Datacenter in bunker Traben-Trarbach werd 6 jaar door politie gemonitord

Op 26 september 2019 vielen 650 politieagenten en specialisten een bunker in Traben-Trarbach binnen. Tegelijkertijd werden in een restaurant in de buurt zeven personen aangehouden. Over deze zaak en de huidige status is een week terug in het Duitse magazine WirtschafsWoche een goed artikel verschenen.

Boven tafel

De inval in de bunker in de gemeente Traben-Trarbach die als datacenter werd gebruikt was schijnbaar al lang voorbereid. Thomas Kuhn van WiWo heeft door gesprekken met zowel de burgemeester van het dorp waar de bunker ligt en het OM in Wiesbaden een interessante feiten boven tafel gekregen. Het artikel dat hij geschreven heeft staat achter een betaalmuur. Een paar van de punten worden hier benoemd.

Vroege fase

In de pers is al veel aandacht besteed aan de verkoop van het bunkerterrein. De burgemeester was bezorgd omdat de reputatie van de Nederlanders hem bekend was. Hij heeft daarover al in een vroege fase contact gehad met de cyber crime medewerkers van het LKA (Landeskriminalamt), maar zij hadden niet de middelen de verkoop te dwarsbomen. Iets als een BiBob (al dan niet toegespitst op cybercrime) bestaat zo te zien niet in Duitsland).

Voorbereidingen

Toen de verkoop eenmaal een feit was (2013) is men begonnen het object in de gaten te gaan houden. Dat leverde vanaf de start problemen op. Omdat het voormalige militair terrein betrof was de ligging van de stroom- en glasvezelkabels onbekend. Als er al iets in Duitsland bestaat als klic-meldingen, deze locatie stond er niet genoemd. Uiteindelijk is het LKA via het doorpluizen van militaire archieven achter de bouwplannen gekomen. Dat die geen openbare archieven zijn ligt voor de hand. Hoe de toestemming geregeld is heeft Kuhn verder niet beschreven. Dat zoiets heel veel tijd kost spreekt voor zich. Dat het LKA over deze kennis wilde beschikken zegt overigens al veel over de aard van acties die men voorbereidde. Trefwoorden: aftappen, bewijs verzamelen en pas daarna binnenvallen.

Amateurisme

Amateurisme heeft in deze zaak ook een grote rol gespeeld. Hoewel het terrein fysiek goed beschermd was heeft Kuhn van het LKA en/of OM gehoord dat een deel van de communicatie niet was afgeschermd. Met name het contact tussen de datacenter crew en de klanten kon schijnbaar moeiteloos onderschept worden. Dat amateurisme verbaasd en zal juridisch verstrekkende gevolgen hebben. Een van de meldingen die namelijk is onderschept betreft de het doorgeven van klachten over DDoS aanvallen tegen Spamhaus. Het datacenter bood de klant schijnbaar extra service aan om dergelijke aanvallen beter te kunnen doorvoeren.

Kantje boord?

Kuhn schrijft dat eind 2017 met monitoren van het datacenter en de medewerkers “opeens” in gevaar kwam. De cyberspecialisten die dit deden waren voor andere klussen nodig. De voorbereidingen voor inval en vervolging werden door het LKA te belangrijk gevonden, dus men is met middelen en mensen gaan schuiven. Welke zaken opeens belangrijker waren heeft Kuhn niet genoemd. Maar zijn suggestie dat het kantje boord was klinkt niet geloofwaardig. Vanaf 2018 heeft immers een groot aantal internationale acties plaatsgevonden tegen illegale marktplaatsen. Formeel betreft dat andere onderzoeken, maar een deel van de services die hiervoor nodig was kwam wel uit de bunker in Traben-Trarbach. In het geval van “Wallstreet Market” was er mogelijk zelfs een 100% match.

Status

De verwachting is dat uiterlijk “in het voorjaar” de laatste fase van een zes (!) jaar durend onderzoek start. Dan zijn namelijk de aanklachten tegen zeven personen rond. Deze groep, waaronder Herman-Johan X. en Sven Olaf K., zit sinds de inval in hechtenis vanwege de hoge kans op vluchtgevaar en sabotage. Het LKA heeft Kuhn laten weten dat tot op heden niet een legaal internet aanbod op de servers hebben aangetroffen. Geen van de klanten heeft zich tot op heden ook gemeld om toegang tot de hardware of data te krijgen.

(de foto’s zijn afkomstig van de Duitse politie)