Der Cyberbunker – zwischen digitaler Freiheit und staatlicher Kontrolle

Er war einst Symbol für Anarchie im Netz – ein unterirdischer Datenspeicher, abgeschottet von der Welt. Heute bleibt der Cyberbunker ein Lehrstück über den Konflikt zwischen Technik, Recht und Moral. 2019 stürmten Ermittler den ehemaligen NATO-Bunker in Traben-Trarbach, der als Rechenzentrum galt. Für die Behörden war es ein Schlag gegen das Darknet. Für den Betreiber ein Angriff auf digitale Selbstbestimmung.

Im September 2019 stürmten Spezialeinheiten mit schwerem Gerät den alten NATO-Bunker. Über 600 Einsatzkräfte durchsuchten das Gelände, beschlagnahmten Server und Festplatten. In der öffentlichen Darstellung war der Fall klar: Ein „Darknet-Bunker“ für Kriminelle. Drogenmärkte, Kinderpornografie, Falschgeld – alles soll über diese Server gelaufen sein.

Doch das Bild war komplizierter. Das Unternehmen stellte Rechenleistung zur Verfügung, keinen konkreten Content. Die Betreiber verstanden sich als Hoster – nicht als Komplizen. Ein Vergleich macht das Dilemma deutlich: Auch Waffen können tödlich sein, doch ihre Herstellung ist nicht per se verboten. Entscheidend ist, wer sie nutzt – und wofür. Ähnlich stellt sich die Frage, ob die Bereitstellung sicherer digitaler Infrastruktur bereits kriminell ist, wenn sie theoretisch Missbrauch ermöglicht.

Das Landgericht Trier sprach 2021 ein Urteil: Mitgliedschaft in einer kriminellen Vereinigung, aber keine Beihilfe zu einzelnen Straftaten. Der Bundesgerichtshof bestätigte das Urteil weitgehend. Der entscheidende Punkt: Den Betreibern konnte nicht nachgewiesen werden, dass sie konkrete Taten kannten oder unterstützten.

Während in anderen Ländern – etwa in den USA oder den Niederlanden – Hostinganbieter nur für Inhalte haften, wenn sie davon wissen, wird in Deutschland schon die bloße Bereitstellung geschützter Infrastruktur kriminalisiert. „Nur hier gibt es so ein Gesetz, dass man verantwortlich gemacht wird, obwohl man gar nicht weiß, was auf den Servern läuft“, sagt er.

Tatsächlich lehnten die Gerichte in Trier das Provider-Privileg nach § 10 TMG ab, weil sie davon ausgingen, dass die Betreiber bewusst Strukturen geschaffen hatten, um Ermittlungen zu verhindern. Für ihn hingegen war genau das der Punkt: Er hat das System nicht gebaut, um Verbrechen zu schützen, sondern um Privatsphäre technisch zu garantieren.

Der Betreiber selbst sagte mehrfach, dass er „nicht wusste, was einzelne Kunden tun“. In den Serverstrukturen sei „keine inhaltliche Kontrolle“ vorgesehen gewesen. Er beschreibt den Dienst als „Bankschließfachmodell“ in welchem die Hardware bereit gestellt wird, der Inhalt aber alleine dem Kunden gehöre.

Was er jedenfalls wusste ist, dass auf seinen Servern anonyme Seiten liefen, darunter wohl auch illegale. „Ja, es gab Kunden, da hat man gewusst, das sind keine Engel. Zum Beispiel dieser Mafia-Fall – die hatten Server bei uns. Aber was soll man machen? Man kann nicht einfach alle Kunden rauswerfen, weil man Gerüchte hört.”, räumt der Betreiber ein. Was er nicht wusste, sagt er, sei der konkrete Inhalt.

In Interviews zeichnet der Mann – bekannt unter dem Namen Xennt – hinter dem Cyberbunker ein ungewöhnliches Porträt von sich selbst. Kein klassischer Unternehmer, kein Krimineller, eher ein Nerd mit einer Vision. „Ich wollte keinen Ferrari, ich wollte meinen eigenen Bunker“, sagt er. Er hatte den ehemaligen NATO-Bunker bei Traben-Trarbach 2013 gekauft. Die Idee, in einer ehemaligen Militäranlage zu leben und zu arbeiten, war für ihn die Erfüllung eines Kindheitstraums. „Das innere Kind in mir hat gesagt: Ich hab meinen eigenen Bunker, ist doch geil.“

Technisch zielte sein Konzept auf kompromisslose Sicherheit: „Wir entwickeln alles selbst, sogar die Verschlüsselung.“ Keine Fremdsoftware, keine Hintertüren, keine externen Tools. Andere Hacker hätten das System getestet, erzählt er, um seine Sicherheit zu prüfen, niemand habe es aber hacken können.

In seinen Aussagen steckt eine Überzeugung, die heute aktueller ist denn je: Es gibt keine wirklich sicheren Apps oder Netzwerke. Der Grund liegt, wie er erklärt, in der Art, wie moderne Software gebaut ist. Jede Anwendung, jedes Betriebssystem, jede App enthält fremde Code-Elemente – und damit potenzielle Hintertüren. „Wenn du eine Hintertür einbaust, kannst du die Verschlüsselung gleich vergessen.“

Der Betreiber erklärt, warum selbst populäre Messenger keine absolute Sicherheit bieten: „WhatsApp ist super schlecht, Telegram hat ein riesiges Leak. Signal ist ziemlich sicher, aber auch nicht hundert Prozent wasserdicht.“ Nur Systeme, die komplett selbst entwickelt und offen überprüfbar sind, könnten echten Schutz bieten – wie etwa das Protokoll Element, das aber „viele Nachteile“ habe.

Das ist mehr als technischer Perfektionismus. Es ist eine politische Haltung. Denn eine Infrastruktur, die wirklich unknackbar ist, entzieht sich auch staatlicher Kontrolle. Genau das macht Menschen wie ihn für Behörden zum Problem: Wenn niemand Zugriff hat – auch nicht im Namen der Sicherheit – kollidiert technische Freiheit mit dem Strafrecht.

Der Fall des Cyberbunkers zeigt exemplarisch, wie schwierig es ist, Verantwortung im digitalen Raum zu definieren.
Die Ermittler sagen: Wer ein System baut, das Ermittlungen unmöglich macht, trägt Verantwortung, wenn es missbraucht wird.
Der Betreiber sagt: Wer ein sicheres System baut, schützt Privatsphäre – nicht Kriminalität.

Nach dem Ende des Cyberbunkers und seiner Haftzeit begann für den Betreiber ein neues Kapitel. Einige Jahre saß er in Untersuchungshaft und anschließend in Strafhaft – eine Zeit, die er laut eigener Aussage nutzte, um nachzudenken, nicht um aufzugeben.

Dabei entstand CREO, ein Projekt, das er als konsequente Weiterentwicklung seiner Ideen beschreibt. CREO soll die Grundsätze des Cyberbunkers – Datensicherheit, Unabhängigkeit, technische Eigenständigkeit – in eine neue Form überführen. Es soll, wie er betont, aus den Fehlern der Vergangenheit lernen. „Das Netz kann nur sicher sein, wenn es niemandem gehört“, sagt er. CREO basiert auf dezentralen Systemen, die sich selbst organisieren und absichern, ohne zentrale Instanz. Ziel sei es, „eine Kommunikationsarchitektur zu schaffen, die wirklich sicher ist – ohne Kompromisse, aber auch ohne Isolation“.

Aktuell läuft für CREO ein Crowdfunding, mit dem die erste Entwicklungsphase finanziert werden soll – ein Versuch, aus dem Schatten des Cyberbunkers heraus ein öffentliches, gemeinschaftlich getragenes Projekt zu schaffen.