Wie das LKA Rheinland-Pfalz mitteilt, hat die Polizei aufgrund von fast fünfjähriger Ermittlungsarbeit in Zusammenarbeit des LKA mit Beamten aus Hessen, Bayern und den Niederlanden einen Erfolg gegen die organisierte Cyberkriminalität zu verzeichnen. Es ist ihnen am Donnerstagabend gelungen, ein in Rheinland-Pfalz ansässiges Rechenzentrum, einen „Bulletproof-Hoster“, vom Netz zu nehmen, der vor drei Jahren u.a. für die Angriffe auf die Telekom-Router verantwortlich war.

Von 13 Beschuldigten wurden 7 verhaftet

Als Hauptbeschuldigter gilt ein 59 Jahre alter Niederländer. Er hat die Serverfarm ab Ende 2013 federführend aufgebaut und betrieben. Von 13 Beschuldigten im Alter von 20 bis 59 Jahren wurden sieben verhaftet, darunter der Niederländer, drei seiner Landsmänner (49, 33, 24), ein Deutscher (23), ein Bulgare und die einzige Frau (Deutsche, 52). Sechs Tatverdächtige nahm man in Traben-Trarbach, außerhalb der Bunkeranlage im Stadtgebiet, fest, darunter auch in einem Restaurant, in dem getarnte LKA-Beamte bereits auf sie warteten. Zu einer weiteren Festnahme kam es in Schwalbach (Hessen).

An der Aktion im Kreis Bernkastel-Wittlich waren 650 Einsatzkräfte beteiligt, unter anderem auch die Spezialeinheit GSG9. Weitere Durchsuchungen gab es in Luxemburg, in den Niederlanden und in Polen. Sichergestellt wurden bei insgesamt 18 Durchsuchungen, die am Donnerstag verliefen, ca. 200 Server, schriftliche Unterlagen, zahlreiche Datenträger, Mobiltelefone sowie eine größere Summe Bargeld. Die Ermittler gehen davon aus, dass ca. 2.000 Server zu dem Cybernetzwerk gehörten. Folglich wird sich die Datenauswertung über Monate oder gar über Jahre erstrecken.

Den sieben Tatverdächtigen wird die Mitgliedschaft in einer kriminellen Vereinigung, Beihilfe zu Hunderttausenden Fällen von schweren Drogendelikten, Falschgeldgeschäften, Datenhehlerei und der Beihilfe zur Verbreitung von Kinderpornos vorgeworfen, wobei die Zahl ihrer Kunden derzeit noch nicht abgeschätzt werden könne. Die Delikte umfassen eine breite Palette: „Alles, was man sich im Darknet vorstellen kann“, bestätigt ein Sprecher des Polizeipräsidiums Trier.





Als „zu Hause“ für Serverfarm diente früherer Bundeswehr-Bunker

Für den vom Netz genommenen Bulletproof-Hoster mit dem Szenenamen „Cyberbunker“, der für die Kunden höchste Sicherheitsstandards gewährleistete, um vor staatlichen Zugriffen sicher zu sein, wählten die Tatverdächtigen als Unterkunft einen ehemaligen NATO-Bunker in Traben-Trarbach. Unterirdisch reihten sich auf fünf Etagen Server an Server. Zudem befindet sich auf dem Gelände ein Bereich mit ca. 500 Büroeinheiten, in denen gelebt und gearbeitet worden sei.

Einziger Verwendungszweck der Serverfarm war das Hosten zahlreicher Webseiten, über die international agierende Cyber-Kriminelle illegale Waren bzw. Dienstleistungen, wie Drogen, Daten und Malware vertrieben, Kinderpornografie verbreiteten sowie groß angelegte Cyberangriffe durchführten. Wie bekannt wurde, war das rund 13.000 Quadratmeter große Gelände umzäunt und bewacht. Ein derartiger Hoster sei erstmals in Deutschland vom Netz genommen worden.

Ein ähnliches Rechenzentrum wie in Rheinland-Pfalz wird zudem noch in den Niederlanden, auch vom Hauptverdächtigen, betrieben, ebenfalls in einem ehemaligen NATO-Bunker, jedoch waren bisherige Zugriffsversuche der Polizei darauf bisher vergebens.

Cyberbunker als Zentrum zahlreicher illegaler Aktivitäten

Neben den Angriffen auf 1,25 Millionen Telekom-Router Ende November 2016 seien noch zahlreiche andere illegale Geschäfte über das Rechenzentrum abgewickelt worden. So zählten zum festen Kundenstamm Seiten, wie Cannabis Road, das Untergrund-Forum Fraudsters sowie die Plattformen Flugsvamp 2.0, orangechemicals, acechemstore und lifestylepharma.

Außerdem wurde der Darknetmarktplatz „Wall Street Market“ von diesem Rechenzentrum aus betrieben. Ihn zerschlugen die Beamten im April diesen Jahres. Er galt nach dem Ausscheiden vom Dream Market als weltweit zweitgrößter Darknet-Marketplace überhaupt. Verkäufer haben dort den 1.150.000 Kunden über 63.0000 Waren, wie Drogen, gefälschte Dokumente und Virensoftware, bzw. Dienstleistungen zum Kauf angeboten, die zugleich begehrt und illegal sind.

Jürgen Brauer, Leiter der Generalstaatsanwaltschaft Koblenz, unterstreicht: „Es ist das erste Mal in Deutschland, dass nicht gegen Betreiber von Shops oder Marktplätzen, sondern gegen die ermittelt wird, die diese Straftaten erst möglich machen.“ Brauer verweist in dem Zusammenhang auf die rechtlichen Aspekte, denn das alleinige Betreiben eines Rechenzentrums, das illegale Seiten hostet, wäre an sich nicht strafbar, es sei denn, man könne den Betreibern nachweisen, dass sie das „illegale Verhalten der Kunden kennen und dieses auch fördern“.

Hinweis sorgte für Ermittlungs-Aufnahme

Der Hauptbeschuldigte, ein 59-jähriger Niederländer, kaufte das Bunker-Areal im Jahr 2013, gleich nach dem Abzug des Militärs. Er bezog es von der Bundesanstalt für Immobilienaufgaben (Bima) über eine Stiftung. Der Niederländer gab damals an, mit dem Bunker einen „idealen Standort für hochsensible Daten aus allen Bereichen von Wirtschaft und Technik“, gekauft zu haben.

Johannes Kunz, Chef des Landeskriminalamtes (LKA) Rheinland-Pfalz informierte darüber, dass das LKA bereits damals einen Hinweis von der Verbandsgemeindeverwaltung Traben-Trarbach bekommen hätte. Der Polizei wurde mitgeteilt, dass es sich bei dem Käufer möglicherweise um einen Kriminellen handeln könnte. 2015 hätten die Ermittlungen dann diesbezüglich Fahrt aufgenommen.

Dem Niederländer konnten Kontakte zum organisierten Verbrechen nachgewiesen werden. Zwar hätte der Hauptverdächtige seinen Wohnsitz nach Singapur verlegt, gemäß den Ermittlungen habe er jedoch in der Bunkeranlage gelebt.

tarnkappe.info

Bildquelle: B_A, thx! (Pixabay Lizenz)