch oben gelegen auf dem Mont Royal über dem beschaulichen Moselort Traben-Trarbach. Zuvor hatten sie die mutmaßlichen Täter unter einem Vorwand aus ihrem Unterschlupf gelockt und auf dem 13 Hektar großen Gelände festgenommen: vier Niederländer (59, 49, 33 und 24 Jahre alt), eine 52 Jahre alte deutsche Frau, einen 23-jährigen Deutschen und einen 39 Jahre alten Bulgaren.

Kriminelle Vereinigung

Die Generalstaatsanwaltschaft Koblenz wirft den sechs Verdächtigen die Bildung einer kriminellen Vereinigung vor. Sie hätten unter dem Namen "Cyberbunker" ein Rechenzentrum betrieben, "dessen einziger Zweck es war, Webseiten krimineller Täter zu speichern und diesen ihre Straftaten so erst zu ermöglichen". Es ist das erste Mal, dass deutsche Behörden einen solchen sogenannten Bulletproof-Hoster ausheben.

Eigentlich, so lautete das Versprechen der Betreiber an ihre kriminellen Kunden, sollten ihre Server kugelsicher – bulletproof – sein, weil es für Außenstehende unmöglich sei, an die darauf liegenden Daten zu gelangen. Doch nun werten Ermittler des rheinland-pfälzischen Landeskriminalamts seit Tagen die Server im Bunker aus und analysieren Unmengen von Daten krimineller Geschäfte.

Betreiber des Bunkers und Hauptverdächtiger ist der Niederländer Herman-Johan X. Er ist 59 Jahre alt. Sein ursprünglicher Beruf ist nicht bekannt. Laut Einwohnermeldeamt hatte er offiziell in Deutschland gelebt, sich aber nach Singapur abgemeldet. Tatsächlich wohnte er in der Bunkeranlage in Traben-Trarbach und war auch gelegentlich im Ort zu sehen.

Sehr kooperativ

Bürgermeister Langer ist froh, "dass der Knoten endlich geplatzt ist", wie er es ausdrückt. Seit X. im Jahr 2013 in den Bunker eingezogen war, hatte es im Ort Gerüchte gegeben, dass mit dem Rechenzentrum etwas nicht stimmen könne. Vor allem die auf dem Gelände freilaufenden aggressiven Hunde hätten den Leuten Angst gemacht, sagt Langer.

Mehrfach hätte X. sich bemüht, die Sorgen der Bürgerinnen und Bürger zu zerstreuen. "Herr X. war sehr kooperativ, wir durften uns jeden Raum ansehen", berichtet Langer. "Nur die Frage, was auf den Computern läuft, die konnte uns keiner beantworten." Er wolle Unternehmen einen sicheren Ort für die Lagerung von Daten anbieten, habe X. erzählt. 80 bis 100 Arbeitsplätze habe er der Gemeinde versprochen. Gekommen seien diese Arbeitsplätze nie.

Das ist wenig erstaunlich, wenn man weiß, wem die Server als Heimat dienten: Auf der Seite Cannabis Road waren beispielsweise 87 Verkäufer illegaler Rauschmittel registriert, die Tausende Verkäufe abwickelten. Der Wall Street Market war der zweitgrößte illegale Onlinemarktplatz der Welt für Drogen, ähnlich organisiert wie eBay. Die Ermittler konnten allein dort 250.000 Geschäfte mit Betäubungsmitteln identifizieren, mit einem Umsatz von mehr als 41 Millionen Euro. Auch eine schwedische Drogenhandelsplattform namens Flugsvamp 2.0 wurde in Traben-Trarbach gehostet, auf der rund 10.000 Käuferinnen und Käufer unterwegs waren, dazu weitere Onlineshops für synthetische Drogen. "Wir haben auf den Servern bisher nichts gefunden, was legal wäre", sagte der Sprecher der Koblenzer Generalstaatsanwaltschaft Mario Mannweiler.

All das spielte sich an einem Ort ab, der in den Siebziger- und Achtzigerjahren noch ein wichtiger Teil der Sicherheitsarchitektur der Bundesrepublik gewesen war. Damals galt der Bunker als einer der modernsten im Land. Bis zu 80 Tage lang konnte die Anlage im Kriegsfall autark betrieben werden und die in den fünf Kellergeschossen dienenden 350 Soldaten am Leben halten. Von Traben-Trarbach aus versorgten sie die Bundeswehr mit Wetterdaten und Karten und betrieben Forschung zu Wettermodellen. Im zweiten Untergeschoss stand ein Großrechner von Siemens, "einer der modernsten der Welt", sagt Langer. Doch in den Nullerjahren strukturierte sich die Bundeswehr um, die Dienststelle ging mit anderen im Amt für Geoinformationswesen auf, der Bunker wurde aufgegeben.

Nicht der erste Cyberbunker

Als die Bundesanstalt für Immobilienaufgaben (BImA) 2013 einen Käufer für das Objekt suchte, gab es nur einen Interessenten: Herman-Johan X. Er kaufte den Bunker für 350.000 Euro. Kein anderer hatte die hohen Unterhaltskosten des Bauwerks übernehmen wollen. Im Stadtrat habe es damals Bedenken gegeben, sagt Langer. Aber die BImA habe niemand anderen finden können.

So zogen die mutmaßlichen Cyberkriminellen ein. Der Bunker in Traben-Trarbach war nicht ihr erster. X. und ein weiterer Beschuldigter, der Niederländer Sven Olaf K., hatten zuvor bereits in den Niederlanden einen Cyberbunker betrieben. 1996 hatten sie den ehemaligen Kommandobunker der Nato in Kloetinge gekauft. Auch dort hatten sie Server installiert und diese als bulletproof im Netz vermarktet. Unter anderem war über die Server eine Zeit lang der Peer-to-Peer-Datentauschdienst Pirate Bay zu erreichen. Nach einem Brand in dem Objekt 2002 fand die Feuerwehr darin aber auch ein Drogenlabor. X. bestritt, damit etwas zu tun zu haben, er habe die Räume untervermietet. 2011 verkaufte er den Bunker.

Für den Schutz der Daten ist es egal, ob ein Server in einem Bunker steht oder in einer Lagerhalle. Wichtiger sind eine gute Verschlüsselung und Software sowie Netzverbindungen über Proxys im Ausland, auf die Ermittlerinnen und Ermittler keinen Zugriff haben. Die Idee eines Cyberbunkers ließ X. und K. aber offenbar nicht los. So kaufte X. 2013 den Wetterbunker der Bundeswehr und gründete eine GmbH, um ihn zu betreiben. K. wurde mit seiner in Berlin ansässigen Firma offenbar zum technischen Dienstleister für das Projekt.

Etwa zur gleichen Zeit jedoch startete K. eine Aktion, die die Koblenzer Ermittler letztlich auf die Spur der beiden Männer brachte. Das in Genf ansässige Projekt Spamhaus hatte bei Cyberbunker gehostete Websites als Versender von Spam identifiziert und auf eine schwarze Liste gesetzt. Mailanbieter nutzen solche Listen, um Spam abzufangen. Aus Rache orchestrierte K. daraufhin einen Angriff auf Spamhaus. Die weltweite Denial-of-Service-Attacke wuchs sich zum bis dahin größten Angriff dieser Art im Netz aus und verlangsamte viele Websites.

Daraufhin wurde K. 2013 in Spanien verhaftet. Der britische Guardian zitiert den spanischen Polizisten, der die Verhaftung damals leitete: "Er behauptete, er habe diplomatischen Status. Er sagte, er sei Telekommunikationsminister und Außenminister eines Ortes namens Cyberbunker-Republik. Er schien keinen Scherz zu machen."

In dem sich anschließenden Verfahren tauchten Hinweise auf, die nach Deutschland wiesen und das Interesse der hiesigen Ermittler weckten. Sie nahmen 2015 offiziell die Ermittlungen auf, die nun zu der spektakulären Durchsuchung und den Festnahmen von insgesamt 13 Personen in Traben-Trarbach und an weiteren Orten führten.

Unerschlossenes Gebiet

Dabei bewegen sich die Ermittler aber auf juristisch unerschlossenem Gebiet. Bislang galt: Wer eine Website betreibt, ist verantwortlich für deren Inhalt und dafür, was dort gehandelt wird. Der Hoster, der lediglich den Speicherplatz für die Website zur Verfügung stellt, wurde dagegen ähnlich betrachtet wie eine Vermieterin, die auch nicht dafür verantwortlich ist, wenn ihr Mieter in seiner Wohnung mit Drogen dealt.

Cyberkriminalität - Polizei durchsucht Rechenzentrum in Rheinland-Pfalz In Traben-Trabach hat die Polizei auf einem Bunkergelände mehrere Internetserver beschlagnahmt. Ermittelt werde unter anderem wegen der Verbreitung von Falschgeld. © Foto: Thomas Frey/dpa

Die Koblenzer Generalstaatsanwaltschaft argumentiert nun jedoch, Herman-Johan X. und seinen mutmaßlichen Mittätern könne nicht entgangen sein, was für Geschäfte über ihre Server abgewickelt wurden. Das lasse sich unter anderem daran erkennen, wie sie ihre Serverdienstleistungen beworben hätten und dass auf den abgeschotteten Servern bisher nichts Legales gefunden worden sei. Es geht also um Beihilfe zu den kriminellen Taten.

Dass die Verdächtigen der Bildung einer kriminellen Vereinigung beschuldigt werden, begründet der Sprecher der Generalstaatsanwaltschaft so: "Wir gehen davon aus, dass die Beschuldigten einen auf längere Dauer angelegten, organisierten Zusammenschluss bildeten, der dem gemeinsamen Interesse diente, finanzielle Gewinne zu erwirtschaften." Es habe in der Gruppe eine klare Hierarchie und Arbeitsteilung geherrscht, einige hätten Leitungs- und Managementaufgaben übernommen, andere seien für die Technik oder die Buchhaltung zuständig gewesen.

Doch ganz gleich, wie die rechtliche Bewertung am Ende ausfallen wird: Die Ermittler verfügen seit Freitag über Informationen, aus denen unzählige weitere Verfahren wegen illegaler Geschäfte im Netz erwachsen können.