Nach Paketbomben in Brandenburg und Berlin: DHL-Erpresser: Polizei fahndet mit Netzwerkadresse

Brandenburgs Polizei geht bei den Ermittlungen gegen den DHL-Erpresser unkonventionelle Wege. Am Dienstag hat die Polizei eine öffentliche Cyber-Fahndung ausgerufen. Sie bittet Anbieter offener W-Lan-Netze, zu prüfen, ob bei ihnen ein bestimmtes Gerät eingeloggt war. Dazu hat die Polizei in Absprache mit der Staatsanwaltschaft Potsdam die sogenannte Media-Access-Control-Adresse – kurz Mac – eines Handys oder Tablets des DHL-Erpressers öffentlich gemacht.

Jedes Gerät, ob Computer oder Mobiltelefon, verfügt über eine solche Adresse für die Netzwerkschnittstelle. Anhand der Kombination aus Zahlen und Buchstaben ist jedes Gerät identifizierbar. Der DHL-Erpresser nutzte ein Gerät der Marke Motorola mit der Mac-Adresse f8:e0:79:af:57:eb.

Netzwerkadresse stammt aus Emails an DHL

Nachdem der Erpresser seit Ende 2017 mehrere Paketbomben in Berlin und Brandenburg verschickt hatte, konnten die Ermittler diese Mac-Adresse herausfinden. Darauf stießen sie in den Emails, die der Erpresser im April 2018 an den Logistikkonzern DHL geschrieben hatte. Die Emails hatte der Täter am 6., 13. und 14. April über öffentliche W-Lan-Netze aus östlichen Bezirken in Berlin verschickt.

Das Landeskriminalamt bittet nicht nur Anbieter öffentlich zugänglicher W-Lan-Netze zu prüfen, ob sich ein Gerät mit der Mac-Adresse in ihre Router eingewählt hat. Auch private Haushalte sind zur Mithilfe aufgerufen. Über den Internetbrowser lassen sich in der Protokolldatei des Routers die Mac-Adressen der Geräte finden, die mit dem Gerät verbunden waren.

Die Polizei will mit der Cyber-Fahndung alle Möglichkeiten ausschöpfen. Mehrfach waren die Ermittler dem Täter dicht auf der Spur. Die letzte verlor sich in einem Hotel in Friedrichshain. Die Ermittler haben herausgefunden, dass sich der Täter in ein offenes W-Lan-Netz eines Hotels eingeloggt hat. Doch der Internetanbieter konnte keine Daten herausgeben – sie waren gelöscht. Gesetzlich ist ein Frist von vier Wochen vorgesehen.

Bereits im September 2017 hatte es Hinweise auf den Erpresser gegeben, der sich „Omar“ oder „One Man Army Rebel“ nennt. Das Bundeskriminalamt (BKA) hatte per E-Mail ein Drohschreiben bekommen. Der Verfasser forderte Geld in der Internetwährung Bitcoin und drohte mit Paketbomben. Die Polizei in Bonn, Hauptsitz von DHL, übernahm den Fall, zunächst erfolglos.

Paketbomben in Frankfurt (Oder), Potsdam und Berlin

Anfang November 2017 landete eine Paketbombe bei einem Online-Händler in Frankfurt (Oder) – ohne Bekennerschreiben. Wäre die Bombe explodiert, hätte das schwere Schäden und Verletzungen verursachen können. Eine Verbindung zum Schreiben ans BKA war nicht klar.

Am 1. Dezember 2017 schickte der Erpresser eine Paketbombe an eine Apotheke in Potsdam, der Weihnachtsmarkt in der Innenstadt musste geräumt werden. Beim Öffnen des Pakets hatte der Apotheker Drähte entdeckt. Die Zündvorrichtung funktionierte nicht. Die Ermittler fanden einen Böller, Batterien und Nägel.

Sie konnten einen QR-Code rekonstruierten, der zu einem elektronischen Erpresserschreiben führte. Beim Landeskriminalamt wurden in der Soko „Quer“ – benannt nach dem QR-Code – zunächst 50 Beamte auf den Fall angesetzt. Im Januar war ein ähnliches Päckchen in einer Bank an der Schlossstraße in Berlin-Steglitz gefunden worden, Ende März eines in der Berliner Handwerkskammer in Kreuzberg.

Noch immer sitzen in der Soko 15 Ermittler an dem Fall. Sie haben ihn im Juni sogar Cyber-Experten aus anderen Behörden und aus der Sicherheitsbranche detailliert vorgestellt, damit bei den Ermittlungen nichts übersehen wird. Das Ergebnis: Die Ermittler haben getan, was möglich war. So auch jetzt: Die Veröffentlichung der Mac-Adresse könnte ein letzter Versuch sein.

Zwölf Newsletter, zwölf Bezirke: Unsere Leute-Newsletter aus allen Berliner Bezirken können Sie hier kostenlos bestellen: leute.tagesspiegel.de