So brutal läuft das Geschäft hinter Kinox.to !
Die Betreiber von Kinox.to stehen für einen neuen Typus der Cyberkriminalität.
Die Brüder Selimi sind nicht bloß Raubkopierer, sie schrecken auch vor Morddrohungen und Brandanschlägen nicht zurück.
Als Fluchtwagen war der dunkelblaue Audi A6 offenbar nicht geeignet.
Verlassen steht er im Carport eines Mehrfamilienhauses in Pansdorf bei Lübeck.
Eine Schicht aus Staub, Spinnenweben und Blütenpollen hat sich über den Wagen gelegt.
Auf dem Kennzeichen steht "KS".
Es sind die Initialen von Kastriot und Kreshnik Selimi.
Die beiden Brüder, 25 und 21 Jahre alt, sind auf der Flucht.
Ihr Steckbrief weist die beiden Männer als "Rädelsführer einer kriminellen Vereinigung" aus.
Die Generalstaatsanwaltschaft Dresden wirft ihnen ein langes Register schwerer Straftaten vor: räuberische Erpressung, Nötigung, Brandstiftung, Urheberrechtsverletzung und Steuerhinterziehung.
Es geht um einen neuen Typus der Cyberkriminalität in Deutschland: Mit Methoden des organisierten Verbrechens sollen Kastriot und Kreshink Selimi ein digitales Raubkopien-Imperium errichtet haben.
Ihre Filmportale strahlen heute in viele Wohn- und Jugendzimmer: Kinox.to und Movie4k.to gehören zu den beliebtesten Webseiten Deutschlands.
Wohnen in den Kinderzimmern
Die Familie Selimi hat eine Odyssee hinter sich.
Der erste Sohn, Kastriot, kam 1989 im kosovarischen Gjilan zu Welt.
Kurz darauf begannen die Balkankriege.
Die Familie floh nach Schweden, wo 1992 Kreshnik geboren wurde.
Die Eltern seien ruhige Leute, die hart arbeiteten, sagt einer der heutigen Nachbarn.
Die Brüder lebten bis vor Kurzem im unscheinbaren roten Mehrfamilienhaus bei ihren Eltern wohl noch in ihren Kinderzimmern.
Jetzt ist nur noch wenig wie vorher.
Nicht einmal die Wohnungstür.
Sie ist weiß und neu und nicht braun wie bei den Nachbarn.
Das Sondereinsatzkommando der Polizei hat die alte Tür zerstört, als es vergangene Woche die Wohnung der Familie stürmte.
Der robuste Einsatz sei nötig gewesen, sagen Ermittler, denn die Selimi-Brüder gelten als gefährlich.
Der 1,80 Meter große und drahtige Kreshnik ist Kampfsportler.
"Es kann nicht ausgeschlossen werden, dass sie im Besitz von Schusswaffen sind", warnt der Steckbrief, der seit Freitag in Deutschland aushängt.
Kastriot und Kreshnik Selimi sollen Schlüsselfiguren einer neuartigen Digitalmafia sein und Millionen Euro kassiert haben.
Nicht mit Drogen, Waffenhandel oder Zuhälterei.
Sondern mit Kinofilmen, Serien und Computerspielen, mit systematischen Urheberrechtsverletzungen.
Betreiber setzten sich offenbar schon im Juli ab
Die Bild- und Tonqualität ist nicht bei allen Filmen gut, wohl aber bieten Kinox.to und Movie4k.to leicht bedienbare und unerschöpfliche Mediatheken im Internet.
Kinox.to verlinkt auf mehr als 1,3 Millionen Filme, Movie4k.to auf einige Hunderttausend.
Darunter sind aktuelle Blockbuster wie "Teenage Mutant Turtles", "Transformers 4" und beliebte Serien wie "Game of Thrones".
Die Nutzer fühlen sich sicher.
Seit Jahren ist umstritten, ob sie rechtlich belangt werden können.
Und wenn, dann wäre eine Strafverfolgung schon ob der schieren Zahl der Nutzer nicht praktikabel.
Bei den Betreibern ist das anders.
Die Selimis stehen schon das zweite Mal im Fokus von Strafermittlern.
Akribisch hatten die Beamten deshalb den Einsatz am Mittwoch vergangener Woche vorbereitet.
Aber wohl nicht akribisch genug.
Denn das Sondereinsatzkommando kam zu spät.
Kastriot und Kreshnik haben sich wohl schon im Juli aus Deutschland abgesetzt.
Nachbarn sagen, sie hätten die Brüder länger nicht mehr gesehen.
Die Brüder sind weg, samt der Passwörter, die nötig wären, die illegalen Filmportale abzuschalten.
Ihre mutmaßlichen Komplizen "Eddi" und "Avit" hatten dagegen weniger Glück.
Die Polizei nahm die beiden Hacker in Neuss und Düsseldorf fest.
Vor allem der aus Kasachstan stammende "Avit" käme wohl als Kronzeuge in Frage.
Er lebte früher ebenfalls in Schleswig-Holstein, er kennt die Brüder von gemeinsamen Fußballspielen.
Von Movies zur Morddrohung
Bislang sind digitale Straftäter oft jugendliche Hacker, die sich "Nerds" oder "Skriptkiddies" nennen, die mit ein paar Zeilen Softwarecode gegen das System rebellieren und in fremde Computernetze eindringen.
Webseiten kurzzeitig lahm zu legen, das gilt in dieser Szene schon als Heldentat.
So oder so ähnlich hat wohl auch die kriminelle Karriere der Selimi-Brüder im Kinderzimmer begonnen.
Wie es dann dazu kam, dass sie diesen Weg eingeschlagen haben, das fragen sich auch die Ermittler.
Eine Schlägerbande vorbeizuschicken war bislang in der digitalen Welt eher unüblich.
Als die Generalstaatsanwaltschaft Dresden im Jahr 2011 das Vorgängerportal Kino.to stilllegte, verurteilte das Gericht den Kopf der Bande, Dirk B., wegen "gewerbsmäßiger Urheberrechtsverletzung" zwar zu viereinhalb Jahren Haft.
Gewalt aber sei nicht Teil seines Geschäftsmodells gewesen, sagt Oberstaatsanwalt Wolfgang Klein aus Dresden.
Bei Dirk B.s Nachfolgern geht es nun plötzlich um Schusswaffen, Morddrohungen und Brandanschläge.
Und um Verbindungen zur russischen Cyber-Unterwelt.
Die Spuren der Selimis und ihrer Webseiten führen von Leipzig und Berlin nach Pansdorf bei Lübeck, aber auch auf die Britischen Jungferninseln, nach Florida, Zypern und nach Sankt Petersburg.
"Das ist die organisierte Kriminalität der Zukunft", sagt Klein.
"Dieser Tätertyp wird uns über Jahre begleiten."
Dabei geht es um Profit – vor allem aber um Macht und die Herrschaft im Netz.
Kinobesucher sind die Leidtragenden
Einer der Leidtragenden dieser Raubkopiermafia ist Christoph Ahmadi.
Er ist Geschäftsführer der CinemaxX AG und somit Herr über 33 Kinos, 285 Leinwände und 73.000 Sitzplätze in Deutschland und Dänemark.
"Aber nicht nur die Kreativen, die Produzenten und die Kinobetreiber sind die Leidtragenden – auf lange Sicht sind ebenso die Kinobesucher davon betroffen", sagt der Chef der großen deutschen Kinokette.
Sie müssten höhere Ticketpreise und den Verlust der Filmvielfalt ertragen.
Raubkopierer beschaffen sich ihre Filme oft in Kinos.
Mit kleinen Kameras, versteckt in Popcorntüten oder Basecaps werden aktuelle Hollywoodstreifen abgefilmt.
Uploader stellen die Videodateien anschließend ins Netz – bei den sogenannten Stream- und File-Hostern.
Deren Webseiten tragen klangvolle Namen wie Yesload, Movshare und Streamcloud, auf denen die Filme geladen oder angeschaut werden können.
Die Hoster erwecken den Eindruck, sie hätten nichts zu tun mit den Inhalten, die ihre Uploader verbreiten.
Viele Hoster haben trotzdem einen guten Grund, sich zu verbergen.
Sie haben ihren Firmensitz auf Inselstaaten in der Karibik oder im Indischen Ozean.
Firmensprecher sind nicht zu erreichen.
Hoster wie Bitshare sind die Goldesel der Branche
Die Filmportale wie Kinox.to wiederum präsentieren sich als reine Suchmaschinen für die Links der Hoster.
"Wie ihr alle wisst, stellt Kinox keine direkten Links zu dem jeweiligen Stream, sondern indexiert es, wie es auch Google macht", steht auf der Seite des Portals zu lesen.
Die Ausrede stimmte schon im Fall Kino.to nicht: Die wichtigsten Hoster waren in der Hand der Portalbetreiber.
Bei den Nachfolgeportalen sei es genauso, glauben Ermittler.
Den Selimis lassen sich Verbindungen zu den Hostern Bitshare und Freakshare nachweisen, heißt es.
Unter Urheberrechtsschützern gelten Hoster als die Goldesel.
Bitshare verkauft "Premium-Accounts" für zehn Euro im Monat und verspricht den Abonnenten bessere Videoqualität und schnellere Ladezeiten.
Im September waren 38 Millionen Besucher auf Bitshare.
Sie kommen aus Deutschland, aber auch in großer Zahl aus den USA und aus Japan.
Wie viele davon bereit sind zu bezahlen, lässt sich nicht herausfinden.
Auch an anderer Stelle fließt Geld: Auf den Filmportalseiten blinkt Bannerwerbung.
Die Gebrüder Selimi standen nicht nur hinter Kinox.to und Movie4k.to, sondern haben fast die ganze Wertschöpfungskette abgedeckt.
Die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) hat Webseiten aufgelistet, die ihnen zugeordnet werden können.
Die Tauschforen MyGully und b.oerse.sx gehören dazu und Sexseiten wie porn-freaks.net.
Mit 13 starteten die Brüder ihr Imperium
Stimmen die Infos der GVU, haben die Selimis schon vor rund zehn Jahren begonnen, an ihrem Online-Imperium zu basteln.
Sie waren 16 und 13 Jahre alt, als ihr vermutlich erster Hoster Bitshare im September 2005 online ging.
Schon früh kannten sich die Brüder offenbar auch mit den Boards und Foren des Darknets aus, jener versteckten digitalen Welt, in der sich Kriminelle austauschen.
Die Expansion ihres Reiches trieben sie aggressiv voran.
Manche Konkurrenten sollen sie mit räuberischen Erpressungen ausgeschaltet haben.
Die Methode: erst die Gewaltandrohung, dann die feindliche Übernahme.
Andere Rivalen schwärzten sie an.
Das populäre Streamingportal Movie2k.to sollen sie gehackt und belastende Informationen der GVU zugespielt haben.
Als der Konkurrent wegen der Strafverfolgung offline ging, sollen die Brüder prompt ihr Portal Movie4k.to freigeschaltetet haben, konstruiert mit den Daten des Vorgängers.
Auch im Hackerkrieg zwischen dem Tauschbörsen-Forum Boerse.bz und ihrer Seite MyGully sollen die Selimis den Klarnamen des Rivalen veröffentlicht haben.
Brandanschläge für die Konkurrenz
Schritt für Schritt räumten sie die Konkurrenz aus dem Weg.
In der Endphase von Kino.to, als mehrere Nachfolgeportale um den Markt rangen, sollen die Brüder einen Konkurrenten sogar mit Brandanschlägen eingeschüchtert haben.
Auch explizite Todesdrohungen setzten sie ein.
Was bei Kino.to als Community mit sozialromantischem Anstrich begann, haben die Brüder in ein skrupelloses Geschäft umgewandelt.
Man kann im Rückblick Kino.to-Gründer Dirk B. als Innovator verstehen, der eine Methode zum Geldverdienen entdeckte.
Seine Nachfolger kreieren nicht, sie übernehmen, expandieren, kontrollieren.
Dabei haben sie Dirk B. bei den Einnahmen wahrscheinlich längst übertroffen.
Spielte Kino.to rund 1,8 Millionen Euro im Jahr ein, ist es bei den Selimis Schätzungen zufolge weit mehr das Doppelte – unversteuert natürlich.
Dabei handeln die Brüder hochkonspirativ.
Im Internet gibt es keine Hinweise auf sie.
Für ihre Opfer waren sie Phantome.
Die Erpressten konnten nicht ahnen, dass ihre Erpresser in einem Kinderzimmer in Pansdorf sitzen.
Den Ermittlern wurde erst in diesem Sommer klar, mit wem sie es genau zu tun hatten.
Es waren drei Spuren aus der analogen Welt, die ihnen den Weg wiesen: ein Verhör, Bankkonten und beschlagnahmte Festplatten.
Kino.to machte Skype-Konferenzen und Weihnachtsfeiern
Der Kopf von Kino.to, Dirk B., ein Schulabbrecher und 42-jähriger Fußbodenleger aus Leipzig, erzählte im Verhör, wie er mit seinem Filmportal Opfer einer Erpressung geworden sei.
Ihn habe ein gewisser "Pedro" kontaktiert.
Der Unbekannte hatte offenbar das Portal gehackt und präsentierte belastendes Material.
Dirk B. sah sich genötigt, den Hacker als "Sicherheitsbeauftragten" einzustellen.
Das Gehalt von "Pedro" soll fortan an eine russische Firma geflossen sein.
Der Hacker nahm an Skype-Konferenzen von Kino.to teil und erschien sogar zu einer Weihnachtsfeier – seinen echten Namen nannte er nicht.
Die GVU vermutet, dass "Pedro" in der Endphase von Kino.to die komplette Datenbank kopieren konnte.
Kinox.to wäre somit ein Klon.
Das würde auch zur aggressiven Expansion der Selimi-Brüder passen.
Hinter "Pedro" soll der festgenommene Programmierer "Avit" stecken, der im Trio mit den Brüdern agierte.
Die zweite Spurt führt zur Firma Micropayment in Berlin.
Deren Geschäftsführer ist Andreas Richter – ein Mann, der sich mit Geldflüssen im Internet bestens auskennt.
Schon um die Jahrtausendwende gab es Hinweise, seine Firmen hätten mit Dialer- und Abzock-Geschäften zu tun.
Richter stritt damals jede Beteiligung ab.
Heute wirbt die Micropayment im Internet mit seriösen Kunden wie Whiskas und Milka.
Sie machte aber auch Geschäfte mit den Hoster-Webseiten Bitshare und Freakshare der Brüder Selimi.
Im Juni 2013 berichtete die "Welt am Sonntag", dass Kundengelder von Bitshare auf Micropayment-Konten bei der Commerzbank in Berlin flossen.
Richter versprach, mit den Staatsanwälten zu kooperieren.
Er könne schließlich nichts für die Sünden der Kunden.
Trotzdem durchsuchte die Staatsanwaltschaft vergangene Woche auch den mintgrünen Flachbau der Micropayment in Berlin-Friedrichshagen.
Das Unternehmen hatte zwar die Geschäfte mit Bitshare eingestellt, aber für andere Hoster wie Freakshare noch bis ins Jahr 2014 hinein Zahlungen abgewickelt.
Wohin das für die Hoster kassierte Geld weitertransferiert wurde, wollte Richter der "Welt am Sonntag" auf Anfrage nicht mitteilen.
Die Staatsanwaltschaft hingegen dürfte Bescheid wissen.
Der Weg des Geldes soll zu den Selimis führen.
Eine harte Nuss für IT-Experten
Nach Informationen dieser Zeitung wickelte zuletzt die Firma First Data in Lettland die Kreditkartenabrechnung von Bitshare und Freakshare ab.
Der internationale Finanzdienstleister teilte auf Anfrage in dieser Woche mit, dass er keine Verträge mit den Gesuchten habe.
Zufall oder nicht: Wenige Stunden nach der Anfrage bei First Data fiel bei den Hostern auf einmal die Kreditkartenbezahlung aus.
Den wirklich entscheidenden Durchbruch erzielte die Polizei bereits im Januar 2013 – sie wusste es zu dem Zeitpunkt nur noch nicht.
Ermittler der Staatsanwaltschaft Lübeck hatten nämlich damals die Wohnung der Selimi-Brüder durchsucht.
Ihnen ging es noch nicht um Kinox.to.
Wohl aber schon um Raubkopien. Kreshnik und Kastriot standen im Verdacht, die Hoster-Webseite "Rom-Freaks.net" zu betreiben.
Bei der Durchsuchung fanden die Beamten ein chaotisches Kinderzimmer, eine Pistole mit Munition und Festplatten.
Die waren so gut verschlüsselt, dass es mehr als ein Jahr dauerte, bis ein IT-Forensiker die Datenträger knacken konnte.
Ihr Inhalt lieferte den Ermittlern in Dresden nun auch die Kommunikation der beiden – möglicherweise Chat-Protokolle.
Von daheim in Pansdorf knüpften die Selimis offenbar auch Kontakte zur russischen Cybermafia.
Die Webseite von Kinox.to wurde von einer Firma namens Akrino Inc. angemeldet.
Die sitzt angeblich auf den Britischen Jungferninseln, hat keine Webseite oder Kontaktadresse.
IT-Sicherheitsexperten verorten Akrino Inc. in der Nähe des Russian Business Network (RBN), einer Gruppierung aus Sankt Petersburg, die vor einigen Jahren an der Hälfte der weltweiten Internetkriminalität verdient haben soll – an Schadsoftware, Botnetzen, Identitätsdiebstahl, Kreditkartenbetrug, Spam und Kinderpornografie.
Schwarzgeld waschen über das Servergeschäft
Noch seltsamer sind die Verbindungen der Hoster nach Florida und Zypern.
Nach Informationen der GVU werden Freakshare und Bitshare bei Webzilla gehostet, einem Rechenzentrum in den USA.
Urheberrechtsschützer halten es für durchaus möglich, dass die Selimi-Brüder Server- und Anonymisierungsdienste als Rundum-sorglos-Paket eingekauft haben.
Das Mutterunternehmen von Webzilla sitzt auf Zypern, wo kürzlich auch die beiden Hoster hingezogen sind.
Webzilla und die Mutterfirma haben eine Anfrage, ob sie jene Server zur Verfügung stellen, mit deren Hilfe Millionen deutsche Zuschauer Filme streamen, nicht beantwortet.
Wer auch immer die Server für die Hoster betreibt, verdient an den Raubkopien mit, kann aber jederzeit behaupten, nichts gewusst zu haben.
Praktischer Nebeneffekt: Das Schwarzgeld der Hoster wäre durch das legale Mietgeschäft mit den Servern wieder sauber.
Viele Fragen aber bleiben vorerst offen.
Wo sind die Brüder?
Und wo haben sie die Millionen gebunkert, die ihr Raubkopien-Imperium eingespielt haben dürfte?
Kastriot und Kreshnik Selimi wohnten bei ihren Eltern.
Keine Spur von Luxus.
Geht es den Cybergangstern aus dem Kinderzimmer gar nicht so sehr ums Geldverdienen?
Vielleicht nehmen die Selimi-Brüder die Welt ja durch die Augen von Computerspielern wahr.
In Strategiespielen dienen Geld und Gewalt nur als Mittel zum Zweck: dem Aufbau eines Imperiums.
