Europol hat den Dienst First VPN abgeschaltet, den die Behörde als „bulletproof“-Infrastruktur für Cyberkriminelle bezeichnet. Die Aktion mit dem Codenamen Operation Saffron war das Ergebnis einer internationalen Ermittlung, die 2021 begann. In einer koordinierten Aktion beschlagnahmten die Behörden 33 Server in 27 Ländern und identifizierten 506 Nutzer des Dienstes.
Strafverfolgungsbehörden aus 18 Ländern waren beteiligt, wobei Frankreich, die Niederlande, Luxemburg, Rumänien, die Schweiz, die Ukraine und das Vereinigte Königreich eine Schlüsselrolle spielten. Die Domains von First VPN, darunter sowohl normale Adressen als auch Tor-Versteckdienste, wurden beschlagnahmt und leiten nun auf ein Banner der Operation Saffron weiter. Die Ermittlungen führten die Behörden zudem zu einem Standort in der Ukraine, der mit dem Dienst in Verbindung steht.
Laut Europol vermarktete sich First VPN nicht nur als Datenschutztool, sondern als Dienst, der nicht mit den Justizbehörden kooperiert und angibt, außerhalb jeder Rechtshoheit zu operieren. Beworben wurde er hauptsächlich auf russischsprachigen Cybercrime-Foren. Die Strafverfolgungsbehörden erklären, dass der Dienst häufig in Ermittlungen zu Online-Betrug, Malware-Angriffen und Ransomware auftauchte.
Der Fall First VPN verdeutlicht ein komplexes Problem: die Grenze zwischen legitimer digitaler Privatsphäre und der Infrastruktur, die von Kriminellen genutzt wird. Viele normale VPNs führen ebenfalls keine Protokolle oder haben keine Nutzerdaten herauszugeben, aber sogenannte Bulletproof-Dienste sind anders – sie bedienen offen zweifelhafte Kunden, ignorieren Beschwerden über Missbrauch und bewerben sich oft damit, dass sie sich Strafverfolgungsmaßnahmen widersetzen.
Solche Aktionen werfen zwangsläufig Fragen zu den rechtlichen Grenzen von Eingriffen auf. Serverbeschlagnahmungen hängen von den Gesetzen der einzelnen Länder ab, und die Standards für Durchsuchungsbefehle, Beweise und Verfahren können stark variieren. In Europa ist die digitale Privatsphäre ein geschütztes Recht, und die DSGVO legt strenge Regeln für die Datenverarbeitung fest, was das Gleichgewicht zwischen Sicherheit und Privatsphäre besonders heikel macht.
Neue EU-Vorschläge, den Zugriff der Strafverfolgungsbehörden auf Daten auszuweiten oder private Nachrichten zum Kinderschutz zu scannen, erhöhen die Komplexität weiter. Vor diesem Hintergrund ist die Abschaltung von First VPN nicht nur ein Schlag gegen die Cyberkriminalitäts-Infrastruktur, sondern auch ein Kapitel in der anhaltenden Debatte über die Zukunft der Online-Privatsphäre.