Das Scheitnis der niederländischen Razzia gegen THE.Hosting offenbart fundamentale Schwachstellen bei der Bekämpfung von Bulletproof-Hosting-Diensten. Diese speziellen Infrastrukturen stellen bewusst ihre Ressourcen für Cyberkriminelle, Ransomware-Operatoren und andere Bedrohungsakteure zur Verfügung – ignorieren Beschwerde und kooperieren nicht mit Behörden.
Das Netzwerk hinter THE.Hosting lässt sich auf ein ursprünglich von einem russischen Privatperson 2022 registriertes Netzwerk zurückverfolgen. Nach der russischen Invasion der Ukraine transferierte der Betreiber die Autonome Systemnummer (ASN) AS44477 zur Gesellschaft Stark Industries Solution. Als die EU diese 2025 sanktionierte, folgte eine charakteristische Umstrukturierung: Das Netzwerk wurde zu PQ Hosting Plus migriert und später zu THE.Hosting unter der niederländischen Gesellschaft WorkTitans B.V. umbenannt, die nun die ASN AS209847 nutzt. Diese Manöver ermöglichten es dem russischen Netzwerk, faktisch innerhalb von EU-Rechenzentren zu operieren – mit Internetverkehr, der nun von einer legitimen niederländischen Gesellschaft ausgeht statt von russischen Adressen.
Die Bedrohungsintensität ist gestiegen. Während das alte Stark/PQ-Netzwerk hauptsächlich nach Systemen mit schwachen oder Standard-Passwörtern suchte, ist THE.Hostings Scan-Aktivität deutlich umfassender und gefährlicher. ELLIO-Forscher dokumentieren Zugriffssonden auf exponierte Datenbanken – MongoDB, Redis, PostgreSQL, Oracle – und scans industrieller Steuersysteme (ICS) mit DNP3 und EtherNet/IP-Protokollen, die typischerweise in Stromnetzen und Wassersystemen eingesetzt werden.
Die Gründe für das Scheitnis der Razzia sind strukturell: Erstens entfernt die physische Beschlagnahme von Servern nicht die ihnen zugeordneten IP-Adressblöcke. Diese werden vom Regional Internet Registry for Europe weiterhin dem Betreiber zugewiesen und via BGP angekündigt. Sobald der Betreiber neue Hardware in einem anderen Rechenzentrum und Land einsetzt, läuft die Infrastruktur weiter. Zweitens sind THE.Hostings Adressblöcke geografisch über die Niederlande hinaus verteilt – in den USA, Deutschland, Finnland, der Türkei, Großbritannien, Frankreich, Moldawien, Polen, Kasachstan, Tschechien und Lettland.
Für deutsche Sicherheitsbehörden und Unternehmen ergibt sich daraus ein dringlicher Handlungsbedarf. Das BSI sollte eine europäische Koordinierung zur BGP-Blackholing aller AS209847-Adressen anstreben. Nur durch multilaterale Zusammenarbeit zwischen EU-Ländern und den USA – nicht nur einzelne nationale Razzien – lässt sich solche Infrastruktur wirkungsam zerschlagen.