VPN-Dienste verschlüsseln den Datenverkehr ihrer Nutzer und verbergen deren reale IP-Adressen. Während sie legitim zum Schutz der Privatsphäre in öffentlichen WLAN-Netzen, zur Umgehung von Zensur, zur Reduzierung von Tracking und für sicheres Arbeiten aus der Ferne eingesetzt werden, nutzen auch Bedrohungsakteure sie, um ihren Standort und ihre Infrastruktur zu verschleiern. Je nach Region können VPN-Anbieter gesetzlich verpflichtet sein, Auskunftsersuchen der Strafverfolgung nachzukommen und gespeicherte Daten für strafrechtliche Ermittlungen herauszugeben.

Die Ermittlungen zu „First VPN" begannen im Dezember 2021 unter Federführung der französischen und niederländischen Behörden, die im November 2023 ein gemeinsames Ermittlungsteam bildeten. Im Zuge der Operation infiltrierten die Ermittler die VPN-Infrastruktur, bevor diese vom Netz ging, und sammelten die Nutzerdatenbank ein. In einem offiziellen Kommunikationsvideo in Form eines Zeichentrickfilms weist Europol darauf hin, dass selbst dann, wenn Bedrohungsakteure versprechen, Daten zu löschen, die Informationen oft weiterhin auf den Servern vorhanden sind.

Bei Europol wurde eine operative Arbeitsgruppe eingerichtet. „Bei Europol wurde eine operative Taskforce gebildet, die Ermittler aus 16 Ländern zusammenbrachte, um die beschlagnahmten Daten auszuwerten und den Austausch von Erkenntnissen mit internationalen Partnern zu koordinieren", erläutert Eurojust.

Die koordinierte internationale Operation fand zwischen dem 19. und 20. Mai statt. Die niederländische Polizei bestätigte in ihrer Pressemitteilung, dass alle Nutzer von „First VPN" identifiziert und direkt benachrichtigt wurden. Konkrete Zahlen wurden dabei nicht genannt, und es ist unklar, ob gegen die Betroffenen rechtliche Schritte geplant sind.

Laut Europol wurden Informationen zu 506 Nutzern international weitergegeben, ebenso wie 83 sogenannte „Erkenntnispakete", die laufende oder künftige Ermittlungen unterstützen sollen. „Die gesammelten Erkenntnisse enttarnten Tausende Nutzer mit Verbindungen zum Cybercrime-Ökosystem und lieferten operative Anhaltspunkte im Zusammenhang mit Ransomware-Angriffen, Betrugsmaschen und anderen schweren Straftaten weltweit", erklärt Europol.