Verdächtiger Attentäter gebrauchte gefälschte Ausweisdokumente in Berlin

Vadim A. Sokolov, links ein im Verlauf der Untersuchung erhaltenes Originalbild, rechts eine Version desselben Bildes mit digital entferntem Bart

Am Freitag, 23. August 2019, wurde der in Deutschland lebende georgische Staatsbürger Zelimkhan Khangoshvili in der Berliner Innenstadt ermordet, als er auf dem Weg zu einer Moschee zum Freitagsgebet zu Mittag aß. Khangoshvili wurde mit drei Kugeln ermordet, von denen zwei aus nächster Nähe auf seinen Kopf abgefeuert wurden. Der Mörder, der sich in den nahe gelegenen Büschen versteckte, eilte mit einem Elektrofahrrad auf das Opfer zu und schoss das Opfer – einmal in die Schulter und zweimal in den Kopf – mit einer 9-mm-Glock 26 mit angebrachtem Schalldämpfer. Nachdem der Attentäter einige hundert Meter entlang der Spree vom Tatort weggerast war, hielt er an und warf das Elektrofahrrad, eine Plastiktüte mit der Mordwaffe und eine Perücke, die er benutzte, in den Fluss. Dabei wurde er von zwei Teenagern beobachtet, die die Polizei alarmierten. Ihre Tipps führen dazu, dass der Mörder einige Minuten später gefasst wird, als er in einer Menge von Touristen verschwindet – jetzt mit einem rasierten Kopf, einem Gesicht mit Schnurrbart, einem rosa T-Shirt und einem touristischen Beutel, der seinen Pass hält und etwas Bargeld hing an seinem Hals.

Medien berichteten, dass der Verdächtige, der bisher öffentlich als Vadim S, 49, bezeichnet wurde, zunächst mit einem von Frankreich ausgestellten Visum mit dem Flugzeug von Moskau nach Paris reiste, bevor er sechs Tage vor dem Mord nach Deutschland einreiste. Berichten zufolge hat er jegliche Beteiligung an dem Mord bestritten und um ein Treffen mit russischen Konsularbeamten gebeten.

Das Opfer war ein ethnisch tschetschenischer georgischer Staatsbürger, der schon lange auf der Liste der erklärten Feinde Moskaus stand. Nachdem er sich 1999-2002 freiwillig zum Kampf gegen die zentralrussischen Streitkräfte im zweiten Tschetschenienkrieg gemeldet hatte, unterstützte er in den folgenden Jahren weiterhin tschetschenische Separatisten, während er in seinem Heimatland Pankisi Valley in Georgien stationiert war. Er rekrutierte und bewaffnete auch eine Freiwilligeneinheit, um 2008 gegen den russischen Krieg in Georgien zu kämpfen, obwohl es keine Beweise dafür gibt, dass seine Einheit jemals vor Kriegsende Maßnahmen ergriffen hat. Im Jahr 2012 spielte Khangoshvili Berichten zufolge die wichtige Rolle des Vermittlers während des Vorfalls in Lapota, als eine Gruppe bewaffneter Tschetschenen mehrere Menschen in einer abgelegenen Bergregion Georgiens als Geiseln nahm. Obwohl es keine Beweise dafür gibt, dass Khangoshvili sich für eine islamistische Ideologie einsetzt oder islamistische Anliegen unterstützt, hat Russland ihn wiederholt als islamische terroristische Bedrohung gebrandmarkt. Khangoshvili kämpfte in der frühen Phase des Zweiten Tschetschenienkrieges mit Islamisten und war später Aslan Maskhadov nahe, dem ehemaligen tschetschenischen Präsidenten (2005 getötet), der eher als gemäßigter und nationalistischer als als als islamistischer Mensch bekannt war.

Zum Zeitpunkt seines Mordes wartete Khangoshvili auf das Ergebnis seiner Berufung auf ein Abschiebungsverfahren in Deutschland, wo er mit seiner Familie politisches Asyl beantragte, nachdem er zwei Attentate in Georgien verübt hatte (der letzte im Mai 2015, als er es war) erschossen in Tiflis) und mehrere Drohungen erhalten, während sie vorübergehend Zuflucht in der Ukraine suchten. Russland hat offiziell jegliche Verbindung zu den Attentaten abgelehnt.

Fotos auf Khangoshvilis Facebook-Profil. Das linke Bild wurde während des Zweiten Tschetschenienkrieges aufgenommen und zeigt ihn zusammen mit Aslan Maskhadov, dem letzten Präsidenten eines de facto unabhängigen Tschetscheniens

Eine gemeinsame Untersuchung zwischen Bellingcat, der deutschen Zeitung Der Spiegel und The Insider (Russland) hat ergeben, dass der Attentäter unter einem gültigen, nicht biometrischen russischen Pass im Namen des im August geborenen Vadim Andreevich Sokolov über Frankreich nach Berlin gereist ist 1970. Trotz der Tatsache, dass er einen legitimen Pass verwendet hat, haben wir festgestellt, dass in der umfangreichen nationalen Bürgerdatenbank Russlands keine solche Person existiert. Darüber hinaus gibt es keine Spur einer solchen Person in einer Fundgrube von Hunderten von durchgesickerten Wohndatenbanken, die zuvor von Bellingcat erhalten und aggregiert wurden. Diese Entdeckung macht Russlands Behauptung, der Mörder sei nicht mit dem russischen Staat verbunden, unplausibel, da keine Person in Russland in der Lage ist, einen gültigen russischen Pass unter einer gefälschten Identität ohne Beteiligung des staatlichen Bürokratie- und Sicherheitsapparats zu erhalten.

Darüber hinaus haben wir festgestellt, dass die Adresse, die der Mörder in seinem Visumantrag als Wohnsitz in St. Petersburg angegeben hat, nicht existiert. Diese offensichtliche Inkonsistenz und der allgemein leere digitale und datenbezogene Fußabdruck des russischen „Geisterreisenden“ werfen ernsthafte Fragen auf, wie und warum er ein vom französischen Konsulat in Moskau ausgestelltes Schengen-Visum für die mehrfache Einreise erhalten konnte.

Ein Phantomtourist
Anhand der Passdaten aus Sokolovs in Russland eingereichten und von unserem Team erhaltenen Visumantragspapieren haben wir versucht, die Anwesenheit dieser Person in verschiedenen russischen Live- und Offline-Datenbanken zu identifizieren. Wir haben über zwei separate Quellen mit direktem Zugriff auf die russische Passdatenbank überprüft, dass in dieser Datenbank keine Person mit dem Namen Vadim Andreevich Sokolov und dem in seinem Pass verwendeten Geburtsdatum vorhanden ist.

Foto von Vadim A. Sokolov aus seinen Visumantragspapieren

Die russische Passdatenbank ist eine zentralisierte, umfassende Datenbank mit Wohnadressen und Passdaten aller russischen Staatsbürger – einschließlich der vollständigen Geschichte früherer persönlicher Ausweisdokumente -, die vom russischen Innenministerium verwaltet wird. Ebenso wurde weder in einer anderen von der Polizei gepflegten Datenbank, in der nationale und internationale Reisen aller russischen Bürger erfasst werden, noch in der Datenbank der Verkehrspolizei mit Führerscheininhabern eine Anwesenheit dieser Person festgestellt. Wir haben auch Hunderte von zuvor durchgesickerten Offline-Pass-, Wohnadress-, Versicherungs- und Beschäftigungsdatenbanken durchsucht, einschließlich Datenbanken mit Daten aus dem Jahr 2018, und keine Hinweise auf eine Person mit solchen personenbezogenen Daten gefunden.

Damit dieser Mann mit einem normalen Pass mit dem Flugzeug von Moskau nach Paris gereist wäre, hätte er gleichzeitig die Passkontrolle durchlaufen müssen, bei der sein Pass gescannt und automatisch mit der russischen Passdatenbank verglichen worden wäre. Jede Inkonsistenz – wie ein fehlender Datensatz in dieser Datenbank – hätte das Alarmsystem des Grenzbeamten ausgelöst, und die Person wäre nicht zum Fortfahren berechtigt gewesen. Es kann nur zwei mögliche Szenarien geben, die diese Inkonsistenz erklären: Entweder war „Vadim Sokolov“ den Grenzbeamten als Undercover-Agent bekannt, und sie wurden angewiesen, ihn fortfahren zu lassen, oder alternativ zum Zeitpunkt der Reise – das heißt am 31. Juli 2019 – Sokolov befand sich noch in der Russland-Passdatenbank.

Beide Szenarien sind technisch möglich. Das russische Einwanderungssystem (Grenzkontrollsystem) wird vom Bundessicherheitsdienst (FSB) überwacht. Daher hätten besondere Vorkehrungen getroffen werden können, damit „Sokolov“ das routinemäßige Verfahren zur Überprüfung des Flughafens umgeht, insbesondere wenn der Mitarbeiter mit dem FSB verbunden ist.

Ebenso möglich und konsistenter mit der bisherigen Praxis wäre das zweite Szenario, in dem eine Deckungsidentität für „Sokolov“ vollständig erstellt wurde – einschließlich eines Datenbankeintrags im russischen Passsystem -, der jedoch kurz nach den Nachrichten aus den russischen Regierungsdatenbanken gelöscht wurde Die Verhaftung in Berlin brach ab. Im Fall von Skripal-verbundenen GRU-Beamten, die zuvor von Bellingcat identifiziert worden waren, waren die drei verdeckten GRU-Mitarbeiter ursprünglich doppelt in der Russia Passport-Datenbank vertreten: sowohl unter ihrer tatsächlichen als auch unter ihrer Deckungsidentität. Kurz nach ihrem öffentlichen Ausflug durch Bellingcat wurden jedoch sowohl ihre verdeckte als auch ihre wahre Identität (einschließlich der Daten ihrer unmittelbaren Familienmitglieder) aus dem russischen Pass und anderen von der Regierung geführten Datenbanken gelöscht, wodurch mehrere „Geister“ -Familien ohne Pass und Wohneigentum entstanden oder sogar Steuerinformationen (tatsächlich werden Wohnungen, die zuvor von uns als Eigentum von Col. Chepiga und Col. Mishkin, den Hauptverdächtigen von Skripal, bestätigt wurden, jetzt als Eigentum des „russischen Staates“ aufgeführt).

Ob das erste oder das zweite Szenario im Fall von „Sokolov“ verwendet wurde, könnte einen Hinweis darauf geben, welcher der beiden wichtigsten und häufig konkurrierenden Sicherheitsdienste mit dieser dreisten Attentatsoperation verbunden ist. Wie nachstehend dargelegt, hätten sich beide Agenturen, der FSB und die GRU, berechtigt gefühlt, eine solche außergerichtliche Tötung durchzuführen, wenn auch aus unterschiedlichen Gründen.

icher ist jedoch, dass die Cover-Identität hinter „Vadim Sokolov“ erst vor kurzem erstellt wurde und höchstwahrscheinlich für den jeweiligen Betrieb in Berlin maßgeschneidert wurde. Dies lässt sich aus dem Fehlen eines digitalen Fußabdrucks dieser Identität in zuvor durchgesickerten Datenbanken ableiten (zum Vergleich tauchten sowohl „Boshirov“ als auch „Petrov“ – die Deckungsidentitäten hinter den Skripal-Verdächtigen – in älteren Offline-Datenbanken auf). Diese Schlussfolgerung steht auch im Einklang mit dem ungewöhnlich jüngsten Ausstellungsdatum für den Pass von „Sokolov“ – dem 18. Juli 2019, nur zehn Tage vor der geplanten Reise. Wir haben außerdem – über Quellen mit Zugang zu nicht russischen Flugbuchungsdatenbanken – überprüft, dass eine Person mit diesem Namen und Geburtsdatum in den letzten 6 Jahren weder zu einem europäischen Ziel gereist ist noch Visa für Schengen-Staaten erhalten hat. All dies impliziert entweder eine Ad-hoc-Operation nach neu erhaltenen Informationen über den Aufenthaltsort des Ziels oder die Verwendung eines “Einmal-Attentäters”, der kein Mitarbeiter ist. Wie weiter unten erläutert, kann sich diese letztere Hypothese aufgrund der besonderen Besonderheiten des Mannes, der sich derzeit in deutscher Haft befindet, als wahr erweisen.

Passhinweise
In früheren Untersuchungen hat Bellingcat Chargen von fortlaufenden Passnummern identifiziert, die in verschiedenen Jahren an GRU-Beamte ausgegeben wurden. Die für Sokolovs Pass verwendete Passnummer kann nicht mit diesen Chargen abgeglichen werden, da sie erst im Juli 2019 ausgestellt wurde und wir keine empirischen Daten von anderen GRU-Beamten mit neuen Pässen haben. Diese Chargen wurden jedoch alle von derselben Moskauer „Zentraleinheit“ des Bundesmigrationsdienstes (jetzt in das Innenministerium integriert) ausgestellt, die anscheinend den Pass von „Sokolov“ ausgestellt hat.

Die Nummer von “Sokolov” ähnelt auch in anderer Hinsicht den Pässen der anderen GRU-Beamten: Es handelt sich um einen Pass vom “alten” Typ – d. H. Ohne eingebettete biometrische Daten. Während Russland 2009 biometrische Pässe einführte und diese bei der Beantragung eines neuen Reisedokuments die Standardwahl sind, werden auf Anfrage Pässe im „alten Stil“ ausgestellt, normalerweise in Notsituationen, in denen der Antragsteller keine Zeit hat, auf die Verschlüsselung der Fingerabdrücke zu warten Druckprozess. Alle bisher von uns identifizierten international tätigen GRU-Beamten (mehr als 20) und „Sokolov“ entschieden sich für den „Papier“ -Pass im alten Stil, höchstwahrscheinlich aufgrund des Risikos eines Konflikts zwischen den Fingerabdrücken der Undercover-Person und dem bereits vorhandenen Fingerabdruck Daten der realen Person. Im Fall von „Sokolov“ war dies möglicherweise auch der Grund oder die unvermeidliche Folge einer überstürzten Operation, da die Vorlaufzeit für den Erhalt eines biometrischen Passes mindestens eine Woche beträgt.

Ein Express-Visum für einen Geist

Unser gemeinsames Untersuchungsteam konnte die meisten Passdaten des Verdächtigen aus einer Quelle mit Zugang zu visumgebundenen Dokumenten abrufen, die von „Vadim Sokolov“ in Russland eingereicht wurden. Das Dokument zeigt, dass der Verdächtige am 29. Juli 2019 beim französischen Konsulat in Moskau ein Expressvisum beantragte – nur 11 Tage nachdem er seinen nicht biometrischen Pass erhalten hatte. Er beantragte ein 6-Monats-Visum für die mehrfache Einreise, mit dem er uneingeschränkten Zugang zu allen 26 Ländern des Schengen-Raums erhalten konnte. Ungewöhnlich und kühn gab er an, dass sein geplantes Reisedatum der 30. Juli 2019 ist – buchstäblich der Tag nach seinem Visumantragsdatum. Darüber hinaus gab er an, dass er während seines sechsmonatigen Visums für den maximal zulässigen Zeitraum von 90 Tagen in Frankreich bleiben wolle und erklärte, er plane, bis zum 25. Januar 2020 nach Frankreich und zurück zu reisen.

Trotz dieser kühnen Bestrebungen – die beantragte Visumdauer und die Wiedereintrittsbedingungen sind das Maximum, das einem Erstreisenden ausgestellt werden kann, und die Vorlaufzeit für Reisen ist ungewöhnlich kurz – hatte „Sokolov“ in Bezug auf einen nachvollziehbaren Hintergrund in Russland wenig zu zeigen . Sein Reisepass zeigte, dass er in der sibirischen Stadt Irkursk geboren wurde, aber er gab seinen Wohnort als „Alpiyskaya Street 37“ in Sankt Petersburg an. In St. Petersburg gibt es keine „Alpiyskaya-Straße“, obwohl es eine „Alpiyskiy Pereulok“ (Alpiysky-Straße) gibt, und auf Nummer 37 dieser Straße befinden sich drei gehobene Wohnhauscluster, von denen jeder eine separate Unteradresse hat ( Korpus 1, 2 oder 3), der normalerweise bei der Angabe einer Adresse angegeben wird.

Foto eines der drei Wohnblockcluster in der Alpiyskiy Lane in St. Petersburg, wie in Yandex Maps zu sehen

Der einzige Ort in der Nähe von St. Petersburg, an dem es tatsächlich eine „Alpiyskaya-Straße“ gibt, ist eine nahe gelegene Stadt namens Kudrovo, etwas außerhalb der Stadtgrenzen. Es gibt jedoch auch keine Nummer 37 in dieser Straße.

Satellitenansicht der Alpiyska-Straße in Kudrovo mit allen Hausnummern

In seiner Bewerbung führte der Verdächtige auch seinen Beruf als „leitender Angestellter des Unternehmens“ an, obwohl das vom Untersuchungsteam überprüfte Dokument nicht den Namen des Unternehmens enthielt, bei dem er angeblich beschäftigt war. Es ist nicht klar, ob er dem französischen Konsulat den Namen des Unternehmens mitgeteilt hat.

Als Ansprechpartner in Frankreich – was für Visumantragsteller aus Russland obligatorisch ist – führte der Verdächtige den Namen des Mittelklassepraktikums in Paris an. Zum Zeitpunkt der Drucklegung konnten wir keine Rückmeldung von der Hotelleitung erhalten, ob sie mit dieser Person in Kontakt stand oder sie kannte oder ob sie das Hotel während ihrer Reise nach Frankreich als beabsichtigten Wohnort genutzt hat. Als eine Hotelrezeptionistin ein Foto des Verdächtigen zeigte, sagte sie, sie habe diese Person im Hotel nicht gesehen.

Angesichts der Tatsache, dass der Verdächtige in Russland keinen digitalen oder datenbezogenen Fußabdruck hat, eine unvollständige oder falsche Adresse und Beschäftigungsdaten aufführt, einen frisch ausgestellten Pass besitzt und mindestens seit 2013 nicht nach Europa gereist ist, ist es verwirrend, dass das französische Ministerium für Foreign Affairs, das letztendlich für die Entscheidung über Visumanträge zuständig war, beschloss, dem Antrag vollständig nachzukommen, und erteilte das Mehrfachvisum ohne detaillierte Prüfung und ohne Wartezeit. Bellingcat hat zuvor über das nominell drakonische, aber empirisch durchlässige Visumantragssystem für Westeuropa berichtet, das es russischen Spionen mit gefälschten Identitäten und ohne Datenabdruck ermöglicht, fast ein Jahrzehnt lang Visa für die mehrfache Einreise und uneingeschränkte europäische Reisen zu erhalten.

Ein ungewöhnlicher Verdächtiger
Der Bericht über den inhaftierten Verdächtigen beschreibt ihn laut deutschen Sicherheitsquellen, die von unserem gemeinsamen Team befragt wurden, als 176 cm groß und 86 kg schwer. In dem Bericht heißt es außerdem, dass der Verdächtige drei Tätowierungen auf seinem Körper hat: eine Krone und einen Panther auf seinem linken Oberarm und eine Schlange auf dem rechten Unterarm.

Das Vorhandensein von Tätowierungen auf dem Körper eines Attentäters ist im Zusammenhang mit einer russischen Sicherheitsdienstoperation ungewöhnlich. Russische Sicherheitsdienste erlauben ihren Stabsoffizieren nicht, sich so zu schmücken. Dies deutet darauf hin, dass der Verdächtige kein Stabsoffizier ist oder dass er Tätowierungen im Rahmen einer langfristigen eingebetteten Undercover-Operation erhalten durfte. Eine mögliche Erklärung könnte sein, dass der Verdächtige ein ehemaliger Verurteilter war, der von einem der Geheimdienste kooptiert wurde, da der Stil der beschriebenen Tätowierungen mit einer speziellen und streng „regulierten“ Körperdekorationsnomenklatur übereinstimmt, die als „Gefängnistattoos“ bekannt ist. Ohne weitere Informationen oder Bilder der Tätowierungen – beispielsweise ob sie monochrom oder farbig sind – wäre es jedoch unmöglich zu beurteilen, ob die Körperkunst des Verdächtigen von der Art „Gefängnistätowierung“ ist.

Es ist nicht beispiellos, dass die russischen Sicherheitsdienste auf Freiberufler oder sogar Ex-Sträflinge als Attentäter zurückgreifen, wie mindestens zwei aktuelle Beispiele für (versuchte) extraterritoriale Morde in der Ukraine zeigen. In einem Fall wurde ein ehemaliger FSB-Beamter, der wegen Korruption angeklagt worden war, in die Ukraine geschickt, um ein Attentat auf ein Mitglied des ukrainischen Militärgeheimdienstes zu organisieren. In einem anderen Fall wurde ein ukrainischer Gefängnisbeamter von der russischen GRU angeworben, um einen ehemaligen ukrainischen Artillerieoffizier zu ermorden, der die georgischen Streitkräfte während des russisch-georgischen Krieges 2008 beraten hatte. Es wäre jedoch ein Präzedenzfall für einen russischen Sicherheitsdienst, einen Freiberufler in Westeuropa einzusetzen.

Wer hat den Befehl gegeben?
Die komplexe Vergangenheit des Opfers führt zu der Möglichkeit, dass er bei einer Operation des FSB, der GRU oder sogar des eigenen Sicherheitsapparats von Ramzan Kadyrov ermordet wurde. Aufgrund seiner Beteiligung am russisch-tschetschenischen Krieg und der jüngeren Qualifikation als „islamische Bedrohung“ wäre er im Fadenkreuz der FSB-Eroberungs- oder Tötungsliste gestanden.

Andererseits hätte ihn seine Beteiligung am Krieg und seine Unterstützung für Georgier im russisch-georgischen Krieg zu einem Rachemordziel für die GRU gemacht, parallel zu anderen Attentaten auf ehemalige Gegner bewaffneter Konflikte aus der Nähe Russlands. im Ausland – was in den Augen des russischen Militärs gleichbedeutend mit Verrat ist. Unabhängig davon hätte sein tschetschenischer Hintergrund und die Tatsache, dass er während des Tschetschenienkrieges auf der Seite von Aslan Mashadov stand, Khangoshvili gegen Ramzan Kadyrovs Clique ausgespielt.

In der Tat wurden die meisten Attentate auf ethnische Tschetschenen in Übersee in den letzten 10 Jahren von tschetschenischen Abgesandten begangen, die manchmal im Namen von Kadyrow handelten – wie im Fall des Attentats auf die ukrainische Staatsbürgerin Amina Okueva (die nicht überlebte) im Juni 2017 ein nachfolgendes Attentat im selben Jahr) in Kiew – Reisen unter Deckung, nicht tschetschenische Identität.

Was auch immer die Antwort sein mag, der Zugang zu einem gültigen, von Moskau ausgestellten Pass und die sofortige und umfassende Löschung aller Daten, die mit der Deckungsidentität „Vadim Sokolov“ in Verbindung stehen, sind ein klarer Hinweis auf die staatliche Beteiligung an diesem extraterritorialen Attentat, ähnlich wie in Kühnheit und mangelnde plausible Verleugnung des Skripal-Falls.

Bellingcat und seine Ermittlungspartner werden diese Geschichte weiter untersuchen, um die tatsächliche Identität der Person zu ermitteln, die unter der Person „Sokolov“ reist.

FSBs Magnificent Seven: Neue Verbindungen zwischen Berlin und Istanbul

“Roman Davydov”, Foto aus dem slowakischen Visumantrag.

 

Am 23. August 2019 wurde Zelimkhan Khangoshvili, ein georgischer Asylbewerber tschetschenischer Herkunft, auf dem Rückweg vom Freitagsmoscheeservice in einem Park in der Nähe des Berliner Kleiner Tiergartens ermordet. Der Mörder war von der deutschen Polizei gefangen genommen worden, nachdem er mit dem Fahrrad vom Tatort weggelaufen war und zwei Teenager gesehen hatten, wie er seine Perücke, Kleidung und seinen Schalldämpfer in die Spree entsorgt hatte. Er ist seitdem in Haft und hat Unschuld behauptet.
In unseren früheren gemeinsamen Ermittlungen mit Der Spiegel und The Insider (Russland) haben wir den Mörder – der unter der gefälschten Identität von Vadim Sokolov (49) reiste – als Vadim Krasikov (54) identifiziert Mindestens zwei Auftragsmorde: 2007 in Karelien und 2013 in Moskau. Für diese Morde wurde er von den russischen Behörden auf einer Interpol Red Notice gesucht – bis er 2015 plötzlich fallen gelassen wurde.
Wir haben letztendlich herausgefunden, dass das Attentat vom russischen FSB, der staatlichen Sicherheitsbehörde, geplant und organisiert wurde. Die Vorbereitung des Mordes wurde direkt von hochrangigen Mitgliedern einer Veteranenstiftung ehemaliger Spetsnaz-Offiziere der Eliteeinheit FSB Vympel überwacht. Wir konnten jedoch nachweisen, dass der FSB direkt an der Planung und Unterstützung der Operation beteiligt war, da wir die wiederholte Anwesenheit des Mörders in den FSB Spetznaz-Schulungseinrichtungen in den Monaten vor seiner Reise unter einer von der Regierung ausgestellten Deckungsidentität geolokalisieren konnten im August 2019 nach Deutschland.
Zehn Monate nach dem Mord reichte die deutsche Generalstaatsanwaltschaft am 18. Juni 2020 eine offizielle Anklage gegen Vadim Krasikov ein. In der Anklageschrift wird die russische Regierung als die Partei genannt, die Krasikov wegen Mordes an Zelimkhan Khangoshvili unter Vertrag genommen hat. Die Anklage nennt auch einen potenziellen Komplizen des Mordes, der als Roman D, ein mutmaßlicher Deckname, bezeichnet wird.

Eine Untersuchung von Bellingcat, The Insider und Der Spiegel hat die Existenz eines zweiten russischen Staatsbürgers bestätigt, der am Vorabend des Attentats von Russland in die Europäische Union gereist ist. Dabei wurde die gefälschte Identität des 1981 geborenen Roman Davydov verwendet. Wesentliche Kennzeichen dafür Die Identität der Deckung überschneidet sich mit der gefälschten Identität, die Vadim Krasikov ausgestellt wurde, was bedeutet, dass sie als Teil desselben oder eines eng verknüpften Regierungsprogramms arbeiteten.

Darüber hinaus konnten wir diese Person auf der Grundlage der in der deutschen Anklageschrift zitierten Passnummernsuche und der in der deutschen Anklageschrift zitierten Geheimdienstdaten aus Tschechien mit einer Gruppe anderer russischer FSB-Spione in Verbindung bringen, die wiederum mit dem Mord an einem anderen tschetschenischen Staatsangehörigen in Istanbul in Verbindung gebracht wurden im Jahr 2015.

Unsere Ergebnisse zeigen, dass mindestens ein, aber wahrscheinlicher mehrere FSB-Mitarbeiter nach Deutschland gereist sind, um das Attentat auf Khangoshvili vorzubereiten und zu unterstützen. Diese Ergebnisse stärken auch die Verbindung des Berliner Mordes mit einer zuvor gemeldeten „Fahndungsliste“ von neunzehn in der Sowjetunion geborenen Personen, von denen die meisten tschetschenischer Abstammung sind, die der FSB 2012 mit den deutschen Geheimdiensten geteilt hat.

Roman’s Holiday (oder Roman, der an einem Tag gebaut wurde)
Am 29. Juli 2019 erschien ein Reisebüro mit einem russischen Reisepass im Namen von Roman Davydov, geboren am 9. Oktober 1981 in St. Petersburg (damals Leningrad), im Visazentrum des slowakischen Generalkonsulats in St. Petersburg und beantragte für ihre Klientin ein einjähriges Mehrfachvisum für den Schengen-Raum. Laut den russischen Visumantragsunterlagen des Kunden war er einheimisch: Er lebte in Bogatirskiy Prospect 32, Korpus 2 in St. Petersburg, und arbeitete als Bauingenieur bei einer lokalen Firma. Er hatte vor, Bratislava als Tourist zu besuchen, und hatte am folgenden Tag – dem 30. Juli – eine Buchung für einen Flug nach Wien und eine Hotelbuchung für das Falkensteiner Mittelklassehotel in der Innenstadt von Bratislava, wo er ab dem 2. August übernachten würde. Er beantragte ein einjähriges Visum für die mehrfache Einreise und brauchte es dringend, da er vorhatte, am nächsten Tag zu fliegen.

In der Tat war nichts davon wahr. Der Visumantragsteller lebte tatsächlich in Moskau unter seinem richtigen, anderen Namen. Die genaue Wohnadresse, die er auf dem Antrag angegeben hatte, existierte nicht – es gibt kein Korpus 2 in Bogatirskiy Prospect 32, und die Personen, die unter der einzigen Wohnungsnummer an dieser Adresse wohnen, die mit seiner Antragsadresse übereinstimmt, hatten noch nie von ihm gehört.

Der Mann, der sich Roman Davydov nannte, war ein digitales Neugeborenes. Eine Person mit Namen und Geburtsdatum konnte nicht in Tausenden von durchgesickerten Wohn- und Passdatenbanken russischer Einwohner gefunden werden, die von Bellingcat konsultiert wurden. Roman Davydov war gerade erst in der russischen Pass- und Steuerdatenbank erschienen. Tatsächlich wurde die Identität von Roman Davydov nur elf Tage vor diesem Besuch beim slowakischen Konsulat geschaffen: Sein internationaler Pass wurde am 18. Juli 2019 in der westrussischen Stadt Brjansk ausgestellt. Er wurde am 23. Juli 2019 – im Alter von 39 Jahren – erstmals in das russische Steuerregister eingetragen. Das Schreiben seines Arbeitgebers, das er dem Konsulat vorlegen musste, stammte von einem Unternehmen, das sich mehrere Jahre zuvor in einer Umstrukturierung befunden hatte und null eingereicht hatte -Die Lohnsteuerakten der Mitarbeiter seit 2016. Außerdem hatte „Davydov“ keine wirklichen Pläne, die Slowakei zu besuchen.

Auszug aus dem Open-Source-Unternehmensregister, aus dem hervorgeht, dass das Unternehmen ZAO RUST bei der Umstrukturierung Anfang und Ende 2019 nur einen Mitarbeiter hatte.

Keine dieser Datenlücken wurde vom slowakischen Konsulat bemerkt, und sein Visum für die mehrfache Einreise wurde ausgestellt – allerdings mit einer Verzögerung von zwei Tagen, wodurch er uneingeschränkte Reiserechte in 45 Bezirke in Europa, Lateinamerika und Asien erhielt.

„Roman Davydov“ war nicht die einzige Person, die an diesem Tag einen Antrag bei einem EU-Konsulat in Russland gestellt hat, um unter einer gefälschten Identität zu reisen. Am selben Tag, dem 29. Juli 2019, betrat ein Reisebüro – von derselben Firma, diesmal als Vertreter von „Vadim Sokolov“ (49) – das französische Konsulat in Moskau und beantragte für seinen Kunden ein Schengen-Visum für die mehrfache Einreise. Wie „Davydov“ war auch „Sokolov“ ein digitales Neugeborenes, dessen Reisepass zehn Tage zuvor am selben Tag in Brjansk ausgestellt worden war.

Die Pässe von „Davydov“ und „Sokolov“ waren nur 35 Ziffern voneinander entfernt, was zeigt, dass diese Personas zur gleichen Zeit hergestellt wurden. Beide waren am selben Tag, am 23. Juli 2019, in das Steuerregister eingetragen worden. Darüber hinaus hatten beide Arbeitsbriefe von derselben Firma in St. Petersburg vorgelegt: ZAO „RUST“, wo sie beide als „Bauingenieure“ arbeiteten. (Der CEO dieses Unternehmens sagte uns zunächst, er habe noch nie von Vadim Sokolov gehört, und als er mit der Tatsache konfrontiert wurde, dass sowohl Sokolov als auch Davydov von ihm unterzeichnete Beschäftigungsschreiben eingereicht hatten, sagte er: „Das ist Unsinn“ und legte auf.)

„Vadim Sokolov“, obwohl er ebenfalls ein digitales Neugeborenes ist, das für eine leere Hülle eines Unternehmens arbeitet, erhielt ebenfalls ein Mehrfachvisum vom französischen Konsulat. Er würde drei Wochen später von der deutschen Polizei festgenommen, kurz nachdem er Khangoshvili in Berlin tödlich erschossen hatte. „Roman Davydov“ ist nach unserem besten Wissen derzeit wieder in Russland.

Der Road Trip
Die Rolle von “Roman Davydov” bei der Vorbereitung des Berliner Mordes ist noch unklar, doch seine gefälschte Identität, die mehrfachen dokumentarischen Überschneidungen mit “Sokolov” und seine vorherige Verbindung zu einem Mord an einem anderen Tschetschenen reichten aus, damit der deutsche Staatsanwalt ihn benannte eine Person von Interesse an Vadim Krasikovs Anklage. Seine wahre Identität wurde noch nicht entdeckt.

Unsere Untersuchung der Grenzübergangsaufzeichnungen (basierend auf Daten eines Hinweisgebers mit Zugriff auf die zentralisierte Grenzdatenbank Russlands) zeigt, dass eine Person mit diesem Namen und Geburtstag die russische Grenze nur zweimal überquerte: einmal am 3. August 2019, als sie mit dem Auto überquerte die belarussisch-polnische Grenze am Kontrollpunkt Bruzgi (Grodno) und erneut 4 Tage später, als er an derselben Stelle von Polen nach Weißrussland zurückkehrte (es gibt keine kontrollierte Grenze zwischen Russland und Weißrussland). Es gibt keine Informationen über seine Bewegungen nach seiner Einreise nach Polen, das Teil des Schengen-Raums ist und keine harten Grenzen zu Deutschland hat. Angenommen, sein Ziel wäre Berlin gewesen, wäre dies eine 8-9-stündige Fahrt von der belarussisch-polnischen Grenze entfernt gewesen. Er hätte also nicht mehr als zweieinhalb Tage in Berlin verbracht – nicht lange genug für die Aufklärung und Verfolgung des Ziels, aber ausreichend, um die für das Attentat und den Mord erforderliche Ausrüstung vor Ort zu liefern oder zu beschaffen Waffe. Der Mörder war am Nachmittag des 22. August von Warschau nach Berlin gekommen, und das Attentat fand am nächsten Tag kurz vor Mittag statt – nicht genug für Krasikov, um seine Werkzeuge selbst zu beschaffen. Er hätte ein Fahrrad bekommen müssen. Der Anklageschrift zufolge wurde auch ein High-End-E-Scooter, der nicht in Deutschland verkauft wird, auf dem Fluchtweg des Mörders geparkt gefunden (ein Bewohner hatte beobachtet, dass er einen Tag vor dem Mord eingesetzt und an Ort und Stelle gesperrt wurde). Das Attentat wurde mit einer modifizierten Glock 26 durchgeführt, die auf einen estnischen Besitzer zurückgeführt wurde, der den Diebstahl gemeldet hatte.

Es steht außer Frage, dass Krasikov bei seiner Aufgabe Hilfe hatte. Die einzige Frage, die noch offen ist, ist, für wie viel dieser Hilfe „Davydov“ verantwortlich war.

Zu den Grenzübergangsaufzeichnungen gehörte das Nummernschild des Wagens „Davydov“. Unter Verwendung eines Open-Source-Telegramm-Bots, der Fahrzeugdetails und Besitzdaten bereitstellt, stellten wir fest, dass das Auto ein blauer Infinity Q50 war und einer russischen Autoleasingfirma gehörte. Wir haben das Unternehmen kontaktiert, aber keine Antwort erhalten, wer das Auto im August 2019 benutzt hat.

Der Infiniti-Fall

Der von „Roman Davydov“ verwendete Infiniti Q50, Foto einer Verkehrskamera (Dezember 2019)

Mithilfe öffentlich zugänglicher Daten von Verkehrsverstößen in Kombination mit durchgesickerten Daten aus Moskaus allgegenwärtigen Verkehrsüberwachungssystemen konnten wir Schlüsselmomente der Fahrzeugbewegungen des „Davydov“ in den Tagen vor und nach seiner Reise rekonstruieren. Diese Zeiten und Orte ermöglichten es uns, sie mit bekannten Bewegungen von Vadim Krasikov in den Tagen vor seiner Abreise aus Russland am 17. August 2019 zu vergleichen, die wir anhand seiner Handy-Metadaten rekonstruierten.

Die häufigsten Überschneidungen treten im Bereich einer der bekannten Residenzen von Krasikov in der Nähe der Osennaya-Straße auf. Im Juli 2019 wird das Infiniti-Auto mehrmals in der Nähe seiner Wohnung gefangen genommen, wo es nicht länger eine halbe Stunde bleibt, bevor es weiterfährt. In vielen Fällen bewegt sich Krasikovs Telefon gleichzeitig von seinem Zuhause weg und schlägt eine Abholung auf dem Weg von „Davydov“ vor.

Auf dem Rückweg von der belarussischen Grenze am 8. August 2019 fährt das Auto von „Davydov“ direkt zu Krasikovs Standort, wo es um 18:05 Uhr ankommt. Es geht um 6:30 weiter. Krasikovs Telefon befindet sich zuletzt um 17:25 Uhr in seinem Haus, als er eine SMS von einem anonymen SMS-Gateway erhält. Nach dieser Überschneidung, wahrscheinlich einer Abholung, ist Krasikovs Telefon bis zum 12. August 2019 für vier volle Tage ausgeschaltet. Der letzte Ort, an dem der Infiniti an diesem Abend entdeckt wurde, befindet sich auf dem Weg nach Balashikha, einer Stadt außerhalb von Moskau. In Balashikha befindet sich eine FSB-Spetznaz-Schulungsanlage, in der Krasikovs Telefon im Juli und August für längere Zeit geolokalisiert wurde. Daher gehen wir davon aus, dass „Davydov“ ihn dorthin gefahren hat, um vor der Mission zu trainieren oder zu organisieren.

Das Auto von “Davydov” kann in den folgenden Tagen mehrmals zwischen Moskau und Balashikha gesehen werden. Am 14. August – drei Tage vor der Reise – wird Krasikovs Telefon für diesen Tag wieder ausgeschaltet. An diesem Tag unternimmt Davydov seine letzten Reisen von und nach Balashikha. Eine weitere Bestätigung dieser Reise finden Sie in einem Strafzettel (zugänglich über eine offene, staatliche russische Datenbank), der am 14. August 2019 um 16:44 Uhr für das Infiniti-Auto von „Davydov“ in Balashikha ausgestellt wurde.

Geschwindigkeitsrekord von der Straße von Balashikha nach Moskau am 14. August um 16:44 Uhr.

Zwei Morde in Istanbul
Obwohl die genaue Rolle von „Davydov“ bei der Ermordung Berlins noch nicht feststeht, besteht kaum ein Zweifel daran, dass er an der Planung beteiligt war und sich mehrfach mit Krasikov getroffen hat. Die Bewegungen seines Autos sind zwar nicht so präzise wie die Metadaten von Mobiltelefonen, zeigen jedoch, dass er regelmäßig Gebiete besuchte, in denen sich Einrichtungen der Vympel Foundation und Spetsnaz-Trainingsgelände befanden, in Balashikha und in der Nähe der Stadt Orekhovo-Zuyevo. Deutsche Ermittler haben auch Beweise gefunden, die in der Anklageschrift zitiert wurden, dass „Davydov“ zusammen mit einer anderen namenlosen Person ab dem 26. August 2019 (also nach dem Mord) ein Hotel in Chamonix in den französischen Alpen gebucht hat. Grenzüberschreitungsdaten zeigen jedoch, dass er nach seiner Rückkehr am 8. August nicht gereist ist, so dass diese Reise möglicherweise Teil einer abgebrochenen, nicht verwandten Operation war.

Eine noch direktere Auswirkung auf seine Rolle bei der Ermordung könnte ein weiterer Mord vor vier Jahren sein. Am 1. November 2015 sah Abdulvakhid Edilgeriev, der sein Auto vor seiner Wohnung in einem Vorort von Istanbul mit seiner jungen Nichte neben sich startete, ein weißes Auto auf sich zu rasen, sein Auto von hinten rammen und ihn einschließen. Edilgeriev schob seine Nichte zu der Boden kurz bevor einer der Attentäter durch das Autofenster schoss – und verfehlte. Edilgeriev konnte aus seinem Auto steigen und rannte, aber einer dieser Verfolger holte ihn ein und schoss ihm in den Rücken. Er wurde tot mit fünf Pistolenschüssen in seinem Körper und Messerwunden an seinem Hals gefunden.

Es gab einige Ähnlichkeiten und einige Unterschiede zwischen den beiden Zielen. Wie Khangoshvili hatte Edilgeriev an den tschetschenisch-russischen Kriegen teilgenommen und Angriffe auf russische Spetznaz-Streitkräfte gestartet, während er im Kaukasus versteckt war. Wie Khangoshvili hatte auch er einige Zeit in der Ukraine verbracht und sogar gegen die russische Stellvertreterarmee in Donbass gekämpft. Wie Khangoshvili stand auch sein Name auf einer Fahndungsliste von neunzehn ethnischen Tschetschenen, die der FSB 2012 mit deutschen Behörden geteilt hatte. Seitdem wurden mindestens fünf Namen von dieser schwarzen Liste ermordet, wobei Khangoshvili der neueste war.

Im Gegensatz zu Khangoshvili, einem tschetschenischen Nationalisten, war Edilgeriev ein radikalisierter Islamist geworden, eine Schlüsselfigur im Kaukasus-Emirat, und hatte sogar mit Al-Nusra / Al-Qaida-Streitkräften in Syrien gekämpft. Es wurde auch berichtet, dass er Site-Administrator einer islamistischen Website, dem Kavkaz Center, ist, die in Russland verboten ist.

Was auch immer die Motivation des russischen Staates für Edilgerievs Ermordung gewesen sein mag, es war nicht beiläufig geplant. Die türkische Polizei berichtete, dass mindestens drei Russen an dem Mord beteiligt waren. Das weiße Auto war 20 Tage vor der Ermordung von einem russischen Staatsbürger gemietet worden, der unter dem Namen Aleksandr Nasyrov reiste, der am 11. September 2015 in Istanbul angekommen war, und ein weiteres Auto gemietet hatte – beide wurden auf einem Parkplatz in der Stadt geparkt westliche Provinz Yalova. Er wohnte alleine in einem Hotel in Istanbul und reiste am 16. September 2015 nach Russland zurück.

Zwei weitere Russen, die als Aleksandr Smirnov und Yury Anisimov reisten, blieben vom 11. bis 13. September 2015 zur gleichen Zeit in Yalova. Von dort zogen sie nach Istanbul und übernachteten am 14. und 16. September 2015 in separaten Hotels im Touristenviertel. Die türkische Polizei hatte Überwachungskameras gefunden, aus denen hervorgeht, dass Nasyrov Smirnov und Anisimov in der Nähe ihrer Hotels getroffen hatte.

Keiner dieser Russen wurde zwei Wochen später nach dem Attentat festgenommen, und es wird angenommen, dass sie sich nur in der Türkei befanden, um sich auf die Mission vorzubereiten, während andere Aktivisten am 1. November den Treffer erzielten. Die beiden Russen Smirnov und Anisimov kehrten jedoch ein halbes Jahr später nach Istanbul zurück und wurden kurz nach ihrer Ankunft am 6. April 2016 festgenommen. Die türkische Polizei erklärte, sie sei zurückgekehrt, um ein weiteres Attentat zu planen. Nach der Entspannung in den Beziehungen zwischen Russland und der Türkei im Jahr 2017 wurden sie im November 2017 unter dem angeblichen Vorwand eines Austauschs zwischen zwei Führern der Krimtataren nach Russland entlassen.

Unter Verwendung der von den türkischen Behörden veröffentlichten Namen konnten wir in durchgesickerten Flugreisedatenbanken die Reiseroute der drei Russen in den Jahren 2014 und 2015 aufspüren. Wir stellten fest, dass alle drei unter Pässen gereist waren, die in einer fortlaufenden Anzahl von Nummern ausgestellt wurden. Ihre Reise in die Türkei im Oktober 2015 war nicht ihre erste gewesen. Alle drei waren zuvor am frühen Morgen des 10. Dezember 2014 nach Istanbul gereist – Smirnov und Anisimov auf einem gemeinsamen Flug und Nasyrov auf einem anderen Flug von einem anderen Moskauer Flughafen. Später an diesem Tag wurde ein usbekischer Geistlicher gegen die Regierung Usbekistans, Abdullah Bukhari, in den Rücken geschossen, als er versuchte, in die Madrassah einzutreten.

Überwachungskamera-Aufnahmen in dem Moment des Mordes an Abdullah Bukhari

Eine BBC-Untersuchung aus dem Jahr 2016 ergab, dass ein Veteran der türkischen Spezialkräfte dem Reporter Anfang 2014 mitgeteilt hatte, dass er von einem Mittelsmann angesprochen wurde, der sagte, er sei vom FSB ausgebildet worden und suche nach Auftragsmördern einer Liste von fünfzehn Personen wohnhaft in der Türkei, die der FSB tot sehen wollte. Das angebliche Budget pro Person betrug 300.000 US-Dollar, und der Usbeke Bukhari war zusammen mit tschetschenischen Namen auf der Liste. Obwohl es keinen direkten Zusammenhang zwischen den Aktivitäten von Buchari und den nationalen Interessen Russlands gibt, haben Sicherheitsexperten vermutet, dass dieser Mord Teil einer Tauschvereinbarung zwischen dem Kreml und Taschkent gewesen sein könnte.

Die glorreichen Sieben
Die Namen, die die drei Russen für ihre Istanbul-Reisen verwendeten, waren falsch.

Wie bei „Sokolov“ und „Davydov“ gibt es in Russland laut Hunderten von durchgesickerten historischen Datenbanken, die wir konsultiert haben, keine Personen mit diesen Namen und Geburtstagsdaten. Aufgrund der schlampigen Praktiken der russischen Sicherheitsdienste verwendeten wir ihre Passnummern als „Startwert“ für weitere Nachforschungen und konnten vier weitere Namen nicht existierender Personen finden – alle aus derselben Passcharge mit fortlaufenden Ziffern. Darüber hinaus waren sechs der sieben im Juli und August 2015 zusammen oder unmittelbar nacheinander nach Prag gereist, wobei die früheste Ankunft am 20. Juli und die späteste Abreise am 5. August 2015 erfolgte. Fünf von ihnen überlappten sich nur an einem Tag – 23. Juli 2015

Insbesondere eine der Personen auf dieser erweiterten Liste – und die erste der Gruppe, die am 20. Juli 2015 nach Prag reiste – hieß Roman Nikolaev, geboren am 22. Dezember 1980. Dieser Römer hatte einen anderen Nachnamen und ein anderes Geburtsdatum als „Roman Davydov ”. Sein Passfoto war jedoch das gleiche wie das in den Visa-Dokumenten von „Davydov“. Aufgrund des partiellen Charakters der durchgesickerten Reisedatenbanken haben wir noch nicht festgestellt, ob Roman Nikolaev, a.k.a Davydov, später in diesem Jahr nach Istanbul gereist ist.

Mindestens eine weitere Person aus der Liste der sieben Undercover-Agenten war ebenfalls mit Khangoshvilis Ermordung verbunden. Krasikovs Telefonaufzeichnungen zeigen, dass der 1970 geborene „Andrey Mitrakov“ in den Monaten vor seiner Reise nach Berlin einer der häufigsten Anrufer von Krasikovs Telefonnummer war.

Mindestens zwei der Mitglieder der sieben fiktiven Personen des FSB reisten auch innerhalb Russlands unter ihrer Deckungsidentität – mit Reisen auf die Krim in den Jahren 2014 und 2015. Die für die Deckungsidentität dieser beiden Mitarbeiter verwendeten Passnummern stammen ebenfalls aus einer Folge Serie – und es gehört zu derselben Charge, aus der Col. Igor Egorov, ein hochrangiges Mitglied des Vympel Spetsnaz-Teams, unter der gefälschten Identität von „Igor Semenov“ reiste. Oberst Egorov, der an der Verschwörung des Mordes an einer in der Ukraine lebenden tschetschenischen Opposition beteiligt war, reist häufig nach Deutschland und war im Juli 2019, einen Monat vor dem Mord an Kleiner Tiergarten, in Deutschland. Es ist nicht bekannt, ob Egorov selbst eine Rolle bei der Vorbereitung von Khangoshvilis Ermordung gespielt hat.

Diese Passsequenz-Verknüpfung zwischen FSB-Oberst Egorov und Mitgliedern der „Prächtigen Sieben“, von denen mindestens zwei in direktem Zusammenhang mit dem Berliner Mord standen, ist ein weiterer Beweis für die Verbindung des FSB mit Khangovshvilis Ermordung.

 

Die roten Heringe

Eine weitere Parallele zwischen dem Attentat auf Berlin und dem Hit Job in Istanbul 2015 ist zu ziehen. In beiden Fällen schien es jeweils falsche Informationslecks über die inhaftierten Verdächtigen zu geben, die sowohl die Ermittler als auch die Öffentlichkeit von den russischen Sicherheitsdiensten ablenkten und dem organisierten Verbrechen näher kamen. Das russische Interesse an einer solchen Täuschung war offensichtlich, da politische Auswirkungen bei kriminellen Attentaten beseitigt oder minimiert werden können.

Kurz nach der Verhaftung von „Aleksandr Smirnov“ und „Yury Anisimov“ im April 2016 und nach den kurzzeitig schlechten Beziehungen zu Russland nach dem Abschuss des russischen Kampfflugzeugs führte die Türkei die Fotos der „russischen Spione“ in den lokalen Medien vor Staatsanwälte beantragten eine 37-jährige Haftstrafe für ihr Verbrechen.

“Smirnov” und “Anisimov”, Bildschirmaufnahmen von Überwachungskameras, die türkische Staatsanwälte den Medien zur Verfügung gestellt haben

А Der russische Mediensender Rosbalt, der für seine hervorragenden Quellen innerhalb des FSB bekannt ist, identifizierte Aleksandr Smirnov schnell als gültigen Lurakhmaev, einen berüchtigten tschetschenischen Verbrecher, der von mehreren Ländern, technisch gesehen bis heute, von Russland gesucht wurde. In der Tat hat das Foto von “Smirnov” eine sichtbare Ähnlichkeit mit dem Foto von Lurakhmaev, das auf der roten Interpol-Bekanntmachungsliste steht.

Die Erzählung, dass der Istanbuler Attentäter eine tschetschenische Kriminelle und kein russischer Spion ist, wurde nicht nur von den globalen Medien, sondern auch von ausländischen Regierungen zur anerkannten Wahrheit. Frankreich forderte die Türkei auf, Zugang zu „Validol“ zu erhalten, wie Lurakhnaev weithin bekannt war Verhör im Zusammenhang mit dem Giftpflanzenmord an dem russischen Emigranten und Whistleblower Alexander Pereplichny im Jahr 2012.

Unsere Untersuchung hat jedoch gezeigt, dass Lurakhmaev und „Aleksandr Smirnov“ nicht dieselbe Person sind. Neben dem Neunjahresunterschied zwischen Lurakhmaev und „Smirnov“, der für eine glaubwürdige „Deckungsidentität“ zu groß ist, zeigt ein Gesichtsvergleich mit dem Azure-Tool zur Gesichtsüberprüfung von Microsoft, dass es sich um unterschiedliche Personen handelt.

Ein Kontrollvergleich, der zwischen dem Bild von „Smirnov“ von diesem Bildschirmausschnitt der Flughafenkamera und einem anderen Bild desselben Russen zum Zeitpunkt seines Austauschs im Jahr 2017 durchgeführt wurde, zeigt, dass die Schlussfolgerung der Nichtübereinstimmung robust war und nicht das Ergebnis des Besonderen war Winkel des Flughafenfotos.

Zufällig oder nicht, nach der Verhaftung von „Vadim Sokolov“ in Berlin und unserer ersten Veröffentlichung mit Links zu russischen Sicherheitsdiensten erhielten Bellingcat und andere internationale Medien einen anonymen „Tipp“, in dem Insiderwissen behauptet wurde, der Attentäter sei ein ehemaliger Polizist auf niedriger Ebene der vor über zehn Jahren wegen Unterstützung eines Auftragsmordes inhaftiert worden war. Während Bellingcat und unsere Partner diese Behauptung nicht veröffentlichten – und durch einen ähnlichen Gesichtsvergleich feststellen konnten, dass der Berliner Mörder nicht dieselbe Person ist, führte die falsche Absicht – absichtlich oder nicht – erneut zu Veröffentlichungen, die den Berliner Mörder falsch identifizierten.

 

Relevanz der Befunde

Die neuen Erkenntnisse sind in mehrfacher Hinsicht wichtig. Erstens bestätigen sie erwartungsgemäß die Beteiligung von mehr als einer Person an dem Attentat. Wenn die Istanbul-Erfahrung ein Hinweis auf einen Modus Operandi ist, ist zu erwarten, dass ein Team von mindestens 5 Personen, die nach einem gestaffelten Zeitplan reisen, an der Planung beteiligt war. Diese gestaffelte Methode würde auch mit der Vorgehensweise von Mordteams der russischen GRU übereinstimmen.

Zweitens bestätigen die Ergebnisse die direkte Verbindung zwischen dem „Kill Team“ und dem FSB. Während wir in früheren Untersuchungen die Hypothese der Nichteinbeziehung des FSB als unplausibel eingeschätzt hatten, entfernen die Verwendung derselben Passserie für bestätigte hochrangige FSB-Beamte wie Oberst Igor Egorov und Mitglieder der „Magnificent Seven“ alle verbleibenden Zweifel.

Die Ergebnisse deuten auch auf ein wahrscheinliches strategisches Durchsickern falscher und irreführender „Tipps“ zur Identität gefangener Undercover-Mitarbeiter hin, um die Aufmerksamkeit der Sicherheitsdienste abzulenken. Internationale Medienoperationen sind ein Ziel solcher gezielten falschen Lecks, aber Strafverfolgungsbeamte werden wahrscheinlich auch gezielt angegriffen.

Schließlich haben unsere Ergebnisse wichtige Auswirkungen auf die strukturellen Schwachstellen des europäischen Visumausstellungssystems. Zuvor haben wir über den Missbrauch der Möglichkeit, unter gefälschten Identitäten durch Europa zu reisen, durch russische Geheimdienste – sowie durch das organisierte Verbrechen – berichtet, da auf „offizielle Dokumente“ von russischen Unternehmen oder Behörden zurückgegriffen wurde und diese weiterhin akzeptiert werden nicht biometrische Pässe. In diesem Bericht wird jedoch zum ersten Mal die Verwendung von zwei verschiedenen gefälschten Identitäten durch dieselbe Person identifiziert: „Roman Davydov“ und „Roman Nikolaev“, die zu unterschiedlichen Zeitpunkten geboren wurden. Beide Personen konnten Schengen-Visa erhalten, obwohl zumindest theoretisch die bei der Beantragung von Visa erhaltenen biometrischen Daten solche Vorfälle unmöglich gemacht haben sollten.

Wer ist Dmitry Badin, der von Deutschland angeklagte GRU-Hacker wegen der Bundestags-Hacks?

Am 5. Mai 2020 berichteten deutsche Medien, dass die deutsche Bundesanwaltschaft einen Haftbefehl gegen den russischen Staatsbürger Dmitry Badin erlassen hat, den Hauptverdächtigen beim Hacking des Deutschen Bundestages im Jahr 2015.

Was war der Bundestags-Hack 2015?
Im April 2015 erhielten Abgeordnete des Deutschen Bundestages sowie Mitglieder des Merkel-Bundestags eine E-Mail, die angeblich von den Vereinten Nationen stammte und auf dem sichtbaren Domainnamen „@ un.org“ beruhte. Die Mail trug den Titel „Der Ukraine-Konflikt mit Russland lässt die Wirtschaft in Trümmern liegen“. Die E-Mail enthielt schädlichen ausführbaren Code, der sich selbst auf dem Computer des Opfers installiert hatte.

In den nächsten Wochen hatte die schädliche Software, die Passwörter zu stehlen schien und sich über die lokalen Netzwerke verbreitete, die gesamte IT-Infrastruktur des Bundestages übernommen und den Zugriff auf ihre Onlinedienste und die externe Website unzugänglich gemacht. Im Hintergrund zeigten Protokolle später, dass über 16 Gigabyte Daten von einem Hacker aus dem Ausland aufgesaugt wurden. Dazu gehörten komplette Postfächer deutscher Parlamentarier. Medienberichten zufolge wurde auch das Parlamentsbüro von Angela Merkel verletzt.

Wer ist Dmitry Badin?
Deutsche Medien berichten, dass die Bundespolizei die Phishing-Kampagne 2015 und den anschließenden Datendiebstahl mit Dmitry Badin verknüpfen konnte, einem mutmaßlichen Mitglied der Elite-Hacking-Einheit 26165 der GRU, die unter Cyber-Sicherheitsanalysten besser als APT28 bekannt ist. Die Verknüpfung der Operationen mit ihm wurde Berichten zufolge auf der Grundlage von Protokollanalysen und „Informationen von Partnerdiensten“ hergestellt. Es wurden jedoch noch keine konkreten Beweise dafür veröffentlicht, wie die Zuschreibung vorgenommen wurde.

Dmitry Badin war bereits auf der Fahndungsliste des FBI wegen seiner angeblichen Beteiligung an mehreren Hacking-Operationen, die der APT28-Einheit der GRU zugeschrieben wurden. Zu diesen Operationen gehörten der Hack der Anti-Doping-Organisation WADA während der Untersuchung eines Doping-Verwaltungsprogramms sowie der DNC-Hack am Vorabend der US-Präsidentschaftswahlen.

Validierung der Verknüpfung von Dmitry Badin mit der GRU
In FBI-Dokumenten wird Dmitry Badin kurz als “angeblich ein russischer Geheimdienstoffizier der Einheit 26165” beschrieben, der am 15. November 1990 in Kursk geboren wurde. Sein Passfoto wurde als Teil seines Fahndungspakets veröffentlicht.

Basierend auf der Analyse von Daten aus hauptsächlich offenen Quellen können wir bestätigen, dass Dmitry Badin, geboren am 15. November 1990, tatsächlich für die GRU-Einheit 26165 arbeitet.

Using Russian social-media reverse-image search application FindClone, we found Dmitry Badin’s photographs in his wife’s VK account. We then re-validated that this is the same person by comparing the two photos in Microsoft Azure’s Face Verification tool

A search for Badin’s full name and birth date in previously leaked Moscow car registration databases provided a match: Dmitry Sergeevich Badin, born on 15 November 1990, purchased a KIA PS car in June 2018. The car registration included the owner’s passport number and place of issue (St. Petersburg), as well as his registered address. Badin’s registered address, as of 1 June 2018, was Komsomolsky Prospect 20.

 

 

Dies ist die Adresse der GRU-Militäreinheit 26165, wie aus öffentlich zugänglichen russischen Unternehmensregistern hervorgeht. Die Einheit 26165 ist auch als 85. Hauptzentrum der GRU bekannt und auf Kryptographie spezialisiert. Das Zentrum erlangte erstmals 2017 öffentliche Bekanntheit, als unser russischer Ermittlungspartner The Insider entdeckte, dass ein Beamter dieser Einheit versehentlich seine persönlichen Metadaten in einem Dokument hinterlassen hatte, das im Rahmen der sogenannten Macron Leaks durchgesickert war.

Wir haben zuvor einen Verstoß gegen die Betriebssicherheit des russischen Militärgeheimdienstes festgestellt, der die Identifizierung von mindestens 305 Offizieren ermöglichte, deren Autos unter derselben Adresse registriert waren. Dmitry Badin war nicht auf der Liste der 305 Offiziere, die wir damals identifiziert hatten, da er sein Auto gekauft hatte, nachdem die von uns im Oktober 2018 konsultierte Datenbank für die Fahrzeugregistrierung öffentlich durchgesickert war.

Scaramouche, Scaramoush!
Derzeit wissen wir nicht, wie deutsche Ermittler Dmitry Badin mit dem Bundestags-Hack in Verbindung bringen konnten. Open-Source-Beweise, die wir entdeckt haben, können jedoch auf seine Rolle bei viel mehr als den drei Hacking-Operationen hinweisen, mit denen sein Name in Verbindung gebracht wurde.

Unter Verwendung des Kennzeichens von Badins Auto durchsuchten wir eine durchgesickerte Moskauer Parkdatenbank und stellten fest, dass er sein Auto häufig in der Nähe des Schlafsaals der russischen Militärakademie in Bolshaya Pirogovskaya 51 abstellte. Die Parkprotokolle enthielten auch zwei Telefonnummern, für die er verwendet hatte mobile Zahlungen für seine Parksitzungen. Wir haben diese beiden Nummern dann in verschiedenen Telefon-Messenger- und Reverse-Search-Telefondatenbanken nachgeschlagen.

 

Eine der Zahlen erschien in der Viber-Messenger-App unter dem offensichtlich angenommenen Namen Gregor Eisenhorn, einem Charakter aus dem Fantasy-Spiel Warhammer 40.000.

Die andere Nummer erschien in zwei verschiedenen Apps zum Nachschlagen von Telefonnummern, sowohl unter seinem richtigen Namen als auch unter seinem späteren Lieblingsalias: „Nicola Tesla“.

Wir haben dann überprüft, ob diese Nummer mit einem Social-Media-Konto in Russland verknüpft ist, und festgestellt, dass sie mit einem jetzt gelöschten Konto auf VKontakte (VK) verbunden ist. Beim Durchsuchen archivierter Kopien dieses Kontos stellten wir fest, dass es ab 2016 unter dem Namen Dmitry Makarov verwendet wurde. Noch früher hatte es jedoch den Namen Nicola Tesla und auch den Benutzernamen „Scaramouche“ getragen.

Daten aus einer archivierten Kopie des inzwischen aufgelösten VK-Kontos mit zwei verknüpften Nummern, einschließlich einer Kursk-Festnetznummer

Während dieser Zeit – die wir nicht genau aus der archivierten Kopie datieren konnten – war der Benutzer des VK-Kontos in Kursk ansässig, wo Dmitry Badin geboren wurde und wo er aufwuchs, bevor er nach St. Petersburg zog. Seine Petersburger Periode, die sowohl vom Ausstellungsort seines Passes als auch von Fotos auf dem VK-Konto seiner Frau vor 2014 bestimmt werden kann, hängt wahrscheinlich mit seinem Universitätsstudium zusammen. Unsere früheren Untersuchungen an Mitgliedern des GRU-Hacking-Teams haben ergeben, dass eine große Anzahl der Hacker ihren Abschluss an den Informatikuniversitäten in St. Petersburg gemacht hat.

Wir haben auch herausgefunden, dass Badins Handynummer mit einem Skype-Konto verknüpft ist, das wie sein inzwischen aufgelöstes VK-Konto den Namen “Nicola Tesla” trägt, aber den Benutzernamen Scaramoush777 verwendet.

Scaramouche, vom italienischen Wort Scaramuccia, wörtlich „kleiner Scharmützler“, ist der übliche böse Clown aus der Commedia dell’arte aus dem 16. Jahrhundert. Das Wort ist wahrscheinlich besser bekannt aus dem bekannten Rezitativ aus Queen’s Bohemian Rhapsody. Für Cyber-Sicherheitsforscher, die Hacking-Operationen von staatlichen Akteuren untersuchen, ist dieses Wort jedoch mit einer zusätzlichen Nutzlast verbunden.

Im März 2017 veröffentlichte die Abteilung für Cyber-Bedrohungen des Cyber-Sicherheitsunternehmens SecureWorks (c) ein eigenes Whitepaper zur Zuschreibung, in dem die Schlussfolgerungen begründet wurden, dass die Hacking-Exploits von APT28 (auf die SecureWorks mit seinem eigenen Codenamen „Iron Twilight“ verweist) a staatlich geförderte Operation, die höchstwahrscheinlich mit dem militärischen Geheimdienst Russlands zusammenhängt. In seinem Bericht listet SecureWorks sowohl die Ziele auf, bei denen APT28 als angegriffen identifiziert wurde, als auch den von dieser schattigen Hacker-Gruppe verwendeten Tool-Set.

Das Endpunkt-Kit, mit dem APT28 Screenshots durchführt und die Anmeldeinformationen der Ziele stiehlt, heißt Scaramouche. Diese spezielle Malware erhielt ihren Namen von der SecureWorks Cyber ​​Threats Unit, die sie nach ihren eigenen Worten “nach dem Scaramouche-Benutzernamen im PDB-Pfad beider Tools” benannte.

Angesichts der Tatsache, dass Dmitry Badin den Scaramouche-Benutzernamen verwendet hat – nach allen Beweisen zu urteilen -, bevor er der GRU beigetreten ist, ist es unwahrscheinlich, dass er einen bereits vorhandenen Benutzernamen für seine VK- und Skype-Konten usurpiert hat. Dies ist klar, wenn man sich auf ein Team von GRU-Codierern namens „Scaramouche“ stützt. Viel plausibler war der von der CTU entdeckte Benutzername “scaramouche” nämlich Badins eigener Benutzername. Dies würde wiederum bedeuten, dass das von Dmitry Badin geschriebene Endpoint-Kit ein entscheidender Bestandteil der Malware war, die in allen Hacks verwendet wurde, die auf APT28 zurückzuführen sind. von Angriffen auf russische Oppositionelle und Journalisten bis hin zu westlichen Medienorganisationen (einschließlich Bellingcat), dem Untersuchungsteam MH17, dem Deutschen Bundestag und der DNC.

Es wäre klug zu fragen: Ist es plausibel, dass ein so produktiver und versierter Hacker solche Spuren hinterlässt, die ihn leicht in die serielle Cyberkriminalität verwickeln würden? Es ist nicht so schwer zu glauben, da GRU-Hacker nicht in der Lage sind, ihre eigenen Spuren zu verwischen. Badins Kollegen, die beim Versuch erwischt wurden, das Labor der OPCW in Den Haag zu hacken, führten Taxibelege weiter, auf denen explizit eine Route vom GRU-Hauptquartier zum Flughafen angegeben war. Wir konnten 305 von ihnen leicht anhand der Adresse identifizieren, unter der sie ihre Autos registriert hatten, ganz zu schweigen davon, dass Badin selbst sein Fahrzeug an der offiziellen Adresse seiner GRU-Einheit registriert hatte.

Das surrealste Fehlen von „Practice-What-You-Breach“ unter GRU-Hackern könnte in ihrer mangelnden Einstellung zu ihrem eigenen Cyber-Schutz sichtbar werden. Im Jahr 2018 wurde eine große Sammlung gehackter russischer E-Mail-Konten, einschließlich Benutzername und Passwörter, online gestellt. Dmitry Badins E-Mail, die wir aus seinem Skype-Konto herausgefunden haben, das wir wiederum von seiner Telefonnummer erhalten haben, die wir natürlich aus seiner Autokennzeichnung erhalten haben, war gehackt worden. Er hatte anscheinend das Passwort Badin1990 benutzt. Danach wurden seine E-Mail-Anmeldeinformationen im Rahmen eines größeren Hacks erneut durchgesickert, wobei wir sehen, dass er sein Passwort von Badin1990 in das viel sicherere Badin990 geändert hatte.

Der meistgesuchte Mann der Welt Jan Marsalek In Weißrussland/Russland – Datenpunkte zu russischen Intel-Links

Es ist davon auszugehen, dass Jan Marsalek derzeit einer der am meisten gejagten Menschen der Welt ist. Das Unternehmen, das er operativ beaufsichtigte, die deutsche Wirecard, brach letzten Monat über Nacht zusammen, nachdem die Wirtschaftsprüfer auf eine Lücke von fast 2 Milliarden Euro in ihrer Bilanz aufmerksam gemacht hatten. Das Loch war das Ergebnis der Erkenntnis, dass Bargeld in gleicher Höhe – von dem angenommen wurde, dass es auf Bankkonten von Drittanbietern in Ostasien – einem Codierungs- und Verarbeitungszentrum für Wirecard – tatsächlich nicht vorhanden war. Der 40-jährige österreichische Staatsbürger Jan Marsalek, seit 2010 COO von Wirecard, war für die asiatischen Aktivitäten des Unternehmens verantwortlich. Am 18. Juni 2020 wurde das Managementteam – einschließlich Jan Marsalek – entlassen. Er sagte seinen Kollegen, dass er auf die Philippinen gehen würde, um die fehlenden Milliarden zu jagen und zu finden, um seine Unschuld zu beweisen. Später an diesem Tag wurde er ebenfalls vermisst. Während Flugbuchungen und Einwanderungsunterlagen zeigten, dass er am 23. Juni nach Manila gereist war und weiter nach China gereist war, ergab eine Untersuchung der philippinischen Behörden, dass die Reise ein roter Hering gewesen war und Einwanderungsunterlagen in seinem Namen gefälscht worden waren . Seitdem wird Jan Marsalek von deutschen und österreichischen Behörden wegen Betrugs und Unterschlagung gesucht.

Bellingcat hat nun in Zusammenarbeit mit seinen Ermittlungspartnern Der Spiegel und The Insider den Ort festgelegt, an den Marsalek wenige Stunden nach seiner Entlassung geflohen ist – die Hauptstadt von Belarus, Minsk. Darüber hinaus deuten die vom russischen FSB geführten russischen Einwanderungsunterlagen und Daten darauf hin, dass der russische Sicherheitsdienst ein langjähriges Interesse an Marsalek hatte, der eine Reihe verschiedener Pässe – darunter einen Diplomatenpass aus einem Drittland – verwendete, um Russland Dutzende Male in der EU zu besuchen letzten 15 Jahre. Zumindest einmal – im Jahr 2017 – dürften die russischen Sicherheitsdienste eine lange Interaktion mit Marsalek in Moskau gehabt haben.

Was bisher bekannt ist:

Am 25. Juni 2020 meldete der deutsche Fin-Tech-Riese Wirecard Insolvenz an, nachdem in seinen Bilanzen ein Loch in Höhe von 2 Milliarden US-Dollar aufgedeckt worden war. Die Enthüllung führte zur Verhaftung und Anklage des CEO des Unternehmens, Dr. Markus Braun, wegen falscher Buchführung und Marktmanipulation. Der Niedergang von Wirecard ist auf eine Ermittlungsreihe in der Financial Times zurückzuführen, in der der spektakuläre Aufstieg des Unternehmens in Frage gestellt und auf Unregelmäßigkeiten in Bezug auf Rechnungslegung und Geschäftstätigkeit in Asien hingewiesen wurde. Wirecards Stellvertreter, der COO Jan Marsalek, der für seine Präsenz in Asien verantwortlich ist, war nirgends zu finden. Ein internationaler Haftbefehl wurde gegen ihn erlassen, aber wie FT berichtete, können die Gründe für die Vermeidung der Festnahme weit über den Buchhaltungsskandal hinausgehen.
Jan Marsalek ist jetzt eine Person von Interesse für drei westliche Geheimdienste, weil er den Verdacht hat, Verbindungen zum russischen Geheimdienst zu haben.
Seit 2015 verfolgt er Projekte in Libyen – einschließlich Investitionen in die Libya Cement Company – und hat mit russischen Beratern und europäischen Beamten Pläne für den „humanitären Wiederaufbau in Libyen“ erörtert, die von Beobachtern als Plan zur Errichtung einer Söldnertruppe angesehen werden Schutz der kommerziellen Interessen im kriegsgetriebenen Land. Marsaleks Berater bei der libyschen Initiative war der Russe Andrey Chuprygin – ein russischer Experte aus der arabischen Welt, von dem westliche Geheimdienste glauben, er sei ein ehemaliger leitender Offizier der GRU, der enge Beziehungen zur Geheimdienstgemeinschaft unterhält.
Marsalek arbeitete mit der Österreichisch-Russischen Freundschaftsgesellschaft zusammen. Die Organisation erhielt Verschlusssachen von Marsalek, die offenbar vom österreichischen Innenministerium und Sicherheitsdienst BVT erhalten wurden. Er gab auch Verschlusssachen weiter und beriet die rechtsextreme populistische Partei des Landes, die FPÖ, geopolitisch.
Im Jahr 2017 soll Jan Marsalek in einem privaten Treffen über eine Reise gerühmt haben, die er kurz nach seiner Rückeroberung durch ISIS als Gast des russischen Militärs zu den Ruinen von Palmyra in Syrien unternommen hatte. Im Jahr 2018 veröffentlichte er den Geschäftspartnern in London vier hochsensible, klassifizierte Berichte der Organisation für das Verbot chemischer Waffen nach der Vergiftung durch Skripals in Salisbury. Er behauptete auch, die vollständige Formel von Novichok zu haben, dem militärischen Gift, das von der GRU im Fall Skripals verwendet wurde.

Mit Liebe nach Russland
Nach Einwanderungsdaten von Bellingcat war Marsalek ein häufiger Besucher Russlands mit über 60 Reisen in das Land in den letzten 10 Jahren. Sein Einwanderungsdossier umfasst 597 Seiten, viel mehr als jede Ausländerakte, auf die wir in mehr als fünf Jahren Ermittlungen gestoßen sind.

Seine erste Reise war im Jahr 2004, aber nach einer sechsjährigen Pause besuchte er das Land 2010 wieder, als er Mitglied der Geschäftsleitung von Wirecard wurde. Seine Reisen beschleunigten sich 2014, als er zehnmal nach Moskau reiste und normalerweise innerhalb eines Tages ein- und ausflog. Im nächsten Jahr reiste er sieben Mal und blieb in der Regel weniger als 24 Stunden in Moskau, mit Ausnahme eines einwöchigen Besuchs in Kasan, der Hauptstadt der Republik Tatarstan, im Februar 2015.

2016 nahmen Marsaleks Reisen nach Russland mit insgesamt 16 Flügen zu. Im Gegensatz zu früheren Jahren, als er kommerzielle Flüge nutzte, flog er 2016 und später mit gecharterten Business-Jets. Die Ziele waren ebenfalls abwechslungsreich; mit Flügen direkt von verschiedenen europäischen und asiatischen Hauptstädten nach St. Petersburg, Nischni Nowgorod und erneut nach Kasan. Seine längste Reise im Jahr 2016 dauerte 3 Tage, die kürzeste war ein Tagesausflug. Eine besondere Reise zeichnet sich durch eine partyähnliche Country-Hopping-Natur aus: Am 29. September 2016 flog Marsalek um 01:55 Uhr von München nach Moskau, um am selben Morgen um 7:58 Uhr nach Athen zu fliegen. Am nächsten Tag flog er von Griechenland zurück – diesmal nach St. Petersburg, wo er nur fünfeinhalb Stunden blieb, bevor er nach Griechenland zurückkehrte – aber diesmal auf die Ferieninsel Santorini. Während dieses Windwirbels wechselte er drei verschiedene Privatjets.


Der Reiseplan 2016 von Marsalek zeigt ein fast monatliches Besuchsmuster. normalerweise an Wochentagen und normalerweise sehr kurz.

Was auch immer Marsalek in den Jahren 2015 und 2016 nach Russland gebracht hat, muss ihn 2017 eingeholt haben. Nach vier Reisen zu Beginn des Jahres – wie üblich jeweils nicht länger als ein oder zwei Tage – flog der COO von Wirecard am 9. von München nach Moskau zurück September 2017, aber erst eine Woche später verlassen. Tatsächlich durfte er nicht gehen, selbst wenn er es versuchte: Einwanderungsberichte zeigen, dass am Morgen des 15. September um 8:05 Uhr sein Versuch, das Land mit einem privaten Geschäftsjet zu verlassen, vom Grenzdienst des FSB abgelehnt wurde. Es ist nicht klar, was die Inhaftierung verursacht hat, aber es scheint, dass sein ursprünglich gebuchter Jet ohne Marsalek losgelassen werden musste.

Immerhin verließ Marsalek an diesem Nachmittag um 17:35 Uhr Russland mit einem anderen Privatjet. Dies war das letzte Mal, dass Wirecards Chef Russland besuchte. Oder zumindest das letzte Mal mit seinem österreichischen Pass.

Der Mann mit den vielen Gesichtern und Pässen

Das russische Einwanderungsdossier von Jan Marsalek ist das ungewöhnlichste, das wir geprüft haben, und nicht nur, weil es sich über Hunderte von Seiten erstreckt. Es enthält auch eine ungewöhnliche Reihe verschiedener Pässe, die alle an dieselbe Person und an ihre Besuche in Russland gebunden sind.

Marsalek reiste mit 6 verschiedenen österreichischen Pässen nach Russland – nicht ungewöhnlich angesichts der Zeitspanne und der Tatsache, dass Österreich den Besitz mehrerer Pässe erlaubt und gleichzeitig die doppelte Staatsbürgerschaft verbietet. Zusätzlich zu den Pässen seines Heimatlandes scheint er jedoch auch andere, weniger offensichtliche Ausweisdokumente eingeflogen zu haben. Insbesondere wurden alle seine Reisen im Rahmen dieser anderen Dokumente aus der grenzüberschreitenden Datenbank gelöscht, die sich von der Datenbank für Migrationsdossiers unterscheidet.

 

Drei Passfotos aus Marsaleks österreichischen Pässen

Beispielsweise enthält die Migrationsdatei von Marsalek Verweise auf weitere 3 Pässe, die in seinem Namen von einem nicht genannten Land ausgestellt wurden und deren Nummern nicht in der Grenzübergangsdatenbank aufgeführt sind. Die Nummern stimmen auch nicht mit den österreichischen Passnummerierungskonventionen überein (sie enthalten nur Nummern, während österreichische Passnummern mit einem Buchstaben beginnen).

Noch mysteriöser ist seine Verwendung eines Diplomatenpasses, der wiederum von einem namenlosen Staat ausgestellt wurde. Dieser Diplomatenpass – mit der Nummer DA0000051 – wird in der Migrationsdatei als „Diplomatenpass für Nichtstaatsangehörige“ bezeichnet. Nur wenige Länder – und kein europäischer Staat – stellen Nichtbürgern Diplomatenpässe aus. In den wenigen Ländern, in denen dies praktiziert wird, können solche Pässe legal an die Honorarkonsuln dieses Landes ausgestellt oder illegal verkauft werden. Die Nummerierung dieses speziellen Passes impliziert auch einen relativ kleinen Pool von Diplomaten.

Insbesondere in einem Chat-Austausch mit einem Ex-Kollegen einige Tage nach seinem Verschwinden, wie vom Handelsblatt berichtet, machte Marsalek einen undurchsichtigen Hinweis darauf, möglicherweise ein Honorarkonsul zu sein. Es wurde auch berichtet, dass er sich damit rühmte, “Pässe aus mehreren Ländern” zu haben.

Ein harter Beweis dafür, dass die Grenzübergangsdaten für Marsalek bei weitem nicht vollständig sind, ist der Verweis in der Migrationsakte auf den Diplomatenpass. Das Ausstellungsdatum dieses Passes ist der 20.12.2018 mit einer Gültigkeit von fünf Jahren. Dieses Startdatum liegt nach einer der im Grenzregister aufgeführten Reisen.

Eine Person von Interesse für FSB

Eine dritte Datenbank, die wir konsultiert haben, zeigt Spuren von besonderem Interesse, die Russlands wichtigste Sicherheitsagentur FSB in den Bewegungen von Jan Marsalek gezeigt hat. Dies ist eine interne FSB-Datenbank, die zur Verfolgung von Personen von Interesse verwendet wird, hauptsächlich zu Strafverfolgungszwecken. Es enthält grundlegende Daten wie Autobesitz, Wohnadressen, Passnummern und Reisedaten.

In der Regel landet jeder Ausländer, der nach Russland reist, in dieser Datenbank, jedoch lediglich mit einer Liste der Reisen nach Russland – einschließlich Herkunft und Ziel, Ankunfts- / Abflugzeiten, Flug- und Passnummern. Im Fall von Marsalek werden diese Daten um eine Reihe von Flügen erweitert, die keinen Einfluss auf Russland haben. Tatsächlich hat der FSB ab 2015 offenbar alle internationalen Reisen von Jan Marsalek überwacht und in einer durchsuchbaren Datenbank zusammengefasst (abzüglich seiner Intra-EU-Reisen, die plausibel entweder für den FSB unerreichbar waren oder zu viele, um den Überblick zu behalten).

Die überwachten Reisen umfassten häufige Flüge nach Singapur (einer der asiatischen Hubs von Wirecard befand sich im Stadtstaat), Istanbul (möglicherweise als Transit-Hub) und Dubai – einem weiteren Business-Operations-Hub für Wirecard.

 

Jan Marsaleks bekannte internationale Reisen, zusammengestellt aus dem FSB und den grenzüberschreitenden Datenbanken

Die Motivation für das Interesse des FSB an Marsaleks Weltenbummel ist unklar. Es begann im Jahr 2015, als sich seine Reisen nach Russland beschleunigten. Dies könnte darauf hindeuten, dass entweder eine Arbeitsbeziehung begann – und er wurde überwacht; oder dass er als potenzieller Rekrut verfolgt wurde. Im letzteren Szenario könnte seine offensichtliche Inhaftierung am Moskauer Flughafen im September 2017 ein Wendepunkt gewesen sein, an dem er möglicherweise durch Kompromittierung von Material oder Anreize zur Zusammenarbeit erpresst wurde. Eine dritte Erklärung für die Überwachung könnte die bereits bestehende Zusammenarbeit zwischen ihm und einer konkurrierenden Sicherheitsbehörde – wie der GRU – sein, an deren internationalen Aktivitäten der FSB möglicherweise interessiert war.

Was auch immer die Motivation sein mag, es ist offensichtlich, dass Marsalek für den FSB mehr als ein normaler Geschäfts- und Gelegenheitsbesucher war. Bisher haben wir in dieser Datenbank nur in einem anderen Fall eine weltweite Überwachung von Ausländern gesehen – der eines Geldgebers des britischen Brexit-Referendums im Jahr 2016.

Insbesondere haben die FSB-Daten Ende 2018 aufgehört, die Bewegungen von Marsalek zu verfolgen.

“Weißrussland – leicht zu lieben”
Am 18. Juni 2020 stellte Jan Marsalek fest, dass er „bis zum 30. Juni 2020 auf widerruflicher Basis außerordentlich vom Vorstand von Wirecard suspendiert wurde“. Vier Tage später wurde er unwiderruflich entlassen und als offizieller Verdächtiger mit Haftbefehl der deutschen Bundespolizei benannt.

Marsalek wartete jedoch nicht darauf, verhaftet zu werden. Als er von seiner Suspendierung erfuhr, verschwand er vom Erdboden und hinterließ eine Reihe falscher Hinweise und Hinweise darauf, ob er sich möglicherweise versteckt. Er kaufte Flugtickets und ließ jemanden auf den Philippinen Einwanderungsunterlagen fälschen, um Ermittler, die er in Asien war, in die Irre zu führen. In verschiedenen Chats mit Freunden und ehemaligen Kollegen nach dem Verschwinden spielte er an, dass er sich in einer ostasiatischen Zeitzone befindet oder auf einer sonnigen Insel Cocktails trinkt. Es war jedoch eine Antwort auf eine unerwartete Frage, die uns zu seinem tatsächlichen Ziel führte – und zu seinem wahrscheinlichen Aufenthaltsort heute. In einem vom Handelsblatt berichteten Gespräch mit einem ehemaligen Kollegen wurde er mitfühlend gefragt, ob er sich in einem „politisch stabilen Umfeld“ befinde. Marsalek lachte diese Frage aus und sagte: “Keine Sorge, die gleichen Leute sind seit 25 Jahren an der Macht.”

Nur wenige Gerichtsbarkeiten auf der ganzen Welt können sich dieser Stabilität rühmen. (Russland gehört nicht dazu, da Wladimir Putin im Jahr 2000 an die Macht kam, d. H. 5 Jahre vor seiner Beschreibung). Und während viele eilten, um seine Spuren in afrikanischen, lateinamerikanischen oder asiatischen Regimen mit Langlebigkeit zu suchen, erinnerten wir uns an eine Bastion der Stabilität, die Jan Marsaleks Heimat viel näher ist. In Belarus – nur eine Flugstunde von Deutschland entfernt – ist derselbe Präsident, Aleksander Lukaschenka, seit 25 Jahren an der Macht (tatsächlich 26 Jahre in 2 Tagen).

Mit dieser Hypothese haben wir Grenzübergangsaufzeichnungen für Weißrussland überprüft (technisch gesehen haben Weißrussland und Russland eine gemeinsame Außengrenze, wodurch Aufzeichnungen in eine kombinierte Datenbank eingespeist werden). Wir haben einen Eintrag für Jan Marsalek gefunden: Er wurde in den ersten Minuten des 19. Juni 2020 als mit einem Privatjet nach Weißrussland eingereist registriert. Laut Grenzaufzeichnungen hat er das Land danach nie mehr verlassen.

In diesem speziellen Grenzdatensatz sind weder die Flugnummer noch der Ursprung des ankommenden Flugzeugs aufgeführt. Es wird lediglich „Ankunft in einem Einweg-Privatflugzeug“ vermerkt. Dies ließ uns unsicher, wie und über welches Land Marsalek in Weißrussland hätte landen können.

Um dies herauszufinden, haben wir mehrere Ankunfts- und Abflugdatenbanken für kommerzielle Flughäfen überprüft, darunter FlighRadar, Flighstats und FlightAware. In einer der Datenbanken wurden alle Flugzeuge aufgelistet – gewerbliche und private / gecharterte -, die im Juni am Flughafen Minsk ankamen. Am 18. Juni 2020 war nur ein Privatjet gelandet: um 19:10 Uhr Ortszeit. Dieser Jet – dessen Identität auf Wunsch des Betreibers gesperrt wurde – war aus Estlands Hauptstadt Tallinn eingetroffen. Zwei Stunden nach seiner Landung in Minsk – und, wie man annehmen kann, Einwanderung und Zollabfertigung – flog der mysteriöse Jet weiter in die belarussische Stadt Vytebsk.

Mithilfe der Zeitwiedergabefunktion in FlightRadar konnten wir den Flug zurückverfolgen, der an diesem Abend aus Tallinn ankam, und feststellen, dass ein Flugzeug mit denselben Eigenschaften – ein Privatjet Embraer 650 Legacy – aus der österreichischen Stadt Klagenfurt nach Tallinn gekommen war – um 16:19 Uhr Ortszeit. Der Jet hatte Klagenfurt um 13:16 Uhr verlassen.

Ohne einen Hubschrauber hätte Marsalek Klagenfurt wahrscheinlich nicht rechtzeitig für den Flug von seinem Büro in Aschheim, einer Stadt in der Nähe von München, erreichen können, wo er am Morgen erschien, um an einer Hauptversammlung teilzunehmen und herauszufinden, dass er wird ausgesetzt.

Je nachdem, wann er sein Büro verlassen hat, hätte er möglicherweise einen Anschlussflug von München über Frankfurt nach Tallinn nehmen können. Eine halbe Stunde nachdem der Embraer in die baltische Stadt abgereist war, verließ ein Lufthansa-Flug LH882 Frankfurt nach Tallinn. Es landete um 16:55 Uhr, 25 Minuten nachdem der Privatjet gelandet war.

Weniger als 15 Minuten nach der Landung von LH882 startete der Privatjet erneut in Tallinn, diesmal in Richtung Minsk. Obwohl wir die Passagierliste von LH882 nicht haben, ist es plausibel, dass Marsalek auf diesem Flug eingeflogen ist und bei der Ankunft möglicherweise zum wartenden Privatjet gebracht wurde.

 

Links Embraer Flug von Klagenfurt nach Tallinn. Richtig, Weiterflug Tallinn nach Minsk.

Damit diese Verbindung möglich wäre, hätte Marsalek sein Büro spätestens um 10.15 Uhr verlassen müssen, um rechtzeitig zum Münchner Flughafen zu gelangen. Alternative Möglichkeiten, die Verbindung in Tallinn herzustellen, wären ein anderer Privatjet als in Tallin und eine Umstellung auf den dortigen Embraer oder die Verwendung eines völlig anderen Jets, der für kommerzielle Flughafendatenaggregatoren irgendwie unsichtbar war.

Wir haben das Unternehmen identifiziert, das den Embraer Jet betreibt – eine in Wien ansässige Charter-Jet-Leasinggesellschaft. Wir haben eine Telefonnummer kontaktiert, die als Kontaktstelle für dieses bestimmte Flugzeug übrig geblieben ist, und eine Person, die Englisch mit osteuropäischem Akzent spricht, hat uns mitgeteilt, dass sie keinen Herrn Marsalek kennt, und uns empfohlen, die Vertriebsabteilung des Unternehmens für weitere Fragen zu kontaktieren.

Angesichts der Tatsache, dass Einwanderungsdaten für Jan Marsalek aus den Philippinen erstellt wurden, wäre es eine berechtigte Frage, ob das Risiko besteht, dass auch die grenzüberschreitenden Daten aus Weißrussland und Russland manipuliert werden, um einen weiteren falschen Hinweis zu schaffen. Während dies technisch möglich ist, hat der FSB die vollständige Kontrolle über den russischen Grenzdienst und damit über die zentralisierte Grenzdatenbank Russland-Weißrussland. Daher müsste jede Manipulation von Daten auf Geheiß oder zumindest mit Zustimmung des FSB erfolgen. In diesem Fall würde dies auf eine direkte Zusammenarbeit zwischen Jan Marsalek und dem FSB hinweisen – was ironischerweise eine noch aktuellere Geschichte wäre als die Lokalisierung von Marsalek in Weißrussland.

Marsalek soll sich nunmehr in der Umgebung von Moskau unter der Kontrolle von FSB und GRU befinden…