• Paketbomben in Brandenburg und Berlin: DHL-Erpresser: Polizei ruft Cyber-Fahndung aus

Paketbomben in Brandenburg und Berlin : DHL-Erpresser: Polizei ruft Cyber-Fahndung aus

Mehrmals waren Brandenburger Ermittler dem DHL-Erpresser dicht auf den Fersen. Doch fassen konnten sie ihn bisher nicht. Jetzt gehen die Polizisten einen ungewöhnlichen Schritt.

Alexander Fröhlich
In Potsdam war im Dezember 2017 die erste Bombe des DHL-Erpressers an eine Apotheke in der Brandenburger Straße geschickt worden, auf der der Weihnachtsmarkt in vollem Gange war.
In Potsdam war im Dezember 2017 die erste Bombe des DHL-Erpressers an eine Apotheke in der Brandenburger Straße geschickt worden,...Foto: Sebastian Gabsch

Potsdam/Berlin - Die Brandenburger Polizei geht bei den Ermittlungen gegen den DHL-Erpresser unkonventionelle Wege. Am Dienstag hat die Polizei eine öffentliche Cyber-Fahndung ausgerufen. Sie bittet Anbieter offener W-Lan-Netze zu prüfen, ob bei ihnen ein bestimmtes Gerät eingeloggt war. Dazu hat die Polizei in Absprache mit der Staatsanwaltschaft Potsdam die sogenannte Media-Access-Control-Adresse – kurz Mac – eines Handys oder Tablets des DHL-Erpressers öffentlich gemacht. Jedes Gerät, ob Computer oder Mobiltelefon, verfügt über eine solche Adresse für die Netzwerkschnittstelle. Anhand dieser Kombination aus Zahlen und Buchstaben ist jedes Gerät identifizierbar. Der DHL-Erpresser nutzte ein Gerät der Marke Motorola und der Mac-Adresse f8:e0:79:af:57:eb.

Erpresser schickte mehrere Paketbomben in Brandenburg und Berlin

Nachdem der Erpresser seit Ende 2017 mehrere Paketbomben in Berlin und Brandenburg verschickt hatte, konnten die Ermittler die Mac-Adresse herausfinden. Darauf stießen die Ermittler in den E-Mails, die der Erpresser im April 2018 an den Logistikkonzern DHL geschrieben hatte. Die E-Mails hatte der Täter am 6., 13. und 14. April über öffentliche W-Lan-Netze aus östlichen Bezirken in Berlin verschickt. Daher bittet das Landeskriminalamt nicht nur Anbieter öffentlich zugänglicher W-Lan-Netze zu prüfen, ob sich ein Gerät mit der Mac-Adresse in ihre Router eingewählt hat. Auch private Haushalte werden um Mithilfe gebeten. Der Täter könnte auch private W-Lan-Netze genutzt haben. Über den Internetbrowser lassen sich in der Protokolldatei des Routers die Mac-Adressen der Geräte finden, die mit dem Gerät verbunden waren.

Mehrfach waren die Ermittler ihm auf den Fersen

Die Polizei will damit auch Möglichkeiten ausschöpfen, um alle Spuren des DHL-Erpressers zu verfolgen. Mehrfach waren sie dem Täter dicht auf den Fersen. Die letzte Spur verlor sich in einem Hotel in Friedrichshain. Die Ermittler haben herausgefunden, dass sich der Täter in ein offenes W-Lan-Netz eines Hotels eingeloggt hat. Doch der Internetanbieter konnte die Daten nicht herausgeben – sie waren gelöscht. Nach dem Gesetz zu Vorratsdatenspeicherung ist dafür eine Frist von vier Wochen vorgesehen.

Bereits im September 2017 hatte es Hinweise auf den Erpresser gegeben. Das Bundeskriminalamt (BKA) hatte per E-Mail ein Drohschreiben samt Bauanleitung für Paketbomben bekommen. Der Verfasser soll damit gedroht haben, an wahllos ausgewählte Adressen Paketbomben zu verschicken. Der Täter forderte zunächst monatliche Zahlungen. Die Polizei in Bonn, wo DHL seinen Hauptsitz hat, übernahm den Fall, der zunächst versandete. Anfang November 2017 war eine Paketbombe bei einem Online-Versandhändler in Frankfurt (Oder) gelandet. Ein Bekennerschreiben gab es nicht. Wäre sie hochgegangen, hätte das schwere Schäden und Verletzungen verursachen können, stellten die Sprengstoffexperten fest. Eine Verbindung zum Schreiben ans BKA war auch da noch nicht offensichtlich.

Der Weihnachtsmarkt in Potsdam musste geräumt werden

Am 1. Dezember 2017 schickte der Erpresser eine Paketbombe an eine Apotheke in Potsdam, der Weihnachtsmarkt in der Innenstadt musste geräumt werden. Beim Öffnen des Pakets hatte der Apotheker Drähte entdeckt – und es zischte. Die Zündvorrichtung funktionierte nicht. Die Ermittler fanden einen Böller, Batterien und Nägel. Und sie konnten einen QR-Code rekonstruierten, der zu einem elektronischen Erpresserschreiben führte. Mehrere Millionen Euro, ausgezahlt in der Internetwährung Bitcoin forderte der Täter, der sich „Omar“ oder „One Man Army Rebel“ nennt.

Beim Landeskriminalamt wurden in der Soko „Quer“ – benannt nach dem QR-Code – zunächst 50 Beamte auf den Fall angesetzt. Im Januar 2018 war ein ähnliches Päckchen in einer Bank an der Schlossstraße in Berlin-Steglitz gefunden worden. In einer E-Mail forderte der Erpresser zehn Millionen Euro, ausgezahlt ebenfalls in Bitcoin. Ende März wurde ein verdächtiges Paket in der Berliner Handwerkskammer in Kreuzberg entdeckt.

Mehrfach ging die Polizei davon aus, dem Täter dicht auf der Spur zu sein, sogar Spürhunde waren im Einsatz und fanden Spuren in Wedding. Noch immer sitzen in der Soko 15 Ermittler an dem Fall. Den hat die Brandenburger Polizei im Juni sogar Cyber-Experten aus Behörden und der Sicherheitsbranche detailliert vorgestellt, damit nichts übersehen wird. Das Ergebnis: Die Ermittler haben getan, was möglich war. So auch jetzt: Die Mac-Adresse könnte aber auch ein letzter Versuch sein, heißt es.


DOWNLOAD: So lese ich die MAC-Adresse aus