CyberBunker

Internet Service Provider

CyberBunker war ein kommerzieller Internet Service Provider mit Sitz in den Niederlanden und Deutschland. Das eng mit kriminellen Aktivitäten verbundene Unternehmen warb mit hochsicheren Diensten und betrieb seine Infrastruktur zweimal über jeweils mehrere Jahre in ehemaligen Militäranlagen.

Nach fünfjährigen Ermittlungen wurde eine unterirdische Anlage im September 2019 von der Polizei abgeschaltet. Nach der Kompromittierung des Cyberbunkers gab es mindestens 227 Folgeverfahren gegen Kunden des CyberBunkers.[1]

CyberBunker in den Niederlanden

Bearbeiten
 
Eingangsbereich CyberBunker in Kloetinge, Niederlande
 
Eingangsbereich CyberBunker
 
CyberBunker Data Center

Nach eigenen Angaben wurde CyberBunker 1996 in den Niederlanden gegründet.[2] Als Führungskräfte werden Sven Olaf Kamphuis, seit 2013 als Internet-Krimineller bekannt[3][4], und Herman Johan Xennt[5] genannt.

Erster Bunker-Standort

Bearbeiten

Namensgebend war der erste Standort, den die Firma erwarb. Es handelte sich dabei um einen ehemaligen NATO-Kommandobunker[6] in der niederländischen Gemeinde Kloetinge in der Provinz Zeeland, der gebaut wurde, um empfindliche elektronische Ausrüstung unterzubringen und auch nach einem Atomschlag zu betreiben. Dieser Bunker wurde 1955 gebaut und 1996 stillgelegt. Zusätzlich sind besonders befestigte und biometrisch geschützte Türen vorhanden, zwei Notstromaggregate (2 MW) und genügend Kraftstoff, um den Betrieb der Anlage autark zu gewährleisten, Luftfilter als ABC-Schutz, sowie Raum für große Vorräte an Trinkwasser und Lebensmitteln.

Dieser militärische Bunker wurde nach seiner Stilllegung 1996 an die Firma CyberBunker verkauft, die ihn renovierte und darin ihr Datenzentrum einrichtete, das im Jahr 2000 in Betrieb ging.[2] Im CyberBunker wurde anschließend ein privates hochsicheres Rechenzentrum mit EMP-Abschirmung betrieben.

Nach einem Brand im Jahre 2002 wurde ein Drogenlabor in einem untervermieteten Teil des Bunkers entdeckt.[7] Das Rechenzentrum wurde daraufhin nicht wieder in Betrieb genommen und 2010 an die Firma Bunkerinfra Datacenters verkauft,[8] die 2015 Insolvenz anmeldete.[9]

Betrieb an weiteren Standorten

Bearbeiten

Die Firma CyberBunker täuschte ihren Kunden in den Folgejahren vor, ihre Infrastruktur weiterhin in dem ehemaligen NATO-Bunker zu betreiben, während das tatsächliche Datenzentrum in Amsterdam ansässig war.[5] Weitere Rechenzentren sollen an „geheimen Standorten“ betrieben worden sein.[2]

CyberBunker in Deutschland

Bearbeiten

Zweiter Bunker-Standort

Bearbeiten

CyberBunker erwarb am 26. Juni 2013 die ehemalige Kaserne Mont Royal mit dem in den 1970er Jahren erbauten Bunker des ehemaligen Amts für Wehrgeophysik in Traben-Trarbach[10] für einen Kaufpreis von 450.000 Euro[11]. Neben dem fünfstöckigen unterirdischen Bunker mit einer Nutzfläche von 5500 m² befinden sich zwei Bürogebäude und mehrere Garagen auf dem 13 Hektar großen Gelände. In dem dort eingerichteten Rechenzentrum betrieb die Firma unter dem Namen Calibour GmbH über 400 Server für eine Darknet-Infrastruktur, mit der neben Cyberangriffen Geschäfte mit Drogen, Falschgeld und laut Polizei 2019 Kinderpornographie abgewickelt wurden.[7][12]

Warnung des LKA

Bearbeiten

Im Zuge der Razzia 2019 wurde deutlich, dass die Polizei in Rheinland-Pfalz frühzeitig die Bundesbehörde vor dem Käufer des Bunkers gewarnt hatte. Zunächst informierte die Gemeinde Traben-Trarbach das LKA Rheinland-Pfalz über den geplanten Verkauf. Acht Tage vor dem avisierten Verkaufsdatum informierte daraufhin das LKA Rheinland-Pfalz die Bundesanstalt für Immobilienaufgaben (Bima) darüber, „dass der potenzielle Käufer der Immobilie den Standort für ein Rechenzentrum unter anderem auch zur Begehung und Unterstützung von Straftaten im Internet nutzen könne“. Gegenüber dem Spiegel erklärte die Bima 2019, man habe sich durchaus mit dem LKA „abgestimmt“. Dort hätten zum damaligen Zeitpunkt aber keine Erkenntnisse vorgelegen, „die einen Ausschluss der späteren Käuferin von dem Veräußerungsverfahren gerechtfertigt hätten.“ Zwar hätte sich auch ein anderer Interessent für den Bunker beworben, CyberBunker habe aber das lukrativere Angebot gemacht.[13]

Bereits 2013 gab es erste Hinweise auf eine möglicherweise illegale Nutzung des Bunkers. Ab 2015 ermittelte das Landeskriminalamt Rheinland-Pfalz gegen den Betreiber des Bunkers.[14]

Im September 2019 wurde im Rahmen einer Razzia in mehreren Ländern dieser Bunker von der deutschen Polizei mit 650 Einsatzkräften durchsucht und stillgelegt, sieben Verdächtige wurden verhaftet.[15][16] Seitdem sind nahezu alle Seiten der Website des Unternehmens nicht mehr aufrufbar.

Strafverfahren

Bearbeiten

Am 7. April 2020 erhob die Landeszentralstelle Cybercrime der Generalstaatsanwaltschaft Koblenz Anklage gegen acht Tatverdächtige aus den Niederlanden, Deutschland und aus Bulgarien.[17] Laut Anklage hätten sie sich der Beihilfe zu mehr als 240.000 Straftaten strafbar gemacht.[1]

Die Hauptverhandlung begann am 19. Oktober 2020 am Landgericht Trier[18] und sollte ursprünglich bis zum 31. Dezember 2021 andauern.[19] Am 13. Dezember 2021 wurden die Betreiber wegen Bildung einer kriminellen Vereinigung verurteilt. Xennt bekam eine Haftstrafe von fünf Jahren und neun Monaten, wurde jedoch Ende September 2023 auf Bewährung aus der Haft entlassen.[20] Sechs weitere Angeklagte erhielten Haftstrafen zwischen 28 und 51 Monaten.[21] Dieses Urteil wurde in der Revisionsverhandlung vom Bundesgerichtshof im September 2023 weitgehend bestätigt.[22]

Folgeverfahren

Bearbeiten

Nach der Kompromittierung des Cyberbunkers gab es mindestens 227 Folgeverfahren gegen Nutzer des Bunkers wegen krimineller Geschäfte im Darknet, von denen die meisten allerdings mangels Ermittlungsansätzen zur Identifizierung der Kunden eingestellt werden mussten. Das größte Folgeverfahren umfasste die Anklage des deutschen Darknet-Marktes DarkMarket, das laut Anklage mindestens 320.000 Geschäfte im Wert von mehr als 140 Millionen Euro abschloss. Aus dem Verfahren zum DarkMarket ist laut Angaben der Landeszentralstelle Cybercrime der Generalstaatsanwaltschaft Koblenz die Operation Dark HunTOR hervorgegangen, in der weltweit rund 150 Festnahmen erfolgten.[1]

Kunden, Geschäftspolitik

Bearbeiten

CyberBunker gab auf der eigenen Website bekannt, dass sie keine besonderen schriftlichen Verträge mit ihren Kunden über die entsprechenden Leistungen abschließe und unterzeichne. Der Vertrag mit einem Kunden werde aufrechterhalten, solange die Leistungen von CyberBunker vom Kunden vorab bezahlt würden. Laut eigenen Angaben werde dabei von CyberBunker jede Art von Information gehostet, sofern es sich nicht um Kinderpornografie oder Terrorismus handele.[2]

CyberBunker nahm für sich in Anspruch, dass es die Daten der Kunden auch vor Ansprüchen von Behörden und Regierungen, vor Forderungen gemäß dem Digital Millennium Copyright Act, vor Konkurrenzunternehmen, Verbrechern und Terroristen schützen würde.[23]

CyberBunker soll Daten von The Pirate Bay[4], Wall Street Market und Kopien von WikiLeaks gehostet haben.

The Pirate Bay

Bearbeiten

Am 2. Oktober 2009 soll der BitTorrent-Tracker[4] von The Pirate Bay, der bereits mehrmals Gegenstand von Gerichtsverfahren mit Anti-Piraterie-Gruppen gewesen war,[24] von Schweden zu CyberBunker bei Kloetinge transferiert worden sein.[4] Es ist nicht bekannt, ob die Daten von The Pirate Bay sich tatsächlich bei CyberBunker befanden oder befinden oder ob der Service nur umgeleitet wurde bzw. wird.

Das Landgericht Hamburg erließ am 6. Mai 2010 eine einstweilige Verfügung (Beschluss vom 6. Mai 2010, Az. 310 O 154/10)[25] gegen den Routing-Betreiber CB3Rob Ltd & Co KG (CyberBunker) mit Sitz in Berlin und Sven Olaf Kamphuis[4] und untersagte vorerst in Zusammenhang mit der Verbindung zu The Pirate Bay, Webseiten im Internet weiterzuleiten.[26] Die einstweilige Verfügung war durch Mitgliedsunternehmen der Motion Picture Association of America (MPAA) am 6. Mai eingebracht worden.

Die Seiten von The Pirate Bay waren jedoch nur einen Tag offline und wurden dann vermutlich über die Ukraine wieder aufgeschaltet.[27]

Ein Berufungsgericht in Den Haag (Gerichtshof den Haag) entschied am 28. Januar 2014 hingegen, dass der Zugang zur Filesharing-Plattform The Pirate Bay durch zwei niederländische Provider nicht gesperrt werden müsse, weil IP- und DNS-Blockaden keineswegs effektiv gegen Online-Piraterie helfen würden. Man könne daher Provider nicht zu ineffektiven Maßnahmen verpflichten.[28]

Spam- und DDoS-Attacken

Bearbeiten

CyberBunker kümmerte sich nach eigenen Angaben nicht um die Blacklist von The Spamhaus Project, eine Organisation, die Spam bekämpft. Seit 2011 gab es beiderseitige Beschwerden zwischen Spamhaus und CyberBunker, nachdem Kunden von CyberBunker Spamming betrieben hatten, und CyberBunker sich Forderungen nicht beugen wollte, dies zu unterbinden.[29][30]

Nachdem im März 2013 Spamhaus CyberBunker auf seine Blacklist setzte, begann ein Distributed-Denial-of-Service-Angriff[31] neuer Dimension gegen den Spamhaus-Server und DNS, der eine Woche dauerte. Der Angriff erreichte Spitzenwerte bis zu 300 Gbit/s (ein durchschnittlicher Großangriff lag zu jener Zeit bei etwa 50 Gbit/s) während der zuvor größte bekannte Angriff 100 Gbit/s erreicht hatte.[32][33] Der Angriff wurde von fünf nationalen Polizeibehörden untersucht. Da CyberBunker zu diesem Zeitpunkt noch mit dem niederländischen Bunker warb, hielt Bunkerinfra Datacenters (BIDC), die den vormaligen CyberBunker in Kloetinge zu der Zeit betrieb, per Pressemitteilung vom 29. März 2013 fest, dass sie mit diesem DDoS-Angriff nichts zu tun hätten. Der CyberBunker bei Kloetinge sei seit einem Brand im Jahr 2002 nicht mehr in Betrieb gewesen.[8][34]

Bearbeiten
Commons: CyberBunker – Sammlung von Bildern, Videos und Audiodateien

Einzelnachweise

Bearbeiten
  1. a b c Cyberbunker: Hunderte Verfahren gegen Kunden des Darknet-Rechenzentrums. In: Der Spiegel. 12. Dezember 2021, ISSN 2195-1349 (spiegel.de [abgerufen am 14. Dezember 2021]).
  2. a b c d Eigene Angaben: FAQ Cyberbunker Website (Memento vom 27. April 2019 im Internet Archive)
  3. Adobe Fined $1M in Multistate Suit Over 2013 Breach; No Jail for Spamhaus Attacker. Krebs on Security, 17. November 2016, abgerufen am 10. Oktober 2019 (englisch).
  4. a b c d e The Pirate Bay relocates to a nuclear bunker. Torrentfreak, 6. Oktober 2009, abgerufen am 18. August 2014 (englisch).
  5. a b German Cops Raid “Cyberbunker 2.0,” Arrest 7 in Child Porn, Dark Web Market Sting. Krebs on Security, 28. September 2019, abgerufen am 7. Oktober 2019 (englisch).
  6. Koordinaten 51° 30′ 8″ N, 3° 54′ 26″ E
  7. a b Claus Hecking, Judith Horchert und Philipp Seibt: Traben-Trarbach: Wie ein alter Bundeswehrbunker zum Darknet-Rechenzentrum werden konnte. SPIEGEL ONLINE, 7. Oktober 2019, abgerufen am 7. Oktober 2019.
  8. a b Presseerklärung vom 29. März 2013 (Memento vom 11. August 2013 im Internet Archive). Abgerufen am 14. August 2014.
  9. Arnout Veenman: Bunkerinfra Datacenters failliet. ISPam.nl, 16. Juni 2015, abgerufen am 10. Oktober 2019 (niederländisch).
  10. Koordinaten 49° 58′ 4″ N, 7° 7′ 14″ E
  11. Im Bunker des Bösen. In: Der Spiegel. 14. Mai 2020, abgerufen am 16. Mai 2020.
  12. Sichtung der Darknet-Server bald abgeschlossen. Süddeutsche Zeitung, 20. Januar 2020, abgerufen am 23. Januar 2020.
  13. Philipp Seibt, e. V.: „Cyberbunker“: Landeskriminalamt warnte vor Käufer – e. V. – Netzwelt. Abgerufen am 7. April 2020.
  14. Bernd Wientjes: Cyberkrime:illegales Rechenzentrum in Traben-Trarbach in Ex-Bunker. Trierischer Volksfreund, 27. September 2019, abgerufen am 9. Oktober 2019.
  15. Ermittler finden Hunderte Server im „Cyberbunker“. Der Spiegel, 27. September 2019, abgerufen am 8. Oktober 2019.
  16. Mit 650 Einsatzkräften Cyberbunker in Traben-Trarbach gestürmt. rheinpfalz.de, archiviert vom Original (nicht mehr online verfügbar) am 27. September 2019; abgerufen am 27. September 2019.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.rheinpfalz.de
  17. Landeskriminalamt Rheinland-Pfalz: Landeszentralstelle Cybercrime der Generalstaatsanwaltschaft Koblenz erhebt Anklage gegen acht Tatverdächtige im Verfahren gegen die Betreiber des „Cyberbunkers“. In: presseportal.de. 7. April 2020, abgerufen am 28. April 2020.
  18. Prozessauftakt in Trier: Nie dagewesenes Riesenverfahren um den Cyberbunker. In: heise.de. heise online, 19. Oktober 2020, abgerufen am 24. Oktober 2020.
  19. Strafverfahren 2a KLs 5 Js 30/15 („Bunkerverfahren“). Landgericht Landau in der Pfalz, 18. September 2020, abgerufen am 18. Oktober 2020.
  20. S. W. R. Aktuell: Traben-Trarbacher Cyberbunker-Chef Herman X. auf Bewährung frei. 27. November 2023, abgerufen am 14. Mai 2024.
  21. Friedhelm Greis: Kriminelle Vereinigung: Cyberbunker-Betreiber zu Haftstrafen verurteilt. golem.de, 13. Dezember 2021, abgerufen am 13. Dezember 2021.
  22. Bundesgerichtshof. In: juris.bundesgerichtshof.de. Abgerufen am 12. September 2023.
  23. Eigene Angaben: „Stay-online-policy“ der Cyberbunker Website (Memento vom 27. April 2019 im Internet Archive)
  24. The Pirate Bay Back Online With New Web Host In The Netherlands, 7. Oktober 2009
  25. LG Hamburg, Beschluss vom 6. Mai 2010 – 310 O 154/10. openJur e.V., abgerufen am 27. August 2017.
  26. Cyberbunker prohibited from providing Internet access to the Pirate Bay.
  27. Filmindustrie scheitert, Pirate Bay ist zurück am Netz. SPIEGEL ONLINE, 18. Mai 2010, abgerufen am 18. Mai 2014.
  28. Urteil ECLI:NL:GHDHA:2014:88, Gerechtshof Den Haag, 200.105.418-01. de Rechtspraak, abgerufen am 15. August 2014 (niederländisch).
  29. Dutch ISP Hits Spamhaus With Police Complaints (Memento vom 15. Oktober 2011 im Internet Archive).
  30. Eduard Kovacs: TPB Causes Argument Between Dutch ISP and Anti-Spam Organization. Softpedia News, 13. Oktober 2011, abgerufen am 15. August 2014 (englisch).
  31. Rob Williams: DDoS Attack Against Spamhaus Exposes Huge Security Threat On DNS Servers. HotHardware, 28. März 2013, abgerufen am 15. August 2014 (englisch).
  32. Sean Gallagher: How Spamhaus’ attackers turned DNS into a weapon of mass destruction. ars TECHNICA, 28. März 2013, abgerufen am 15. August 2014 (englisch).
  33. Dave Lee: Global internet slows after 'biggest attack in history'. BBC News, 27. März 2013, abgerufen am 15. August 2014 (englisch).
  34. Michael Riley und Carol Matlack: CyberBunker:Hacking as Performance Art. bloomberg, 5. April 2013, abgerufen am 15. August 2014 (englisch).