BitVPS

Anonymes VPS-Hosting — was \"anonym\" wirklich bedeutet

\"Anonym\" ist nicht dasselbe wie \"privat\", und beides ist nicht dasselbe wie \"ohne KYC\". Anonymität ist operativ — du kannst aus den verfügbaren Daten nicht als Betreiber identifiziert werden. Privatsphäre ist vertraglich — der Anbieter verpflichtet sich, nicht weiterzugeben, was er weiß. Ohne KYC ist eine spezifische Teilmenge der Anonymität auf der Anmeldeebene. Alle drei zählen; das meiste Hosting-Marketing vermischt sie. Diese Seite trennt sie und durchläuft die vier Ebenen der VPS-Anonymität, die deine Exposition tatsächlich bestimmen.

Kein Ausweis erforderlich XMR / BTC akzeptiert Tor-freundlich Optionales Konto
Anonymous VPS hosting

Die vier Schichten der VPS-Anonymität

Anonymität liegt nicht an einem Ort; sie liegt an vier. Zwei sind Aufgabe des Anbieters, zwei Ihre. BitVPS übernimmt die ersten beiden strukturell; die zweiten beiden erfordern operative Disziplin, die kein Anbieter für Sie leisten kann.

1Registrierungsdaten — was der Anbieter abfragt

Die Informationen, die beim Aufbau der Beziehung erhoben werden: E-Mail, Name, Adresse, Telefon, Ausweisdokument, Abrechnungsdaten. BitVPS fragt nach einem einzigen Feld — einer funktionierenden E-Mail — und validiert niemals Name, Adresse oder Telefon, weil sie nicht erhoben werden. Das Anmeldeformular besteht aus zwei Dropdowns und einem E-Mail-Feld. Nichts wird gegen Drittdatenbanken angereichert. Das ist die No-KYC-Ebene; sie ist notwendig, aber nicht hinreichend für Anonymität.

2Zahlungsspur — was das Geld verrät

Jede Zahlung hinterlässt irgendwo eine Spur. Eine Karte erzeugt einen belastbaren Eintrag bei deiner ausstellenden Bank. Eine Banküberweisung erzeugt ein SWIFT-Log. Bitcoin erzeugt einen öffentlichen UTXO-Graphen. Monero erzeugt ein undurchsichtiges Commitment ohne sichtbare Quelle. BitVPS akzeptiert 20+ Kryptowährungen; XMR ist die einzige mit Privatsphäre auf Protokollebene in der Zahlungsschicht. BTC, LTC, ETH, USDT, USDC, SOL, TRX, TON, XRP, DOGE, POL, BCH, DASH, ZEC sind pseudonym — stark, wenn du frische Wallets nutzt, schwach, wenn du direkt von einer KYC-Börse abhebst. Wir akzeptieren niemals Fiat, daher fehlt die Überwachung durch Kartennetzwerke strukturell.

3Netzwerkaktivität — wie Sie den VPS erreichen

Jede SSH-Sitzung und jeder Panel-Login hinterlässt an deinem Ende eine Spur. Wenn du von einer Privatkunden-IP aus per SSH zugreifst, die dein Heim-ISP dir zuordnen kann, ist die Anonymität auf Netzwerkebene dahin — ganz egal, was der VPS weiß. BitVPS blockiert weder Tor- noch VPN-Traffic auf dem Deploy-Formular, im Panel oder auf dem VPS selbst; die operative Disziplin, über Tor zu routen (Tor-only oder Tor → VPN → SSH), musst du selbst aufrechterhalten. Wir loggen Panel-Sitzungs-IPs 24 Stunden lang zum Brute-Force-Schutz — kurze Aufbewahrung, bewusst begrenzter Umfang.

4Betriebsmetadaten — Protokolle, Support-Tickets, Kleinigkeiten

Der Text von Support-Tickets, die Inhalte von gegen dich eingereichten Missbrauchsmeldungen, die auf dem VPS laufende Workload, die öffentliche IP, an die sich deine Dienste binden, und alle Lecks, die die Workload selbst erzeugt (Banner-Strings, Login-Fingerprints, SSL-Zertifikate, EXIF-Daten, Analytics-Cookies). Tickets und Missbrauchskorrespondenz unterliegen unserer 90-tägigen Aufbewahrung; die Lecks der Workload entziehen sich unserer Kontrolle. Das ist die Ebene, die die meisten Nutzer unterschätzen — und die ein entschlossener Gegner zuerst angreifen wird.

Was anonym ist, was nicht

Eine flache Tabelle jeder Datenkategorie, die durch einen BitVPS-VPS fließt, und was wir damit tun. Kein Marketingtext: nur drei Spalten — was wir sehen, was wir protokollieren, was wir teilen.

Schicht Was WIR sehen Was wir LOGGEN Was wir TEILEN
Registrierungs-E-Mail Die von Ihnen eingegebene Adresse Im Kundendatensatz gespeichert Nur bei gültiger lokaler Gerichtsverfügung
Echter Name / Ausweis / Telefon Nichts — nie erhoben Nichts — nie erhoben Kann nicht teilen, was wir nie hatten
Zahlung On-Chain-Transaktions-ID, Empfangsadresse, Betrag Rechnungszeile + Tx-ID, 7 Jahre (Gesellschaftsrecht) Nur bei gültiger lokaler Gerichtsverfügung
Panel-Sitzungs-IP Quell-IP des Logins 24 Stunden (Anti-Brute-Force) Nur bei gültiger lokaler Gerichtsverfügung
Panel-Aktionen Bereitstellen / Neustart / Neuaufbau / Snapshot 90 Tage (Missbrauch / Sicherheit) Nur bei gültiger lokaler Gerichtsverfügung
SSH-Verbindung zu Ihrem VPS Nichts — endet im Gast Nichts — nicht auf dem Host Kann nicht teilen, was wir nicht sehen
Kunden-NIC-Traffic Nur Port-Byte-Zähler Kein Netflow, keine Paketerfassung Keine Daten zum Teilen vorhanden
Support-Tickets Von Ihnen eingesendete Inhalte 2 Jahre (Dienstkontinuität) Nur bei gültiger lokaler Gerichtsverfügung

Operative Hygiene Tipps

Der Anbieter kann Schichten 1 und 2 bereinigen; Schichten 3 und 4 müssen Sie selbst bereinigen. Nachfolgend: die Disziplin, die den Unterschied zwischen „auf dem Papier anonym" und „in der Praxis anonym" ausmacht.

Netzwerkdisziplin:

  • Erreiche das Deploy-Formular, das Panel und den VPS über <strong>Tor</strong>. Das Deploy-Formular funktioniert unter Tor ohne Änderung; wir zeigen kein CAPTCHA, blockieren keine Tor-Exits und reichern die Quell-IP nicht an. Für SSH ist Tor → SOCKS5 → ssh die sauberste Kette (nutze <code>torsocks ssh</code> oder <code>ProxyCommand nc -X 5 -x 127.0.0.1:9050 %h %p</code>).
  • Oder betreibe <strong>Tor → VPN → SSH</strong>, wenn du eine stabile Exit-IP für einen Dienst brauchst, der den Tor-Exit-Pool nicht toleriert. Bezahle das VPN in Monero, nutze pro VPS ein separates VPN.
  • Vermeide direktes SSH von einer dem Privatkunden-ISP zuordenbaren IP. Mach es einmal, und die NetFlow-Logs deines ISPs (die du nicht kontrollierst) verknüpfen die öffentliche VPS-IP für immer mit deinem Heimanschluss.

Wallet-Disziplin:

  • Nutze eine <strong>frische Wallet pro Rechnung</strong> für Bitcoin-Zahlungen, oder zahle in Monero (das macht \"frische Wallet\" zum Standard statt zur Ausnahme).
  • Wenn du von einer KYC-Börse abheben musst, route durch einen CoinJoin (Wasabi, JoinMarket) oder konvertiere via eines Swaps ohne KYC zu Monero.
  • Konsolidiere UTXOs aus mehreren BitVPS-Erstattungen nicht wieder in einer einzigen Wallet — sie unkonsolidiert zu lassen, ist kostenlose Privatsphäre.

E-Mail-Disziplin:

  • Nutze eine <strong>separate E-Mail pro VPS</strong>. SimpleLogin-, AnonAddy- und Proton-Aliasse funktionieren alle; ebenso Wegwerf-Postfächer, wenn du nach dem Deployment keine weiteren E-Mails empfangen musst.
  • Verknüpfe die VPS-Kauf-E-Mail mit nichts anderem — keine weiteren Konten, keine Wiederherstellungs-E-Mails, kein gemeinsamer Passwortmanager-Eintrag, der sie mit deiner echten Identität korrelieren würde.

Workload-Disziplin:

  • Prüfe, was dein <em>Dienst</em> ausstrahlt. Banner-Strings (<code>Server: nginx/1.24.0 (Ubuntu)</code>), HTTPS-Zertifikate (Subjects mit deinem echten Namen), eingebettete Analytics, EXIF in hochgeladenen Bildern, JS-Fehler-Tracker — all das kann dich schneller re-identifizieren, als es der VPS-Anbieter kann.
  • Entferne Metadaten vor der Veröffentlichung. Nutze <code>exiftool -all=</code> bei Bildern, <code>pdftk</code> bei PDFs und deaktiviere <em>jegliches</em> Drittanbieter-JS, das von einer öffentlichen Seite nach Hause telefoniert.

Wovor ein anonymer VPS NICHT schützt

Der ehrliche Abschnitt. Ein anonymer VPS ist ein nützliches Werkzeug mit einem definierten Bedrohungsmodell. Im Folgenden: die Bedrohungen, die er nicht adressiert. Falls eine davon auf deinen Gegner zutrifft, kombiniere den VPS mit den genannten zusätzlichen Verteidigungen.

Im Klartext: Ein anonymer VPS schützt davor, dass \"das Hosting-Unternehmen weiß, wer du bist.\" Er schützt nicht vor allen anderen, die das Netzwerk oder die Workload beobachten könnten. Modelliere deine Bedrohungen entsprechend.

Globale passive Gegner. Ein globaler passiver Gegner (GPA) — typischerweise ein Nachrichtendienst mit breiter Netzwerküberwachungsfähigkeit — kann das Timing von Tor-Eintritt und -Austritt korrelieren, langlebige Verbindungen durch Traffic-Muster-Analyse deanonymisieren und deine öffentliche VPS-IP bei ausreichender Beobachtungsdichte über den Tor-Circuit zurück zu deinem Privatkunden-ISP verknüpfen. Ein anonymer VPS richtet gegen einen GPA nichts aus. Die Verteidigung gegen einen GPA erfordert ein anderes Werkzeugset (Tails, Mixnets, intermittierende Konnektivität, OPSEC-Disziplin weit jenseits der Hosting-Wahl).

Seitenkanäle über die Workload selbst. Wenn der öffentliche Dienst auf deinem anonymen VPS deine Identität über einen Login-Fingerprint, einen einzigartigen Schreibstil, ein vergessenes eingebettetes Analytics-Tag oder einen einzigen Tweet preisgibt, der die IP erwähnt — dann bricht die Anonymität zusammen, egal wie sauber der VPS-Kauf war. Das ist der häufigste Fehlermodus, den wir in Post-mortem-Berichten sehen; die Workload ist das schwächste Glied.

ISP-Metadaten, falls du direkt per SSH zugreifst. Dein Heim-ISP zeichnet auf, dass du dich zu diesem Zeitstempel, mit diesem Volumen, mit diesem Protokoll mit der öffentlichen VPS-IP verbunden hast. Selbst ohne Paketmitschnitt reichen Metadaten in NetFlow-Qualität aus, um \"VPS A hat Lärm gemacht\" mit \"Teilnehmer X war online und im selben Moment mit A verbunden\" zu verknüpfen. Die Lösung ist, nicht von einem Heimanschluss aus per SSH zuzugreifen: route über Tor oder über ein separat gekauftes VPN.

Forensische Datenträger-Abbilder. Ein VPS lebt auf physischer Hardware in einem Rack. Wenn der zugrunde liegende Datenträger per Gerichtsbeschluss oder Hypervisor-Introspektion abgebildet wird, ist alles wiederherstellbar, was du unverschlüsselt gespeichert hast. Verschlüssele sensible Daten im Ruhezustand <em>innerhalb des Gasts</em> mit Schlüsseln, die du selbst hältst (LUKS, dm-crypt mit Passphrase-Abfrage beim Boot, Verschlüsselung auf Dateiebene wie age oder gocryptfs). Die Anonymität des VPS-Kaufs schützt nicht, was auf dem Datenträger liegt.

Erzwungene Offenlegung von E-Mail-Inhalten. Deine Anmelde-E-Mail liegt, selbst bei Proton oder Tutanota, bei einem Anbieter mit eigener Jurisdiktion und eigenen Verpflichtungen gegenüber Gerichtsbeschlüssen. Wird dieser Anbieter gezwungen, Postfach-Inhalte herauszugeben, wären deine BitVPS-Deploy-E-Mails (mit der VPS-IP) darunter. Verschlüssele ruhende Mail nach Möglichkeit mit PGP; erwäge selbst gehostete Mail hinter Tor für die paranoidesten Profile.

Anonymer VPS FAQ

Acht Fragen, die Käufer und Journalisten uns am häufigsten zu den Anonymitätseigenschaften eines BitVPS-VPS stellen.

What's the difference between an "anonymous VPS" and a "private VPS"?
Anonymity is operational — you cannot be identified as the operator from the available data. Privacy is contractual — the provider commits not to share what they know. They are different properties; you can have one without the other. BitVPS ships both: the no-KYC signup minimises what we collect (anonymity), and our Privacy Policy plus the warrant canary commit us to disclose only on valid local-jurisdiction process (privacy). Most providers conflate the two; we separate them on purpose.
If I sign up with a Proton email and pay in Monero, am I fully anonymous?
Mostly — but read the four-layer table on this page. The signup data layer is anonymised (Proton handle, no other identifiers), and the payment-trail layer is anonymised (Monero is private at protocol level). The two remaining layers — network activity and operational metadata — are operator-controlled. Your SSH source IP, the public IP your service runs from, your login fingerprint and any leaks from the workload itself can re-identify you regardless. Anonymity is layered.
Do you require an account, or is signup truly accountless?
Truly accountless. You can pay an invoice from /deploy/, receive SSH credentials by email and never log into the panel. The account exists if you want one (snapshots, dashboard, re-deploy buttons) but it is optional. A surprising number of long-tenure customers — including ones running 20+ VPS — have never claimed a panel account.
Can I use Tor to access the deploy form and the panel?
Yes, both work over Tor without modification. We do not block Tor exit IPs at the WAF and we do not show CAPTCHAs on legitimate Tor traffic. The panel session cookie is set on the response so the browser can keep you logged in across pages; everything else is HTML over HTTPS. We have a hidden-service mirror on the roadmap; the clearnet path over Tor is fully supported in the meantime.
Do you log SSH connections, panel logins or VPS console access?
We log panel actions (provision, reboot, rebuild, snapshot) for 90 days for abuse and security investigation, and panel session source IPs for 24 hours for brute-force protection. We do not log SSH connections to your VPS — those terminate inside your guest, not our infrastructure. NIC mirroring is off; we do not run netflow on customer traffic. Details and retention table are in the Privacy Policy.
Can my provider be compelled to identify me retroactively?
Only with the data we have. A binding court order from our jurisdiction (Saint Kitts and Nevis) or the local jurisdiction where the datacenter sits could compel us to disclose what we hold. What we hold for an anonymous-signup customer is: the email you signed up with, the on-chain transaction id of your payment, the deploy timestamps, and panel action logs (90 days). We do not have a name, an ID, a phone number or a billing address to disclose. Our warrant canary documents the count.
What about side-channel re-identification through my VPS's service?
This is the threat model most users underestimate. If the public website you host on the VPS leaks your real identity (login fingerprint, browser session, content metadata, EXIF, JS analytics that you forgot to remove, a single tweet that mentions the IP), the anonymity of the VPS purchase becomes irrelevant. The VPS is anonymous; the service running on it is whatever you configure it to be. Audit your workload, not just your provider.
Do you accept email aliases (SimpleLogin, AnonAddy, Proton aliases)?
Yes, all three plus self-hosted aliases and disposable inboxes. We do not validate domain reputation and we do not enrich the email address against any third-party database. The only requirement is that you can read the deploy email — anything that delivers SMTP works.

Anonymer VPS, mit den genannten Grenzen.

Fünf Stufen, vier Rechtsgebiete, kein Ausweis, kein Telefon, optionales Konto, Tor-freundlich. Bezahlung mit einer von 20+ Kryptowährungen.