Wenn Hosting-Infrastruktur zur Waffe wird: Was die niederländische Server-Beschlagnahme wirklich bedeutet

Vor wenigen Tagen hat die niederländische Finanzermittlungsbehörde FIOD eine Großaktion durchgeführt, die in der Hosting-Branche für Aufsehen sorgt. Acht­hundert Server wurden beschlagnahmt, zwei Personen festgenommen. Dahinter steckte ein professionell aufgebautes Hosting-Geschäft, das offenbar russischen und belarussischen Akteuren bei Cyberangriffen, Desinformationskampagnen und Einflussoperationen half.

Auf den ersten Blick klingt das nach einem weiteren Cybersecurity-Fall. Bei genauerem Hinsehen geht es aber um etwas Grundsätzliches: Wer trägt eigentlich die Verantwortung, wenn Infrastruktur missbraucht wird – und wie schnell kann ein vermeintlich neutraler Dienstleister Teil geopolitischer Auseinandersetzungen werden?

Ein ausgeklügeltes Schichten-Modell

Das Besondere an diesem Fall ist die technische Struktur. Es ging nicht um einen einzelnen, auffälligen Anbieter, sondern um mehrere Ebenen, die bewusst voneinander getrennt waren.

Stark Industries war der erste Hosting-Anbieter. Das Unternehmen wurde nur wenige Wochen vor dem russischen Angriff auf die Ukraine gegründet. Als die EU im Mai 2023 Sanktionen verhängte, wurde die Infrastruktur einfach auf eine neu gegründete niederländische Firma übertragen: WorkTitans B.V., die unter dem Markennamen THE.Hosting auftrat.

Die eigentlichen Server standen bei Mirhosting in Almere. Von dort aus hatte das Netzwerk direkten Zugang zu den großen Internetknoten in Amsterdam und Frankfurt. Der Traffic konnte so ungehindert durch Europa fließen – und seine Herkunft verschleiern.

Jede Ebene konnte für sich behaupten, „nur“ Rechenleistung oder Netzwerkzugang bereitzustellen. Das klassische Prinzip der plausiblen Abstreitbarkeit.

Das Sichtbarkeitsproblem der Branche

Für seriöse Hosting-Anbieter ist dieser Fall vor allem deshalb relevant, weil er ein strukturelles Problem aufzeigt: Viele Provider wissen schlicht nicht genau, was auf ihren Systemen läuft.

Die meisten verlassen sich auf Abuse-Meldungen. Wer jedoch über ausreichend Ressourcen und Know-how verfügt, kann Angriffsinfrastruktur betreiben und dabei lange unauffällig bleiben. Im vorliegenden Fall soll die Infrastruktur von WorkTitans unter anderem für DDoS-Angriffe der Gruppe NoName057(16) genutzt worden sein – also nicht für zufälligen Missbrauch, sondern für gezielte, staatlich tolerierte Operationen.

Sanktionen umgehen durch schnelles Umschichten

Besonders brisant ist der Umgang mit den EU-Sanktionen. Statt die Infrastruktur abzuschalten, wurde sie einfach neu verpackt. Das zeigt: Sanktionen allein reichen nicht, wenn technische Umgehungsmöglichkeiten existieren.

Klar ist: Hosting- und Colocation-Anbieter brauchen künftig deutlich strengere Prüfverfahren. Dazu gehören bessere KYC-Prozesse, eine engere Verknüpfung mit Sanktionslisten und vor allem die Bereitschaft, bei begründetem Verdacht schneller zu handeln.

Was seriöse Anbieter jetzt tun sollten

Für Hosting-Unternehmen, die sauber arbeiten wollen, ergeben sich daraus konkrete Handlungsfelder:

• Abuse-Prozesse beschleunigen. Wer Hinweise auf DDoS-Infrastruktur oder koordinierte Angriffe erhält, darf nicht erst nach Tagen reagieren. In solchen Fällen zählt jede Stunde.
• Eigene Systeme besser beobachten. Neben klassischen Performance-Metriken braucht es Einblicke in Traffic-Muster, Port-Nutzung und plötzliche Verhaltensänderungen von Kunden.
• Lieferanten prüfen. Wer Colocation oder Transit einkauft, sollte genau wissen, mit wem er zusammenarbeitet. Ein schwaches Glied in der Kette kann das gesamte Angebot gefährden.
• Kooperation mit Behörden. Seriöse Anbieter sollten nicht erst reagieren, wenn Server beschlagnahmt werden. Frühzeitige Meldungen schützen nicht nur die eigene Reputation, sondern auch die Kunden.

Infrastruktur ist kein neutraler Raum mehr

Der niederländische Fall ist kein Einzelfall. Er steht für einen Trend, der sich 2024 immer deutlicher abzeichnet: Internet-Infrastruktur wird zunehmend als geopolitisches Werkzeug eingesetzt.

Wer Hosting, VPS oder Colocation anbietet, kann sich nicht mehr darauf berufen, „nur Bits und Bytes“ zu transportieren. Die Verantwortung für das, was auf der eigenen Infrastruktur passiert, lässt sich nicht vollständig auslagern.

Für Anbieter, die diesen Verantwortungsbereich ernst nehmen, ist das letztlich eine Chance. Bessere Kontrollen bedeuten weniger kriminelle Mitbewerber und mehr Vertrauen bei Kunden, die Wert auf Stabilität legen.