Ehemaligen Bundeswehr-Gelände in Traben-Trarbach | Bildquelle: dpa

Cyberbunker in Rheinland-Pfalz Geheimcode im Schokoriegel

Stand: 31.10.2019 16:36 Uhr

Im Fall des Cyberbunkers sind neue Details bekannt. Nach SWR-Informationen überwachten die Ermittler Telefongespräche, Netzwerkverbindungen und den Vertrieb von Drogen - mit überraschenden Erkenntnissen.

Von Marcel Kolvenbach, SWR

Herman X. sei ein "Visionär" - so bezeichnet ein wichtiger Geschäftspartner den Hauptbeschuldigten im Ermittlungsverfahren gegen die Betreiber des Cyberbunkers in Traben-Trarbach in einem Chat mit dem SWR. Die Vision von X. war es, seinen Kunden Server zur Verfügung zu stellen, die absoluten Schutz gegen staatliche Überwachung versprachen: Einen sogenannten "Bulletproof-Host" - eine kugelsichere Heimat für ihre Geschäfte.

Herman X. trat mit seinem Geschäftsmodell in der Szene als "Cyberbunker" auf. Über eine niederländische Stiftung hatte er Ende 2013 die Bunkeneranlage in Traben-Trarbach von der Bundesanstalt für Immobilienaufgaben (BImA) erworben.

Neue Details im Fall des Cyberbunkers in Rheinland-Pfalz
tagesthemen 22:15 Uhr, 31.10.2019, Juri Sonnenholzner, SWR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Host für Darknet-Händler

Zu den Kunden von X. gehörten bekannte "Größen" im internationalen Drogenhandel des Darknets "wie Cannabis Road", "Wall Street Market" und "Flugsvamp 2.0". Bei letzterem handelt es sich um den den größten schwedischen Darknet-Marktplatz für illegal vertriebene Betäubungsmittel. Allein dort tummelten sich laut Ermittlern 600 Verkäufer und 10.000 Käufer. Insgesamt geht es um Umsätze von mehr als 40 Millionen Euro.

Wie vorsichtig manch einer der Drogenanbieter vorging, zeigt der Ermittlungkomplex "orangechemicals.com" - ein Anbieter, der ebenfalls im Cyber-Bunker gehostet war. Statt Drogen direkt zu verschicken, erhielten die Empfänger nach Bestellung nur ein Päckchen mit Schokoriegeln. Sie waren nach Schilderung der Ermittler mit Codes versehen, die nach Zahlung des Betrages den Versand der eigentlichen Ware veranlasste. Andere Anbieter waren offenbar weniger vorsichtig. Ein verdeckter Ermittler bestellte mehrfach bei "McKoks" und ließ sich die Ware an Packstationen in Rheinland-Pfalz liefern, die die Polizei dann sicherstellte.

Bunkertür im illegalen Rechenzentrum auf dem Bundeswehrgelände | Bildquelle: LKA
galerie

Aus dem illegalen Rechenzentrum auf dem Bundeswehrgelände wurden Drogen über das Darknet verkauft.

Geschäftspartner verweisen auf das Telemediengesetz

Die Anwältin von Herman X. will sich derzeit nicht zu den Vorwürfen äußern, solange sie noch keine umfängliche Akteneinsicht bekommen hat. Der SWR konnte aber mit einem engen Geschäftspartner von X. Kontakt aufzunehmen. Es handelt sich um eine zentrale Figur in dem Fall. Nach eigenen Angaben sei K. "Persona non Grata" in Deutschland und ist zur Zeit an unbekanntem Ort untergetaucht.

In einem längeren Chat macht er seine Sichtweise deutlich: "Alles schön und gut, welche Drogen sie da alle auflisten und die Personen, die angeblich diesen Handel betreiben, aber ich kann keine Verbindung zu X. erkennen, außer dass er ihre Internet-Provider betreibt." Er verweist auf Paragraf 8 des Telemediengesetzes zur Durchleitung der Informationen. Demnach sei ein Dienstanbieter zunächst nicht verantwortlich für die Inhalte fremder Informationen, soweit er ihre Vermittlung nicht veranlasst, die übermittelten Informationen oder Adressaten auswählt oder verändert. Genau darum aber wird es in einem späteren Verfahren gehen müssen: zu beweisen, dass X. als Betreiber des Cyberbunkers nicht nur die Server der illegalen Anbieter betrieb, sondern aktiv an den illegalen Geschäften beteiligt war.

Bildung einer kriminellen Vereinigung

Bei den 13 Tatverdächtigen handelt es sich um zwölf Männer und eine Frau zwischen 20 und 59 Jahren, von denen sieben in U-Haft sitzen. Um ihnen nachzuweisen, dass sie tatsächlich in Hunderttausenden Fällen von schweren Drogendelikten, Falschgeldgeschäften, Datenhehlerei und der Beihilfe zur Verbreitung von Kinderpornographie Beihilfe geleistet haben, braucht es handfeste Belege, dass X. und die anderen Beteiligten den illegalen Handel auf ihren Servern befördert oder davon gewusst haben. In den Papieren der Ermittler gibt es ein paar sehr konkrete Hinweise darauf. Angeführt werden Netzknotenüberwachung, überwachte Mail-Kommunikation und Telefonkommunikation der Beschuldigten mit den Kunden.

Screenshot | Bildquelle: SWR
galerie

Die Ermittler überwachten die illegalen Geschäft und hoben das Rechenzentrum dann aus.

Eine zentrale Rolle nimmt dabei eine internationale Organisation gegen Cyberkriminalität namens "Spamhaus" ein, die die Betreiber des Cyberbunkers immer wieder auf illegale Inhalte der von ihnen gehosteten Seiten hingewiesen hat. Statt diese Seiten zu sperren, reagierte der Beschuldigte X. laut Ermittlungen damit, den Anbietern einen noch besseren Schutz für 500 Euro monatlich anzubieten. Gegenüber einem verdeckten Ermittler soll ein weiterer Beschuldigter geäußert haben, dass X. jederzeit die Inhalte seiner Kunden einsehen konnte.

Unterdessen geht die Auswertung der bei der Razzia im September sichergestellten Server auf Hochtouren weiter. Legale Kunden habe man bisher nicht gefunden, erklärte der zuständige Generalstaatsanwalt Jürgen Brauer gegenüber dem SWR.

Im Fokus der Steuerfahnder 

Doch es sind nicht nur die Drogengeschäfte, die die Ermittler interessieren: Nach Recherchen des SWR wird Herman X. auch Steuerhinterziehung in zwölf Fällen zur Last gelegt. Demnach besteht der dringende Tatverdacht, dass der Beschuldigte im Zeitraum von 2014 bis 2017 Umsatzsteuer, Körperschafts- und Gewerbesteuer in Höhe von rund 330.000 EUR hinterzogen habe. Dies ergäbe sich aus Finanzermittlungen des LKA Rheinland-Pfalz. Aufgeführt werden in dem Dokument vor allem Erlöse aus Eingängen von Bitcoins.

Der Geschäftspartner von X. bewertet diesen Vorwurf als lächerlich - wohl auch vor dem Hintergrund der Millionenbeträge, die von den Kunden des Bunkers über die Server in Bitcoin umgesetzt wurden. Es handle sich hier doch um "Kleingeld".

Über dieses Thema berichtete SWR aktuell am 31. Oktober 2019 um 11:41 Uhr.

Darstellung: