Die niederländische Polizei hat eine umfangreiche Aktion gegen die Infrastruktur eines mutmasslichen Bulletproof-Hosting-Anbieters durchgeführt. In mehreren Rechenzentren in Den Haag und Zoetermeer wurden etwa 250 physische Server beschlagnahmt. Mit der Abschaltung der Hardware gingen schlagartig tausende virtuelle Server offline, die laut Ermittlern in erheblichem Umfang für Cyberangriffe und andere Straftaten genutzt wurden.
Grossrazzia gegen Cybercrime-Infrastruktur in den Niederlanden
Offizielle Stellen nennen den betroffenen Provider nicht beim Namen. Klar ist jedoch, dass die Infrastruktur seit 2022 in Betrieb war und in mehr als 80 Cybercrime-Ermittlungen in den Niederlanden und im Ausland eine Rolle spielte. Ein solches Muster deutet auf einen Dienst hin, der wiederholt und systematisch von unterschiedlichen Tätergruppen eingesetzt wurde.
Auf den beschlagnahmten Systemen sollen nach Angaben der Ermittler verschiedenste Formen krimineller Aktivitäten gehostet worden sein: Ransomware-Infrastrukturen, Botnet-Kommandoserver, Phishing-Kampagnen sowie Inhalte im Zusammenhang mit sexuellem Missbrauch von Kindern. Die Kombination aus technischer Leistungsfähigkeit und hoher Duldung illegaler Inhalte macht solche Angebote zu einem zentralen Baustein moderner Cyberkriminalität – ein Befund, den auch Berichte von Europol und der ENISA seit Jahren betonen.
Was Bulletproof-Hosting auszeichnet – und warum es so gefährlich ist
Unter Bulletproof-Hosting versteht man Hosting-Anbieter, die Anfragen von Strafverfolgungsbehörden, Abuse-Meldungen und Beschwerden von Rechteinhabern bewusst ignorieren oder systematisch verzögern. Betreiber wählen häufig lax regulierte Jurisdiktionen, akzeptieren Bezahlung in Kryptowährungen und verlangen von Kunden nur minimale oder gar keine Identifikation (KYC).
Typische Einsatzszenarien fuer kriminelle Akteure
Für Cyberkriminelle sind solche Bedingungen ideal. Sie können dort Command-and-Control-Server (C2) für Botnetze betreiben, Verwaltungsoberflächen für Phishing-Kampagnen hosten, Ransomware-Pay-Sites bereitstellen oder Infrastrukturen zur systematischen Abgreifung von Zugangsdaten aufbauen. Da mehrere Gruppen parallel auf dieselben Ressourcen zugreifen, führt die Zerschlagung eines grossen Bulletproof-Hosters oft dazu, dass gleichzeitig zahlreiche kriminelle Operationen ins Stocken geraten.
Warum die Spur in Richtung CrazyRDP zeigt
Zwar vermeiden die Behörden eine öffentliche Nennung des Providers, doch Fachmedien und Threat-Intelligence-Analysten gehen auf Basis eigener Recherchen davon aus, dass es sich um den Dienst CrazyRDP handeln könnte. CrazyRDP bot günstige VPS- und RDP-Zugänge an – ohne KYC, ohne Logfiles, zur Registrierung reichten Benutzername und Passwort. Genau dieses Modell wurde in Untergrundforen im Clear- und Darknet als „anonymer, stressfreier Hosting-Anbieter“ beworben.
Ein auffälliges Signal war der 12. November: Im offiziellen Telegram-Kanal von CrazyRDP wurden alle bisherigen Beiträge gelöscht, Abonnenten in einen neuen Kanal umgeleitet und dort das abrupte Aus des Dienstes diskutiert. Nutzer berichteten, sie hätten teils mehr als 30 Server bei dem Anbieter betrieben. Der Support verwies zunächst auf angebliche „Probleme im Rechenzentrum“, stellte dann aber jegliche Kommunikation ein. Vor diesem Hintergrund spekulierten einige Kunden über einen möglichen Exit Scam, während andere eine verdeckte Zugriffsaktion von Strafverfolgern für plausibler hielten.
Digitale Forensik: Warum „keine Logs“ selten stimmt
Die rund 250 physischen Server werden nun einer umfassenden digitalforensischen Analyse unterzogen. Ziel ist es, sowohl die Betreiber des Hosters als auch die kriminellen Endkunden zu identifizieren, die dort Ressourcen für Angriffe angemietet haben. Ermittler werten typischerweise Hypervisor-Logs, Konfigurationsreste, Snapshots, Malware-Samples sowie Netzwerk-Metadaten aus.
Selbst wenn ein Anbieter „No-Logs“ verspricht, lässt sich vollständige Spurenfreiheit in komplexen Virtualisierungs- und Storage-Umgebungen praktisch nicht erreichen. Artefakte finden sich oft in Backup-Systemen, auf Storage-Nodes, in Firewall- und Switch-Logs oder bei Upstream-Providern. Durch die internationale Kooperation über Organisationen wie Europol und Eurojust können solche Daten in länderübergreifende Verfahren einfliessen und Täter auch nachträglich identifiziert werden.
Auswirkungen auf das Cybercrime-Oekosystem und Chancen fuer Verteidiger
Die Abschaltung eines grossen Bulletproof-Hosters beendet Cyberkriminalität nicht, erzeugt aber spürbare operative Reibung. Täter müssen ihre Infrastruktur in kurzer Zeit migrieren, neue „vertrauenswürdige“ Anbieter finden und Kommandoserver sowie Malware-Verteilpunkte wieder aufbauen. Gleichzeitig sinkt das Vertrauen in vermeintlich „sichere“ Hosting-Dienste, was den Markt fragmentiert und Angreifer Ressourcen kostet.
Für Sicherheitsforscher und CERTs sind solche Operationen eine besonders wertvolle Quelle von Indicators of Compromise (IOCs): Domainnamen, IP-Adressen, Malware-Hashes, SSL-Zertifikate, Phishing-Vorlagen und mehr. Diese Informationen fliessen in Signaturen von Sicherheitslösungen, in Threat-Intelligence-Feeds und in Blocklisten ein und helfen so Unternehmen weltweit, Angriffe frühzeitiger zu erkennen und zu verhindern.
Lehren fuer Unternehmen und IT-Verantwortliche
Risiken anonymer Hosting-Anbieter realistisch bewerten
Die niederländische Operation macht deutlich, dass extrem „privacy-orientierte“ Hosting-Angebote mit aggressivem Marketing ala „keine Logs, keine Fragen“ erhebliche Reputations- und Rechtsrisiken bergen – auch für Organisationen, die selbst nichts Illegales planen. Wer seine Systeme bei solchen Anbietern betreibt, muss damit rechnen, bei polizeilichen Beschlagnahmen in Mitleidenschaft gezogen zu werden oder unerwartet mit Ermittlungsbehörden konfrontiert zu sein.
Konkrete Sicherheitsmassnahmen fuer die Praxis
Beim Infrastruktur-Design sollten Organisationen auf transparente, regulierte Provider mit klarer Rechtslage, dokumentierter Incident-Response-Policy und nachweisbarer Kooperationsbereitschaft mit Behörden setzen. Ergänzend empfiehlt sich eine mehrschichtige Sicherheitsarchitektur: regelmässige, getestete Backups kritischer Systeme, Netzwerksegmentierung, durchgängiges
