Niederlandische Ermittler haben einen der bisher bedeutendsten Schläge gegen Russlands Cyberangriffs-Infrastruktur innerhalb der Europaischen Union gefu¨hrt: 800 Server wurden beschlagnahmt und zwei Niederländer im Zusammenhang mit einem Hosting-Unternehmen verhaftet, das Russland dabei half, die europäische Demokratie zu untergraben. Die Operation des Steuerlichen Nachrichtendienstes und Ermittlungsdienstes (FIOD) vom 22. Mai 2026 richtete sich gegen WorkTitans B.V. und deren Marke THE.Hosting - eine Scheinfirma, die eigens gegru¨ndet wurde, um EU-Sanktionen gegen die berüchtigte Stark Industries Solutions zu umgehen. Die Verbindung zwischen Niederlanden, DDoS-Servern und Russland stand seit Monaten im Fokus der Ermittler.
Stark Industries: Sanktioniert - und sofort als THE.Hosting wiedergeboren
Stark Industries Solutions wurde am 10. Februar 2022 gegru¨ndet - kurz vor dem russischen Einmarsch in die Ukraine - und entwickelte sich schnell zu einem der am besten dokumentierten Ermöglicher russischer Cyberangriffe in Europa. Ihre Server hosteten DDoS-Angriffs-Infrastruktur, Desinformationskampagnen und Einmischungsoperationen gegen NATO-Mitgliedstaaten, ukrainische Institutionen und EU-Regierungsportale.
Die Europäische Union setzte Stark Industries am 20. Mai 2025 offiziell auf die Sanktionsliste und verbot EU-Unternehmen, ihr wirtschaftliche Ressourcen bereitzustellen. Innerhalb weniger Wochen wurde die Infrastruktur still auf eine neu gegru¨ndete niederländische Gesellschaft verlagert: WorkTitans B.V., die unter dem Handelsnamen THE.Hosting auftritt. Die Ermittler sind der Ansicht, dass WorkTitans genau zu diesem Zweck gegru¨ndet wurde - um denselben Servern und Angriffsmoglichkeiten unter einer sauberen juristischen Identität den Weiterbetrieb zu ermöglichen.
Die FIOD verhaftete zwei Niederländer: einen 57-jährigen Direktor von WorkTitans B.V. und einen 39-jährigen, der ein separates Unternehmen leitete, das Internetverbindungen für die Hosting-Infrastruktur bereitstellte. Durchsuchungen erfolgten in zwei Rechenzentren in Dronten und Schiphol-Rijk sowie in Wohnräumen in Enschede und Almere. Insgesamt wurden 800 Server, Laptops, Mobiltelefone und Verwaltungsunterlagen beschlagnahmt.
NoName057(16): Die DDoS-Gruppe hinter WorkTitans
Dänische Behörden und Infrastrukturanbieter gehörten zu den Ersten, die WorkTitans direkt mit NoName057(16) in Verbindung brachten - einem russischsprachigen Hacktivist-Kollektiv, das seit 2022 Hunderte politisch motivierter DDoS-Angriffe in ganz Europa durchgeführt hat. Die Gruppe koordiniert sich offentlich über Telegram, feiert erfolgreiche Abschaltungen von Regierungswebsites und greift NATO-Staaten im Rahmen ihrer erklärten ideologischen Mission zur Unterstu¨tzung des Kremls an.
- Ziele: Regierungsportale, Banken, Bahnsysteme und Nachrichtenportale in Polen, Deutschland, Frankreich, Italien, den Baltischen Staaten, der Ukraine und Dutzenden weiterer Länder.
- Methode: Hochvolumige DDoS-Fluten, die Ziele zeitweilig außer Betrieb setzen sollen.
- Infrastrukturbedarf: Kugelsicheres Hosting, das Abschaltanfragen und rechtlichem Druck widersteht - genau das, was Stark Industries und später THE.Hosting boten.
- Koordination: Telegram-Kanäle, in denen Angriffsergebnisse als Propaganda veröffentlicht werden.
Die bei den Razzien beschlagnahmte Infrastruktur wurde nicht nur für DDoS-Angriffe genutzt. Die Ermittler verbinden sie auch mit russischen Informationsoperationen - Kampagnen zur Verbreitung von Desinformation, die das Vertrauen der Öffentlichkeit in demokratische Institutionen in EU-Staaten untergraben sollten. Die Staatsanwaltschaft bezeichnete die Aktivitäten der Verdächtigen als direkte Einmischung in die europäische Demokratie im Auftrag Russlands.
Sanktionsverstoss als Straftatbestand
Der rechtliche Rahmen dieses Falls geht über eine herkömmliche Cyberkriminalitätsverfolgung hinaus. Beiden Verdächtigen wird vorgeworfen, EU-Sanktionen verletzt zu haben, indem sie russischen und weissrussischen Einrichtungen auf der EU-Sanktionsliste indirekt wirtschaftliche Ressourcen zukommen liessen. Dieses Argument - dass ein niederländisches Hosting-Unternehmen strafrechtlich haftbar gemacht werden kann, wenn es sanktionierten Einrichtungen ermöglicht, unter einer neuen Unternehmenshu¨lle weiterzuoperieren - schafft einen direkten Präzedenzfall für künftige Strafverfolgungen in der EU.
Die Kette Stark Industries - WorkTitans B.V. illustriert ein Muster, das EU-Strafverfolgungsbehörden nun aktiv verfolgen: Sanktionierte Cyber-Akteure gründen neue juristische Einheiten in EU-Mitgliedstaaten, um ihren Betrieb fortzusetzen. Die FIOD-Ermittlung zeigt: Diese Umgehungsstrategie bietet keinen rechtlichen Schutz - sie fügt den bestehenden Straftatbeständen Sanktionsverstoss hinzu.
Umfang der Beschlagnahme: Vier Standorte, 800 Server
Die gleichzeitigen Razzien an vier Standorten waren bewusst koordiniert. Betreiber von "Bulletproof Hosting" halten in der Regel redundante Infrastruktur in mehreren Rechenzentren vor, um bei Abschaltung eines Knotens den Verkehr umleiten zu können. Durch den gleichzeitigen Zugriff auf Dronten, Schiphol-Rijk, Enschede und Almere verhinderte die FIOD jede Verkehrsmigration oder Datenvern ichtung vor Eintreffen der Ermittler.
Die 800 beschlagnahmten Server repräsentieren Hardware, die zum Zeitpunkt der Razzia aktiv DDoS-Verkehr weiterleitete und Angriffskontrollpanels hostete. Zusammen mit Verwaltungsunterlagen und Kommunikationsdaten aus den beschlagnahmten Telefonen und Laptops verfügen die Ermittler nun über eine detaillierte Karte der Infrastruktur - ihre Kunden, Konfigurationen und Verbindungen zu anderen sanktionierten Akteuren.
Bedeutung für den Online-Datenschutz
Die Abschaltung von THE.Hosting verdeutlicht, was auf dem Spiel steht, wenn Anonymisierungs- und "Bulletproof"-Hosting-Infrastruktur von staatsnahen Akteuren übernommen wird. Legitime Datenschutztools - darunter VPN-Dienste, anonymes Hosting und verschlu¨sselte Kommunikation - erfüllen eine wichtige Funktion für Journalisten, Aktivisten und Unternehmen in Hochrisikoumgebungen. Wenn jedoch dieselbe Infrastruktur für sanktionierte Angriffskampagnen und staatliche Desinformationsoperationen zweckentfremdet wird, ist das Eingreifen der Strafverfolgungsbehörden unvermeidlich. Der einzig nachhaltige Weg für legitime Datenschutzdienste ist volle rechtliche Transparenz, klare Zuständigkeit und nachgewiesene Einhaltung des anwendbaren EU-Rechts.
