bedeckt München 15°
vgwortpixel

Großeinsatz im Rechenzentrum:Die Geheimnisse des Cyberbunkers

Der Bunker in Traben-Trarbach soll Kriminellen als Infrastruktur gedient haben. Nach dem aufsehenerregenden Zugriff zeigt das Landeskriminalamt stolz Bilder vom Einsatzort wie dieses(rechts).

(Foto: dpa/LKA Rheinland-Pfalz)
  • In einer großangelegten Aktion nimmt die Polizei sieben Personen fest, die kriminelle Dienste im sogenannten Darknet ermöglicht haben sollen.
  • Sechs von ihnen werden in Rheinland-Pfalz festgenommen. Dort sollen über ein "kriminell betriebenes Rechenzentrum" Webseiten für Drogenhandel und andere Straftaten gehostet worden sein.
  • Die Polizei durchsucht dort auch ein Rechenzentrum in einem ehemaligen Bunker der Bundeswehr.

In Traben-Trarbach sollte das Thema des Tages eigentlich die Wahl zur deutschen Weinkönigin sein. Aber dann kam die GSG 9 dazwischen. Patrice Langer, Bürgermeister des Moselortes, muss nun also erklären, warum seit Donnerstagabend 440 Polizisten von Landeskriminalamt, Landespolizeien, GSG 9 sowie ein Helikopter seinen Ort in Unruhe versetzten. "Massive Polizeikräfte" seien aufmarschiert. "Dass wir so in den Mittelpunkt rücken, hätte ich in meinen Träumen nicht gedacht." Traben-Trarbach in Rheinland-Pfalz war Schauplatz einer Razzia gegen mutmaßliche Cyberkriminelle, die im sogenannten Darknet agiert haben sollen. Das Landeskriminalamt (LKA) erklärte, insgesamt seien sieben Tatverdächtige festgenommen worden, darunter Betreiber eines "kriminell betriebenen Rechenzentrums". Über dessen Server soll der Polizei zufolge der Handel mit Drogen, gefälschten Dokumenten und gestohlenen Daten abgelaufen sein.

Gegen die Festgenommenen besteht laut Staatsanwaltschaft Koblenz der Verdacht der Mitgliedschaft in einer kriminellen Vereinigung, Beihilfe zu Hunderttausenden Fällen von Drogendelikten, Falschgeldgeschäften, Datenhehlerei sowie Beihilfe zur Verbreitung von Kinderpornografie. Die Zahl der Kunden könne noch nicht abgeschätzt werden.

Das Rechenzentrum liegt in einem Bunker auf dem Mont Royal in Traben-Trarbach. Die Anlage hat einer Polizeisprecherin zufolge mehrere Hundert Räume. Die Ermittler sehen diese Räume voller ans Internet angeschlossener Computer als "Bulletproof Hoster", wie es in der Szene heißt: "Der besondere Service eines derartigen Hosters besteht darin, den Kunden Schutz vor staatlichem Zugriff zu bieten und so Ermittlungen zu vereiteln."

IT-Sicherheit Die Darknet-Fürsten aus Kleve und Bad Vilbel

Cyber-Kriminalität

Die Darknet-Fürsten aus Kleve und Bad Vilbel

Auf ihrer Plattform gab es Waffen und Drogen, dann wollten sie mutmaßlich mit dem Geld ihrer Kunden durchbrennen: Drei junge Deutsche sollen den größten Darknet-Marktplatz der Welt betrieben haben.   Von Max Muth

Ermittelt werde gegen zwölf Männer und eine Frau. Haftbefehle gibt es gegen vier Niederländer, einen Bulgaren und zwei Deutsche - wegen Flucht- und Verdunklungsgefahr. Sechs von ihnen wurden in einem Restaurant in Traben-Trarbach festgenommen, der Staatsanwaltschaft zufolge warteten dort getarnte LKA-Beamte. Die siebte Festnahme sei im hessischen Schwalbach erfolgt. Im Bunker war zum Zeitpunkt des Zugriffs niemand. Sichergestellt wurden etwa 200 Server, Dokumente, Datenträger, Mobiltelefone und "eine größere Summe Bargeld".

Web-Plattformen - angeblich für Drogen, gefälschte Dokumente, Schadsoftware

Das Darknet ist ein abgeschirmter Teil des Internets, den Menschen anonymisiert nutzen können. Manche missbrauchen das für kriminelle Handlungen. Die Polizei muss erheblichen Aufwand betreiben, um dort Kriminelle aufzuspüren. Das Rechenzentrum soll bei mindestens zwei spektakulären Cybercrime-Fällen der vergangenen Jahre genutzt worden sein. Von ihm aus sei dem LKA zufolge der weltweit zweitgrößte Darknet-Marktplatz namens "Wall Street Market" betrieben worden, den Ermittler im Frühjahr zerschlagen hatten, sowie die mutmaßlich kriminellen Foren "Cannabis Road" "Fraudsters" und "Flugsvamp 2.0". Über diese Plattformen wurden neben Drogen auch gefälschte Dokumente und Schadsoftware verkauft, hieß es damals.

Was hat der Bunker an der Mosel damit zu tun? Auf dem Mont Royal betrieb die Bundeswehr lange das Amt für Wehrgeophysik, eine Art militärischen Wetterdienst. 2012 wurde der Standort geschlossen, ein niederländischer Investor habe das Grundstück 2013 gekauft, erzählt Bürgermeister Langer, der selbst als Techniker beim Amt auf dem Mont Royal arbeitete. Der Mann bot schon davor Kunden supersichere Rechenzentren in Bunkern an, um hochsensible Daten zu speichern. Es habe "ominöse" Gerüchte im Ort gegeben, weil man den Investor so selten zu Gesicht bekommen habe, sagt Langer. Als Bürgermeister habe er die Anlage dreimal besucht. Alles habe in Ordnung gewirkt, dort seien Rechner gestanden, freilaufende Hunde habe es gegeben. "In mir kam das ungute Gefühl hoch: Man weiß ja nicht, was auf den Rechnern drauf ist", sagt Langer. Das will die Polizei nun im Detail herausfinden. Die Durchsuchung dürfte Tage dauern.

Der Niederländer hat laut LKA "Beziehungen zur organisierten Kriminalität". Auch ein Angriff des sogenannten Mirai-Botnetzes auf Telekom-Router vor drei Jahren sei von dem Rechenzentrum ausgegangen, teilte das LKA mit. Ein Botnet ist ein zentral gesteuertes, aber global verteiltes Netz aus Geräten, die mit dem Internet verbunden sind. Der Kriminelle schleust Schadsoftware in Hunderte oder sogar Hunderttausende Geräte fremder Menschen ein und übernimmt die Kontrolle über sie. Ohne dass ihre Besitzer es merken, nutzt er die Kapazitäten dieser Webcams oder Router, um seine Ziele anzugreifen. Wenn zu viele der Geräte zum Beispiel auf eine Website zugreifen, bricht diese zusammen. So kann der Herrscher über die Bots theoretisch die Internet-Infrastruktur ganzer Staaten lahmlegen und sie aus dem weltweiten Internet kegeln. Im Fall des Mirai-Botnetzes fielen am ersten Adventssonntag 2016 mehr als eine Million Router von Telekom-Kunden in Deutschland aus.

Lehrstück über die Gefahren der vernetzten Welt

Die Ermittler nehmen an, dass der Angriff über einen Server des Rechenzentrums in Rheinland-Pfalz gesteuert worden war. Die ausgefallenen Router waren jedoch nur ein Kollateralschaden. Der Täter, ein 29-jähriger Brite, war eigentlich ein Söldner in einem Konflikt zwischen zwei Mobilfunkunternehmen in Liberia, in dem er sein Botnet einsetzte. Er wollte auch diesen bestimmten Router-Typ für sein Botnet "rekrutieren". Doch als er die Software einschleuste, legte er sie lediglich lahm. So wurden viele deutsche Kunden zu Opfern eines Konflikts, mit dem sie nichts zu tun hatten. Der Fall wurde zum Lehrstück über die Gefahren der vernetzten Welt. Nun hat er auch Traben-Trarbach erfasst, wo man sich eigentlich auf die Kür der nächsten Weinkönigin konzentrieren wollte.

IT-Sicherheit Auf der dunklen Seite

Darknet

Auf der dunklen Seite

Alexander U. ist 25, als er im Darknet eine Plattform gründet, auf der auch mit Drogen, Waffen und Falschgeld gehandelt wird. Über einen Studenten mit zwei Leben, und die Jagd der Ermittler nach seiner Identität.