Samenvatting:

Het Nederlandse bedrijf Cyberbunker bood vanaf circa 1995 ‘bulletproof hosting’ aan: internetdiensten die moeilijk te traceren zijn, waarbij het verkeer versluierd wordt en een minimum aan klantenadministratie wordt bijgehouden. Bulletproof hosting is vooral voor mensen met schimmige motieven zeer interessant.

Cyberbunker benadrukt in zijn marketing dat het bedrijf deze diensten daadwerkelijk vanuit een bunker aanbiedt: vanaf circa 1996 bij Goes, sinds 2013 in een bunker bij de Moezel, in Traben-Trarbach in Duitsland. Eind september 2019 doet de politie daar een inval met 650 dienders aan te pas, plus een anti-terreureenheid. De oogst: 200 servers, gegevensdragers, wat contant geld. Zeven verdachten worden aangehouden in een restaurant waarheen ze zijn gelokt door een infiltrant.

Koude naar warme oorlog

Met 5.000 inwoners is het dorpje Traben-Trarbach aan de Moezel, dichtbij de Luxemburgs-Duitse grens, een pittoreske pleisterplaats voor babyboomers en bejaarden. De weidse bossen in de omgeving waren een ideale plek voor de NAVO-bunker die er in 1955 werd gebouwd, als vesting in de Koude Oorlog met Rusland.

Vanaf 2013 bood het Bundesanstalt für Immobilienaufgaben (BImA), de instantie die onroerend goed van de staat verkoopt, honderden bunkers aan die in de Koude Oorlog als atoomschuilkelders dienden, zowel ‘burgerbunkers’ in steden (‘Faszination Bunker’) als militaire bunkers in de bossen. Dat kwam ter ore van Herman-Johan Xennt, een toen 53-jarige Nederlandse IT-ondernemer en vrijbuiter met criminele neigingen.

Voor maar 350.000 euro werd Xennt in juli 2013 eigenaar van een bunker in Traben-Trarbach: 5.550 m2 kantooroppervlak, verdeeld over vijf grotendeels ondergrondse etages, en 13 hectare grond; een koopje. De gemeente stemt in met Xennts plannen voor het trekken van een zware energiekabel, de aanleg van een laad- en losplaats voor vrachtverkeer, plus het optrekken van een beschermingswal van twee meter hoog. In 2018 komen er glasvezelverbindingen bij.

Gemeenteraadsleden weten niet precies wat hij met het complex wil aanvangen, maar Xennt verzekert ze dat hij met zijn bedrijf Calibour GmbH – opgericht vanaf een woonadres in Bochum – wel honderd arbeidsplaatsen kan scheppen met het hosten van websites en internetapplicaties. Het verkeer van zijn klanten wil hij met zijn cyberbunker beschermen tegen ‘Einbrechern, Wirbelstürmen, Erdbeben, Flugzeugabstürzen, Atombomben, Mitbewerbern und Regierungen’. Iedereen is welkom, behalve exploitanten van kinderporno en ‘alles wat met terrorisme te maken heeft’.

De Duitse politie laat op een persconferentie beelden van het terrein zien. Rechtsboven: de bunker zelf.

Inval bij de bossen langs de lieflijke Moezel

Maar op 26 september 2019 is het plotseling einde oefening voor Calibour, hun bedrijfsbunker en Cyberbunker.com. De politie van de deelstaat Rheinland-Pfalz ontmantelt met groot vertoon het datacenter. Op een persconferentie (in zijn geheel op YouTube te zien) delen de top van het Landeskriminalamt (LKA) van Rheinland-Pfalz en het Openbaar Ministerie een dag later hun triomf met de Duitse pers.

Volgens politiebaas Johannes Kunz zijn 200 computers met daarop tenminste 2000 virtuele servers ontkoppeld; die zouden gebruikt zijn voor de hosting van criminele diensten, zoals handel in drugs, verspreiding van kinderporno en distributie van software voor cybercrime. Het ging onder meer om de websites van Cannabis Road, Wall Street Market (de eBay van illegale spullen), OrangeChemicals, AceChemstore, LifestylePharma en (het Zweedse) FlugsVamp 2.0. Ook zouden vanuit Cyberbunker, als onderdeel van een mondiale aanval, in 2016 bijna een miljoen routers van klanten van Deutsche Telekom gekraakt zijn.

Bij de operatie waren 650 dienders betrokken, en voor het eerst werd de eenheid voor terreurbestrijding GSG9 ingezet bij de ontmanteling van cybercrime. ‘De grootste militaire kracht, zowel analoog als digitaal, is gedurende een periode van intensieve voorbereiding opgetuigd om de beveiliging van de bunker te kunnen verbreken,’ meldt Kunz.

De oogst, benevens de computers, veel datadragers en ‘bedrag van hoog in de vijf cijfers’ aan contant geld: zeven mensen zijn aangehouden, zes mannen en een vrouw. Ze variëren in leeftijd van 20 tot 59 jaar: Xennt is de oudste, de drie overige Nederlanders – waaronder ook een zoon van Xennt – zijn 49, 33 en 24. De woordvoerster van de politie van Rheinland-Pfalz wil hun identiteit niet nader toelichten. Wel deelt ze mee dat zes van de zeven in een ‘Gaststätte’ in het dorp gearresteerd zijn. Kennelijk bewaakten Xennt en zijn companen hun fort niet toen de politie voor de poort stond.

Nog zes anderen worden verdacht, maar de openbaar aanklager in Koblenz verschaft over hen geen nadere informatie. Er zijn 18 huiszoekingen uitgevoerd in Duitsland, Polen, Luxemburg en Nederland. De verdachten wordt volgens Kunz medewerking aan handel in drugs, kinderporno en vals geld, plus belastingfraude en witwassen ten laste gelegd. Het voorarrest, zo laat aanklager Jürgen Brauer op vragen van FTM weten, duurt maximaal een half jaar, tenzij onderzoek tot langer vasthouden noopt.

De dorpelingen van Traben-Trarbach schrikken zich een ongeluk nu ze ineens wereldnieuws zijn. Die bunker is een brandhaard van misdaad: handel in drugs, kinderporno en wapens? Kennelijk klopten de geruchten over dat terrein, waar niemand durfde te komen vanwege de angstaanjagende waakhonden.

Licht in de donkere tak van internet

Het centrale woord in de verslaggeving is Darknet, ook in de Nederlandse pers een veelgebruikte term voor de geheime krochten van internet, waar criminele activiteiten zouden plaatsvinden. Maar zo verscholen is dat Darknet niet. De websites daar worden weliswaar geweerd van Google, maar hebben gewoon IP-adressen, net als elke andere site.

 Wie op zoek is naar drugs en wapens, of naar computervirussen en phishing-trucs, kan het Darknet na wat instructie makkelijk vinden. Ook politie- en inlichtingendiensten zijn er vaste klant, zoals de Nederlandse Nationale High-Tech Crime Unit. De NHTCU rolde in 2017 zwarte markten op met informatie die zij zo had vergaard.

De NHTCU blijkt ook betrokken te zijn bij de ontmanteling van Cyberbunker. Erik van de Sandt, strategisch onderzoeker bij de Landelijke Eenheid van de Nationale Politie in Driebergen, vertelt FTM dat het voornamelijk rechtshulpverzoeken van Duitsland betrof, Duitsland zocht informatie over Nederlandse betrokkenen bij Cyberbunker.

Maar de Nederlandse politie deed meer dan informatie verstrekken: gelijktijdig met de Duitse inval in Traben-Trarbach voerde zij huiszoekingen in Nederland uit. Volgens de Nederlandse politiewoordvoerder betrof het panden in Rotterdam, Ouderkerk aan de Amstel, Nijmegen en Langenboom; in Nijmegen werd een verdachte ingerekend, bij de andere adressen werden computers en informatiedragers in beslag genomen. Volgens Kunz was de NHTCU, samen met de digitale recherche van vijf Duitse deelstaten, voorts intensief bij het vooronderzoek betrokken.

‘Onze lange adem heeft zich uitbetaald. Deze zaak is gigantisch,’ aldus Kunz. De politie meldt een complexe eigendomsstructuur te hebben blootgelegd, met een Nederlandse stichting als hoofdeigenaar; Kunz vermoedt voorts internationale criminele deelname.

De Duitsers hielden volgens Kunz de bunker in het bos aan de Moezel vanaf 2015 in de gaten met een onderzoeksgroep, EG-Tunnel geheten. Dit vanwege het verleden van Xennt en andere betrokkenen: zijn Nederlandse ‘filiaal’ van Cyberbunker in het Zeeuwse Kloetinge was al herhaaldelijk in verband gebracht met criminele activiteiten. Dat een inval zo lang op zich liet wachten, komt volgens de Duitse politiewoordvoerster omdat de ‘onderzoekingen veel tijd vergden en zeer intensief waren’.

Dat Xennt c.s. al die jaren hun gang konden gaan, doet vermoeden dat de Europese opsporingsdiensten Cyberbunker als honeypot zag: een plaats waartoe zij zich toegang hadden verschaft, en vervolgens als informatiekanaal konden benutten om de aanbieders van ondergrondse waren en hun klanten in beeld te brengen. Van de Sandt van de Landelijke Eenheid: ‘Je hypothese is onjuist.’

Minder fraai verleden

Xennt werd als Herman Johan Verwoert-Derksen op 10 november 1959 geboren in het Gelderse Renkum. ‘Als je hem kwaad wil krijgen, moet je z’n oude achternaam of zijn voornamen gebruiken. Het is Xennt en niets anders. Zijn kinderen gaf hij voornamen met een X,’ zegt een ex-compagnon.

In 1996 koopt Xennt voor een grijpstuiver een voormalige NATO-bunker in Kloetinge bij Goes en begint daar een lucratief datacentrum. Hij krijgt later hulp van Sven Olaf Kamphuis, de eigenaar van hostingbedrijf CB3ROB: een briljante nerd die de donkere kanten van het net goed kent en uitbaat. De grens tussen legaal en illegaal is flinterdun, maar officieel weet een hoster nooit precies wat een klant stalt. Kamphuis zei eerder: ‘We waren wat betreft hosting de grootste pornoboer van Europa.’

Bij het blussen van een brand die in 2002 in de Kloetingse bunker woedt, wordt onder meer een xtc-lab aangetroffen. Xennt komt weg met de smoes dat hij de betreffende ruimte aan een schildersbedrijf had verhuurd. De affaire maakt dat de gemeente Goes definitief weigert het bedrijf de ontheffing van het bestemmingsplan te verlenen, dat nog altijd ‘militaire doeleinden’ vermeldt. Cyberbunker besluit de hosting te verhuizen naar ‘gewone’ datacenters in Amsterdam.

In 2005 duikt Xennt opnieuw op. Het Nederlandse bedrijf UNIDT wil naast de vertrouwde topleveldomeinen (tld’s) als .nl, .com en .net eigen tld’s invoeren en verkopen, zoals .schiphol, .sex en .shop. De internationale domeinbewaker ICANN steekt daar een stokje voor (maar voert later zelf nieuwe tld’s in, zoals .amsterdam). De technisch beheerder van de alternatieve domeinhandel van UNIDT is Public Root Ltd. In een rechtszaak stelt Xennt de eigenaar van Public Root te zijn. Duidelijk is dat het een technisch uitgelezen project betreft, buitengewoon slim opgezet, dat het hart van internet raakt.

Dat vernuft zetten Xennt en Kamphuis opnieuw in wanneer ze kort daarna, samen met ex-programmeurs van de ING, een internetbank trachten te ontwikkelen. Bank66 moest een wereldwijd online betalingssysteem worden, zoiets als Paypal, maar met meer bancaire functies. Xennt schermt met afspraken met Van Lanschot Bankiers. Bank66 kwam er niet, maar Xennt begon later onder diezelfde naam wel een bitcoinbeurs die hij in het criminele circuit promoot als ‘World’s number 1 Bitcoin exchange bank’. (De Duitse Justitie zette de site na de inval op zwart. Inmiddels heeft Kamphuis de domeinnaam terug gekaapt. De enige tekst op de site: ‘Seized back by the government of Cyberbunker’.)

Kamphuis bij de Cyberbunker. Beeld: Facebook

Grootste DDoS aanval ooit

In maart 2013 komen Xennt en Sven Olaf Kamphuis in het nieuws vanwege hun oorlog tegen het Geneefse Spamhaus, ’s werelds grootste bestrijder van ongewenste reclame-mail (spam). Spamhaus had – volgens Xennt en Kamphuis ten onrechte – CyberBunker, CB3ROB en aanverwante sites op een zwarte lijst gezet wegens het faciliteren van spam.

Kamphuis weet met wat kompanen, verenigd in de gelegenheidscoalitie Stophaus Movement, een leger van botnets te mobiliseren: netwerken van gekraakte computers van gewone internetgebruikers. Doordat hij het botnet in korte tijd miljoenen keren de site van Spamhaus laat bezoeken, raakt die onbereikbaar. De stortvloed aan internetverkeer – een zogeheten distributed denial of service, DDoS – is zo intensief dat er tien dagen lang overal op internet vertraging merkbaar is.

De aanval haalt de internationale media, waaronder The New York Times, Bloomberg en CNN. De Kloetingse bunker fungeert als smakelijk strijdtoneel voor de pers. De BBC stuurt zelfs een correspondent naar de Zeeuwse bossen; tevergeefs, want de bunker is niet langer in gebruik.

Kamphuis zelf heeft inmiddels de vrijstaat Cyberbunker uitgeroepen, en noemt zich ‘Minister of Foreign Affairs and Telecommunications of the Republic CyberBunker’. Als ‘bewindsman’ van deze vrijstaat is hij zonder vaste woon- of verblijfplaats en ‘woont’ hij in een busje met apparatuur. Hij meent in zijn recht te staan met zijn aanval op Spamhaus, een instantie die volgens hem de vrijheid van internet tart, en pronkt met zijn huzarenstukje. Juridisch is dat onhandig. Interpol en Europol vaardigen opsporingsbevelen uit. In april 2013 wordt hij in Spanje gearresteerd en hij brengt uiteindelijk 55 dagen in voorarrest door.

Farce of façade?

Officieel vond de aanval op Spamhaus plaats vanuit Cyberbunker, maar de feiten liggen anders. Uit de rechtszaak bleek dat Kamphuis in Nederland de netwerken van XS4all en Surfnet voor de DDoS had misbruikt, en in de VS Cloudflare en Amazon Web Services.

Pas eind 2016 volgt het vonnis. De rechtbank Rotterdam veroordeelt Kamphuis, dan 39 jaar oud, als medepleger tot 55 dagen celstraf (gelijk aan het voorarrest), plus een half jaar voorwaardelijk. Het vonnis is mild: Kamphuis wordt zelfs vrijgesproken van deelname aan de criminele organisatie Stophaus Movement, die de aanval uitvoerde.

De allure van een fysieke bunker en het air van soevereiniteit blijken weinig meer te zijn dan verkooppraatjes van Cyberbunker en zijn wederverkopers, een marketingsaus waarmee ze hun aanbod van van bulletproof hosting royaal overgieten. In die sector concurreerde Cyberbunker.com immers met een groeiend aantal bedrijven dat digitale criminaliteit onderdak biedt onder openlijke garantie van onaantastbaarheid en onbereikbaarheid voor opsporingsdiensten.

Het vrijbuitersimago werd vanaf 1996 vanuit Kloetinge en vanaf 2013 op Cyberbunker.com zorgvuldig gecultiveerd, compleet met testimonials van klanten die zelf ook strijd voeren met autoriteiten – zoals Pirate Bay, dat enige tijd onderdak vond bij CB3ROB van Kamphuis. Maar van idealisme kan de schoorsteen niet roken. Geld komt van het faciliteren van schimmige sites.

Drugshandelaar op bezoek

In november 2015 – eerder dat jaar was het Duitse team al het onderzoek naar Xennt en Cyberbunker gestart – brengt de Ierse krant Sunday World Xennt in verband met drugshandel. De link: Ierlands bekendste drugscrimineel George Mitchell, in eigen land ook bekend als The Penguin en The Godfather of Crime. Onder de valse naam George Green opereert hij als spil tussen Colombianen, Russen, Afghanen en Turken.De krant publiceert een foto van Xennt en Mitchell in Traben-Trarbach, en van de bunker.

‘Die publicatie was een klap voor Xennt,’ zegt een ex-medewerker. ‘In zijn bunker waande hij zich altijd veilig, wat hij ook deed.’ De politie vermoedt dat de twee samenwerken: Xennt zou de beveiligde communicatie voor de louche zaken van Mitchell verzorgen. Kamphuis meldt FTM dat Xennt en ‘The Penguin’ inmiddels gebrouilleerd zijn, maar die bewering is niet controleerbaar.

Sunday World, 15 november 2015. (Duitse justitie liet Cyberbunker nog bijna vier jaar voortbestaan.)

Catch-22

Op grond waarvan verkreeg de Duitse politie gerechtelijke toestemming om het verkeer van en naar Cyberbunker te tappen? Officieel kan dat louter op grond van een reële verdenking. ‘Dat is een catch-22,’ zegt Michel van Eeten, hoogleraar Governance en Cybersecurity aan de TU Delft. ‘Om een tap te mogen inzetten tegen hosters, moet je sterke aanwijzingen hebben dat ze moedwillig illegale activiteiten faciliteren. Maar zulke aanwijzingen verkrijg je meestal pas als je kunt aftappen.’ Bijkomend probleem: ‘Wanneer dat verkeer geanonimiseerd over het Tor-netwerk loopt, kun je de aard ervan niet achterhalen.’

De Nationale High-Tech Crime Unit wil niets kwijt over haar mogelijkheden om Tor-verkeer te tappen, noch of er vanuit Nederland iets is ondernomen om de bulletproof hosting van de Duitse Cyberbunker en zijn klanten in beeld te krijgen.

Bulletproof hosters trekken de aandacht van zowel criminelen als politie, aldus Luuc van der Horst van Team High-Tech Crime, juist vanwege hun coulante beleid, de technische versluiering die ze toepassen en hun belofte om slechts een minimale klantenadministratie bij te houden. Sommigen bieden zelfs indirect de mogelijkheid tot witwasserij via cryptocurrency.

Cyberbunker.com past precies in dit beeld. Bewaarde pagina’s in het internetarchief laten er weinig misverstand over bestaan dat het bedrijf de grenzen van de wet graag opzoekt of zelfs overschrijdt. Juist om die reden staat Cyberbunker uitstekend aangeschreven als toeverlaat voor ‘OffShore and Anonymous Hosting’. Xennt c.s. bieden klanten een ‘hardcore approach to security and privacy’. Anonimiteit voor registraties en betalingen is optimaal; in die zin levert Cyberbunker een techno-variant van een Zwitserse bankrekening of een brievenbusfirma aan de Zuidas.

Alleen kinderporno en terroristen zijn volgens het bedrijf niet welkom, maar de Duitse aanklacht vermeldt niettemin doelbewuste hulp bij de verspreiding van kinderporno. Van der Horst kent de kop-in-zand-methode van deze hosters: ‘Dat deze partijen zeggen geen kinderporno te willen hosten, betekent niet altijd dat ze dat ook niet doen. Ze controleren zo min mogelijk wat er op hun servers staat en willen liefst niet weten met welke partijen ze van doen hebben.’

Het anarchisme dat de exploitanten van de bunker openlijk belijden en de aantrekkingskracht die dat op criminelen uitoefent, leidt tot een licht schizofrene situatie. Kamphuis kwam er eerder bij de rechter mee weg, maar tegen Xennt heeft de Duitse politie vier jaar lang bewijzen kunnen verzamelen om de verdenking van medeplichtigheid aan criminaliteit te onderbouwen.

De Duitse officier van Justitie Jürgen Brauer verwacht dat de afhandeling van de zaak vele maanden, mogelijk zelfs jaren, in beslag zal nemen. ‘Dienstverlening aan digitale criminelen is op zich niet strafbaar,’ zegt Brauer tegen FTM, ‘dus we hebben veel inspanningen moeten leveren om vast te stellen dat de aangehouden personen op de hoogte waren van die activiteiten en actief zulke klanten wierven.’ Hij bevestigt dat onder meer transacties van de betalingen van de hosting, grotendeels in bitcoins en doorgaans anoniem, zijn getraceerd. De politie wil niet zeggen of zij hulp heeft gekregen van een infiltrant of informant van Cyberbunker.

Bunkers, kluizen en mijnen

Resteert de vraag naar nut en noodzaak van een bunker om digitale activiteiten te beschermen: vereist bulletproof hosting echt een dergelijke mate van fysieke bescherming? Waartoe dient een bunker, nu je je ook vanaf een zolderkamertje illegaal op internet kunt opereren? En is zo’n bunker niet juist een extra aantrekkelijk doelwit voor opsporingsdiensten?

Delen van de infrastructuur in bunkers onderbrengen kwam tijdens de Koude Oorlog in zwang. KPN (toen nog: de PTT) huisde telex-centrales diep onder de grond bij Bussum; het Rijk had een fysiek Computer Uitwijk Centrum in Flevoland. Vliegtuigbouwer Fokker onderhield daar minstens tot eind jaren tachtig een ondergrondse bunker, waar een schaduw-computersysteem draaide. Ook oude, zwaar beveiligde bankgebouwen dienden geregeld als computercentra. De NATO in Brunssum bracht haar systemen in oude mijnen onder. KPN heeft pas bij de instelling van het Nationaal Noodnet in 2010 afscheid genomen van eerdere 17 bunkers. 

Telecom- en internetexpert Hendrik Rood: ‘Nodig is zulke fysieke beveiliging niet, want cybercriminelen zijn slim genoeg om opsporingsdiensten om de tuin te leiden met onvindbare en beschermde verbindingen, zoals met VPN. Studenten in Twente hadden destijds de servers met illegaal beschikbare video’s, vooral porno en muziek, onder hun bed staan.’ Maar vaak worden ze toch gevonden. Rood: ‘Tegen Pirate Bay is lang juridisch strijd gevoerd, maar uiteindelijk zijn er ook servers in beslag genomen.’

Maar Rood kan zich goed voorstellen waarom criminelen bedrijven als Cyberbunker prefereren: ‘Exploitanten van illegale markten voor wapens, drugs en kinderporno willen liever niet in een datacenter in Amsterdam zitten waar beveiligingscamera’s elke beweging vastleggen. Die verkiezen een locatie waar de man bij de deur niet iedere binnenkomende eigenaar van een server noteert, zeg maar.’

Fysieke inzet bij opsporing door politie is echter zeldzaam, dus daar bekommeren cybercriminelen zich nauwelijks om. Dat maakte de grootscheepse inval in Duitsland tot een unicum – de bunker werd opgerold en ontmanteld in een uitgekiende politieshow. Maar ondertussen zaten de anarcho-boeven iets verderop aan het bier en de bratwurst in het gezapige Traben-Trarbach...

Naschrift, 14 december 2021:

Deze week werd in Duitsland de rechtszaak tegen de betrokkenen afgerond. NRC Handelsblad publiceerde een artikel over het vonnis [evenals Netkwesties]

‘Een 62-jarige Nederlander die de leiding had, kreeg maandag de langste straf te horen voor deelname aan een criminele organisatie: vijf jaar en negen maanden. Ook zijn 35-jarige zoon moet vier jaar en drie maanden de cel in. De andere zes verdachten – onder wie nog twee Nederlanders – kregen lagere celstraffen voor hun rol in de “cyberbunker“.’ [..] De cyberbunkergroep had volgens het Duitse OM grote darknetmarkets als klant, ondergrondse marktplaatsen waar allerlei duistere waar wordt verhandeld.’

*) Een versie van dit artikel verscheen eerst op 11 oktober 2019 bij Follow the Money, onder de bezielende eindredactie van Karin Spaink. Op 23 augustus 2024 is dit artikel, met de publicatiedatum van 2019 gepubliceerd op Netkwesties