Was zerschlagen wurde

Am 2. Juli 2026 ging Googles Threat Intelligence Group gemeinsam mit dem FBI, Lumen, der Shadowserver Foundation und der IRS Criminal Investigation gegen NetNut vor, ein Residential-Proxy-Netz, das Google auch unter dem Namen Popa verfolgt und auf mindestens 2 Millionen Geräte weltweit schätzt. Google deaktivierte die Konten und Dienste, über die das Netz seine Steuerung abwickelte, teilte technische Details zu den versteckten SDKs mit Plattformbetreibern und Forschern und aktualisierte Play Protect, damit betroffene Apps gewarnt und abgeschaltet werden. Das FBI beschlagnahmte Hunderte Domains, darunter netnut.com, wo heute ein Beschlagnahmebanner steht. Recherchen von Krebs on Security ordnen den Dienst Alarum Technologies zu, einem an der Nasdaq notierten Unternehmen, dessen Anwalt erklärte, man nehme die Sache ernst und werde vollständig mit den Behörden kooperieren. Es ist die zweite Aktion dieser Art in diesem Jahr nach dem IPIDEA-Netz im Januar, und laut Google hat die Zerschlagung den verfügbaren Gerätepool bereits um Millionen verringert.

Das Ende der verdächtigen IP

Ein Residential-Proxy-Netz vermietet gewöhnliche private Internetanschlüsse, sodass der Verkehr eines Angreifers mit der Adresse eines Wohnzimmers ankommt statt aus einem ausländischen Rechenzentrum. Genau deshalb verkauft es sich. In einer Juniwoche zählte Google 316 verschiedene Angreifergruppen, kriminelle wie staatsnahe, die mutmaßliche NetNut-Ausgänge nutzten, um ihre Herkunft zu verschleiern, Passwort-Spraying zu fahren und teils vom Proxy-Programm aus auf andere Geräte im selben Heimnetz überzugreifen. Für ein deutsches Unternehmen bricht damit eine stille Annahme, die in einem Jahrzehnt Sicherheitstechnik steckt: dass riskanter Verkehr riskant aussieht. Wenn der Anmeldeversuch gegen Ihre Konten von einem Privatanschluss im eigenen Land kommt, schlagen Geo-Sperren und IP-Reputationslisten nicht an. Es wirken die Kontrollen, die Adressen nie vertraut haben: Multi-Faktor-Authentifizierung überall, Ratenbegrenzung pro Konto statt pro IP und Alarme auf Verhalten statt auf Herkunft.

Ihre Geräte sind die Ware

Die andere Hälfte der Geschichte ist die Herkunft dieser 2 Millionen Ausgänge: Software, die auf No-Name-Smart-TVs und Streaming-Boxen schon vor dem Kauf installiert war, und SDKs, die sich in Apps verstecken und Entwickler für Ihre ungenutzte Bandbreite bezahlen. Der Besitzer weiß selten, dass er zur Infrastruktur geworden ist, doch in den Protokollen des Opfers taucht seine Adresse auf. Damit wird die Gerätebeschaffung zur Sicherheitsmaßnahme, nicht zur Geschmacksfrage, ganz im Sinne der BSI-Empfehlungen zur Heimnetz-Hygiene: zertifizierte Geräte seriöser Hersteller, Apps nur aus offiziellen Stores und ein hartes Nein zu allem, was Geld für geteiltes Internet verspricht. Es rückt auch die Aktion selbst ins richtige Licht. Die Strafverfolgung verlagert sich vom Festnehmen einzelner Angreifer auf das Zerlegen grauer Infrastrukturmärkte, und dieser lief nach Erkenntnissen der Forscher in einem börsennotierten Unternehmen. Wenn Kriminalität auf Massen-Infrastruktur reitet, schützt die unglamouröse Disziplin: wissen, was im eigenen Netz hängt, und davon ausgehen, dass eine Adresse nichts beweist.