NATO-Bunker und Hochseefestungen: Die spektakulärsten Datenverstecke der Welt

Bulletproof-Hoster erarbeiteten sich in den 2000er Jahren einen Ruf als Schweizer Banken unter den Internet-Servern. Ohne unangenehme Frage zu stellen, und vor allem, ohne mit den zuständigen Behörden zusammen zu arbeiten, Kundendaten herauszugeben oder Nutzer vom Netz zu nehmen, stellten sie jedem zahlenden Kunden entsprechend abgesicherten Speicherplatz zur Verfügung. So wurden Bulletproof-Hoster auch zum liebsten Rückzugsort und zu einer wichtigen Operationsbasis für Cyberkriminelle. Einige der spektakulärsten Orte, an denen diese Server standen, sind längst selbst Teil der Internet-Folklore geworden.

Eines der prominentesten Beispiel für einen Datenbunker mit Legendenstatus ist Cyberbunker: Der ehemalige NATO-Bunker, der sich über fünf unterirdische Stockwerke erstreckt, wurde 1998 zu einem Bulletproof-Hoster umfunktioniert und soll sich bis vor kurzem noch in den Händen von rigorosen Hackern und Anti-Überwachungs-Aktivisten befunden haben. Vor zwei Jahren griffen deren Unterstützer unter anderem die Anti-Spam-Organisation Spamhaus mit umfassenden DDoS-Attacken an, weil diese Cyberbunker als Hoster für Cyberkriminelle auf eine schwarze Liste gesetzt hatte.

Andere klandestine Datenoasen finden sich auf einer Offshore-Plattform im selbsternannten Fürstentum Sealand, das vor der Küste von Suffolk in England liegt und dem weltweit ersten Bulletproof-Hoster, HavenCo, eine Heimat bietet. Auch der 1970 als Zivilschutzzentrum in den 'Weißen Bergen' von Stockholm errichtete Bunker Bahnhof stellt seinen Kunden—unter anderem WikiLeaks und der Filesharing-Website The Pirate Bay—extrem sicheres Hosting bereit und hat seine Server dafür extra 30 Meter unter einer Granitschicht installiert.

Die meisten Bulletproof-Hoster der ersten Stunde mussten ihren Betrieb allerdings längst einstellen. Kriminelle Hacker haben es trotzdem stets geschafft, sich andere Verstecke und Server zu suchen, wie eine neue Doku über Online-Kriminalität zeigt.

Der Sicherheitssoftware-Anbieter Norton, der zu Symantec gehört, hat sich in dem neuesten Teil seiner Doku-Serie „Die gefährlichste Stadt im Internet – die Verstecke der Cyberkriminellen" mit der Geschichte und den aktuellen Entwicklungen der Hacker-Verstecke auseinandergesetzt. Der Film zeigt auf faszinierende, wenn auch manchmal etwas melodramatische Weise, wie sich diese Orte ausfindig machen lassen und wie es an den Geheimverstecken IRL aussieht.

Im ersten Teil der Doku wurde die rumänische 100.000 Einwohner-Stadt Râmnicu Vâlcea genauer unter die Lupe genommen. Die zwei Autostunden westlich von Bukarest gelegene Stadt hat sich in den vergangenen Jahren ebenfalls zu einer berüchtigten Operationsbasis für Cyberkriminelle entwickelt und wurde in der Vergangenheit schon mit Spitznamen wie „Hackerville" oder „Cybercrime Central" bedacht—nicht zuletzt, weil sich inzwischen zahlreiche kriminelle Hacker in der Stadt niedergelassen haben.

Die zentrale Kontroverse, der sich die Norton-Doku widmet, ist aber, ob die Betreiber der Server für ihr Angebot zur Verantwortung gezogen werden könnten. Müssen sie als Service-Anbieter für das haften, was auf den Computern ihrer Rechenzentren passiert? Die Doku, die verschiedene Aktivisten, Wikileaks-Unterstützer und Sicherheitsexperten zu Wort kommen lässt, kommt zu keiner eindeutigen Antwort.

Häufig ist es für die Betreiber ein komplizierter Balanceakt zwischen ihrem Geschäftsmodell und den rechtlichen Anforderungen der Ermittlungsbehörden. Teilweise ist den Hostern selbst nicht einmal bewusst, dass Hacker über ihre Server illegalen Aktivitäten nachgehen, da diese gelernt haben, sich gut zu tarnen. Liam O'Murchu, der als Sicherheitsforscher bei Norton arbeitet, ist überzeugt, dass die Frage nach der Verantwortung nur von Fall zu Fall entschieden werden kann.

Doch wie sieht es beispielsweise mit professionellen Hostern wie dem Silicon-Valley-Service Cloudflare aus, der kürzlich von Anonymous beschuldigt wurde, IS-Websiten vor DDoS-Angriffen zu schützen? Haben Hosting-Anbieter eine moralische Verantwortung für die Inhalte, die sie hosten?

Der Film zeigt, wie sich die Strategien der Cyberkriminellen weiter entwickelt haben: Längst sind sie für ihre Geschäfte nicht mehr von Bunkern oder Offshore-Plattformen abhängig, vielmehr versteckten sie sich nun bevorzugt „in Sichtweite", wie O'Murchu es ausdrückt.

In der Norton-Doku wird erläutert, dass Cyberkriminelle mittlerweile bevorzugt reguläre Hosts oder seriöse Websites, die sie vorher gehackt haben, nutzen, um dann ihre Malware-Aktivitäten durch die Errichtung mehrerer Hubs zu verschleiern. Wenn Behörden oder Sicherheitsexperten den Ursprung eines Hacking-Angriffs aufspüren wollen, müssen sie dann zunächst etliche Proxies und Speicherorte durchsuchen.

Eine andere Taktik, die die Dokumentation aufdeckt, ist die Nutzung von leerstehenden Wohnungen, die kriminelle Hacker als Geschäftsadresse angeben. Sobald jemand den korrumpierten Hostern auf die Spur kommt, sind sie auch schon wieder verschwunden. Durch diese hochflexiblen Strukturen „sind die Angreifer schneller weg, als die Strafverfolgung den Durchsuchungsbefehl ausgestellt hat", sagt Sicherheitsforscher O'Murchu.