Das NordBastion-Polarbär-Maskottchen in einem nordischen Glaswand-Befehlsobservatorium mit drei schwebenden cyan holographischen Datenfestungs-Strukturen, die Registrierungs-, Zahlungs- und Netzwerkschichten der Hosting-Anonymität darstellen, Aurora-Licht darüber
Säulen-Leitfaden·12 Min. Lesezeit · Aktualisiert 2026

Anonymes VPS-Hosting im Jahr 2026.
Drei Schichten, klar erklärt.

Das meiste „anonymer VPS”-Marketing kollabiert drei verschiedene Ideen — Registrierungs-Privatsphäre, Zahlungs-Privatsphäre, Netzwerk-Privatsphäre — in einem Slogan. Ein seriöser Privacy-Hoster muss alle drei unabhängig verteidigen. Hier ist, was jedes bedeutet, was die Kompromisse sind und wie man das Versprechen eines Hosters kritisch liest.

Kurzfassung
  • 01

    Anonymes Hosting besteht aus drei unabhängigen Eigenschaften: Registrierung, die Identität verweigert, Zahlung, die Kettenanalyse verweigert, Netzwerkpfade, die Ursprungszuschreibung verweigern.

  • 02

    Die meisten kommerziellen „anonymen VPS”-Marken verteidigen eines der drei überzeugend und lassen die anderen zwei als Marketing. Ein seriöser Kunde muss alle drei Fragen stellen.

  • 03

    Jurisdiktion liegt unter allen dreien. Ein perfekt anonymer Server in einem feindseligen Rechtsregime ist immer noch fragil; ein perfekt jurisdiktioneller Server, der Identität sammelt, ist auch fragil. Beide müssen halten.

Kapitel 1

Was „anonym” tatsächlich bedeutet.

Das einzelne Wort „anonym” verbirgt drei verschiedene Schutzebenen. Sie sind unabhängig. Ein Host kann eine davon brillant umsetzen und die anderen beiden überhaupt nicht — und die meisten tun es so. Der rote Faden durch den gesamten Leitfaden ist, dass der sorgfältige Kunde jede Eigenschaft separat bewerten muss.

Schicht 1 — Registrierung. Mussten Sie dem Hoster Ihren Namen, Ihre E-Mail, Ihr Telefon, Ihr Identitätsdokument, Ihre Adresse angeben? Eine ehrliche Registrierungsuntergrenze für einen Privacy-Hoster ist höchstens eines oder zwei davon. NordBastion fragt nach einer E-Mail und einem Passwort, nichts weiter; SporeStack fragt nicht einmal nach einer E-Mail und betreibt eine Nur-Token-Registrierung; HostKey veröffentlicht eine KYC-Verifizierungsseite und fragt bei einigen Produkten nach Dokumenten. Diese drei unterscheiden sich in der Art, nicht im Grad.

Schicht 2 — Zahlung. Selbst wenn die Registrierung nichts sammelt, verknüpft die Art und Weise, wie Sie für den Server bezahlt haben, mit einer Wallet, die mit einer Börse verknüpft ist, die mit Ihrem Bankkonto verknüpft ist, das mit Ihrem gesetzlichen Namen verknüpft ist. Bitcoin ist pseudonym und ketten-nachverfolgbar; Monero nicht. Bargeld per Post ist anonym, wenn es von einem öffentlichen Briefkasten aufgegeben wird; Karten nicht. Der Hoster sollte Zahlungsmethoden akzeptieren, die dem Bedrohungsmodell entsprechen.

Schicht 3 — Netzwerk. Die Verbindung zum Panel, die IP, von der Sie per SSH zugreifen, das Netzwerk, aus dem der Server selbst ausgeht — jede davon verrät etwas. Tor maskiert eingehende Verbindungen; eine Egress-Firewall und OPSEC verwalten ausgehende. Ein Host, der Tor für die Anmeldung verweigert, trifft eine Schicht-3-Entscheidung gegen Sie, auch wenn Schicht 1 und 2 sauber aussehen.

Kapitel 2

Schicht 1 — Registrierung. Wo das Leck gewöhnlich beginnt.

Die Registrierungs-Untergrenze ist der einfachste Test für den Ernst eines Hosts. Wenn das Formular nach einem Ausweis fragt, ist der gesamte Rest der Datenschutzhaltung irrelevant — jedes Byte der Kundendaten, das Sie von diesem Moment an generieren, ist mit Ihrem bürgerlichen Namen verknüpft, der in einer Zeile einer Datenbank sitzt, die vorgeladen werden kann.

Ein seriöser Privacy-Hoster verpflichtet sich prinzipiell, nicht zu fragen. Er fragt nach einer E-Mail, damit der Passwort-Zurücksetzungsfluss funktioniert. Er fragt nach einem Passwort, damit das Konto Ihres und nicht das der nächsten Person ist. Er fragt nichts weiter. Er speichert einen Passwort-Hash, niemals ein Klartextpasswort. Er generiert die API-Schlüssel, Server-Passwörter und Onboarding-Token auf der Kundenseite oder zeigt sie einmal und speichert sie nie wieder.

Varianten, die Sie auf dem Markt sehen werden:

  • E-Mail + Passwort (NordBastion, NiceVPS, Impreza): Die Standard-Datenschutz-Host-Untergrenze. E-Mail ist der einzige Identifikator; eine neue Adresse von einem datenschutzfreundlichen Anbieter verwenden (Tutanota, Proton, Cock.li usw.).
  • Anmeldedaten-Token (Servury): Eine generierte Zeichenfolge ersetzt sowohl E-Mail als auch Passwort. Bei der Registrierung streng anonymer — keine E-Mail, die durchsickern könnte. Mit der operativen Belastung, dass Sie das Token selbst speichern müssen; verlieren Sie es, gibt es keinen E-Mail-Zurücksetzungspfad.
  • OTR / XMPP (Njalla): Noch anonymer, mit demselben operativen Aufwand — Ihr Konto existiert in einer OTR-Sitzung. Nützlich für Einmalkäufe, schwieriger für langfristige Kunden.
  • Kontolose Token (SporeStack): Ein wallet-ähnliches Token hält Guthaben und wird bei jedem API-Aufruf vorgelegt. Kein dauerhaftes Konto. Ideal für flüchtige programmatische Nutzung.
  • E-Mail + Zahlungsmethoden-KYC (Mainstream-Hoster): Der Host betreibt selbst kein Dokumenten-KYC, akzeptiert aber eine Kreditkarte, deren Aussteller KYC für sie durchgeführt hat. Die Anonymitäts-Untergrenze entspricht in etwa der Datenschutzhaltung Ihres Kartenausstellers.
  • Volles KYC (HostKey-Unternehmensstufe, Mainstream-Cloud): Dokumenten-Upload erforderlich. Vollständig außerhalb des Privacy-Hoster-Bereichs; hier nur als Spektrumendpunkt erwähnt.
Kapitel 3

Schicht 2 — Zahlung. Das Kettenanalyseproblem.

Bitcoin-Zahlung ist auf der Ebene „der Hoster kennt Ihren Namen nicht” anonym und auf der Ebene „die Adressen befinden sich in einem öffentlichen Ledger, das jeder lesen kann” pseudonym. Für einen Kunden, dessen Bedrohungsmodell „der Hoster könnte gehackt oder vorgeladen werden” ist, ist Bitcoin ausreichend — der Hoster hat Ihre Identität nie gelernt, hat also nichts preiszugeben. Für einen Kunden, dessen Bedrohungsmodell „ein Angreifer wird die Zahlungskette rückwärts von der Wallet des Hosters rekonstruieren” umfasst, ist Bitcoin bedeutsam unzureichend.

Monero schließt den Kettenanalysepfad by Design. Ring-Signaturen verbergen, welcher Output eines Satzes von Ablenkern der echte Ausgeber ist; Stealth-Adressen verbergen den Empfänger; vertrauliche Transaktionen verbergen den Betrag. Der Hoster sieht eine Zahlung eines genauen USD-äquivalenten Betrags an einer Einmal-Adresse ankommen, und das ist alles, was das öffentliche Ledger enthält. Es gibt keine Kette zu durchlaufen.

Für praktische Zwecke ist die Schwelle ungefähr: Wenn Ihr Bedrohungsmodell einräumt, dass der Hoster nichts über Sie weiß, ist Bitcoin in Ordnung und die Netzwerkbestätigungszeit (etwa zehn Minuten) ist die einzige Unannehmlichkeit. Wenn Ihr Bedrohungsmodell erfordert, dass ein Ermittler, der irgendwie die Wallet-Geschichte des Hosters hat, von dort nicht rückwärts zu Ihnen arbeiten kann, ist Monero die Mindestanforderung. NordBastion akzeptiert beides; die dedizierten Leitfäden finden Sie unter /guides/how-to-pay-vps-with-monero/ und /guides/how-to-pay-vps-with-bitcoin-lightning/.

Zu vermeidende Dinge:

  • Krypto auf einer KYC-Börse kaufen und direkt an die Adresse des Hosters senden. Die Börse hält Ihre Identität; die Kette verbindet Ihre Identität mit der Wallet des Hosters.
  • Die Wiederverwendung einer Bitcoin-Wallet für persönliche Zwecke und Host-Zahlungen. Der Adressgraph führt beide schließlich zusammen.
  • Zahlung von einem Lightning-Kanal, der mit KYC-erworbenem BTC finanziert ist. Die On-Chain-Kanal-Öffnungs-Transaktion ist sichtbar.
  • Die Verwendung eines Karten-zu-Krypto-Zahlungsprozessors, der auf der Kartenseite KYC durchführt. Der Host verspricht No-KYC; der vorgelagerte PSP nicht.
Kapitel 4

Schicht 3 — Netzwerk. Eingehend und ausgehend, separat.

Netzwerkanonymität teilt sich in zwei Hälften. Eingehend ist „woher verbinde ich mich, wenn ich den Server administriere” — das schließt das Öffnen des Panels in einem Browser, SSH-Verbindungen zur Box, den API-Zugriff von einem CI-Runner ein. Ausgehend ist „wohin spricht der Server selbst ab dem Moment, in dem er startet” — DNS-Abfragen, Software-Updates, Anwendungstraffic, jede Art von Rückmeldung.

Eingehend. Tor über den Tor Browser zum Panel, SSH-über-Tor zum Server, optionaler v3-Onion-Endpunkt auf dem Host für beides. Die Aufgabe des Hosts ist es, Tor nicht zu beschädigen — kein spezielles Ratenlimit, keine Anti-Bot-Challenge, die über Tor scheitert, keine IP-Reputation-Blockierung, die Tor-Exit-Nodes erwischt. NordBastion blockiert Tor nicht; ein Onion-Endpunkt steht auf der Panel-Roadmap.

Ausgehend. Das ist mehr das Problem des Kunden als das des Hosts. Die Standard-OS-Installation wird sich bei den Update-Servern der Distribution melden, möglicherweise bei Telemetrie-Endpunkten, sicherlich bei DNS-Resolvern. Nichts davon kennt Ihre Identität, es sei denn, Ihre IP-Adresse ist selbst ein Hinweis. Die Firewall setzen, bevor der Server öffentlich erreichbar ist, den DNS auf einen datenschutzfreundlichen Resolver sperren, und niemals einen Dienst vom Server ausführen, der sich bei einem persönlichen Konto irgendwo zurückmeldet.

Ein nützlicher Test: Einen frischen Server starten, für die ersten zehn Minuten eine passive Paketerfassung an seine Schnittstelle anhängen und die Liste der Remote-Endpunkte lesen. Wenn eine einzige Zeile in der Erfassung Sie gegenüber einem Leser identifizieren würde, der bereits die IP des Servers hat, leckt Ihre ausgehende Position.

Kapitel 5

Unter allen dreien — das Recht, das das Metall berührt.

Selbst ein perfektes Drei-Schichten-Setup ist operativ fragil, wenn das Metall unter einem feindseligen Rechtsregime liegt. Ein US-ansässiger Hoster, der Monero akzeptiert, niemals nach einem Ausweis fragt und Tor unterstützt, muss dennoch auf einen US-Haftbefehl reagieren; der Haftbefehl könnte ihn zwingen, still Daten zu sammeln, die die Datenschutzhaltung zuvor abgelehnt hatte.

Jurisdiktion ist daher die Grundlage. Die vier nordischen verfassungsrechtlichen Pressefreiheitsregime (Schwedens Tryckfrihetsförordningen, Finnlands Sananvapauslaki, Norwegens Abschnitt 100, Islands IMMI-Doktrin) beschränken, wie ein Staat Daten von einem Kommunikationsinfrastrukturbetreiber erzwingen kann. Die detaillierte Analyse finden Sie unter /guides/nordic-jurisdictions-for-privacy-hosting/.

Kapitel 6

So verifizieren Sie, dass ein Hoster das ist, was er behauptet. Sechs Tests.

01

Registrierungsablauf lesen

Die Registrierungsseite im privaten Modus öffnen und jedes Feld lesen. Wenn ein Feld ein identitätsgebundenes Datum anfordert, ist der Hoster nicht No-KYC, unabhängig vom Marketing.

02

Nutzungsbedingungen lesen

Ein seriöser Hoster benennt die einzigen Grenzen der akzeptablen Nutzung explizit und kurz. Ein defensiver Hoster versteckt sich hinter einer 12-seitigen Liste vager Verbote, die klingt, als hätte sie ein amerikanischer Anwalt verfasst.

03

Nach einem Warrant Canary suchen

Ein Canary ist eine Erklärung, dass dem Hoster keine geheime rechtliche Forderung zugestellt wurde, in einem veröffentlichten Rhythmus erneuert und mit einem öffentlichen Schlüssel signiert. Sein Fehlen ist bezeichnend; sein Verschwinden ist laut.

04

Den Transparenzbericht prüfen

Hoster, die nichts zu deklarieren haben, veröffentlichen einen Transparenzbericht, der das sagt. Hoster, die etwas zu deklarieren haben und keinen veröffentlicht haben, neigen dazu, über die Anzahl der Anfragen still zu bleiben.

05

Datenschutzrichtlinie lesen

Die Liste dessen, was erfasst wird, sollte kurz sein, und die Liste dessen, was verweigert wird, sollte explizit sein. Wenn Sie eines von beidem ableiten müssen, hat der Host die Arbeit nicht erledigt.

06

Einen kleinen Server kaufen und testen

Der Einsteigertarif existiert teilweise dafür — $5–$10 in Krypto zahlen, den Server eine Woche laufen lassen, ein Support-Ticket einreichen, die Kontoseite nach Identitätsfeldern durchsuchen, an deren Ausfüllen Sie sich nicht erinnern. Empirisch schlägt Broschüre.

FAQ · Anonymer VPS

Fragen, beantwortet.

Die acht Fragen, die ein sorgfältiger Kunde stellt, bevor er Infrastruktur einem Datenschutz-Host anvertraut.

Was zählt eigentlich als „anonym” bei einem VPS?

Drei Dinge müssen gleichzeitig zusammenpassen: eine Registrierung, die keine Identität erfasst, eine Zahlung, die Ihre reale Wallet nicht mit Ihren Servern verknüpft, und Netzwerkpfade, die Ihren Ursprung nicht verraten. Ein Host, der nur eines der drei tut, verkauft ein Teilprodukt, auch wenn der Marketing-Text mehr behauptet.

Ist anonymes VPS-Hosting legal?

In jeder Jurisdiktion, in der NordBastion tätig ist — Schweden, Finnland, Norwegen, Island — ja. Krypto-bezahltes Hosting ohne Identitätsverifizierung ist nach dem lokalen Handelsrecht legal; was illegal ist, ist das, was einige Kunden möglicherweise tun, sobald sie den Server haben. Der Hoster ist kein Strafverfolgungsbeauftragter und nicht für Kundeninhalte unter EU/EWR-Infrastrukturanbieter-Safe-Harbor-Bestimmungen haftbar, vorbehaltlich der einen harten Grenze auf der Nutzungsrichtlinienseite.

Warum wird Monero für Hosting-Zahlungen so oft über Bitcoin empfohlen?

Bitcoin ist pseudonym, nicht anonym. Ein entschlossener Ermittler kann eine Bitcoin-Auflade-Adresse rückwärts zur Quell-Wallet und vorwärts zur Sammel-Wallet des Hosters kettenanalysieren und eine ziemlich vollständige Karte erstellen. Monero verwendet bei jeder Zahlung standardmäßig Ring-Signaturen, Stealth-Adressen und vertrauliche Transaktionen, was bedeutet, dass dieselbe Untersuchung keine verwertbaren Informationen liefert. Für jemanden, dessen Bedrohungsmodell eine Vorladung für Finanzdaten umfasst, ist Monero bedeutsam anders.

Macht die Nutzung von Tor für SSH meinen Server anonym?

Es verbirgt, woher Sie SSH-Verbindungen herstellen, was eine echte und nützliche Eigenschaft ist. Es verbirgt nicht, mit wem Ihr Server dann spricht — ausgehende Verbindungen vom Server sind immer noch normaler Internet-Traffic, und ein Skript, das sich bei einem Nicht-Tor-Endpunkt zurückmeldet, deanonymisiert den Workload unabhängig davon, wie Sie sich anmelden. Ausgehende OPSEC ist ein separates Problem von eingehender Anmelde-Privatsphäre.

Wird mein VPS-Anbieter helfen, wenn mein Server von einem staatlichen Akteur angegriffen wird?

Ehrlich gesagt: Die meisten Anbieter werden das nicht tun. Ein kleiner No-KYC-Privacy-Hoster hat sehr wenig rechtlichen Spielraum, um einen Gerichtsbeschluss in einer freundlichen Jurisdiktion abzulehnen. Was ein guter Hoster tun kann, ist so wenig Daten wie möglich im Voraus zu sammeln, damit wenig weitergegeben werden kann, und einen Warrant Canary zu veröffentlichen, damit Schweigen selbst ein Signal ist. NordBastion veröffentlicht beides. Der Pionen-/WikiLeaks-Präzedenzfall bei Bahnhof in Schweden ist der berühmte historische Referenzpunkt.

Was ist der Unterschied zwischen einem No-KYC-VPS und einem „Bitcoin VPS”?

Ein „Bitcoin-VPS” ist ein Marketingbegriff: Er bedeutet, dass der Hoster Bitcoin akzeptiert. Das allein sagt nichts darüber aus, ob der Hoster ein Identitätsdokument verlangt. Einige Bitcoin-zahlenden Hoster führen volles KYC durch; einige No-KYC-Hoster akzeptieren auch Karten. Die beiden Eigenschaften sind orthogonal — prüfen Sie beides, und bevorzugen Sie Hoster, die ihre KYC-Haltung explizit veröffentlichen, statt Sie darauf schließen zu lassen.

Wie überprüfe ich, ob das „No-KYC”-Versprechen eines Hosters echt ist?

Lesen Sie den Registrierungsablauf, bevor Sie zahlen: Ein echter No-KYC-Host fragt an keiner Stelle nach einem Ausweis. Lesen Sie die Nutzungsbedingungen: Ein echter Host benennt die einzigen Einschränkungen ausdrücklich. Lesen Sie die Datenschutzrichtlinie: Eine echte nennt, was erfasst wird (eine E-Mail-Adresse, ein Passwort-Hash, ein Zahlungsnachweis) und was verweigert wird (alles andere). Und testen Sie das Panel: Ein echtes zeigt Ihr Konto, ohne dass jemals ein Identitätsfeld ausgefüllt wurde.

Ist Jurisdiktion oder Anonymität wichtiger?

Sie schützen gegen verschiedene Dinge. Anonymität schützt davor, dass Ihre Daten überhaupt erfasst werden; Jurisdiktion schützt davor, dass sie von einem Gegner nutzbar sind, wenn sie irgendwie erfasst werden. Ein perfekt anonymer Host in einer feindlichen Jurisdiktion ist anfällig für Kompromittierung; ein perfekt jurisdiktionaler Host, der Identität erfasst, ist anfällig für Vorladungen. Die richtige Antwort ist, beide zu fordern, weshalb die Doktrin-Seite beide als nicht verhandelbar auflistet.

Weiterlesen

Einen Zahlungsleitfaden wählen oder zum Katalog springen.

Mit Monero bezahlen Mit Bitcoin / Lightning bezahlen VPS-Katalog ansehen

Zuletzt überprüft · 2026-05-20 · Quellen · öffentliches Material zum Zeitpunkt des Verfassens · Rhythmus · jährlich

The full series

Fourteen guides, one pillar. Pick your layer.

Each spoke in this cluster expands one layer of the pillar above — fundamentals, payments, opsec, then concrete self-host recipes you can ship today.

Fundamentals · 2
No-KYC VPS, explained

What “no KYC” actually means — and what it does not.

Anleitung lesen
Nordic jurisdictions for privacy hosting

Why Sweden, Finland, Norway and Iceland — the legal floor of each.

Anleitung lesen
Zahlungen · 2
How to pay a VPS with Monero

XMR end-to-end — wallet, transfer, confirmations, change.

Anleitung lesen
How to pay a VPS with Bitcoin Lightning

Lightning invoice → paid VPS in under 30 seconds.

Anleitung lesen
Opsec · 1
VPS hardening — the first hour of opsec

SSH keys, ufw, fail2ban, kernel knobs, unattended-upgrades.

Anleitung lesen
Self-host · social · 2
Self-host Mastodon on a VPS

Fediverse instance, Docker Compose, federation-ready in 90 min.

Anleitung lesen
Self-host Matrix Synapse on a VPS

Your own homeserver — Synapse, postgres, well-known delegation.

Anleitung lesen
Self-host · productivity · 4
Self-host Vaultwarden on a VPS

Bitwarden-compatible password vault under your own control.

Anleitung lesen
Self-host Nextcloud on a VPS

Files, calendar, contacts, photos — owned, not rented.

Anleitung lesen
Self-host a mail server on a VPS

Postfix, Dovecot, SPF/DKIM/DMARC — deliverability included.

Anleitung lesen
Self-host SearXNG on a VPS

A meta search engine that does not log you — because you own it.

Anleitung lesen
Self-host · crypto · 1
Self-host a Bitcoin Lightning node

Your own LN node — bitcoind + LND or Core Lightning, on a VPS.

Anleitung lesen
Self-host · network · 2
WireGuard VPN on a VPS

Your own WireGuard tunnel — server config, peer keys, kill-switch.

Anleitung lesen
Tor hidden service on a VPS

A v3 .onion address that survives reboots and IP changes.

Anleitung lesen
Browse the full guides index