Ein Coup gegen Cyberkriminalität

Birgit Reichert

Von Birgit Reichert (dpa)

Sa, 17. Oktober 2020

Panorama

Ende 2019 wurde in Rheinland-Pfalz ein Darknet-Rechenzentrum sichergestellt, am Montag beginnt der Prozess.

Die Schaltstelle für millionenschwere kriminelle Geschäfte im Darknet war in einem ehemaligen Bunker versteckt. Über fünf Etagen unter der Erde verteilt standen mehr als 400 Server, über die Kriminelle aus aller Welt Drogen verkauften, Cyberangriffe starteten oder Falschgeld vertickten. Ende September 2019 war der Cyberbunker in Rheinland-Pfalz in einer großen Polizeiaktion ausgehoben worden. Nun beginnt der Prozess gegen die Betreiber: Ab Montag müssen sich acht mutmaßliche Cyberkriminelle wegen Beihilfe zu mehr als 249 000 Straftaten vor dem Landgericht Trier verantworten.

.

Was ist das Besondere an
dem Verfahren?

Erstmals stehen nicht die Täter im Fokus, die im Darknet etwa Drogen oder Waffen verkaufen, sondern die, welche die Geschäfte erst möglich machen. "Es ist das erste Verfahren überhaupt dieser Art", sagt Oberstaatsanwalt Jörg Angerer von der Landeszentralstelle Cybercrime der Generalstaatsanwaltschaft Koblenz. Die Anklage richtet sich gegen Betreiber eines "Bulletproof-Hosts" (kugelsicherer Gastgeber), der gegen Entgelt kriminellen Kunden ein vor dem Zugriff der Polizei sicheres Datenzentrum zur Verfügung stellt.

Beschuldigt sind vier Niederländer, drei Deutsche und ein Bulgare. Kopf der Gruppe soll ein 60 Jahre alter Niederländer sein, der den zuvor von der Bundeswehr genutzten Bunker Ende 2013 erworben hatte. Laut Anklage war er derjenige, der alle geschäftlichen Entscheidungen traf. Ein weiterer Niederländer soll als eine Art Manager fungiert haben, eine Deutsche war die "Buchhalterin". Die übrigen im Team seien als Administratoren für Technik und IT zuständig gewesen. Sie sollen in wechselnder Beteiligung bei den Taten dabei gewesen sein.

Was für Geschäfte wurden über
die Server abgewickelt?

Über die Computer in Rheinland-Pfalz lief unter anderem der weltweit zweitgrößte Darknet-Marktplatz für verbotene Güter namens "Wall Street Market", den Ermittler im Frühjahr 2019 zerschlagen hatten – unter anderem mit rund 240 000 Betäubungsmittel-Deals im Wert von gut 36 Millionen Euro. Gehostete Seiten waren demnach auch der Marktplatz "Cannabis Road" mit knapp 4000 Einzelverkäufen von Cannabisprodukten – und das Untergrundforum "Fraudsters", über das Daten, Falschgeld, Ausweise und Drogen gehandelt wurden.

Zum Kundenstamm gehörte auch die Darknet-Plattform "Flugsvamp", die illegale Betäubungsmittel und verschreibungspflichtige Medikamente im Wert von 30 bis 40 Millionen Euro umsetzte. Auch der Netz-Angriff auf 1,25 Millionen Telekom-Router Ende November 2016 wurde laut Generalstaatsanwaltschaft über Server in dem Cyberbunker gesteuert. Geschätzter Schaden: zwei Millionen Euro. Ermittler fanden auf den Servern zudem eine Liste mit fast 6600 Darknet-Webseiten, bei denen es sich um betrügerische Bitcoin-Lotterien sowie Marktplätze für Waffen, Mordaufträge und Kinderpornografie gehandelt habe.

Warum haben die Ermittler fast fünf
Jahre gebraucht, bis sie zuschlugen?

"Weil es sehr aufwendig war, nachzuweisen, dass die Betreiber Kenntnis von den Machenschaften ihrer Kunden hatten", sagt Oberstaatsanwalt Angerer. Gelungen sei es über die Überwachung des Netzknotens im Rechenzentrum. Unter anderem anhand von Chats könne man nun belegen, dass die kriminelle Vereinigung von den Machenschaften wusste und diese durch die Bereitstellung der Server "maßgeblich unterstützt und gefördert" habe.

Wie viel IT wurde in dem
Bunker gefunden?

Die bei dem Zugriff sichergestellte Datenmenge auf 886 physischen und virtuellen Servern umfasst zwei Millionen Gigabyte: Auf CD gebrannt wären das 2,6 Millionen CDs, die aufeinandergestapelt eine Höhe von 8000 Metern ergäben, hatte Kriminalhauptkommissar Patrick Fata vom Landeskriminalamt Rheinland-Pfalz erklärt. Einige Server seien noch "voll verschlüsselt", deren Analyse dauere noch an. Nach einer Grobauswertung ist das jetzige Verfahren auf sieben Tatkomplexe beschränkt. Es könne sein, dass nach der "Feinauswertung" der Computer weitere Anklagen wegen neuer Beihilfe-Taten dazukämen.

Die Daten der kriminellen Kunden des Cyberbunkers würden daraufhin geprüft, ob sie zum Nachweis von Straftaten reichten, sagt der Staatsanwalt. Es gebe bereits weitere Verfahren, die sich aus dem Cyberbunker-Komplex ergeben hätten. "Sie sind gerade angelaufen. Da sind wir noch in der verdeckten Phase." Es seien "durchaus potente Kunden" darunter. Das "Bunkerverfahren" ist bis Ende 2021 jeweils terminiert. Wegen der Corona-Pandemie sind im Gerichtssaal nur 23 Besucherplätze zugelassen, darunter elf für Medienvertreter.