HOME

Cyberkriminalität: Die Jagd auf Avalanche

Hacker raubten Hunderte Millionen Euro von Onlinekonten. Bis Ermittler aus der deutschen Provinz ihr geheimes Netz zerstörten. Ein wahrer Cyberkrimi.

Von Lukas Heiny

Jagd auf Avalanche

Der Staat schlägt zurück. Erstmals machten Strafverfolger und Datenexperten wirklich gemeinsame Sache. 41 Länder beteiligten sich. Vorneweg: Staatsanwälte aus Verden an der Aller.

Und dann, Punkt 20 Uhr, poppt auf seinem Handy eine Nachricht auf: "AVALANCHE IS DOWN!"

Sie haben es wirklich geschafft.

Für diesen Moment hat Frank Lange die vergangenen vier Jahre gearbeitet, dafür ist er durch halb Europa gereist, hat sich hinabbegeben in die dunkelsten Winkel der Cyberwelt, hat die letzten Nächte kaum geschlafen. Seit morgens um vier harrt er jetzt tief im Innern der Europol-Zentrale in Den Haag aus, umgeben von Spezialisten aus aller Welt. Den ganzen Tag hat er auf die Bildschirme an der Decke gestarrt und über den Chat auf seinem Handy das verfolgt, was der deutsche Innenminister später als "einmalig" bezeichnen wird. Zugriff in der Ukraine, in Litauen, Moldawien, Deutschland, fünf Männer verhaftet. Computerserver auf allen Kontinenten der Erde: abgeschaltet. 830.000 Internetseiten: umgeleitet oder gesperrt. Totaler Takedown.

Frank Lange macht sich an diesem Abend des 30. November 2016 ein Dosenbier auf. Er ist stolz. Auf den größten Schlag gegen die organisierte Cyberkriminalität, den es je gab. Strafverfolger aus 41 Nationen haben ein geheimes Netzwerk zerstört, in das mehr als eine Million Computer eingebunden waren, ohne dass deren Besitzer es wussten. Und über das Kriminelle sich Zugriff auf Bankkonten verschafften und mehrere Hundert Millionen Euro erbeuteten. Das Ende von "Avalanche", dem größten und technisch meisterlichsten Räubernetz, das Ermittler je zu Gesicht bekamen, ist gleichzeitig das Ende einer beispiellosen Jagd. Und der oberste Jäger ist:

Frank Lange, 45, eckige Brille, freundliches Lachen, Oberstaatsanwalt in Verden an der Aller. 2012 hatte die niedersächsische Landesregierung in dem kleinen Städtchen eine ihrer drei Zentralstellen für Cyberkriminalität angesiedelt. Nur in Hessen gab es eine vergleichbare Einheit. Ein Computer-Nerd ist Lange nicht, schon gar kein Hacker. Er ist Experte für organisierte Kriminalität. Im Cyberspace betritt er juristisches Neuland, persönlich und überhaupt. "Wir haben uns vieles selbst beibringen müssen", sagt er, "wir machen hier jeden Tag etwas, was niemand vor uns versucht hat."


Die Spur des Geldes und die Spur der Daten

Einer ihrer ersten Fälle wird der sogenannte Windowsverschlüsselungstrojaner. Und ohne dass Lange es ahnt, beginnt damit der Fall seines Lebens. Der Trojaner ist ein kleines Programm, das sich unbemerkt auf dem Computer normaler Nutzer einnistet, wenn die den Anhang einer verseuchten E-Mail öffnen. Auf dem Bildschirm erscheint dann eine Warnmeldung mit Zahlungsaufforderung. Der Trojaner verschlüsselt Dateien auf der Festplatte der Opfer – und gibt sie erst nach Zahlung eines Lösegelds von 50 bis 100 Euro wieder frei. Wie bei einer Geiselnahme. Es ist eine perfide und zugleich raffinierte Software. Zehntausende Deutsche sind betroffen. Staatsanwalt Lange und die Polizisten von der Zentralen Kriminalinspektion Lüneburg, die all die Jahre mit ihm ermitteln werden, wollen die Täter dahinter erwischen. "Nur konnte kein Mensch einem sagen, wie das geht."

Anders als bei normalen Verbrechen fehlt den Fahndern im Cyberspace fast alles: Sie haben keine Fingerabdrücke, keine DNA-Spuren, keine Zeugen. Die Täter müssen nicht mal am Tatort sein, sie können Tausende Kilometer entfernt in einem Internetcafé die Computer ihrer Opfer ausspähen, deren Passwörter stehlen oder deren Bankkonten leerräumen. Es bleiben nur zwei Ansätze: die Spur des Geldes und die Spur der Daten.

Folgen die Fahnder dem erpressten Geld, verlieren sie sich oft in einem Geflecht aus Strohmännern, Briefkastenfirmen und anonymen Western-Union-Überweisungen. "Wir wollten aber die großen Fische", sagt Lange – sie folgen den Daten. Es wird mühsam, das wissen sie, der Weg erfordert sehr viel Geduld, Einsatz und technisches Wissen. Am 1. Juni 2012 beginnt das Verfahren offiziell, Aktenzeichen: 802 UJs 19056/12. Der deutsche Staat gegen unbekannt.

Die Jäger stoßen auf das größte illegale Computernetz aller Zeiten

Die Spezialisten der Polizei legen los. Sie stoßen auf Server, von denen aus der Trojaner auf die Opferrechner gespielt wurde. Zig dieser Steuercomputer sind gleichzeitig in Betrieb, alle ein bis zwei Wochen wechseln sie. Meist kommen die Ermittler zu spät und müssen von vorn beginnen. Außerdem vermuten sie auf höheren Ebenen weitere Server. Sie haben es mit einem Botnetz zu tun.

Botnetze sind Computer, die ohne Wissen der Nutzer mit Schadprogrammen infiziert und miteinander vernetzt sind und von außen gesteuert werden – wie eine Armee von Zombies, die den Befehlen einer unsichtbaren Macht folgen. In Deutschland sind Millionen PCs Teil solcher Zombiearmeen, sie gelten als größte Bedrohung der Digitalisierung. Frank Lange beschleichen Zweifel. Das deutsche Strafrecht stammt weitgehend aus dem 19. Jahrhundert. Wie sollen sie das nur schaffen?

Lautlose Angreifer: Erst nach vier Jahren enttarnten die Ermittler die beiden Hintermänner von Avalanche.

Lautlose Angreifer: Erst nach vier Jahren enttarnten die Ermittler die beiden Hintermänner von Avalanche. Von der Ukraine aus hatten sie die Raubzüge gegen Onlinebanking-Kunden in mehr als 180 Staaten der Welt gelenkt.


Sommer 2013, ein Büroklotz im Süden Bonns. In der Kantine des Bundesamts für Sicherheit in der Informationstechnik (BSI) treffen die Ermittler einen Mann, den man als einen von Deutschlands führenden Cyberkriegern bezeichnen kann, auch wenn er selbst über diesen Begriff lächelt, er sehe ja nicht wie ein Indianer aus, was stimmt.

Hans Schäfer*(*Name geändert) , graues Haar, Brille, am Arm eine Smartwatch. Das karierte Hemd hat er in die dunkle Jeans gestopft. Schäfer hat Informatik studiert, hat einst für IBM das Internet in Deutschland mit aufgebaut. Vieles, was die Hacker programmieren, könnte er selbst auch. Schäfer hat sich aber für die gute Seite entschieden, Referat CK15: Er will die Menschen vor denen beschützen, die das Internet missbrauchen.

Inzwischen aber hat er resigniert. Wenn irgendwo ein Botnetz zerstört wird, taucht es nach wenigen Tagen wieder auf. "Die Täter brauchten keine Angst zu haben", sagt er, "die konnten ihre Geschäfte bald weiterführen." Als er in jenem Sommer Frank Lange und die Lüneburger Polizisten trifft, sieht er eine Chance, es endlich richtig zu machen. Erstmals gehen Cyberkrieger und Strafverfolger wirklich gemeinsam auf die Jagd. Fortan besprechen sie sich jeden Montag um 10 Uhr in einem abhörsicheren Videosystem. Auf Schäfers Schreibtisch steht nun neben der Kaffeemaschine eine Kamera, Frank Lange und die Polizisten erscheinen in kleinen Kacheln auf seinem Laptop.

In Wellen gewaltig wie eine Lawine, auf Englisch: Avalanche

Schäfer und sein Kollege programmieren Analysewerkzeuge, um die Strukturen des Botnetzes zu verstehen. Wie werden Daten übertragen? Woher kommen Befehle? Sie wollen den Code des Bösen entschlüsseln. Sie entdecken immer mehr Schadprogramme, die auf dem gleichen Weg auf die Opferrechner gekommen sind wie der Trojaner. Sie werden stutzig. Was verbirgt sich da noch? Sie finden Keylogger, mit denen sich Tastaturbewegungen und damit Passwörter aufzeichnen lassen. Weitere Verschlüsselungstrojaner, um Lösegeld zu erpressen. Banking-Trojaner, um Onlinekonten auszurauben. Wir haben es mit etwas Größerem zu tun, sagt Schäfer in einer Videokonferenz. Sie jagen Avalanche.

Schon 2009 bemerkten Virenexperten, dass über ein unbekanntes Botnetz zig Millionen verseuchte EMails verschickt worden waren. In Wellen gewaltig wie eine Lawine, auf Englisch: Avalanche. Man vermutete dahinter eine Bande. Genaueres wusste niemand.

Die Deutschen folgen der Datenspur. Sie hangeln sich in der Netzwerk-Hierarchie immer weiter hoch. Sie stöhnen: Für jeden Server, den sie überwachen wollen, brauchen sie eine richterliche Genehmigung. Das kann zwei, drei Monate dauern, bis dahin fließen die Daten längst über andere Wege – und die Spur ist tot. Die Kriminellen mieten Server vor allem im Ausland, dort ist die Ermittlung noch mühsamer. Die Amerikaner lachen nur, wenn sie Post von einem deutschen Richter erhalten! Es ist wie ein Kampf gegen eine elektronische Hydra.

Bis tief in die Nächte arbeitet Lange in seinem Eckbüro, Raum 153. Auf dem Schreibtisch türmen sich die Akten, an die Wand hat er einen Plan gehängt: Man sieht darauf die Flaggen der Server-Standorte, Niederlande, USA, Ukraine. Später finden sie auch welche in Kolumbien und Belize; Lange muss in einem Atlas nachschauen, wo das überhaupt liegt. In den Jahren 2013 und 2014 reisen er und seine Kollegen in beinahe jedes EU-Land, überall stellen sie Rechtshilfeersuchen. Ihr Ziel ist es, sich heimlich in Avalanche einzuklinken, wie bei einer Telefonüberwachung. Sie wollen live mitlesen, was passiert. Um die Datenmassen zu ordnen, werden sie von nun an von vier Spezialisten eines Fraunhofer-Instituts unterstützt. "Das war ein Knackpunkt der Ermittlungen", sagt Lange.

In den Morgenstunden des 30. November 2016 stürmten Spezialeinheiten der Polizei fast zeitgleich Wohnungen in Kiew, Poltowa, Vil

Internationale Kommandoaktion: In den Morgenstunden des 30. November 2016 stürmten Spezialeinheiten der Polizei fast zeitgleich Wohnungen in Kiew, Poltawa, Vilnius, Chisinau und in der Nähe von Berlin. Fünf Hacker wurden verhaftet.

Die Jäger beobachten Avalanche wie ein Lebewesen. Wie es sich verändert, wie es wächst. Hans Schäfer vom BSI ist beeindruckt. Schon die Server auf der zweiten Ebene sind perfekt verschlüsselt. Er weiß, dahinter stecken Menschen, die anderen schaden wollen. Und doch beginnt er, ihr technisches Geschick zu bewundern. Die können was! Auf der Welt gibt es vielleicht zwei Dutzend Programmierer, die die Fähigkeit haben, so etwas Komplexes zu erschaffen. Das Ganze ist jetzt auch eine intellektuelle Herausforderung, ein Spiel.

Über Avalanche werden Raubzüge in aller Welt verübt

Immer wieder analysieren die Jäger den Code des Bösen, immer wieder programmieren sie neue Suchwerkzeuge, immer wieder infizieren sie Testcomputer mit Schadsoftware, wie Versuchstiere in einem Labor. Sie entdecken, dass bei Avalanche permanent die Namen und IP-Adressen der Server wechseln, alle 300 Sekunden werden sie zum Teil völlig neu generiert. Eine sehr anspruchsvolle Tarnung, "Double Fast Flux" genannt. Monatelang rätseln sie auch, woher die Steuercomputer wissen, welche Befehle sie weiterleiten sollen, obwohl sich niemand einloggt. Zufällig stoßen sie auf ein paar verräterische Zeilen: Die Server holen sich ihre Befehle automatisch. Avalanche ist so gebaut, dass wenige Administratoren die komplette Struktur steuern können.

Zu den Tätern kann Schäfer den Strafverfolgern in Verden nur Indizien liefern. Er findet Timecodes. Die Täter kommen aus unserer Zeitzone, meldet er. Außerdem aktivieren sich bestimmte Schadprogramme nicht bei russischen Tastaturen. Das könnte ein Hinweis sein, dass die Täter in Russland sitzen, sie wollen dort nicht auffallen.

Inzwischen ist auch das Bundesinnenministerium über die Jagd informiert, das Bundeskriminalamt, Verfassungsschutz, Nachrichtendienste. Was, wenn hinter Avalanche kein Verbrecher, sondern ein ausländischer Geheimdienst steht? Wenn die Hydra eine Cyberwaffe ist oder ein Spionageinstrument?

Im Frühjahr 2014 stoßen die Jäger in den Tiefen von Avalanche auf eine Datenbank mit gestohlenen E-Mail-Adressen und Passwörtern für 18 Millionen Konten. Einer der größten Funde bis dahin. Offenbar zielen die Angriffe nicht nur auf Opfer in Deutschland, wie die Ermittler lange vermutet hatten. Über Avalanche werden Raubzüge in aller Welt veranstaltet. Mal gegen deutsche Sparkassen-Kunden, mal gegen Bankkunden in Italien oder Japan, in 180 Ländern insgesamt. Da sind Leute unterwegs, die verkaufen die Struktur als Dienstleistung, sagt Schäfer. Frank Lange braucht ein wenig, bis er begreift.

"Crime as a service" nennen Fachleute solche Angebote. In geheimen Chatforen werben die Täter um andere Kriminelle als Kunden, die dann selbst Kasse machen. Mal bietet ein "User41", mal ein "Firestarter" die Avalanche-Struktur in russischen Hackerforen an. Man muss sich das so vorstellen: Da vermietet jemand für ein paar Tausend Dollar 10.000 Zombierechner für einen gezielten Angriff auf deutsche Bankkunden, samt Support und Updates. Wer kein eigenes Schadprogramm besitzt, kann auch das mitmieten. Es ist ein leicht zu bedienendes Baukastensystem für Onlineraubzüge, fertig von der Stange. Avalanche funktioniere "wie ein Unternehmen", stellen die Jäger erstaunt fest, höchst professionell.

Neben dem Computernetz entdecken die Jäger ein zweites Netz in der realen Welt, sie nennen es "Avalanche 2". Es besteht aus Menschen, die das erbeutete Geld weiterleiten: die "money mules", Geldesel.

Die werden über Legenden angeworben, über Zeitungsinserate oder Jobportale. In einem Fall wurden Leute gesucht, die in Heimarbeit Bücher digitalisieren. Dafür sollten sie in einem speziellen Webshop einen sehr teuren Scanner bestellen – das Geld würde ihnen passend vorgeschossen. Dass es zuvor in genau der Höhe von einem Onlinekonto geklaut worden war, wussten die Leute nicht. Sie überwiesen es weiter, ohne einen Drucker zu bekommen. Und schon waren ein paar Tausend Euro auf der nächsten Ebene, von wo andere Geldesel es weiterleiteten.

Auch das FBI schaltet sich ein

"Es ist kaum vorstellbar, wie viele Menschen sich dafür zur Verfügung stellen", sagt Lange. Die Jäger finden Zehntausende Namen. Sie sind schockiert. So viele? Das Weiterleiten des Geldes galt bislang unter Strafverfolgern als Engpass bei Onlineverbrechen. Jetzt erkennt Lange: Nein, die Menschen sind kein Problem.

Und die Hintermänner? Die Jäger suchen. Sie stoßen auf ein paar Namen von geklauten Kreditkarten. Sie entdecken Tarnnamen wie "flux" oder "ffhost". Aber sie stecken fest. Frank Lange ist verzweifelt. Die Jagd hat schon jetzt ein Vermögen gekostet, mit einem Personalaufwand wie sonst nur bei der Terrorismusbekämpfung. Die Politik stellt Fragen.

Lange steht unter Druck. Ist die Hydra doch unbesiegbar? Das will er nicht hinnehmen. "Ein Aufgeben hätte doch einen Freifahrtschein bedeutet. Wenn es jemand konnte, dann wir! Weil wir jetzt so viel über die Struktur wussten. Das konnten wir nicht einfach wegwerfen!"

Da taucht ein neuer Player auf, es ist wie im Kino: das FBI. Auch in den USA hatte es Avalanche-Opfer gegeben, seit Anfang 2015 ermitteln die Amerikaner. Sie können es kaum glauben, als sie erfahren, was diese Typen aus der deutschen Provinz schon zusammengetragen haben. Eine Serverüberwachung ist in den USA die absolute Ausnahme. Frank Lange kann sagen: Wir haben über 1300 Taten ausrecherchiert, fertig für eine Anklage. Die Amerikaner können ihm dafür bei der Tätersuche helfen. Sie müssen ihr Wissen bloß zusammenbringen. Wie bei einem Puzzle. Jeden Freitagnachmittag konferieren die deutschen nun mit den amerikanischen Strafverfolgern.

Sie kombinieren Tarnnamen und Mailadressen aus Hackerforen. Sie werten soziale Netzwerke aus, überprüfen Postadressen. Klassische Ermittlerarbeit. "So werden Tarnnamen zu Fleisch und Blut", sagt Lange. Durch Zufall zapfen sie bei einem der Verdächtigen die Kamera in dessen Büro an – und sehen zu, wie er vor dem Rechner sitzt. Insgesamt 16 Verdächtige machen sie aus, darunter Russen, Aserbaidschaner, ein Ukrainer, der bei Berlin lebt. Vor allem aber zwei Administratoren.

Der eine: Gennady Kapkanov, alias "flux", 33 Jahre alt, Russe aus dem ostukrainischen Poltawa. Ein Programmierer mit kurzen Haaren und dunklen Augen, der eine Zeit in Großbritannien lebte. Die Ermittler sehen in ihm das technische Superhirn hinter Avalanche.

Der andere: Anton Timochin, alias "flux2", 32, ukrainischer Programmierer. Er wohnt mit Frau und Kind in Kiew, Stadtteil Trojeschina. Er soll die Geldesel steuern.

Wer wem dabei Befehle gibt, ist unklar. Die Männer scheinen eher Komplizen als Bande mit einem Boss an der Spitze. Möglicherweise verbergen sich hinter ihnen noch weitere Leute, vielleicht die Mafia oder irgendwelche Oligarchen. Niemand kassiert in der Ukraine einfach so riesige Summen, ohne dass andere mitkassieren wollen. Die Jäger wissen aber: Wenn wir die Administratoren ausschalten, geht Avalanche kaputt, dann fehlt das technische Wissen. Anfang 2016 ist Frank Lange sich erstmals sicher, dass sie es schaffen können. Vorausgesetzt, in den nächsten Monaten geht nichts schief.

Ende eines Versteckspiels: Zur Tarnung mieteten die Avalanche-Täter Server auf allen Kontinenten

Ende eines Versteckspiels: Zur Tarnung mieteten die Avalanche-Täter Server auf allen Kontinenten, über die sie ihre Attacken steuerten. Am Tag X schalteten die Ermittler die mehr als 200 Rechner aus und leiteten gleichzeitig 830.000 Zieladressen um.


Die Europol-Zentrale in Den Haag ist ein moderner Hochsicherheitsbau. Um im Innern die Türen zu öffnen, werden die Handflächen gescannt. Frank Lange staunt. Bei ihm in Verden sitzt ein Wachmann an der Pforte. Seinen neuen, allmächtigen Zugangspass fotografiert er mit dem Handy, als Andenken. In dieser Festung planen sie den Showdown. Hans Schäfer reist aus Bonn an, dazu Fahnder aus den USA, Taiwan, der Ukraine, Litauen und anderen Staaten. Abends fachsimpeln sie in der Kneipe beim Bier, eine verschworene Truppe. Lange nennt sie: die guten Menschen des Internet.

In einer weltweiten Kommandoaktion wollen sie an Tag X erst die Täter verhaften, dann alle Steuerserver ausschalten, insgesamt über 200 auf allen Kontinenten – und das möglichst gleichzeitig. Schon das ist hochkomplex. Das Schwierigste aber wird Teil drei ihres Plans: Sie wollen das komplette Netzwerk für immer stilllegen – und dafür müssen sie alle Opferrechner von der Schadsoftware befreien. Wie viele das sind und wo sie stehen, ob in Firmenbüros oder in Kinderzimmern? Weiß niemand. Klar ist nur: Werden die Computer nicht bereinigt, schlummern die Zombies nur. Dann hätten die Jäger zwar deren Mutterschiff zerstört, aber sobald jemand ein neues Schiff platziert, könnten die Zombies wieder aktiv werden – alles wäre umsonst gewesen.

"AVALANCHE IS DOWN! Greetings to all of you."

Das ist der entscheidende Auftritt der Cyberkrieger. Schäfer und seine Kollegen bauen eine Falle, ein Sinkhole. Ein eigener Server soll den Zombies vorgaukeln, er sei das Mutterschiff. Nehmen sie automatisch Kontakt auf, können die Jäger ihren Standort erkennen – und die Besitzer informieren. Und die wiederum können dann ihre Computer säubern. Das Problem ist nur: Schäfer muss die einprogrammierten Zieladressen, die zum Teil erst in der Zukunft generiert werden, sperren und umleiten. Das sind: 830.000!

Eine Falle in dieser Dimension hat es nie zuvor gegeben. Vergessen die Jäger nur eine der Zieladressen, lassen sie nur ein einziges Schlupfloch, könnte Avalanche später wieder aufleben. Weltweit müssen sie darum über 40 Firmen, die Internetadressen verwalten, zur Kooperation verpflichten. Manchmal gelingt das per Rechtshilfe, manchmal nach ein paar Gläsern Whiskey. Die Zahl derer, die von der Jagd wissen, steigt von Woche zu Woche. Die Anspannung ebenfalls.

Dann der große Tag, 30. November 2016. Frank Lange kommt morgens um vier in die Europol-Zentrale. Polizeiteams in Kiew, in Chisinau, in Vilnius und bei Berlin stehen bereit. Überallhin hat Lange deutsche Staatsanwälte gesandt, als Aufpasser. Nur in Poltawa sind US-Fahnder vor Ort. Sie alle sind per Chat mit der Zentrale verbunden, Langes Handy vibriert bei jeder Nachricht.

Zugriff! In Kiew hämmern Polizisten am frühen Morgen an die Wohnungstür von Anton Timochin und nehmen ihn fest. Nicht ganz so glatt läuft es in Poltawa. Dort stürmt eine Spezialeinheit in den vierten Stock eines Wohnhauses, Schüsse fallen. Gennady Kapkanov flieht auf einen Balkon. Sie haben ihn! In der Wohnung findet die Polizei eine Kalaschnikow, eine Pistole, mehrere Pässe und 70.000 Dollar in bar.

Ab mittags beginnen sie, die Server abzuschalten, die letzten laufen am Abend in Bangladesch. Zwei Bildschirme zeigen ihnen außerdem, wie ihre Falle zuschnappt. Balkenflimmern rot, gelb, dann blau – alles unter Kontrolle. Nachricht im Handy: "AVALANCHE IS DOWN! Greetings to all of you." Jubel.

Doch vom Superhirn fehlt jede Spur

Innenminister Thomas de Maizière spricht später von einer "Kampfansage an die internationale Kriminalität im Cyberraum". Von einer Aktion "ohne Beispiel" schwärmt das US-Justizministerium. "Wir haben gezeigt, dass der Staat sich wehren kann und dass das Internet kein rechtsfreier Raum ist", sagt Arne Schönbohm, der Präsident des BSI. Nicht nur die Bösen könnten moderne Technik einsetzen, auch der Staat. "Avalanche war ein singulärer Fall, aber er wird nicht der letzte gewesen sein. The empire strikes back!"

Katastrophal ist nur, dass im fernen Poltawa eine Provinzrichterin den als Superhirn verdächtigten Kapkanov freilässt. Vermutlich fließt Geld. Kapkanov taucht unter, bis heute fehlt jede Spur von ihm.

Frank Lange ist enttäuscht. Dafür haben sie gearbeitet? Vier Jahre und – puff – einfach weg? Er hofft jetzt, dass zumindest die anderen verurteilt werden, auch wenn sie nicht nach Deutschland ausgeliefert werden. Klar, er hätte seine Täter gern selbst angeklagt. Wenn das nun die Kollegen in der Ukraine und in Aserbaidschan hinkriegen, auch gut. "Wir können die Täter nicht davonkommen lassen", sagt er.

Ärgert er sich, den Männern, die er so lange gejagt hat, nie persönlich gegenüberzusitzen? Natürlich sei er neugierig, sagt er. Aber es sei gar nicht so sehr die Jagd auf die Unsichtbaren, die ihn fasziniert habe. Viel spannender war, diese Hydra greifbar zu machen und zu vernichten. "Eine solche Struktur wurde ja noch nie zerstört. Wir müssen die Pest des Internets bekämpfen. Und das nächste Mal werden wir schneller sein."