Ein aufgeklappter Laptop beleuchtet eine Schusswaffe, mehrere Stapel Euro-Noten und
Bild: Rote Pillen: imago images / Aton Chile | Pass: imago images / Jens Schicke | Waffe: imago images / STAR-MEDIA | Geld: imago images / McPHOTO | Rest: VICE
Tech

Grüße aus dem Cyberbunker

Wie die Strippenzieher von Cybercrime-Foren reich werden, warum sie trotzdem unglücklich sind und von wo sie ihre Angriffe fahren – ein Auszug aus dem Buch 'Report Darknet'.
22.10.20

Im September 2019 rücken 650 Polizisten in das Weinstädtchen Traben-Trarbach an der Mosel vor. Ihr Ziel ist ein unwirklicher, versteckter Ort im Inneren des Stadtbergs Mont Royal. Die knapp 6.000 Einwohner von Traben-Trarbach nennen den Ort liebevoll "unseren Bunker". Früher war hier mal die NATO, danach die Bundeswehr stationiert.

Fünf Jahre nach dem endgültigen Auszug der Truppen mietete ein gewisser Herman X. aus den Niederlanden sich im Jahr 2012 in die fünf "Solen" genannten Stockwerke tief unter der Erde ein. X.s Geschäft ist das Vermieten von Online-Speicherplatz. Er wollte den Bunker haben, weil er eine Festung ist. Autarke Notstromaggregate sichern die Energieversorgung, rein kommt man nur über eine militärisch gesicherte Schleuse. Und das Bundesamt für Liegenschaften suchte dringend einen Abnehmer für das teure Grundstück und die Instandhaltung von Grundwasserpumpen, Öltanks, Schiffsdieselmotoren und Lüftungen.

Anzeige

X. bekam den Zuschlag und verschanzte sich dort mit einer bunten Truppe an Mitarbeitern. Er zog Erdwälle um den Bunker hoch, ließ Rottweiler ums Gelände streifen, Besucher sahen nicht mehr als eine Schranke, Überwachungskameras und dichte Bäume. Niemand sollte wissen, was X. im Inneren trieb.

Der "Cyberbunker" wurde die wohl wichtigste Schaltzentrale für organisierte Cybercrime- und Darknet-Geschäfte in Deutschland. Der zweitgrößte Darknet-Drogenmarkt Wall Street Market soll hier seine Daten gespeichert haben, aber oft genug tauchten die im Bunker gesicherten Websites auch im Clearnet auf – die rechtsextreme Gruppierung Identitäre Bewegung mietete sich für ihren Webauftritt angeblich sogar zum Sonderpreis ein.

Etwa sechs Jahre lang soll Herman X. unter der Erde in Traben-Trarbach unzählige illegale Cybercrime-Websites gehostet haben. Das Gerichtsurteil dazu steht noch aus. Er selbst behauptet nach seiner Festnahme, über die digitalen Inhalte seiner Kunden nicht Bescheid gewusst zu haben. In jedem Fall bewarb der Cyberbunker die schrankgroßen Server, die dort standen, mit der Garantie, dass die darauf gehosteten Inhalte vor Strafverfolgung geschützt seien. "No matter what", wie es auf der Website kompromisslos hieß. Kompromisslos war auch die Betreiber-Policy: Jeder konnte Kunde werden und seinen Daten im Cyberbunker ein Zuhause hinter dicken Mauern bieten, solange er nichts mit Pädophilie oder Terrorismus am Hut hatte. Es war nicht weniger als eine herzliche Einladung für die Organisierte Kriminalität im World Wide Web.

Die Razzia im Cyberbunker traf auch die Daten des Cybercrime-Forums Fraudsters, den damals größten Konkurrenten des aktuellen Marktführers Crimenetwork (CNW). Das gesamte Angebot ging vom Netz. Wo genau CNW gehostet ist, das behält der technische Administrator Neil, den wir öfter getroffen haben, natürlich für sich.

Nur so viel ist klar: Das neue Crimenetwork hat aktuell keine nennenswerte Konkurrenz, und das Geld, das in diesem Unternehmen steckt, macht nicht nur die CNW-Händler, sondern vor allen Dingen den Betreiber Neil sehr reich.

So werden Cybercrime-Forenbetreiber reich

Es scheint zunächst erstaunlich, dass man mit einem einfachen Internetforum zu so viel Geld kommen kann. Doch hinter dem simplen, pechschwarzen Layout steckt ein aufwendiges Geschäftsmodell, bei dem sich die Betreiber am Handel ihrer Mitglieder bereichern. Es stützt sich im Wesentlichen auf drei Säulen: Werbung, Lizenzen und Treuhandgebühren.

Regulär arbeiten zu gehen und Steuern an den Staat abdrücken – das hält Neil für "Betrug".

Genau wie bei legalen Websites können Nutzer Werbung auf CNW schalten – nur eben für ihr Kokain, Falschgeld oder für gestohlene Kreditkarten. Ein winziges Werbebanner kostet mehrere Tausend Euro im Monat. Das Geld, bezahlt in Bitcoin, geht direkt an die Forenbetreiber. Zweitens können Verkäufer illegaler Dienstleistungen ihre Handlungsspielräume auf CNW erweitern, indem sie sich eine Monopol-Lizenz kaufen. Damit sichern sie sich gegen eine monatliche Gebühr von 2.000 Euro bis 10.000 Euro je nach Produkt an die Führung das alleinige Recht, innerhalb des Forums eine bestimmte Ware anzubieten.

Damit Spezialisten im Datendiebstahl, böswillige Hacker und Online-Betrüger überhaupt irgendwie "sicher" miteinander handeln können, hat Neil als dritte Säule ein sogenanntes Treuhandsystem programmiert. Dieses System zur Absicherung von Transaktionen hat er sich von Darknet-Kryptomärkten abgeschaut – und es ist der Grund, weshalb der Laden läuft. Möchte A etwas von B kaufen, überweist er Bitcoin an Neils System auf der Seite, bis B die Ware an A geliefert hat. Ist das geschehen, zahlt Neils Treuhandsystem dem Verkäufer der Ware das Geld aus. Von jeder Transaktion zweigt sich Neil fünf Prozent ab.

Neil, der sich selbst als "geldgeil" bezeichnet, zeigt uns bei einem Treffen, wie viel Geld er mit seinem System verdient hat. Allein 150.000 Euro hat er nach wenigen Monaten bereits in Bitcoin geparkt, eine Viertelmillion Euro in Bitcoin ist durch sein Treuhandsystem gesickert. "Aktuell verdiene ich das Dreifache meines regulären Jobs. Nebenher. Steuerfrei", sagt er. Im Backend der Seite zeigt er uns, dass jeden Tag 255 GB Traffic über das Board laufen. Je mehr Traffic, desto länger halten sich die Nutzer auf CNW auf, je mehr Leute handeln und das Treuhandsystem nutzen, desto reicher wird Neil.

Neil versteht sich als Architekt einer komplexen verschlüsselten Infrastruktur und nicht unbedingt als Anbieter eines illegalen Angebots. Seine Ausgaben sind im Vergleich zu seinen Einnahmen gering.

"Rechnet man grob alle Systeme zusammen, die CNW aktuell hat – Back-up der Maschinen, Backend der Maschinen, Frontend –, kostet das pro Monat 400 bis 600 Euro für den reinen technischen Betrieb", sagt Neil.

Neil hat wie so viele Cybercrime-Täter ein Problem, das ihn nicht schlafen lässt: Er kommt nicht unbemerkt an sein Geld.

Es steckt also viel Krypto-Geld im Marktplatz auf CNW. Treuhand-Gelder sind einer der Gründe, warum die Führungsriege mehrere Male in den letzten Jahren gewechselt hat. Bevor es Neils System gab, übernahmen nämlich die jeweiligen Forenbetreiber die Verwaltung von Geldern persönlich – wer handeln wollte, musste ihnen schlicht vertrauen. Einer, der sich sync nannte, verschwand vor vier Jahren mit mehreren Millionen einbehaltener Gebühren und Treuhandgeldern der Nutzer. Ob aus Angst vor den Behörden, zur Vernichtung von Beweismitteln oder einfach aus Kalkül und Geldgier, weiß bis heute niemand. Wie sein Nachfolger unter dem Nutzernamen Mr. White verschwand, wissen wir mittlerweile: Der ehemalige CNW-Administrator, ein damals 23-jähriger Student der Wirtschaftswissenschaften, wurde 2017 in Köln festgenommen. Nach neunmonatiger Untersuchungshaft und der polizeilichen Beschlagnahmung von rund einer Million Euro in Bitcoin legte er letztlich ein Geständnis ab. Ende Januar verurteilte ihn das Landgericht Köln zu einer Freiheitsstrafe von zwei Jahren auf Bewährung.

Die nächste Reinkarnation des Forums Crimenetwork unter neuer Domain und neuer Führung ließ nicht lange auf sich warten. Bei unserem ersten Treffen mit Neil hieß der CNW-Boss, dem Neil technisch zuarbeitete, noch Sicario – wenige Monate später verschwand auch er. Und Neil rückte von seinem Job als Techmin nach ganz oben in die Führungsriege auf, die er sich nun mit einem Nutzer unter dem Alias inigo teilt.

Cybercrime als Sprungbrett ins Darknet

Regulär arbeiten zu gehen und von seinem Einkommen Steuern an den Staat abdrücken – das hält Neil für sinnlos und ungerecht, er nennt es sogar "Betrug". Eine Einstellung, die auf CNW weithin geteilt wird. Schließlich legitimiert man damit, andere Menschen abzuzocken. Aufhören ist für Neil jedenfalls keine Option. "Mir tun Leute leid, die nur arbeiten gehen", sagt er. "Ich selbst habe einen super Job mit wahrscheinlich einem besseren Verdienst und mehr Verantwortung als die meisten in meinem Alter. Aber mir fehlt der Kick. Mein Leben ist langweilig. Wirklich loyal bin ich nur dem Board gegenüber."

Also häuft Neil Geld an. Statt in Urlaub zu fahren, sitzt er Tag und Nacht am Backend von Crimenetwork, zieht die Fäden im Hintergrund und optimiert die Geldflüsse. Wir sehen Neil noch ein paar Mal wieder. Bei unseren späteren Treffen traut er sich, sein Handy mitzubringen. Es summt ständig und gibt ihm per Push-Nachricht im Minutentakt Meldung darüber, wie sein Vermögen durch Bitcoin-Trades und Anteile an illegalen Geschäften der CNW-Nutzer wächst. "Das macht mich stolz", sagt er. Aber was nutzt einem der ganze Schotter, wenn er nur virtuell auf einer Festplatte abhängt? "Gestern hab ich mir Gründungsdokumente für eine Firma in den Arabischen Emiraten durchgelesen und mich bezüglich einer Offshorefirma erkundigt", erzählt Neil. Und wieso? "Um Teile der Bitcoin dort auszahlen zu können. Vielleicht."

"Wenn der Admin nun umsatteln würde und CNW der Waffenhandel Nr. 1 in Deutschland sein würde … ich würde lügen, würde ich sagen, ich wäre nicht dabei"

Denn Neil hat wie so viele Cybercrime-Täter ein Problem, das ihn nicht schlafen lässt: Er kommt nicht unbemerkt an sein Geld, denn das Zurückwechseln in Euro wirft unangenehme Fragen auf. Auscash-Optionen, ohne Spuren zu hinterlassen, gibt es immer weniger, selbst in der Angebotswelt des Deep-Web-Forums. Er überlegte, das Geld bei einem persönlichen Treffen mit einer Darknet-Bekanntschaft gegen Bares zu tauschen, verwarf die Idee aber wieder, weil ihm das zu riskant und die Gebühren zu hoch waren. Auch ein Gespräch mit einer Anwältin ließ ihn ratlos zurück.

"Das eigentliche Problem, ‘was machen Sie dann mit dem ganzen Bargeld’, war mir vorher auch noch nicht so bewusst. Da wusste ich wirklich nicht weiter. Das kann ich unmöglich einzahlen auf mein Bankkonto."

Anzeige

Was die Akteure des Cybercrime eint, ist nicht nur eine Besessenheit von Technologie. Es ist die Liebe zum Geld und ein äußerst flexibler moralischer Kompass. "Wenn der Admin nun umsatteln würde und CNW der Waffenhandel Nr. 1 in Deutschland sein würde … ich würde lügen, würde ich sagen, ich wäre nicht dabei", sagt Neil. Er zögert. "Ich habe, wie ein großer Teil der Fraudszene, einen psychischen Schaden." Viel weiter kommt er in seiner Analyse aber nicht.

"Auf der einen Seite schreibt mir eine alleinerziehende Mutter E-Mails: ‘Wie soll ich jetzt die ganzen Rechnungen bezahlen?’, und ich schreib zurück: ‘Sieh zu wie du klarkommst‘, auf der anderen Seite bin ich absolut loyal gegenüber dem Admin des Forums – ja, da ist schon ein Widerspruch.”

Die Boards sehen unsere Quellen auch als Sprungbrett ins Darknet, wo es noch mehr Geld zu verdienen gibt. Schließlich sind Darknet-Märkte beliebte Handelsplätze für verbotene Substanzen, geklaute Daten und andere Crime-as-a-service-Puzzleteile. Immer wieder machen sich einzelne Mitglieder von CNW mit eigenen Geschäften selbstständig – ganz besonders, wenn es um Online-Drogenverkauf geht. Zuletzt ging der internationale Drogenshop Chemical Revolution (CR) aus Crimenetwork hervor. An dem soll auch Neils Boss Sicario beteiligt gewesen sein. Die Hauptverdächtigen kannten sich von Crimenetwork und hatten von dort Betrugswebsites mit Ferienwohnungen aufgezogen, die es nicht gab.

2017 gegründet, verkaufte CR im Clearnet, im Darknet und auf dem Darknet-Kryptomarkt Wall Street Market in einem Jahr Drogen im Wert von zwei Millionen Euro. Die Ermittlungen des BKA stockten lange, doch dann gelang es der Polizei, einen Überläufer zu finden. Er identifizierte einen 26-jährigen Münchner, der mittlerweile auf Mallorca lebte, als Kopf der Bande. Am 28. Mai 2019 nahmen die Behörden den Mann bei der Wiedereinreise aus Mallorca fest. So gelang es, Chemical Revolution zu zerschlagen. Elf Verdächtige wurden festgenommen, die Server abgeschaltet und sichergestellt.

Anzeige

Neil ist "zu hundert Prozent" überzeugt, dass es sich dabei um seinen ehemaligen CNW-Boss Sicario handelt. "Er hätte nie mit dem Drogenshop anfangen sollen", erzählt er Ende August 2019. "Nun haben inigo und ich seit knapp drei Monaten das Baby in unseren Händen und ich merke bei jeder monatlichen Abrechnung, wie ich mehr will – obwohl ich pro Monat mit meiner aktuellen Beteiligung über 10.000 Euro als Gewinn verbuchen kann." Der Prozessbeginn gegen Chemical Revolution ist für den Sommer 2020 angesetzt und verspricht ein Spektakel zu werden: Weil es in Gerichten keinen Saal gibt, der genug Kapazität für alle Beteiligten hat, wird die Verhandlung in einer Kongresshalle abgehalten.

Im Sommer 2020 stellt sich heraus, dass Neil wohl Recht hatte. "Heute hat’s gekracht. Aber nicht bei mir", schreibt er mir am 23. Juni. Mit "gekracht" meint er eine bundesweite Razzia gegen Crimenetwork-Tatverdächtige, an der 1.400 Polizisten beteiligt waren und bei der 32 Personen vorläufig festgenommen wurden.

Einen früheren, 26-jährigen Administrator des Forums, heißt es in der Pressemitteilung zum "Action Day", habe man am 28. Mai 2019 bei der Einreise nach Deutschland bereits festgenommen. Aus Mallorca. Neil weiß mittlerweile auch, dass die Behörden die Datenbank seines Forums im vergangenen Jahr ergattert und gespiegelt haben – "alle Threads, alle Privatnachrichten", schreibt er.

Anzeige

Er macht trotzdem weiter.


Theresa Locker ist Vice-Redakteurin.

Der Artikel ist ein Auszug aus dem Buch Report Darknet. Die Autoren Daniel Mützel und Theresa Locker haben das Buch am 23. September 2020 beim Verlag Antje Kunstmann veröffentlicht.

Daniel Mützel, Theresa Locker: Report Darknet. © 2020 Verlag Antje Kunstmann GmbH, München

9783956143892_3d.jpg

Folge Theresa auf Twitter und VICE auf Facebook, Instagram und Snapchat.