Der niederländische Dienst zur Ermittlung von Finanzkriminalität (FIOD) hat eine groß angelegte Operation zur Beschlagnahme von mehr als 800 Servern durchgeführt und zwei Verdächtige wegen mutmaßlicher Verstöße gegen EU-Sanktionsrecht festgenommen. Nach Darstellung der Ermittler wurde die beschlagnahmte Hosting-Infrastruktur für Cyberangriffe und Desinformationskampagnen gegen europäische Staaten genutzt. Die Operation betraf Rechenzentren in mehreren niederländischen Städten und führte zu weitreichenden Ausfällen bei Kunden verschiedener Hosting-Provider; einige erklärten, ihre Infrastruktur in vier Ländern sei vollständig und irreversibel verloren gegangen.
Chronologie der Operation und Festnahmen
Die Operation begann am 18. Mai 2025 und erstreckte sich auf Rechenzentren in Dronten und Schiphol-Rijk, zudem fanden Durchsuchungen in Enschede und Almere statt. Es wurden zwei Personen festgenommen: ein 57-jähriger Amsterdamer, Direktor eines Hosting-Unternehmens, sowie ein 39-jähriger Bewohner von Den Haag, Leiter eines Providers, der der ersten Firma Netzwerkinfrastruktur bereitstellte.
FIOD gibt an, dass die Festgenommenen „indirekt wirtschaftliche Ressourcen“ für Organisationen bereitgestellt hätten, die den Sanktionen der Europäischen Union unterliegen. Die Ermittlungen betreffen ein Hosting-Unternehmen, das am 10. Februar 2022 gegründet wurde – zwei Wochen vor Beginn der großangelegten russischen Invasion in der Ukraine. Nach Ansicht der Ermittler wurde die Infrastruktur dieses Unternehmens für „destabilisierende Aktivitäten gegen die EU“ genutzt, darunter Cyberangriffe und die Verbreitung von Desinformation.
Sanktionen und Umgehungsversuch
Am 20. Mai 2025 hat der Rat der EU seine Sanktionslisten erweitert und 21 natürliche Personen sowie 6 Organisationen als Reaktion auf russische hybride Bedrohungen hinzugefügt. Nach Angaben des FIOD wurde nach Aufnahme des Hosting-Unternehmens in die Sanktionslisten ein erheblicher Teil der Infrastruktur auf eine neue niederländische Firma übertragen, die die Ermittler als Strohkonstruktion zur Umgehung der Sanktionen ansehen. Mutmaßlich war gerade dieser Umgehungsversuch der Anlass für das entschlossene Vorgehen der Strafverfolgungsbehörden.
Dieser Fall markiert einen wichtigen Präzedenzfall: Die europäischen Behörden sind bereit, nicht nur unmittelbar sanktionierte Strukturen zu verfolgen, sondern auch Mittler, die durch rechtliche Konstrukte die kontinuierliche Arbeitsfähigkeit dieser Strukturen sicherstellen.
Mutmaßlich betroffene Unternehmen und Verbindung zu Bedrohungen
Obwohl FIOD die Namen der Unternehmen offiziell nicht nennt, hat das niederländische Medium de Volkskrant eigene Recherchen durchgeführt und gibt an, dass es sich mutmaßlich um die Firmen Stark Industries, WorkTitans und Mirhosting handelt. Nach Angaben der Journalisten wurde die Infrastruktur dieser Unternehmen vermutlich für den Transit von Traffic der prorussischen Hacktivisten-Gruppe NoName057(16) genutzt, die durch DDoS-Angriffe auf staatliche und sonstige Einrichtungen in Europa bekannt ist.
Dem Bericht zufolge ging nach Einführung von Sanktionen gegen Stark Industries ein Teil der Infrastruktur und des IP-Adressraums auf das niederländische Unternehmen WorkTitans über, das unter der Marke THE.Hosting tätig war. Mirhosting sorgte laut den Recherchen für das Server-Hosting und die Anbindung an große europäische Internet-Knoten (IXP).
Wichtig ist zu betonen: Die Identifizierung konkreter Unternehmen und die Zuordnung der Infrastruktur zu NoName057(16) stützen sich auf journalistische Recherchen und nicht auf offizielle Verlautbarungen des FIOD. Die Attribution bedarf weiterer Bestätigung.
Vertreter von Mirhosting erklärten gegenüber de Volkskrant, sie hätten rechtswidrige Aktivitäten nicht bewusst unterstützt und auf Beschwerden reagiert, sobald diese eingegangen seien. WorkTitans antwortete nicht auf Anfragen der Journalisten.
Folgen für Kunden
Die FIOD-Operation hatte gravierende Auswirkungen auf Nutzer der betroffenen Hosting-Services. Ab dem 19. Mai begannen Kunden von THE.Hosting, UFO.Hosting und GEO.Hosting, über weitreichende Störungen zu berichten: nicht erreichbare VPS, Ausfälle von Verwaltungsoberflächen und Abrechnungssystemen sowie ausbleibende Antworten des technischen Supports.
Später erhielten Kunden Benachrichtigungen über einen „umfangreichen technischen Vorfall“, in denen mitgeteilt wurde, dass die Infrastruktur in den USA, Deutschland, den Niederlanden und Österreich „vollständig verloren und nicht wiederherstellbar“ sei. Die Hoster sagten die automatische Bereitstellung neuer Server an anderen Standorten und Entschädigungen zu; nach Berichten von Nutzern erhielten jedoch einige Kunden keinen Ersatz, waren mit Datenverlust konfrontiert und hatten Schwierigkeiten bei der Rückerstattung von Geldern.
Diese Angaben beruhen auf Nutzerberichten und sind mit Vorsicht zu bewerten, doch das Ausmaß der Beschwerden verweist auf ein reales Problem.
Bewertung der Auswirkungen und Schlussfolgerungen für die Branche
Diese Operation wirkt sich auf mehreren Ebenen aus:
- Durchsetzung von Sanktionen: Erstmals ist im Rahmen des EU-Sanktionsregimes gegen russische hybride Bedrohungen eine derart umfangreiche Beschlagnahme von Hosting-Infrastruktur unter gleichzeitiger Festnahme der Betreiber erfolgt
- Bekämpfung von „bulletproof“-Hosting: Die Operation zeigt, dass europäische Jurisdiktionen in der Lage sind, schnell auf die Verlagerung von Infrastruktur zwischen Strohfimen zu reagieren
- Kollateralschäden: Legitime Kunden der Hosting-Provider, die nichts mit rechtswidriger Tätigkeit zu tun haben, erlitten reale Verluste – von Daten bis hin zu finanziellen Mitteln
Empfehlungen
Für Organisationen, die Dienste wenig bekannter Hosting-Provider nutzen, insbesondere mit auffallend niedrigen Preisen:
- Prüfen Sie die rechtliche Historie des Providers: Gründungsdatum, Eigentümerwechsel, Verbindungen zu sanktionierten Strukturen – all dies ist über öffentliche Register und WHOIS-Abfragen einsehbar
- Sorgen Sie für geografisch diversifizierte Backups: Dieser Vorfall hat gezeigt, dass eine Beschlagnahme gleichzeitig Infrastruktur in mehreren Ländern treffen kann
- Prüfen Sie die aktuellen ASN und IP-Adressblöcke Ihres Providers: Die Migration von IP-Adressräumen von sanktionierten Unternehmen auf neue juristische Personen ist ein direkter Risikoindikator
- Nehmen Sie in Verträge mit Hosting-Providern Regelungen zu Entschädigungen auf, falls Infrastruktur von Strafverfolgungsbehörden beschlagnahmt wird
Die FIOD-Operation setzt einen neuen Maßstab für die Rechtsdurchsetzung im Bereich von Hosting-Infrastruktur, die für Cyberangriffe genutzt wird: die Beschlagnahme von 800 Servern bei gleichzeitigem Unterbinden von Sanktionsumgehungen über Strohfimen. Organisationen, die geschäftskritische Services bei kleineren Providern betreiben, sollten umgehend ein Audit ihrer Hosting-Partner hinsichtlich etwaiger Verbindungen zu sanktionierten Strukturen durchführen und sicherstellen, dass aktuelle externe Backups vorhanden sind, die nicht von der Infrastruktur des Hauptproviders abhängen.
