Cyberbunker-Prozess Datenberge und Zeitdruck
Acht Angeklagte und zwei Millionen Gigabyte Daten: Im sogenannten Cyberbunker-Prozess kämpfen die Ermittler auch gegen die Zeit. Hilfe kommt vom FBI.
Am 26. September 2019 schlägt die Polizei zu. Nach rund vier Jahren Ermittlung durchkämmen 766 Einsatzkräfte den sogenannten Cyberbunker, einen alten NATO-Bunker oberhalb der Mosel in Rheinland-Pfalz. Sie inspizieren das 13 Hektar große Areal, steigen mehrere Stockwerke in den Betonkoloss hinab. Die Verdächtigen, die sonst rund um die Uhr hier arbeiten, wurden vorher durch eine List in eine Gaststätte gelockt.
Im zweiten Untergeschoss des Bunkers stellen die Ermittler mehr als 400 Rechner sicher, auf denen wiederum Hunderte virtuelle Server eingerichtet sind. Der Cyberbunker ist bis dato nicht nur eines der größten Rechenzentren seiner Art - er markiert auch den Beginn eines technischen und juristischen Kraftaktes, der Ermittler, Informatiker und Staatsanwaltschaft noch immer herausfordert.
Genau ein Jahr ist es nun her, dass Anklage gegen die acht Beschuldigten erhoben wurde: vier Niederländer, drei Deutsche und ein Bulgare. Ihnen wird die Bildung einer kriminellen Vereinigung und Beihilfe zu Straftaten in mehr als 249.000 Fällen vorgeworfen. Auf den Rechnern im Cyberbunker wurden Webseiten im Darknet gehostet, über die massenweise Drogen, Kinderpornografie, Falschgeld, Waffen und gestohlene Daten verkauft wurden. Kaum etwas, was es dort nicht gab - sogar Auftragsmorde sollen angeboten worden sein. Seit Oktober vergangenen Jahres läuft der Prozess am Landgericht Trier.
Für die Ermittler spielen vor allem zwei Faktoren die entscheidende Rolle: die Datenmenge und die Zeit. Inzwischen seien die Daten der Server zu mehr als 90 Prozent ausgewertet, sagt Patrick Fata, Chef der zuständigen Sonderkommission "Lux" im Landeskriminalamt in Mainz. "Eine Vollauswertung der Daten auf den Servern würde aber noch Jahre dauern", ergänzt er. Denn aufwendige Anschlussermittlungen würden folgen.
Beim laufenden Verfahren fokussiert sich das Interesse des LKA zurzeit auf die "persönlichen Asservate" der Beschuldigten, darunter allein 57 Smartphones. Es gehe darum, "die Kommunikation zwischen den Angeklagten zu erhellen", sagt Fata. So solle auch herausgefunden werden, wer nur eine Randfigur gewesen sei. Diese Auswertung dürfte noch drei bis sechs Monate in Anspruch nehmen, schätzt er.
Die Herausforderung wird den Ermittlern schon kurz nach dem Zugriff im Bunker bewusst. Drei Monate verbringen die Technikexperten dort, um die Daten auf den Rechnern zu sichern. Dafür erstellen sie "forensische Kopien". Mit spezieller Software können sie dann darin nach bestimmten Inhalten suchen, etwa nach gehosteten Webseiten, Emails und Fotos. Manches müssen sie sogar selbst programmieren, beispielsweise um mehrere miteinander verbundene Festplatten gleichzeitig auslesen zu können. "Aber allein durch die Masse der Daten sind wir zeitlich beschränkt", sagt IT-Forensiker Matthias Müller vom LKA. So brauche allein das Kopieren der Daten seine Zeit. Bei einer Datenmenge von zwei Millionen Gigabyte heißt das eben: Monate.
Hilfe vom FBI
Hinzu kommt, dass Dateien verschlüsselt wurden. Unter anderem mit Hilfe des FBI gelingt den Ermittlern der Zugriff auf manche verschlüsselte Bereiche, wie Kriminalhauptkommissar Fata erzählt. Andere bleiben ihnen wohl für immer verborgen: "Es gibt nun mal Szenarien, bei denen wir einfach nicht auf die Daten zugreifen können."
Damit hadert im Prozess der Vorsitzende Richter. Immer wieder fordert er Details, an die die Ermittler schwer herankommen und drückt aufs Tempo bei der Auswertung der Daten. "Da muss sich der Richter nun mal der Realität stellen", sagt Fata. Es gebe technische und personelle Grenzen. Die Ermittler dürften sich bei dem komplexen Verfahren keine Fehler erlauben - Zeitdruck sei da kontraproduktiv.
Nichts gewusst?
Auch auf juristischer Ebene birgt der Prozess Brisanz. Die Kernfrage lautet: Was wussten die Betreiber der Server von den illegalen Aktivitäten, die sie ermöglicht haben? Der Hauptangeklagte Herman X. sagte bereits kurz nach seiner Festnahme, nichts davon gewusst zu haben; vor Gericht sagte er noch nicht aus.
Beim LKA in Mainz sieht man das anders. "Es gibt nicht den einen entscheidenden Beweis, aber viele Indizien, die ein eindeutiges Bild ergeben", sagt Ermittler Fata. Auch IT-Experten betonen vor Gericht, dass die Bunker-Betreiber sehr wohl Zugang zu Kundendaten gehabt haben, obwohl diese das stets bestritten hatten. "Sogar der Wachmann wusste, was auf den Servern ist", meint auch Fata. Weitere Details soll demnächst die Aussage eines verdeckten Ermittlers liefern, der als Gärtner am "Cyberbunker"-Areal eingeschleust worden war.
Käme es zu einer Verurteilung, wäre damit wohl ein Präzedenzfall geschaffen. "Das Verfahren ist juristisches Neuland", sagt Jörg Angerer, der zuständige Oberstaatsanwalt von der Landeszentralstelle Cybercrime in Koblenz. Für das Betreiben von Rechenzentren für illegale Plattformen gebe es schließlich keinen eigenen Tatbestand. Ob die Angeklagten sich aber dadurch der Beihilfe schuldig gemacht haben, soll sich bis Jahresende entscheiden - zumindest sind bis dahin die Verhandlungstermine angesetzt. Gut möglich aber, dass dann keine endgültige Entscheidung in Trier fällt. "Ich gehe davon aus, dass Rechtsmittel eingelegt werden", sagt Angerer. Dann könnte sich noch der Bundesgerichtshof mit dem "Cyberbunker" befassen.