Das NordBastion-Polarbär-Maskottchen hinter einem nordischen Steingerichtspodium mit einem offenen Ledger, der durchgestrichene Identitätssymbole zeigt, und Messingwaagen daneben, der cyan-N-Schild von schwachem cyan-Zauber emporgehalten

Erklärung·10 Min. Lesezeit · Aktualisiert 2026

No-KYC-VPS-Hosting, erklärt.
Was es ist, was es nicht ist und wie man die echten erkennt.

„No-KYC” ist einer der am stärksten vermarkteten Begriffe im Privacy-Hosting. Dieser Leitfaden erklärt, was KYC tatsächlich bedeutet, was No-KYC auf jeder Ebene der Kundenbeziehung heißt, und vier konkrete Tests, die einen seriösen Privacy-Hoster von einem Anbieter unterscheiden, der den Begriff nur als Dekoration nutzt.

Kapitel 1

Was KYC eigentlich ist, und woher es kommt.

KYC — Know Your Customer — ist ein Satz von Identitätsverifizierungsverfahren, der ursprünglich in der Regulierung zur Geldwäschebekämpfung im Finanzdienstleistungsbereich kodifiziert wurde. Die kanonische Implementierung sammelt vier Dinge: gesetzlicher Name, Wohnadresse, ein staatlich ausgestelltes Identitätsdokument (Reisepass oder Personalausweis) und Nachweis, dass das Dokument der einreichenden Person gehört (das inzwischen allgegenwärtige „Selfie mit Ausweis”). Manchmal fügt eine Versorgerrechnung oder ein Kontoauszug einen Adressnachweis hinzu. Die Finanzdienstleistungspflicht ist real, die Dokumentation ist klar definiert, und die Regulatoren, die sie durchsetzen (FinCEN in den USA, die FCA in Großbritannien, BaFin in Deutschland, FINMA in der Schweiz, FATF global) prüfen die Compliance regelmäßig.

Weniger klar definiert ist, wie KYC aus dem Finanzdienstleistungsbereich in benachbarte Kategorien migriert ist. Hosting ist eine davon. Es gibt kein Gesetz in Schweden, Finnland, Norwegen oder Island, das ein Hosting-Unternehmen verpflichtet, seine Kunden zu KYC-verifizieren. Die Praxis verbreitete sich durch Konvention — hauptsächlich weil Hosts, die Kreditkarten akzeptieren, die Betrugsverhinderungskultur des Kartenprozessors erben und weil Unternehmenseinkauf erwartet, gefragt zu werden. Ein kleiner Teil des Hosting-Markts ist bewusst aus dieser Konvention ausgetreten. Dieser Teil ist das, worauf „No-KYC-Hosting” verweist.

Die Unterscheidung ist wichtig, weil das Marketingwort „anonym” auf mehrere verschiedene Schichten verweisen kann, und KYC-Entfernung ist nur eine davon. Ein perfekt KYC-freier Host, der keine Kryptowährung akzeptiert, Tor verweigert und Ihre IP-Adresse mit jedem teilt, der fragt, leckt immer noch auf den anderen zwei Schichten. Echtes Datenschutz-Hosting ist ein Stack; KYC-Entfernung ist ein Element.

Kapitel 2

Warum die meisten Hosts KYC verlangen. Drei tatsächliche Gründe.

Grund 1 — Rückbuchungsschutz. Karten-zahlende Hoster werden mit Rückbuchungen in nicht trivialen Raten getroffen — typischerweise 0,5–2 % der Transaktionen, manchmal schlimmer für Budget-Hoster. Die Verifizierung des Karteninhabers reduziert dieses Risiko: Wenn der Kunde nachweisen kann, dass er der rechtmäßige Karteninhaber ist, bevor die Belastung abgewickelt wird, sinkt das Rückbuchungsrisiko. Ein krypto-zahlender Hoster hat überhaupt kein Rückbuchungsrisiko (Kryptowährungstransaktionen sind irreversibel) und verliert damit den gesamten Grund zu fragen. NordBastion ist nur für Krypto und hat daher kein Rückbuchungsrisiko zu verteidigen.

Grund 2 — Reaktionsgeschwindigkeit bei Missbrauch. Wenn ein Server wegen Spamming, Malware-Hosting oder dem Betrieb von Phishing-Infrastruktur gemeldet wird, beschleunigt die Identifizierung des rechtlichen Eigentümers die Abwicklung — der Host kann warnen, sperren oder kündigen mit Dokumentation, die ein Gericht akzeptieren würde. Ein Datenschutz-Host tauscht das ein, indem er in der Acceptable-Use-Policy explizit angibt, was genau eine Sperrung verursacht, und indem er aus betrieblichen Gründen sperrt (der Server sendet Spam) statt aus rechtlichen Gründen (der Betreiber ist identifizierbar). Gleiches Ergebnis, anderer Mechanismus.

Grund 3 — Legitimität bei der Unternehmenseinkaufsabwicklung. Unternehmenskunden erwarten, nach ihrer Identität gefragt zu werden, weil ihre eigene Compliance das verlangt. Ein Anbieter, der nicht fragt, ist paradoxerweise schwieriger über die Unternehmenseinkauf einzubinden. Ein Privacy-Hoster scheidet selbst aus diesem Segment aus — die Kundenbasis sind Einzelpersonen, kleine Teams und datenschutzbewusste Entwickler, kein Fortune-500-Einkauf.

Alle drei Gründe sind für ihre jeweiligen Geschäftsmodelle legitim. Sie gelten einfach nicht für einen krypto-bezahlten, auf Einzelkunden ausgerichteten Hoster, der seine Nutzungsrichtlinie explizit veröffentlicht. KYC unter diesen Bedingungen zu verweigern ist operativ kohärent, kein regulatorischer Arbitrage.

Kapitel 3

Kompromisse. Was Sie aufgeben.

No-KYC ist nicht kostenlos. Der konkreteste Kompromiss ist die Kontowiederherstellung. Ein KYC-Hoster kann Ihr Passwort neu ausstellen, indem er Ihre Identität durch die gespeicherten Dokumente verifiziert. Ein No-KYC-Hoster kann das nicht — es gibt nichts Gespeichertes, gegen das verifiziert werden kann. Das Verlieren des Passworts (und, wenn aktiviert, des TOTP-Seeds) bedeutet das Verlieren des Kontos.

Das richtige mentale Modell ist, das Panel-Passwort so zu behandeln wie eine Kryptowährungs-Wallet-Seed-Phrase: auf Papier aufschreiben, offline speichern, akzeptieren, dass es keinen Wiederherstellungspfad gibt. Das 2FA-Geheimnis sollte auf dieselbe Weise gesichert werden (der TOTP-QR-Code oder die 25-stellige Seed-Zeichenkette, bei der Einrichtung aufgeschrieben). Beides zusammen in einem versiegelten Umschlag in einer Schublade ist die kanonische Einrichtung. Beides verlieren = das Konto verlieren.

Der zweite Kompromiss ist, dass einige Zahlungsmethoden nicht verfügbar sind. Banküberweisung und Kreditkarte scheiden aus, weil beide dem Kunden an der Finanzierungsquelle KYC auferlegen. Kryptowährung ist dabei. PayPal sitzt unbequem in der Mitte — einige No-KYC-Hosts akzeptieren es, andere verweigern es wegen des Rückbuchungsrisikos und der Identitätsexposition. NordBastion akzeptiert PayPal aus keinem dieser Gründe.

Der dritte, subtilere Kompromiss ist psychologischer Natur. Ein Kunde, der darauf trainiert wurde, „Verifizieren Sie Ihre Identität” von jeder kommerziellen Beziehung zu erwarten, findet eine No-KYC-Registrierung anfangs möglicherweise beunruhigend — es gibt einen Moment des „Warten Sie, Sie benötigen meinen Namen nicht?”, den einige neue Kunden berichten. Die Beunruhigung klingt innerhalb weniger Tage nach der Nutzung des Dienstes ab. Im zweiten Monat bemerken Kunden in der Regel, dass das Fehlen der Identitätsexposition seine eigene Art von Komfort ist.

Kapitel 4

Vier Tests für einen echten No-KYC-Hoster. Jeder ist unabhängig.

Registrierungsablauf lesen

Die Registrierungsseite in einem privaten Fenster öffnen und jedes Formularfeld lesen. Wenn ein Feld einen Dokumenten-Upload, eine Telefonnummer oder eine „Ihren gesetzlichen Namen verifizieren”-Bestätigung anfordert, führt der Hoster KYC durch, egal was das Marketing sagt. Der Registrierungsfluss ist der direkteste Beweis.

Nutzungsbedingungen lesen

Ein seriöser Hoster benennt die Grenzen der akzeptablen Nutzung explizit und kurz. Ein defensiver Hoster versteckt sich hinter einer 12-seitigen Liste vager Auffangklauseln, die ein amerikanischer Anwalt verfasst hat. Länge und Konkretheit sind Signal; Weitschweifigkeit und Vagheit sind Anti-Signal.

Datenschutzrichtlinie lesen

Eine echte Datenschutzerklärung listet auf, was erfasst wird UND was abgelehnt wird. Die „Was wird abgelehnt”-Liste ist die schwierigere zu schreiben und die informativste zu lesen — ein Hoster, der seine Datensparsamkeit durchdacht hat, veröffentlicht beides. Ein Hoster, der nur „Was wird erfasst” veröffentlicht, hat das nicht.

Nach einem Warrant Canary suchen

Ein Canary ist eine Erklärung, dass der Hoster keine geheime rechtliche Forderung erhalten hat, in einem veröffentlichten Rhythmus erneuert und mit einem öffentlichen Schlüssel signiert. Seine Anwesenheit ist kein Beweis, aber sein Fehlen ist bezeichnend. Sein Verschwinden — der Canary wird nicht mehr aktualisiert — ist laut. Ein seriöser Hoster veröffentlicht einen.

FAQ · No-KYC

Fragen, beantwortet.

Die acht Fragen, die ein skeptischer Kunde stellt, bevor er einem „No-KYC”-Versprechen vertraut.

Wofür steht „KYC” eigentlich und was erfordert es?

Know Your Customer. Der Satz von Identitätsverifizierungsverfahren, der ursprünglich in der Finanzdienstleistungsregulierung kodifiziert wurde — Name, Adresse, staatlich ausgestelltes Identitätsdokument, manchmal ein „Selfie mit Ausweis”-Lebendigkeitsprüfung, manchmal eine Versorgerrechnung für den Adressnachweis. Die Finanzdienstleistungspflicht ist real und gilt für Banken, Börsen und Geldtransferunternehmen. KYC hat sich durch Konvention statt durch Gesetz auf viele angrenzende Unternehmen ausgebreitet; Hosting-Unternehmen sind eine solche angrenzende Klasse, und ein kleiner Teil des Hosting-Marktes hat bewusst entschieden, es nicht anzuwenden.

Ist No-KYC-VPS-Hosting tatsächlich legal?

In jeder Jurisdiktion, in der NordBastion tätig ist — Schweden, Finnland, Norwegen, Island — ja, klar. Ein Hosting-Unternehmen ist kein reguliertes Finanzinstitut; die rechtliche Verpflichtung, seine Kunden einem KYC zu unterziehen, gilt nicht. Was der Hoster möglicherweise tun muss, ist auf rechtmäßige rechtliche Forderungen zu einem bestimmten Server zu reagieren, aber in der Praxis gilt: Je weniger Daten der Hoster über seinen Kunden von vornherein hält, desto weniger gibt es weiterzugeben. KYC-frei ist daher kein regulatorisches Schlupfloch; es ist eine bewusste Datensparsamkeits-Haltung innerhalb eines Regulierungsrahmens, der sie erlaubt.

Warum verlangen die meisten Hosts dann KYC?

Drei Gründe, in grob absteigender Reihenfolge der Wichtigkeit. (1) Rückbuchungsschutz: kartengestützte Hosts werden mit Betrugsrückbuchungen in nicht-trivialen Raten konfrontiert, und die Verifizierung des Karteninhabers reduziert dieses Risiko. (2) Missbrauchsabwicklungsgeschwindigkeit: wenn ein Server anfängt zu spammen oder illegale Inhalte zu hosten, beschleunigt das Wissen um den rechtlichen Eigentümer die Abwicklung. (3) Beschaffungslegitimität: Unternehmenskunden erwarten, nach ihrer Identität gefragt zu werden, weil ihre eigene Compliance dies erfordert. Ein datenschutzorientierter, krypto-bezahlter Host hat andere Antworten auf alle drei (keine Karten-Rückbuchungen, harte Grenzen in der Acceptable-Use-Policy, bewusstes Selbst-Ausschluss aus dem Unternehmens-Beschaffungs-Segment), weshalb No-KYC im kleinen Maßstab tragfähig ist, nicht im großen.

Was ist der Kompromiss für den Kunden?

Ein No-KYC-Hoster hat generell keine Möglichkeit zur Kontowiederherstellung über das Passwort und (falls aktiviert) 2FA hinaus. Es gibt keinen Pfad „Identität verifizieren, um Passwort zurückzusetzen”, weil keine Identität gespeichert ist. Das bedeutet: Zugangsdaten verlieren = Konto verlieren. Kunden sollten das Passwort genauso behandeln wie die Seed-Phrase eines Krypto-Wallets — auf Papier aufschreiben, offline aufbewahren, akzeptieren, dass es keinen Fallback gibt. Der Kompromiss ist real und ist der Preis der Datensparsamkeit.

Wie erkenne ich einen echten No-KYC-Hoster im Vergleich zu einem nur Marketing-orientierten?

Vier Fragen. (1) Den Registrierungsablauf lesen, bevor Sie bezahlen — fordert ein Feld einen Dokumenten-Upload, eine Telefonnummer oder einen gesetzlichen Namen? (2) Die Nutzungsbedingungen lesen — listet es die Grenzen der akzeptablen Nutzung explizit auf, oder versteckt es sich hinter vagen Auffangklauseln? (3) Die Datenschutzerklärung lesen — sagt es, was gesammelt wird UND was abgelehnt wird, oder nur was gesammelt wird? (4) Nach einem veröffentlichten Warrant Canary suchen — sein Fehlen ist bezeichnend. Ein Hoster, der (1) nein, (2) explizit, (3) beide Listen, (4) ja antwortet, leistet die Arbeit. Ein Hoster, der bei einem der vier versagt, verkauft die Marke und nicht die Substanz.

Bedeutet No-KYC „alles ist erlaubt”?

Nein. Jeder seriöse No-KYC-Hoster hat mindestens eine harte Grenze, explizit geschrieben. NordBastions Nutzungsrichtlinie nennt genau eine — sexueller Missbrauch von Kindern — und skizziert eine kleine Reihe von operativen Fehlverhaltenskategorien (Massen-Spam, absichtliches DDoS-Staging usw.), die zur Sperrung eines Kunden führen. Der Punkt von No-KYC ist, die routinemäßige Datenerfassung zu verweigern, nicht das Urteil des Betreibers aufzugeben.

Was passiert, wenn mein Land von VPS-Anbietern die Verifizierung der Kundenidentität fordert?

Einige Länder haben diese Anforderung; die meisten nicht. Die Frage aus Kundensicht lautet nicht „Ist der Host verpflichtet, mich nach dem Recht meines Landes zu verifizieren?”, sondern „Ist der Host verpflichtet, mich nach dem Recht des Landes des Hosts zu verifizieren?” — weil der Host derjenige ist, der die Regel anwendet. NordBastion ist in Estland registriert und betreibt Server aus Schweden, Finnland, Norwegen und Island; keines dieser Länder schreibt Hosting-Anbietern eine Kunden-Identitätsverifizierung vor. Wenn Ihr eigenes Land Regeln hat, die unabhängig davon für Sie gelten, wer Sie hostet, ist das ein separates Problem, das der Host nicht lösen kann.

Kann ich bei der Registrierung eine gefälschte E-Mail verwenden?

Das können Sie. Viele Kunden tun es — eine neue Adresse von Tutanota, Proton, Cock.li oder einem datenschutzfreundlichen Anbieter, nur für das NordBastion-Konto und sonst nichts verwendet. Das Konto wird nicht weniger wiederherstellbar, weil die E-Mail gefälscht ist; die E-Mail ist nur der Passwort-Zurücksetz-Kanal. Wenn das Konto kritische Workloads hält, behandeln Sie die E-Mail wie eine Cold-Storage-Zugangsdaten — eine separate Identität, die niemand sonst in das Panel kompromittieren kann.

Richtlinien lesen