Darknet: Bunker mit zweihundert Servern vom Netz genommen

Sven Bauduin 337 Kommentare
Darknet: Bunker mit zweihundert Servern vom Netz genommen
Bild: LKA Rheinland-Pfalz

Der Polizei und dem GSG9 ist ein schwerer Schlag gegen die Cyberkriminalität und das Darknet gelungen. Nach Ermittlungsarbeiten von gut fünf Jahren nahmen die Beamten rund zweihundert illegale Server vom Netz. Auf diesen lagen über Jahre zahlreiche Websites, die im Darknet Drogen, Falschgeld und Kinderpornos angeboten haben.

Der Cyberbunker von Traben-Trarbach

Dem Landeskriminalamt Rheinland-Pfalz ist einer der größten Schläge im Kampf gegen die Cyberkriminalität im Darknet gelungen, als dieses mit Hilfe der Spezialeinheit GSG9 am Donnerstag, den 26. September 2019 das riesige Darknet-Rechenzentrum vom Netz nahm.

Die Zahlen erinnern mehr an einen Blockbuster aus Hollywood als an einen Polizeieinsatz in Deutschland. Auf insgesamt fünf Etagen eines ehemaligen Nato-Bunkers der Bundeswehr haben Kriminelle mit zweihundert Servern das vermutlich größte Darknet-Rechenzentrum Deutschlands errichtet. Über 440 Beamte waren am Bunker im Einsatz und verwandelten das beschauliche Traben-Trarbach in Rheinland-Pfalz zum Schauplatz einer Razzia gegen mutmaßliche Cyberkriminelle. Ferner wurden 18 Durchsuchungsbeschlüsse durch die zuständige Ermittlungsrichterin erlassen, weshalb insgesamt 650 Beamte gleichzeitig bei mehreren Razzien in Deutschland, Luxemburg, den Niederlanden und Polen operierten.

Wie das Landeskriminalamt auf seinem Presseportal mitteilte, wurde von den Servern des Rechenzentrums aus auch der weltweit zweitgrößte Darknet-Marktplatz „Wallstreet Market“ betrieben, welcher bereits im April 2019 zerschlagen werden konnte. Weiter spricht das LKA von „einem herausragenden internationalen Strafverfahren im Bereich Cyberkriminalität“ und von „aufwendigen Ermittlungen, die neue Dimensionen in der Kriminalitätsbekämpfung erreicht haben.

59 Jahre alter Niederländer als Hauptakteur

Wie der Präsident des Landeskriminalamtes Rheinland-Pfalz, Johannes Kunz, mitteilte, handelt es sich bei dem Kopf des „Cyberbunkers“ um einen 59 Jahre alten Niederländer, der das Versteck für Cyberkriminelle bereits seit 2013 federführend aufgebaut und betrieben habe. Das Ziel des Betreibers sei gewesen, anderen Betreibern von illegalen Webseiten im Darknet als „Bulletproof-Hoster“ zu dienen und diese durch höchste Sicherheitsstandards vor dem Zugriff von Strafverfolgungsbehörden zu schützen. Der Mann habe zudem Verbindungen zum organisierten Verbrechen und war zuvor bereits den staatlichen Organen in Niederlanden aufgefallen.

Insgesamt gibt es 13 Tatverdächtige im Alter von 20 bis 59 Jahren, von denen sich zum jetzigen Zeitpunkt sieben in Untersuchungshaft befinden. Sechs Personen sind bei dem Einsatz in Traben-Trarbach festgenommen worden, eine weitere Person wurde in Schwalbach in Hessen von der Polizei abgeführt. Die Durchsuchungen waren auch am Freitag noch nicht abgeschlossen, so LKA-Präsident Kunz.

Ausgangspunkt unzähliger krimineller Aktivitäten

Der „Cyberbunker“ war über Jahre der Dreh- und Angelpunkt für die kriminellen Aktivitäten zahlreicher illegaler Websites, die über die Server des Darknet-Rechenzentrums Drogen, Waffen, Falschgeld und Kinderpornographie verkauft haben. Alleine über den weltweit zweitgrößten Darknet-Marktplatz für Drogen, „Wall Street Market“, wurden über 250.000 Deals mit Betäubungsmitteln im Wert von 41 Millionen Euro abgewickelt, so Generalstaatsanwalt Dr. Jürgen Brauer.

Auch Cyberangriffe wurden über den Bunker koordiniert und über dessen Server durchgeführt, so auch der breit angelegte Angriff auf 1,25 Millionen Telekom-Router durch das Mirai-Botnetz von vor rund drei Jahren. Gefälschten Dokumente, Schadsoftware und Foren mit extremsten Ansichten und Praktiken rundeten das Portfolio der auf den Servern gespeicherten Websites ab.

  • Cannabis Road: Auf dieser Seite waren 87 Verkäufer von illegalen Drogen aller Art registriert. Insgesamt sollen über die Plattform mehrere tausend Einzelverkäufe abgewickelt worden sein.
  • Wall Street Market: Über diese Plattform sollen 250.000 Betäubungsmittelgeschäfte mit einem Umsatzvolumen von über 41 Millionen Euro abgewickelt worden sein.
  • Fraudsters: Es besteht der Verdacht, dass über diese Plattform mehrere tausend Betäubungsmittelgeschäfte abgewickelt worden sind.
  • Flugsvamp 2.0: Bei diesem Marktplatz soll es sich um den größten schwedischen Darknet-Marktplatz zum illegalen Verkauf von Betäubungsmitteln handeln. Es sollen 600 Verkäufer und etwa 10.000 Käufer auf dem Marktplatz aktiv gewesen sein.
  • orangechemicals, acechemstore und lifestylepharma: Über diese Internethandelsplattform wurden europaweit synthetische Drogen in unterschiedlicher Menge und Beschaffenheit vertrieben worden sein.
Die laut LKA bisher bekannten Kunden der Beschuldigten

Die Beamten stellten auf dem 13.000 Quadratmeter großen und gut bewachten Gelände neben den zweihundert Servern auch Datenträger, Smartphones und eine große Menge Bargeld sicher. Die Auswertung der sichergestellten Daten könne Monate wenn nicht Jahre in Anspruch nehmen und soll zu vielen weiteren Ermittlungsverfahren führen, so Brauer.

Update 28.09.2019 15:04 Uhr

Offizielle Website des Providers ist mittlerweile offline

Nach dem Zugriff durch das LKA und den Spezialkräften des GSG9 ist mittlerweile auch die offizielle Website des Providers CyberBunker, der in den Niederlanden noch weitere Rechenzentren in alten Bunkeranlagen anbietet, offline genommen worden. Über web.archive.org lässt sich die Website aber noch immer abrufen.

Offizielle Website des niederländischen Providers „CyberBunker“
Offizielle Website des niederländischen Providers „CyberBunker“ (Bild: CyberBunker)

Rechtslage erschwerte die Ermittlungen und verzögerte den Zugriff

Die aktuell gültige Rechtslage erschwerte offenbar die Ermittlungen und verzögerte den Zugriff auf den Cyberbunker dadurch erheblich. Dies bestätigte auch der zuständige Generalstaatsanwalt, Dr. Jürgen Brauer, während seiner Ausführungen auf der offiziellen Pressekonferenz des Landeskriminalamtes Rheinland-Pfalz.

Das Betreiben eines Rechenzentrums, welches illegale Websites hostet, sei an sich noch nicht strafbar, sagte Brauer. Man müsse den Betreibern solcher Rechenzentren daher nachweisen, dass sie das „illegale Verhalten der Kunden kennen und dieses auch fördern“, so der Generalstaatsanwalt weiter.

Update 28.09.2019 21:00 Uhr

Landeskriminalamt veröffentlicht offizielle Pressekonferenz

Das Landeskriminalamt Rheinland-Pfalz hat die offizielle Pressekonferenz zu den Vorkommnissen Rund um den „Cyberbunker“ von Traben-Trarbach und die Stilllegung des Darknet-Rechenzentrums veröffentlich. Generalstaatsanwalt Jürgen Brauer, der Präsident des Landeskriminalamtes Johannes Kunz, Einsatzleiter Achim Füssel sowie Jörg Angerer und Christian Wollstadt von Cybercrime äußern sich unter anderem zur Verhaftung des niederländischen Betreibers des Bunkers und geben Einblick in die komplexen Ermittlungsarbeiten der letzten fünf Jahre, die schlussendlich zu einem der schwersten Schläge gegen die Cyberkriminalität und das Darknet führten.

Update 29.09.2019 16:19 Uhr

Einschlägige Websites nicht mehr erreichbar

Mittlerweile zeigt sich auch abseits des Darknets, welche Websites mutmaßlich auf einem der Server im „Cyberbunkers“ gelegen haben. Neben der offiziellen Website des „Bulletproof-Hosters“ ist auch der Internetauftritt von Sven Olaf Kamphuis, einer der führenden Köpfe hinter dem Unternehmen „CyberBunker“, mittlerweile offline. Die Domain cb3rob.org von Kamphuis, der sich 2013, ebenfalls über die Server von „CyberBunker“, für eine der größten DDoS-Attacken in der Geschichte des Internets verantwortlich zeichnet, zeigt mittlerweile eine Takedown-Grafik des LKA Rheinland-Pfalz. Zudem sind die vom LKA genannten Plattformen und Marktplätze zur Stunde nicht mehr im Darknet erreichbar, ein deutliches Indiz dafür, dass diese tatsächlich auf einem der Server im Bunker bei Traben-Trarbach lagen.

Die Website eines der führenden Köpfe hinter „CyberBunker“ wurde vom Netz genommen
Die Website eines der führenden Köpfe hinter „CyberBunker“ wurde vom Netz genommen (Bild: LKA Rheinland-Pfalz)