Ehemaligen Bundeswehr-Gelände in Traben-Trarbach | dpa

Cyberbunker in Rheinland-Pfalz Geheimcode im Schokoriegel

Stand: 31.10.2019 16:36 Uhr

Im Fall des Cyberbunkers sind neue Details bekannt. Nach SWR-Informationen überwachten die Ermittler Telefongespräche, Netzwerkverbindungen und den Vertrieb von Drogen - mit überraschenden Erkenntnissen.

Von Marcel Kolvenbach, SWR

Herman X. sei ein "Visionär" - so bezeichnet ein wichtiger Geschäftspartner den Hauptbeschuldigten im Ermittlungsverfahren gegen die Betreiber des Cyberbunkers in Traben-Trarbach in einem Chat mit dem SWR. Die Vision von X. war es, seinen Kunden Server zur Verfügung zu stellen, die absoluten Schutz gegen staatliche Überwachung versprachen: Einen sogenannten "Bulletproof-Host" - eine kugelsichere Heimat für ihre Geschäfte.

Herman X. trat mit seinem Geschäftsmodell in der Szene als "Cyberbunker" auf. Über eine niederländische Stiftung hatte er Ende 2013 die Bunkeneranlage in Traben-Trarbach von der Bundesanstalt für Immobilienaufgaben (BImA) erworben.

Host für Darknet-Händler

Zu den Kunden von X. gehörten bekannte "Größen" im internationalen Drogenhandel des Darknets "wie Cannabis Road", "Wall Street Market" und "Flugsvamp 2.0". Bei letzterem handelt es sich um den den größten schwedischen Darknet-Marktplatz für illegal vertriebene Betäubungsmittel. Allein dort tummelten sich laut Ermittlern 600 Verkäufer und 10.000 Käufer. Insgesamt geht es um Umsätze von mehr als 40 Millionen Euro.

Wie vorsichtig manch einer der Drogenanbieter vorging, zeigt der Ermittlungkomplex "orangechemicals.com" - ein Anbieter, der ebenfalls im Cyber-Bunker gehostet war. Statt Drogen direkt zu verschicken, erhielten die Empfänger nach Bestellung nur ein Päckchen mit Schokoriegeln. Sie waren nach Schilderung der Ermittler mit Codes versehen, die nach Zahlung des Betrages den Versand der eigentlichen Ware veranlasste. Andere Anbieter waren offenbar weniger vorsichtig. Ein verdeckter Ermittler bestellte mehrfach bei "McKoks" und ließ sich die Ware an Packstationen in Rheinland-Pfalz liefern, die die Polizei dann sicherstellte.

Bunkertür im illegalen Rechenzentrum auf dem Bundeswehrgelände | LKA

Aus dem illegalen Rechenzentrum auf dem Bundeswehrgelände wurden Drogen über das Darknet verkauft. Bild: LKA

Geschäftspartner verweisen auf das Telemediengesetz

Die Anwältin von Herman X. will sich derzeit nicht zu den Vorwürfen äußern, solange sie noch keine umfängliche Akteneinsicht bekommen hat. Der SWR konnte aber mit einem engen Geschäftspartner von X. Kontakt aufzunehmen. Es handelt sich um eine zentrale Figur in dem Fall. Nach eigenen Angaben sei K. "Persona non Grata" in Deutschland und ist zur Zeit an unbekanntem Ort untergetaucht.

In einem längeren Chat macht er seine Sichtweise deutlich: "Alles schön und gut, welche Drogen sie da alle auflisten und die Personen, die angeblich diesen Handel betreiben, aber ich kann keine Verbindung zu X. erkennen, außer dass er ihre Internet-Provider betreibt." Er verweist auf Paragraf 8 des Telemediengesetzes zur Durchleitung der Informationen. Demnach sei ein Dienstanbieter zunächst nicht verantwortlich für die Inhalte fremder Informationen, soweit er ihre Vermittlung nicht veranlasst, die übermittelten Informationen oder Adressaten auswählt oder verändert. Genau darum aber wird es in einem späteren Verfahren gehen müssen: zu beweisen, dass X. als Betreiber des Cyberbunkers nicht nur die Server der illegalen Anbieter betrieb, sondern aktiv an den illegalen Geschäften beteiligt war.

Bildung einer kriminellen Vereinigung

Bei den 13 Tatverdächtigen handelt es sich um zwölf Männer und eine Frau zwischen 20 und 59 Jahren, von denen sieben in U-Haft sitzen. Um ihnen nachzuweisen, dass sie tatsächlich in Hunderttausenden Fällen von schweren Drogendelikten, Falschgeldgeschäften, Datenhehlerei und der Beihilfe zur Verbreitung von Kinderpornographie Beihilfe geleistet haben, braucht es handfeste Belege, dass X. und die anderen Beteiligten den illegalen Handel auf ihren Servern befördert oder davon gewusst haben. In den Papieren der Ermittler gibt es ein paar sehr konkrete Hinweise darauf. Angeführt werden Netzknotenüberwachung, überwachte Mail-Kommunikation und Telefonkommunikation der Beschuldigten mit den Kunden.

Eine zentrale Rolle nimmt dabei eine internationale Organisation gegen Cyberkriminalität namens "Spamhaus" ein, die die Betreiber des Cyberbunkers immer wieder auf illegale Inhalte der von ihnen gehosteten Seiten hingewiesen hat. Statt diese Seiten zu sperren, reagierte der Beschuldigte X. laut Ermittlungen damit, den Anbietern einen noch besseren Schutz für 500 Euro monatlich anzubieten. Gegenüber einem verdeckten Ermittler soll ein weiterer Beschuldigter geäußert haben, dass X. jederzeit die Inhalte seiner Kunden einsehen konnte.

Screenshot | SWR

Die Ermittler überwachten die illegalen Geschäft und hoben das Rechenzentrum dann aus. Bild: SWR

Unterdessen geht die Auswertung der bei der Razzia im September sichergestellten Server auf Hochtouren weiter. Legale Kunden habe man bisher nicht gefunden, erklärte der zuständige Generalstaatsanwalt Jürgen Brauer gegenüber dem SWR.

Im Fokus der Steuerfahnder 

Doch es sind nicht nur die Drogengeschäfte, die die Ermittler interessieren: Nach Recherchen des SWR wird Herman X. auch Steuerhinterziehung in zwölf Fällen zur Last gelegt. Demnach besteht der dringende Tatverdacht, dass der Beschuldigte im Zeitraum von 2014 bis 2017 Umsatzsteuer, Körperschafts- und Gewerbesteuer in Höhe von rund 330.000 EUR hinterzogen habe. Dies ergäbe sich aus Finanzermittlungen des LKA Rheinland-Pfalz. Aufgeführt werden in dem Dokument vor allem Erlöse aus Eingängen von Bitcoins.

Der Geschäftspartner von X. bewertet diesen Vorwurf als lächerlich - wohl auch vor dem Hintergrund der Millionenbeträge, die von den Kunden des Bunkers über die Server in Bitcoin umgesetzt wurden. Es handle sich hier doch um "Kleingeld".

Über dieses Thema berichtete SWR aktuell am 31. Oktober 2019 um 11:41 Uhr.