Thought Leadership
In einer weltweiten Operation hat Europol den VPN-Dienst First VPN abgeschaltet. Ermittler überwachten den Datenverkehr und identifizierten Tausende Nutzer.
Die europäische Polizeibehörde Europol hat in einer koordinierten internationalen Aktion den virtuellen privaten Netzwerkdienst First VPN, in Fachkreisen auch als 1VPNS bekannt, vollständig zerschlagen. Die Operation fand zwischen dem 19. und 20. Mai 2026 statt und markiert einen bedeutenden Schlag gegen die digitale Infrastruktur der organisierten Cyberkriminalität. Der betroffene Dienst wurde über Jahre hinweg gezielt in russischsprachigen Untergrundforen beworben und aktiv vermarktet.
Die Betreiber versprachen ihren Kunden eine absolute Anonymität vor den Strafverfolgungsbehörden sowie die Möglichkeit, komplexe Cyberangriffe, Erpressungssoftware-Kampagnen und großflächige Betrugsdelikte spurlos zu verschleiern. Mit der Abschaltung der Plattform wurde eine der wichtigsten technischen Schutzschichten entfernt, auf die sich Akteure im kriminellen Untergrund bei der Durchführung ihrer illegalen Aktivitäten weltweit verlassen haben.
33 Serverstrukturen vom Netz getrennt
Im Zuge der operativen Maßnahmen gelang es den Behörden, insgesamt 33 Serverstrukturen zu lokalisieren und physisch sowie logisch vom Netz zu trennen. Diese Server bildeten das technologische Rückgrat des VPN-Dienstes und waren strategisch über verschiedene Länder verteilt. Gleichzeitig beschlagnahmten die Ermittler die primären Internetadressen der Plattform, darunter die Domains 1vpns.com, 1vpns.net und 1vpns.org. Auch die zugehörigen Adressen innerhalb des verschlüsselten Tor-Netzwerks, die sogenannten Onion-Domains, wurden gesperrt und mit einem offiziellen Beschlagnahmungshinweis versehen.
Neben der technischen Infrastruktur stand auch die operative Führung des Dienstes im Fokus der Ermittlungen. Nach einer richterlich angeordneten Hausdurchsuchung in der Ukraine setzten Beamte einen mutmaßlichen Hauptadministrator der Plattform fest und unterzogen ihn einer eingehenden Befragung. Die bei dieser Durchsuchung sichergestellten Datenträger und Beweismittel werden derzeit von forensischen Experten ausgewertet, um weitere Erkenntnisse über die kriminellen Strukturen zu gewinnen.
Geheime Überwachung des Datenverkehrs vor der Abschaltung
Ein entscheidender taktischer Aspekt dieser Operation war, dass die Strafverfolgungsbehörden nicht sofort mit einer Abschaltung an die Öffentlichkeit gingen. Wie die europäische Justizbehörde Eurojust in einer separaten Stellungnahme bestätigte, hatten Ermittler bereits geraume Zeit vor dem finalen Zugriff heimlichen Zugang zu den Systemen von First VPN erlangt. Dieser Zugriff wurde durch die Ausstellung mehrerer Europäischer Ermittlungsanordnungen sowie offizieller Rechtshilfeersuchen zwischen den beteiligten Nationen rechtlich legitimiert.
Durch diese verdeckte Maßnahme waren die nationalen Ermittlungsteams in der Lage, wertvolle Einblicke in die operative Arbeitsweise der Nutzer zu gewinnen. Sie überwachten den laufenden Datenverkehr und sammelten Protokolldaten von Akteuren, die sich in der trügerischen Sicherheit eines vermeintlich geschützten und protokollfreien Raums wähnten. Die auf diese Weise gesammelten Verkehrsdaten bieten eine präzise Dokumentation krimineller Handlungen direkt während ihrer Entstehung.
506 Kernnutzer des VPN-Dienst First VPN identifiziert
Die Auswertung des abgefangenen Datenverkehrs und der beschlagnahmten Serverdaten führte zur Identifizierung von Tausenden von Dienstnutzern, die nachweislich mit kriminellen Aktivitäten in Verbindung stehen. Europol hat damit begonnen, die identifizierten Nutzer direkt über die Abschaltung des Dienstes und ihre behördliche Erfassung zu informieren. Die gewonnenen Erkenntnisse haben bereits eine Vielzahl neuer operativer Ermittlungsansätze generiert. Diese stehen in direktem Zusammenhang mit weltweiten Erpresser-Angriffen mittels Ransomware, komplexen Online-Betrugssystemen, Datendiebstählen und anderen schweren Straftaten im digitalen Raum.
Die Daten von insgesamt 506 Kernnutzern, die als besonders aktiv oder hochkarätig eingestuft wurden, haben die europäischen Behörden bereits unmittelbar mit ihren internationalen Partnern außerhalb der Europäischen Union geteilt. Die Ermittler gehen davon aus, dass dieses Datenmaterial in den kommenden Monaten als Katalysator für zahlreiche Folgemaßnahmen und Festnahmen im globalen Cybersicherheitsnetzwerk dienen wird.
Vorbereitung seit 2021 mit 27 Ländern
Der erfolgreiche Schlag gegen First VPN ist das Ergebnis einer jahrelangen, akribisch vorbereiteten Ermittlungsarbeit, die bereits im Jahr 2021 initiiert wurde. Insgesamt waren 27 Länder an der Vorbereitung und Durchführung der Operation beteiligt. Die operative Federführung lag bei den Strafverfolgungsbehörden und Staatsanwaltschaften aus Frankreich und den Niederlanden. Unterstützt wurden die nationalen Behörden dabei kontinuierlich durch Europol und Eurojust sowie durch den privaten IT-Sicherheitsdienstleister Bitdefender, der technische Analysen beisteuerte.
Edvardas Sileris, der Leiter des Europäischen Cybercrime Centers bei Europol, erklärte dazu, dass Cyberkriminelle diesen VPN-Dienst über Jahre hinweg als sicheres Tor zur Anonymität betrachtet hätten. Sie glaubten, sich außerhalb der Reichweite der Justiz zu befinden. Die aktuelle Operation beweise das Gegenteil und zeige, dass es im digitalen Raum keine dauerhafte Straffreiheit für die Bereitstellung krimineller Infrastrukturen gebe. First VPN hatte sich im Laufe der Zeit zum meistgenutzten Anonymisierungsdienst im kriminellen Untergrund entwickelt und tauchte in fast allen größeren Cybercrime-Ermittlungen auf, die von Europol in den vergangenen Jahren koordiniert wurden. Die Ermittlungsbehörden erwarten, dass der Ausfall dieser Plattform das logistische Gefüge vieler internationaler Hackergruppen nachhaltig stören wird.
