LKA hebt Cyber-Bunker des Darknet in Rheinland-Pfalz aus

[English]Das LKA Rheinland-Pfalz hat einen Schlag gegen Cyber-Kriminalität durchgeführt und einen Server-Raum, der als Rechenzentrum für Dark-Net-Aktivitäten genutzt wurde, in einem ehemaligen NATO-Bunker in der Moselstadt Traben-Trarbach erfolgreich ausgehoben. Dabei gab es bei der auch von der GSG-9 unterstützten Aktion Festnahmen von sieben Verdächtigen und mehrere Durchsuchungen.


Anzeige

Dem Cyber-Schlag waren fast fünfjährige Ermittlungen der Landeszentralstelle Cybercrime (LZC) der Generalstaatsanwaltschaft Koblenz und des Landeskriminalamts Rheinland-Pfalz vorausgegangen. Es war ein umfangreiches und äußerst zeit- und arbeitsintensives Ermittlungsverfahren gegen die Betreiber eines als “Bulletproof-Hoster” bezeichneten Rechenzentrums. Der besondere Service eines derartigen Hosters besteht darin, den Kunden Schutz vor staatlichem Zugriff zu bieten und so Ermittlungen zu vereiteln. Erstmals ist es deutschen Ermittlungsbehörden gelungen, einen derartigen Hoster auszuheben.

Der Cyber-Bunker in Traben-Trarbach

Wie die Staatsanwaltschaft ein einer Pressekonferenz mitteilte, haben die Ermittlungen den dringenden Verdacht ergeben, dass die Täter in dem ehemaligen NATO-Bunker in Traben-Trarbach unter dem Szenenamen “Cyberbunker“, ein Rechenzentrum betrieben zu haben. Einziger Zweck des Rechenzentrums war es, Webseiten krimineller Täter zu speichern und diesen ihre Straftaten so erst zu ermöglichen.

Cyberbunker Liegenschaft(Luftaufnahme der Liegenschaft des NATO-Bunkers, Quelle: LKA-RP)

Beim Stürmen des Bunkers stießen die Ermittler in einem Raum auf zahlreiche Server (200 wurden sichergestellt, man geht von 2000 Servern insgesamt aus), auf denen zahlreiche Webseiten gehostet wurden.

Darknet-Serverraum(Darknet-Serverraum, Quelle LKA-RP)

Über diese Webseiten wurden von international agierenden Kriminellen verbotene Waren wie Drogen und gefälschte Dokumente sowie gestohlene Daten vertrieben, Kinderpornografie verbreitet und groß angelegte Cyberangriffe durchgeführt.

Vom LKA beschlagnahmter Cyber-Server


Anzeige

Webseiten, die auf den betreffenden Servern gehostet waren, zeigen jetzt wohl die obige Meldung beim Aufruf an.

Schwergewicht im Darknet

Die langjährigen Ermittlungen führten dazu, dass dieses in Rheinland-Pfalz ansässige Rechenzentrum vom Netz genommen werden konnte. Über Server dieses Rechenzentrums erfolgte beispielsweise bereits schon vor drei Jahren der Angriff auf die Telekom-Router. Auch der erst im April 2019 zerschlagene weltweit zweitgrößte Darknet-Marktplatz “Wallstreet Market”  wurde auf Servern aus diesem Rechenzentrum betrieben. Soweit bisher bekannt waren folgende Marktplätze/Foren Kunden der Beschuldigten:

  • “Cannabis Road”: Auf dieser Seite waren 87 Verkäufer von illegalen Drogen aller Art registriert. Insgesamt sollen über die Plattform mehrere tausend Einzelverkäufe von Cannabis-Produkten abgewickelt worden sein.
  • “Wall Street Market”: Nach Ermittlungen der Generalstaatsanwaltschaft Frankfurt handelt es sich bei dem “Wall Street Market” um den zweitgrößten Marktplatz seiner Art weltweit. In ihrem Aufbau ähnelte die Plattform einer legalen E-Commerce-Plattform im Internet wie z.B. ebay. Über diese Plattform sollen 250.000 Betäubungsmittelgeschäfte mit einem Umsatzvolumen von über 41 Millionen Euro abgewickelt worden sein.
  • Das Untergrundforum “Fraudsters”: Gegen die Betreiber dieses Forums ermittelt die LZC selbst. Es besteht der Verdacht, dass über diese Plattform mehrere tausend Betäubungsmittelgeschäfte abgewickelt worden sind.
  • Plattform “Flugsvamp 2.0”: Bei diesem Marktplatz soll es sich um den größten schwedischen Darknet-Marktplatz zum illegalen Verkauf von Betäubungsmitteln handeln. Das Verfahren gegen die Betreiber wird von den schwedischen Ermittlungsbehörden betrieben. Es sollen 600 Verkäufer und etwa 10.000 Käufer auf dem Marktplatz aktiv gewesen sein.
  • Plattformen “orangechemicals”, “acechemstore” und “lifestylepharma”: Über diese Internethandelsplattform wurden europaweit synthetische Drogen in unterschiedlicher Menge und Beschaffenheit vertrieben. Insoweit werden die Ermittlungen von der Staatsanwaltschaft Köln geführt. Es soll um Veräußerungsgeschäfte im fünfstelligen Bereich gehen.
  • Angriff auf Telekom-Router: Auch der groß angelegte Angriff auf rund eine Million Telekom-Router Ende November 2016 wurde über einen Server im Cyberbunker gesteuert.

Das Verfahren richtet sich gegen 13 Beschuldigte, zwölf Männer und eine Frau. Die Beschuldigten sind im Alter von 20 bis 59 Jahren. Bei dem 59 Jährigen handelt es sich um einen Niederländer, der die Bunkeranlage gekauft hatte und das Cyber-Rechenzentrum dann mit weiteren Beschuldigten aufgebaut hatte.

(Quelle: YouTube, LKA-RP)

In einer koordinierten Aktion wurden wohl am Donnerstag Abend durch die Landespolizei Rheinland-Pfalz und Unterstützungskräfte der Polizei Hessen sowie der Bundespolizei Durchsuchungsbeschlüsse in Deutschland und im benachbarten europäischen Ausland vollstreckt. Hierbei waren insgesamt mehrere hundert Einsatzkräfte beteiligt. Sichergestellt wurden unter anderem etwa 200 Server, schriftliche Unterlagen, zahlreiche Datenträger, Mobiltelefone und eine größere Summe Bargeld.

Sieben Tatverdächtige wurden aufgrund von Haftbefehlen festgenommen. Das Amtsgericht Koblenz hat auf Antrag der LZC gegen sechs dieser Männer und die Frau – vier Niederländer, einen Bulgaren und zwei Deutsche – Haftbefehle wegen Flucht-, und Verdunklungsgefahr erlassen. Ferner erließ die Ermittlungsrichterin 18 Durchsuchungsbeschlüsse.

Bunkeranlage wie Festung geschützt

Die Bunkeranlage war gegen betreten durch Dritte mit Stacheldrahtzäunen und Überwachungseinrichtigungen geschützt.

(Quelle: YouTube)

Das obige Drohnenvideo zeigt eine Luftansicht der betreffenden Anlage. Bei SPON findet sich in diesem Bericht ebenfalls eine Luftaufnahme sowie weiteres Fotomaterial aus dem Bunker.

Beim ZDF gibt es den in obigem Tweet verlinkten Beitrag. Der SWR hat diesen Beitrag und hier ebenfalls einen Artikel zu dieser Aktion veröffentlicht.

Wilde Ecke, aus deren Umfeld ich scheinbar her komme – gut, die Eifel gilt als rauh und dunkel. Aber vom Darknet habe ich in meiner Jugend nie was gehört und in diesem Bunker war ich auch beim Wehrdienst niemals drin. Mein Server wurde da auch nicht gehostet (müsste in Köln oder Straßburg stehen).


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Antworten zu LKA hebt Cyber-Bunker des Darknet in Rheinland-Pfalz aus


  1. Anzeige
  2. Dekre sagt:

    Man kann nur sagen- ENDLICH !!!

    Nur mal so nebenbei – Gab es eigentlich für den Aufbau der Anlage auch Fördergelder. Ich erinnere mich mal ganz dunkel daran. Ich gehe mal mit einem Gedächtnis steng davon aus, dass es da was nicht koscheres gab.

    Fazit – Verkaufe nie einen Bunker! Aber was macht der Staat nicht alles für Geld – eben -sich selbst prostituieren.

    • Blupp sagt:

      Endlich, da stimme ich gern zu.
      Die Jahre die es brauchte, bis es endlich soweit war, haben aber auch eine positive Seite. Mit der Zeit sind da sicher mehr und mehr dunkle Gestalten auf den Servern tätig gewesen. Ich hoffe möglichst viele davon, deren Daten nun bei den Ermittlern sind. Hoffentlich eine so richtig fette Beute für die Ermittler.

  3. RUTZ-AhA sagt:

    Das zeigt einmal mehr auf, wie einfach es für Kriminelle in D ist, eine Darknet aufzubauen, ohne Kontrollen oder andere Störungen befürchten zu müssen.

    Ein Bunker der Nato ist ein außergewöhnliches Hochsicherheitsterrain. Wenn so was an einen Privatkäufer veräußert wird, sind Behörden im Spiel.
    Stellen die keine Fragen zum Verwendungszweck einer solchen Anlage? Die kann doch auch nicht ganz billig sein. Wird der Käufer nicht auf seinen Leumund überprüft. Auch auf die Herkunft der finanziellen Mittel zum Kauf [Geldwäsche], ist die angegebene Nutzung plausibel, wird das nicht überprüft und kontrolliert? Ich verweise nur mal auf das Nutzungsrecht. Viele Fragen und keine Antworten.

    Und dann wurden die Ermittlungen durch unsere bescheuerte Gesetzgebung noch behindert.
    Kein Wunder, dass sich Kriminelle aller Couleur bei uns wohl fühlen.

    • Ralf Lindemann sagt:

      Am Begriff Bunker würde ich mich nicht hochziehen. In Nordrhein-Westfalen, im Ruhrgebiet, stehen quasi in jedem Stadtteil Bunkeranlagen, sogenannte Hochbunker, aus dem 2. Weltkrieg. Das sind teilweise riesige Gebäude mit den Ausmaßen von Hochhäusern. Häufig ungenutzt seit Jahrzehnten. Die Städte sind froh, wenn sich Interessenten für eine Nutzung finden. Meistens ist es was Kulturelles. Gerne werden dort Proberäume für Bands eingerichtet; die Schallisolierung nach Außen ist einem Hochbunker optimal. Viele Hochbunker stehen aber seit 1945 leer. Abreißen ist nicht so einfach, weil die Betonwände und -decken mit einer Dicke von anderthalb bis zwei Metern (wenn ich mich richtig erinnere) sehr massiv sind. Überregional bekannte Ausnahme ist ein Hochbunker in Bochum, der mit einem extravaganten Hochhaus überbaut wurde. Das aber auch nur, weil es sich um Filetgrundstück mitten in City handelt, unweit des Bochumer Hauptbahnhofs (vgl. https://de.wikipedia.org/wiki/Exzenterhaus). – Alte Bunker als Hochsicherheitsserverfarm fürs Internet neu zu beleben ist für sich genommen eine gute Idee. Das ausgerechnet Kriminelle auf diese Idee gekommen sind, sagt viel über die Innovationsunfähigkeit unseres Landes. Bitter.

  4. Anzeige

  5. Uwe sagt:

    Hmmmm … viel Geschrei … denke, am Ende kommt nicht viel dabei raus! Ein solch professionell aufgebautes System führt keinen “Sturmangriff” auf Telekom Router aus. Wozu auch? Gibt es kein Geld dafür und die Gefahr der Entdeckung ist zu groß. Wäre das System von Außen dazu genutzt wurden, dürften die Betreiber das bemerkt haben und den Angriff abgeschaltet haben. Das Ganze erinnert mich an eine Pressekonferenz, wo “hunderte Waffen” gezeigt wurden, war solcher Schrott, der wäre nicht mal auf einen Flohmarkt für nen Euro übern Tisch gegangen. Das Geschrei der Presseleute war aber ein echt großes Kaliber …

    • i9100 sagt:

      Das ist für DAUs von Journalisten geschrieben.
      Ich bezweifle nicht das ein Command and Control server aus dem Bunker ein Botnet steuern kann.

      Aber glaubst du der typische MSM-Zuschauer versteht was gemeint ist?
      Schade um den Bunker und die Server, hätte man die Technik nur Legal und anständig genutzt.

      Aber Gott sei dank ist der kriminelle Laden jetzt dicht.

      • i9100 sagt:

        >Von diesem erfolgte beispielsweise bereits schon vor drei
        >Jahren der Angriff auf die Telekom-Router.

        Es war diese ungenaue Formulierung.

        >Angriff auf Telekom-Router: Auch der groß angelegte Angriff auf
        >rund eine Million Telekom-Router Ende November 2016 wurde
        >über einen Server im Cyberbunker gesteuert.

        Wobei bei der zweiten Version das schon präziser erklärt wird.
        Gesteuert ist korrekt.

  6. cerbalin sagt:

    (Nummer 2! bitte die erste Version ganz löschen, wg. Fehlern…, danke)
    Fehler im Text:
    “hat einen Schlage gegen” Schlag
    “ein Rechenzentrum betrieben zu haben” ohne zu
    “Einziger einziger Zweck des Rechenzentrums” einziger doppelt
    “Kinderpornografie verbreiteten” verbreitet
    (danach diese 7 Zeilen bitte löschen!) :)

    —-
    nunja, gut dass da was stillgelegt wurde.
    Aber: Cannabisprodukte weiterhin zu verteufeln ist dumpfestes Mittelalter. Und von absoluter Ahnungslosigkeit durchzigen, typisch für dieses lernunwillige Land mit seinen weiterhin dummen rechten Säcken. Die Gefahr des “legalen” hochprozentigen aus dem Supermarkt nebenan ist höher, dieweil das Suchtpotential von Alkohol schlicht höher als bei Cannabisprodukten ist. Was aber immer gern verschwiegen wird – wenn überhaupt verstanden.
    Fakt ist nunmal, botanisch betrachtet, cannabis sativa/indica und humulus lupulus (Hopfen) sind beide als Teil der Fam. Cannabaceae Brüderchen und Schwesterchen. Extrem nah verwandt. Das eine btm-bekämpft, das andere Teil einer unserer Wohlstandsdrogen (Bier). Schon sehr verheuchelt. Und wie erwähnt, botanisch betrachtet vollkommener Schwachsinn!
    Das “Gefährliche” an Cannabis-Produkten ist allein bzw. in erster Linie, dass sie im Gegenteil zu Alkoholika überhaupt nicht kontrolliert sind. Vergleichbar, etwas, mit dem Erwerb von zB. Vodka in Russland auf der Straße. Kann sehr gut schmecken, kann man auch blind von werden…
    Statt also weiter tumb bekämpfen, wäre eine umfassende Kontrolle von Cannabis im gesamten Produktions-/Verkaufsweg die bessere Option. Wie bei Allohol halt.

    • Günter Born sagt:

      Die Korrekturen habe ich durchgeführt – danke.

      Zum Rest: Es geht hier um den illegalen Vertrieb von Rauschmitteln – und da geht es um alle möglichen Drogen, von MDMA (Ecstasy) über Crystal Meth bis hin zu Kokain und Heroin. Jetzt einen Rant wegen Cannabis aufzumachen – der unter bestimmten medizinischen Aspekten legalisiert und über autorisierte Quelle erhältlich ist, geht am Thema vorbei.

      • i9100 sagt:

        https://www.br.de/puls/themen/welt/drogenpolitik-portugal-102.html

        Darf ich den Bayerischen Rundfunk zitieren? Die sprechen sich für die Politik Portugals zu weichen und harten Drogen aus. Und ja, das ist die Meinung eines deutschen staatlichen TV-Organs.

      • cerbalin sagt:

        NEIN NEIN, nicht falsch verstehen – absichtlich oder unabsichtlich, aus Gewohnheit, egal. Es geht, eig. ja nachlesbar, nur um eine (biochemische) Richtigstellung. Weil, dass es so ist, ist nunmal ein Fakt!
        Was politisch daraus seit Jahrzehnten gemacht wird ist in die falsche Richtung und v.a. wissenschaftlich nicht hinterlegt. Das ist also kein “Rant” o.ä., auch kene Hervorhebung, wozu auch, darum gings an keiner Stelle! Droge bleibt Droge, doch keine Frage. Aber die richtige Einordnung ist schon sehr bedeutend. Und gute Aufklärung(!) ebenfalls.
        :)

        • Günter Born sagt:

          Das hätte im Diskussionsbereich gepasst – hier ging es um die Cyber-Aktion der Polizei. Aber das Thema ist nicht so kritisch wie ein Artikel zu einem Win-Bug – so dass deine Kommentare hier ok sind. Danke für die Klarstellung.

          • cerbalin sagt:

            Durchaus.
            Aber a) ist der Diskussionsbereich eher unscheinbar oder fast versteckt.
            Und b) hier, also auf dieser Seite, wird durch die explizite Erwähnung von “Einzelverkäufe von Cannabis-Produkten bei Cannabis Road” ein Fokus auf Cannabis gesetzt, dadurch imho ein wie so oft in diesen Zusammenhängen etwas schiefer Eindruck erzeugt. Auch wenn vlt unbeabsichtigt.
            Daher die Korrekturerwähnung hier. Und nicht auf der Diskus-seite.
            Die dazu, wie erwähnt, eher am Rand liegt. Was vollkommen ok ist, aber da kann dann auch mal was untergehen.
            ..
            btt: bei golem wird noch etwas Jobanzeige /-Suche vom Cyb-Bunker abgebildet:
            “Allen Freiwilligen wird ein privates Büro, ein eigenes Schlafzimmer mit Wi-Fi (sehr gute Bandbreite), Essen und Trinken (kein Alkohol), eine sehr einzigartige Lebenserfahrung und die Möglichkeit, in Zukunft einen festen Job zu bekommen, angeboten”, warb Cyberbunker.
            nett… ;-)

          • Günter Born sagt:

            Nun zur Möglichkeit ‘ein eigenes Schlafzimmer […], Essen und Trinken (kein Alkohol), eine sehr einzigartige Lebenserfahrung’ zu bekommen – die ist in der Tat für einige der Leute wahr geworden ;-)

          • Ralf Lindemann sagt:

            CyberBunker hat ein ziemlich großes Rad gedreht. In den Niederlanden haben sie in dortigen Bunkeranlagen weitere Rechenzentren betrieben. Und sie scheinen sich für unangreifbar gehalten haben, zumindest nach dem, was man hier auf ihrer offiziellen Webseite (via web.archive.org) zu lesen bekommt: http://web.archive.org/web/20190427013218/http://www.cyberbunker.com/web/swat.php

          • haw3draen sagt:

            “…eine sehr einzigartige Lebenserfahrung’ zu bekommen – die ist in der Tat für einige der Leute wahr geworden ;-)”

            ohja, täglich schwedisch essen – hinter gardinen…
            :D

  7. werner sagt:

    Mich interessiert wie viel Bitcoin und sonstige Kryptowährungen auf den Servern sind und nun Jemand kein Zugriff mehr hat.

  8. Anzeige

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.