Darknet-Zentrum in Nato-Bunker ausgehoben – „Russische Spur“ geplatzt

  02 Oktober 2019    Gelesen: 846
  Darknet-Zentrum in Nato-Bunker ausgehoben – „Russische Spur“ geplatzt

In einem ehemaligen Nato-Bunker in Rheinland-Pfalz haben Kriminelle ein hochmodernes Zentrum für millionenschwere Geschäfte im sogenannten Darknet betrieben. Auch eine Russland zugeordnete Attacke auf die Telekom 2016 ging wohl von hier aus. Jetzt wurde die geheime Zentrale von einem GSG-9-Kommando ausgehoben.

2016 war der Aufschrei groß. Durch einen Hacker-Angriff auf einen Telekom-Router wurden Ende November 2016 1,25 Millionen Anschlüsse von Telekom-Kunden lahmgelegt. Allerdings gelang der zweite Schritt, die Übernahme der Anschlüsse, den Tätern damals nicht, Sofort wurde damals „eine russische Spur“ dahinter vermutet. Selbst die Kanzlerin hatte indirekt Russland im Verdacht: „"Solche Cyberangriffe, auch solche wie es in der Doktrin ja auch Russlands heißt, hybride Auseinandersetzungen, gehören heute zum Alltag. Wir müssen lernen, damit umzugehen", sagte Angela Merkel damals in Reaktion auf den Telekom-Angriff. Der Fakt, dass die Kanzlerin eine Verbindung zu Russland herstellte, bestimmte damals die Nachrichten. Eine Richtigstellung ist nie erfolgt, auch jetzt nicht, wo die Generalstaatsanwalt und das Landeskriminalamt bestätigen, dass der Telekom-Angriff 2016 von diesem jetzt aufgeflogenen „Cyberbunker“ erfolgte.

Sieben mutmaßliche Cyberkriminelle festgenommen

Seit vergangenem Donnerstag ist das Rechenzentrum in dem Ex-Bunker in Traben-Trarbach an der Mosel abgeschaltet. In einer großen Aktion haben Ermittler nach fast fünf Jahren Vorarbeit die Betreiber der großen Server-Anlage ausgehoben. Von 13 Beschuldigten im Alter von 20 bis 59 Jahren sitzen sieben in Haft.

Es ist ein besonderer Schlag im Kampf gegen Cyberkriminalität, wie der Leiter der Generalstaatsanwaltschaft Koblenz, Jürgen Brauer, betonte:

"Es ist das erste Mal in Deutschland, dass nicht gegen Betreiber von Shops oder Marktplätzen, sondern gegen die ermittelt wird, die diese Straftaten erst möglich machen."

Und meinte damit eben die Betreiber von Computern, die "in dem sehr großen Rechenzentrum" liefen, damit "Kunden" sie für ihre Webseiten und kriminellen Machenschaften nutzen konnten. Im Ex-Bunker werden rund 2.000 Rechner vermutet.

Hinter einer schweren Eisentür reihten sich über fünf Etagen unter der Erde Server an Server, über die Kriminelle aus aller Welt im Darknet Drogen verkauften, Falschgeldgeschäfte abwickelten, Kinderpornos verschickten oder Cyberangriffe starteten.

"Bulletproof-Hoster"

Hauptakteur sei ein 59 Jahre alter Niederländer, der den "Cyberbunker" ab Ende 2013 federführend aufgebaut und betrieben habe, sagte der Präsident des Landeskriminalamtes (LKA) Rheinland-Pfalz, Johannes Kunz. Es habe sich um einen "Bulletproof-Hoster" gehandelt, der das Ziel verfolgte, mit "höchsten Sicherheitsstandards" kriminelle Kunden vor dem Zugriff staatlicher Organe zu bewahren.

Quasi ein digitales Versteck für Cyberkriminelle. Der Niederländer, der schon in den Niederlanden auffällig geworden war, habe Beziehungen zur Organisierten Kriminalität.

Gegen die sieben Tatverdächtigen - sechs Männer und eine Frau - bestehe der Verdacht der Mitgliedschaft in einer kriminellen Vereinigung, der Beihilfe zu Hunderttausenden Fällen von schweren Drogendelikten, Falschgeldgeschäften, Datenhehlerei und der Beihilfe zur Verbreitung von Kinderpornos. Die Zahl der Kunden könne noch nicht abgeschätzt werden, sagte Kunz. Das Darknet ist ein abgeschirmter Teil des Internets.

Auch Angriff auf Telekom-Router von Bunker aus gesteuert

Klar seien aber bereits etliche Marktplätze und Foren, die ihre Straftaten über die Server in Rheinland-Pfalz laufen ließen: Zum Beispiel die Betreiber des weltweit zweitgrößten Darknet-Marktplatzes für Drogen, "Wall Street Market" - den Ermittler im Frühjahr zerschlagen hatten. Über diese Plattform gingen laut Brauer 250.000 Deals mit Betäubungsmitteln. Umsatz 41 Millionen Euro.

Auch der Angriff auf 1,25 Millionen Telekom-Router Ende November 2016 wurde laut Generalstaatsanwaltschaft über einen Server im "Cyberbunker" gesteuert. Zum Kundenstammen zählte auch die Seite "Cannabis Road" mit 87 Verkäufern von Drogen aller Art, das Untergrundforum "Fraudsters" mit Tausenden von Drogengeschäften sowie Plattformen wie "orangechemicals", "acechemstore" und "lifestylepharma" für synthetische Drogen.

Durchsuchungen dauern teils noch an

Bei der Zugriffsaktion mit 650 Polizeikräften aus Deutschland und Unterstützung von Spezialeinheiten wie der GSG9 habe es auch Durchsuchungen in Deutschland, in Luxemburg, in den Niederlanden und Polen gegeben. Sechs Personen seien in Traben-Trarbach festgenommen worden, eine in Schwalbach in Hessen. Die Durchsuchungen dauerten teils noch an, sagte LKA-Chef Kunz.

Die technischen und kriminaltaktischen Herausforderungen seien in diesem "herausragenden Verfahren" immens gewesen, sagte Brauer. Das rund 13.000 Quadratmeter große Gelände sei umzäunt und bewacht gewesen. Auch das digitale Knacken der Anlage war aufwendig. Hinzu kämen rechtliche Aspekte: Das Betreiben eines Rechenzentrums, das illegale Seiten hostet, sei an sich nämlich nicht strafbar, sagte Brauer. Man müsse den Betreibern daher nachweisen, dass sie das "illegale Verhalten der Kunden kennen und dieses auch fördern".
Die Auswertung der gespeicherten Daten in dem früheren Bunker der Bundeswehr werde Monate oder Jahre dauern. "Das Material ist gigantisch", sagte Kunz. Es sei zu erwarten, dass sich daraus etliche weitere Ermittlungsverfahren ergäben. Auch da sei nationale und internationale Zusammenarbeit gefragt. "Cyberkriminelle kennen keine Grenzen."

as/dpa


Tags:


Newsticker