Niederländische und französische Ermittler haben am 19. und 20. Mai den VPN-Dienst First VPN — in einschlägigen Kreisen auch als 1VPNS unterwegs — vom Netz genommen. Operation Saffron heißt der Vorgang offiziell, koordiniert von Europol und Eurojust, beteiligt waren Behörden aus 18 Ländern. Wer in der IT-Sicherheit unterwegs ist, kennt diese Takedowns — DoubleVPN 2021 dürfte den meisten noch geläufig sein. Neu ist hier vor allem die Datenmenge, die jetzt bei den Ermittlern liegt.
Was Operation Saffron eingesammelt hat
33 Server in 27 Ländern beschlagnahmt, der mutmaßliche Betreiber in der Ukraine festgenommen und vernommen, die Nutzerdatenbank in Behördenhand. Europol spricht von rund 5.000 kriminellen Accounts, 506 davon als hochkarätig eingestuft. 83 Informationspakete sind bereits an laufende Ermittlungen in anderen Staaten weitergegeben worden. Das FBI hat zeitgleich einen Flash Alert herausgegeben — laut Bundespolizei nutzten mindestens 25 Ransomware-Gruppen den Dienst, darunter Avaddon.
Was die Sache aus Strafverfolger-Sicht so wertvoll macht: Die Polizei hatte vor der Abschaltung Zugriff auf den Datenverkehr. Wer in den letzten Monaten über First VPN seine Command-and-Control-Server angesteuert hat, hat dabei mit ziemlicher Sicherheit Spuren hinterlassen, die nicht mehr aus der Welt zu bekommen sind.
Kein VPN unter vielen
Im Kommentarbereich anderer Artikel zum Thema kommt regelmäßig das Argument: „Das kriminalisiert doch VPNs an sich.“ Tut es nicht. First VPN ist nicht NordVPN oder ProtonVPN — der Dienst wurde gezielt in russischsprachigen Cybercrime-Foren beworben, mit explizitem Versprechen, mit Strafverfolgungsbehörden nicht zusammenzuarbeiten. Anonyme Zahlungsoptionen, der Hinweis auf angeblich nicht vorhandene Aktivitätslogs, dazu die passende Klientel als Zielgruppe.
Das ist nicht „auch mal kriminell genutzt“, das ist ein Dienst, der seine Geschäftsgrundlage in der Cybercrime-Szene gesucht und gefunden hat. Vergleichbar ist das eher mit einem Mixer-Service für Kryptowährungen als mit einem normalen VPN-Anbieter. Diese Unterscheidung im Hinterkopf zu behalten, lohnt sich — gerade weil die Debatte um VPN-Verbote in der EU schon länger im Hintergrund läuft und solche Takedowns gerne als Argument herangezogen werden.
Ein Muster, das sich wiederholt
Dass das nicht der erste Fall ist, ist der vielleicht interessantere Aspekt. 2021 hat dasselbe niederländische Team High Tech Crime den Vorgänger DoubleVPN zerschlagen, ebenfalls beworben in Hacker-Foren, ebenfalls mit Anonymitätsversprechen. Bei meinen KMU-Kunden ist Ransomware seit Jahren ein Dauerthema — und in den Forensik-Berichten der Fälle, die ich aus zweiter Hand mitbekommen habe, taucht regelmäßig dieser Typus Anonymisierungsdienst auf. Wer einmal einen Restore aus einem Backup gefahren hat, das im Ernstfall zwei Wochen alt war, weiß, was auf der anderen Seite dieser VPN-Verbindungen passiert.
Strategisch interessant ist der Wechsel im Vorgehen: Statt einzelne Affiliates zu jagen, die innerhalb von Tagen ersetzt sind, geht die Strafverfolgung jetzt die geteilte Infrastruktur an — Anonymisierungsdienste, Bulletproof-Hosting, Mixer-Services. Das skaliert besser, weil ein einzelner Takedown Hunderte oder Tausende Akteure gleichzeitig trifft.
Was jetzt kommt
Die Ermittlungen gegen die identifizierten Nutzer laufen — laut Europol in 21 zusätzlichen Verfahren weltweit. Ein Teil der Betroffenen wird die nächste Welle Hausdurchsuchungen miterleben, ein anderer Teil hat vermutlich schon angefangen, auf neue Anonymisierungs-Infrastruktur umzuziehen. So lange Ransomware-as-a-Service-Modelle funktionieren, wird sich auch ein Nachfolger für First VPN finden. Die fünf Jahre Vorarbeit, die in Operation Saffron stecken, sind insofern weniger ein Endpunkt als ein neues Etappenziel — mit einem Stapel Beweismaterial, der die Ermittler noch eine Weile beschäftigen wird.
