FBI Boston, Europol und Strafverfolgungsbehörden aus acht Ländern haben First VPN zerschlagen, einen kugelsicheren VPN-Dienst, der ausschließlich als Infrastruktur für Ransomware-Banden und Cyberkriminelle betrieben wurde. Die Abschaltung, die am 19. und 20. Mai 2026 stattfand, führte zur Beschlagnahmung von 33 Servern in mehreren Gerichtsbarkeiten und zur Übermittlung von 83 Geheimdienstpaketen an 16 Länder, die mehr als 500 identifizierte Cyberkriminelle umfassen. Für normale VPN-Nutzer ist die Frage einfach: Sollten Sie sich Sorgen machen? Die kurze Antwort lautet nein - und die Gründe dafür offenbaren etwas Wichtiges darüber, wie die Strafverfolgungsbehörden tatsächlich mit Datenschutz-Tools umgehen.
Was First VPN war - und wem es diente
First VPN startete 2014 unter den Domains 1vpns.com, 1vpns.net, 1vpns.org und einer versteckten Tor-Adresse. Es wurde nie auf Mainstream-Plattformen beworben. Es gab keine Blog-Rezensionen, keine Einträge auf Vergleichsseiten, keine Gutscheincodes. Die gesamte Marketingoperation bestand aus Beiträgen in geschlossenen kriminellen Foren - einschließlich russischsprachiger Marktplätze wie Exploit, auf denen gestohlene Datenbank-Zugangsdaten und Unternehmensnetzwerkzugänge routinemäßig verkauft werden.
Der Dienst bot technische Funktionen, die speziell für Angriffsoperationen entwickelt wurden. Die Nutzer konnten bis zu vier separate Server verketten, um ihre digitalen Spuren zu verwischen. Er unterstützte OpenConnect, WireGuard und ein Protokoll namens VLESS TCP Reality - letzteres ermöglichte es dem bösartigen VPN-Datenverkehr, sich als normale HTTPS-Anfragen zu tarnen, wodurch Angreifer Unternehmens-Firewalls umgehen konnten, ohne Sicherheitsalarme auszulösen. Die Zahlung wurde nur in Kryptowährung akzeptiert. Der Support lief über einen anonymen Jabber-Server und Telegram.
Laut Europol tauchte der Dienst in den letzten Jahren "in fast jeder größeren Cybercrime-Ermittlung" auf. FBI-Dokumente nennen die Ransomware-Gruppe Avaddon als Hauptnutzer. Insgesamt schrieben die Ermittler die Nutzung der First VPN-Infrastruktur mindestens 25 verschiedenen Ransomware-Operationen zu - Gruppen, die sie für Netzwerkaufklärung, Botnet-Koordination, DDoS-Angriffe und die Bereitstellung von Ransomware einsetzten.
Wie sich die Untersuchung entwickelte
Die Untersuchung begann im Dezember 2021 - mehr als vier Jahre vor der öffentlichen Zerschlagung. Dieser Zeitrahmen spiegelt wider, wie lange es dauert, kriminelle Infrastrukturen abzubilden, ohne deren Betreiber zu alarmieren. Die aktive Abschaltphase am 19. und 20. Mai 2026 war ein koordinierter, gleichzeitiger Schlag in mehreren Ländern, um Servermigrationen zu verhindern, bevor die Behörden physische Hardware beschlagnahmen konnten.
Die Operation wurde von Frankreichs BL2C (Brigade de Lutte Contre la Cybercriminalite) und der niederländischen NHTC (National High Tech Crime Unit) geleitet. Unterstützung kam von der Cyber-Abteilung des FBI Boston, Europol, Eurojust sowie Strafverfolgungsbehörden in der Ukraine, dem Vereinigten Königreich, der Schweiz und Luxemburg. Das Cybersicherheitsunternehmen Bitdefender leistete technische Hilfe.
Das Ergebnis: 33 beschlagnahmte Server in mehreren Ländern, alle Clearnet- und Tor-Domains wurden übernommen und durch Beschlagnahmebekanntmachungen der Strafverfolgungsbehörden ersetzt, und ein ukrainischer Staatsbürger wurde als Dienstadministrator identifiziert - durchsucht und von den Behörden befragt. Noch folgenreicher war, dass die Ermittler die Nutzerdatenbank des Dienstes erhielten. Europol sandte Warnungen an identifizierte Nutzer, und die Daten generierten 83 Geheimdienstpakete, die nun in aktiven Ermittlungen in 16 Ländern verwendet werden.
Was ein VPN "kugelsicher" macht
Der Begriff "kugelsicher" in der Cyberkriminalität bezieht sich auf Hosting- oder Netzwerkinfrastruktur, die ausdrücklich dafür entwickelt wurde, Missbrauchsbeschwerden zu ignorieren. Wenn ein legitimes Unternehmen eine Meldung erhält, dass eine seiner IP-Adressen genutzt wird, um Krankenhäuser anzugreifen oder Ransomware zu verbreiten, untersucht es den Fall und schließt das Konto. Kugelsichere Anbieter erhalten die gleichen Beschwerden und tun nichts - diese Nicht-Reaktion ist das Kernprodukt, das verkauft wird.
First VPN war kein Datenschutz-Tool, das zufällig missbraucht wurde. Es wurde von Anfang an für kriminelle Zwecke entwickelt. Die Multi-Hop-Kette von bis zu vier Knoten, das VLESS Reality-Protokoll zur Umgehung von Firewalls, die reine Kryptowährungszahlung, das exklusive Foren-Marketing, der Jabber-basierte Support - keines dieser Merkmale findet man bei Datenschutzdiensten für Verbraucher. Es handelt sich um operationelle Sicherheitsfunktionen für Angreifer, die bei der Kompromittierung von Unternehmensnetzwerken unsichtbar bleiben müssen.
Legitime VPN-Anbieter arbeiten auf jeder Ebene anders. Sie veröffentlichen Nutzungsbedingungen, die illegale Aktivitäten verbieten. Sie reagieren auf gültige rechtliche Anfragen. Sie unterhalten öffentliche juristische Personen und zahlen Steuern. Sie werben offen. Wenn ein Konto für Angriffe genutzt wird, erkennen ihre Betrugserkennungssysteme dies und das Konto wird gesperrt. Die technische Fähigkeit, Datenverkehr weiterzuleiten, ist dieselbe; das Geschäftsmodell, die Führung und der Kundenstamm sind völlig unterschiedlich.
Das Ausmaß dessen, was aufgedeckt wurde
Die Beschlagnahmung der Nutzerdatenbank ist der Aspekt dieser Operation mit den weitreichendsten Folgen. Den Ermittlern liegen nun Aufzeichnungen vor, die bestimmte IP-Adressen und Sitzungsdaten mit spezifischen Angriffskampagnen verbinden. Für die mehr als 500 Personen, gegen die nun in 16 Ländern ermittelt wird, ist der Verlust von First VPN nicht das Hauptproblem - es ist die Tatsache, dass ihre operative Sicherheit für jahrelange kriminelle Aktivitäten rückwirkend kompromittiert wurde. Die Daten laufen nicht ab.
Dies ist das beständige Muster bei der Zerschlagung kugelsicherer Infrastrukturen. Kriminelle wählen diese Dienste in dem Glauben, der Anbieter werde niemals mit den Behörden zusammenarbeiten. Was sie nicht berücksichtigen, ist, dass eine Beschlagnahmung der Server des Anbieters den Behörden alles liefert, was der Anbieter sich geweigert hätte, freiwillig herauszugeben - Protokolle, Zahlungsaufzeichnungen, Nutzerkennungen und Verkehrsmetadaten, die Jahre zurückreichen.
Was das für datenschutzbewusste Nutzer bedeutet
Das FBI äußerte sich sehr direkt zum Umfang dieser Operation. In offiziellen Dokumenten heißt es ausdrücklich, dass sich die Aktion "ausschließlich auf den First VPN-Dienst bezieht und sich nicht auf andere VPN-Anbieter mit ähnlichen Namen erstreckt". Die Untersuchung richtete sich gegen ein spezifisches kriminelles Unternehmen, nicht gegen eine Technologiekategorie.
Die Nutzung eines seriösen VPNs für den Datenschutz - zum Schutz von Daten in öffentlichem WLAN, für den Zugriff auf Inhalte in Ländern mit strenger Filterung oder zur Reduzierung der Nachverfolgung durch Werbetreibende - bleibt in den meisten Gerichtsbarkeiten rechtlich eindeutig und von dieser Operation völlig unberührt. Die beschlagnahmte Infrastruktur diente Ransomware-Banden. Die Infrastruktur, die Sie zum Schutz Ihrer Verbindung zu Ihrer Bank nutzen, tut dies nicht.
Die bedeutsame Lektion für datenschutzbewusste Nutzer betrifft die Wahl des Anbieters, nicht die Nutzung von VPNs im Allgemeinen. Dienste, die in kriminellen Foren werben, nur Kryptowährung akzeptieren, keine Nutzungsbedingungen anbieten und mehrstufige Ketten zur Umgehung von Firewalls vermarkten, sind keine Datenschutz-Tools. Sie sind operative Infrastruktur für Angriffskampagnen. Der Unterschied ist vor der Anmeldung sichtbar - wenn Sie wissen, worauf Sie achten müssen.
