VPNLabPolizei Hannover und Europol nehmen VPN-Anbieter vom Netz

Deutsche und internationale Polizeibehörden haben den VPN-Anbieter VPNLab vom Netz genommen und dessen Domain beschlagnahmt. Hacker:innen hatten den Service laut den Ermittlungsbehörden für Ransomware-Angriffe und zur Verbreitung von Schadsoftware genutzt.

Strafverfolgungsbehörden haben den Service VPNLab.net vom Netz genommen (Symbolbild) – Alle Rechte vorbehalten IMAGO / Future Image

Seit Montag ist VPNLab.net nicht mehr erreichbar und die Domain beschlagnahmt. Europol und Strafverfolgungsbehörden aus zehn Ländern haben den VPN-Anbieter nach zwei Jahren Ermittlungszeit vom Netz genommen. In einer Pressemitteilung des Niedersächsischen Innenministeriums heißt es, dass über den Dienst „tausende Cyberkriminelle ihre Kommunikation und Pläne ausgetauscht“ hätten. Europol sagt, dass der Dienst populär bei Kriminellen gewesen sei.

An dem Einsatz gegen den Dienst waren Strafverfolger aus den Niederlanden, Kanada, der Tschechischen Republik, Frankreich, Ungarn, Lettland, der Ukraine, dem Vereinigten Königreich und den USA beteiligt. Angeleitet wurde die Operation von der Polizeidirektion Hannover. Die Ermittlungen seien aufgrund des Hackerangriffs auf die Stadtverwaltung von Neustadt am Rübenberg im August 2019 aufgenommen worden. Dort hatten die Angreifer:innen alle gespeicherten Daten verschlüsselt – und dabei den Service von VPNLab.net genutzt. Durch den Angriff war die Behörde für über einen Monat nahezu vollständig arbeitsunfähig.

So hätten Hacker:innen über die Server von VPNLab Schadsoftware verbreitet und Ransomware-Angriffe durchgeführt, also Daten von Unternehmen, Behörden und Institutionen wie Kliniken oder Universitäten verschlüsselt, heißt es in der Mitteilung. Anschließend seien jene für Lösegeld erpresst worden. VPNLab habe dazu einen Teil der nötigen Infrastruktur geschaffen. Zudem hätten die Hacker:innen den Dienst zur Kommunikation und somit zum Aufbau krimineller Strukturen genutzt.

VPN sind wichtige Infrastruktur im Netz

Allerdings geht die Gefahr nicht von Virtual Private Networks (VPN) an sich aus. Die Technologie wird beispielsweise genutzt, um Homeoffice-Rechnern eine sichere, verschlüsselte Verbindung in Unternehmensnetzwerke zu ermöglichen.

"This domain has been seized" ist nach Aufruf der Webseite von VPNLab.net zu lesen
Die von den Ermittlern gesperrte Webseite von VPNLab.net - Bildschirmfoto

Gleichzeitig schützen VPNs die Privatsphäre, so bewirkt ein VPN, dass ein Nutzer nicht direkt eine Website aufruft, sondern die Anfrage zuerst über einen weiteren Server tunnelt. Dieser dient als zusätzliche Zwischenstation. Die Betreiber einer besuchten Website sehen dann nur die IP-Adresse des VPN-Servers und nicht die des Nutzers. Genauso sieht der eigene Internetprovider nur eine Anfrage an den VPN-Server. Somit kann er nicht erkennen, welche Webseite besucht wurde. Menschen in Ländern, in denen das Internet zensiert wird, nutzen auf diese Weise VPNs, um die Zensur zu umgehen. 

„Jede Technologie kann missbraucht werden, und die überwältigende Mehrheit der VPN-Nutzung erfolgt zu legalen und legitimen Zwecken, und Millionen von Verbrauchern und Unternehmen verlassen sich auf VPNs, um sich online zu schützen“, sagte der Verband „Internet Infrastructure Coalition“, dem große VPN-Anbieter angehören, in Bezug zu früheren Abschaltungen von VPNs.

„Kollateralschäden leider irrelevant“

Solche Abschaltungen bewegen sich immer in einem rechtlichen Spannungsfeld. Oftmals können Ermittlungsbehörden vor einer Durchsuchung gar nicht sagen, ob der Dienst wirklich primär von Kriminellen genutzt wird. Im Fall VPNLab berufen sich die Ermittlungsbehörden darauf, dass der Dienst im „Dark Web“ beworben worden sei. Ein Mitarbeiter einer IT-Sicherheitsfirma weist darauf hin, dass dies auch in einschlägigen Foren passiert sei. Auf der anderen Seite habe VPNLab „rechtswidrige Handlungen unterstützt und keine Informationen über rechtliche Ersuchen der Strafverfolgungsbehörden übermittelt“, sagt der Präsident der Polizei Hannover, Volker Kluwe. Auf welcher Rechtsgrundlage die Aktion genau stattfand, geht aus den Pressemitteilungen der beteiligten Behörden nicht hervor. Eine kurzfristige Presseanfrage von netzpolitik.org zur genauen Rechtsgrundlage ließ die Polizei Hannover bislang unbeantwortet. 

„Wenn die beteiligten Behörden tatsächlich nachweisen können, dass über diese Server Straftaten begangen wurden, dann ist das Vorgehen erstmal nicht illegal“, sagt Ulf Buermeyer der Bürgerrechtsorganisation GFF gegenüber netzpolitik.org. „Kollateralschäden, also dass hier auch tausende völlig legaler Nutzungen unterbunden werden, sind bei der Sicherstellung von Beweismitteln im Strafverfahren leider irrelevant.“

Die Abschaltung von VPNLab reiht sich in eine Serie von Ermittlungen gegen VPN-Anbieter ein. Im Dezember 2020 hatten Ermittler aus Europa und den USA den VPN-Anbieter Safe-Inet vom Netz genommen. Seit Juni 2021 sind zudem die Angebote von DoubleVPN unerreichbar. In beiden Fällen gibt Europol an, dass die Anbieter zur Verschleierung krimineller Tätigkeiten genutzt wurden.

Update 24.01.2022: Die Polizei Hannover hat unsere Presseanfrage an die Staatsanwaltschaft weitergeleitet. Diese antwortete, dass die Server nach §§ 94, 98 StPO „wegen des Verdachts der Computersabotage, des Ausspähens von Daten, der Datenveränderung und Erpressung“ beschlagnahmt wurden.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

3 Ergänzungen

  1. Was ist der konkrete Vorwurf gegen VPNLabs?
    Wurden deren Kisten nur für „Zeugenaussagen“ beschlagnahmt oder richtet sich die Aktion explizit gegen VPNLabs?
    Was hast das fancy VPNLabs Logo (https://vpnlab.net/images/VPNLab.png) gekostet, ist das üblich und legal? Man stelle sich vor, die Polizei beschlagnahmt Dinge bei Shell, Kirche oder der NPD. Werden da auch Logos verunstaltet?

  2. Und wann wird die Telkom, Vodafone und Telefonica „vom Netz genommen“, über deren Backbones und Verteilnetze wird doch dauern Malware verbreitet? Mittlerweile kommte mir so vor, als lebten wir in einem totalitären System, wo Maßnahmen gegen Unternehmen verhängt werden, die lediglich neutrale Leistungen anbieten. Werden denn künftig alle Mercedesfahrzeuge stillgelegt, wenn jemand im „dark net“ dafür Werbung macht, diese bei kriminellen Handlungen einzusetzen?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.