VPN-Anbieter mit Gruselfaktor

In den letzten Jahren haben VPN-Anbieter immer wieder die Besitzer gewechselt. So hat sich beispielsweise die Firma Kape etliche VPN-Anbieter zugelegt: 2017 Cyberghost für 10 Millionen US-Dollar, 2018 Zenmate für 5 Millionen US-Dollar und ein Jahr später Private Internet Access für 127 Millionen US-Dollar. 2021 folgte dann der Kauf von ExpressVPN für knapp eine Milliarde US-Dollar.

Dabei hatte Kape, das bis 2018 Crossrider hieß, ursprünglich nicht viel mit Privatsphäre am Hut: "Während Cyberghost sich vom ersten Tag an auf Datenschutz und Sicherheit konzentrierte, begann Crossrider als ein Unternehmen, das Browsererweiterungen vertrieb und Ad-Tech-Produkte entwickelte. Genau das Gegenteil von dem, was wir gemacht haben", schrieb Cyberghost in einem Blogeintrag anlässlich der Übernahme im Jahr 2017. Einer der Crossrider-Gründer hatte zudem gute Beziehungen zum Geheimdienst Unit 8200, dem israelischen Äquivalent zu NSA und GCHQ. Die Namensänderung in Kape war laut CEO Ido Erlichman ein Versuch, sich von den kontroversen "vergangenen Aktivitäten" zu distanzieren.

Auch der Anbieter Perfect Privacy hat zumindest eine krude Vergangenheit: Zwei Gründer, die den VPN-Dienst jahrelang betrieben haben, gehörten der rechtsextremen Szene an, wie ein Gerichtsprozess in Österreich im Jahr 2012 offenbarte. Neben dem VPN-Anbieter sollen sie zahlreiche Neonazi-Webseiten betrieben haben.

Gekaufte VPN-Tests mit passendem Ergebnis

Interessanterweise werden die VPN-Anbieter, die wir bisher genannt und für uns ausgeschlossen haben, häufig auf VPN-Bewertungsseiten empfohlen. Wie neutral diese Berichte und Tests sind, ist allerdings unklar. Immerhin finanzieren sich die Seiten häufig durch Partnerprogramme mit ebenjenen VPN-Anbietern. Die VPN-Review-Webseiten VPNmentor und Wizcase gehören mit Kape sogar dem oben genannten Eigentümer etlicher VPN-Anbieter. Die Top drei der empfohlenen VPN-Dienste auf den beiden Webseiten sind Expressvpn, Cyberghost und Private Internet Access, die alle drei Kape gehören. Ein Schelm, wer Böses dabei denkt.

Wie sinnvoll solche VPN-Tests sind, bei denen beispielsweise die Geschwindigkeit, die Anzahl der Server und die verfügbaren Länder verglichen werden, ist ohnehin fraglich. Denn das viel gewichtigere Argument für einen VPN-Anbieter ist, ob man ihm wirklich seinen Onlinetraffic anvertrauen möchte und ob er diesen auch wie versprochen nicht mitloggt. Doch das lässt sich deutlich schwerer oder gar nicht in einem Test abbilden.

In den vergangenen Jahren gab es jedenfalls immer wieder Fälle, in denen Logs von VPN-Anbietern, die angeblich keine Daten loggen, in Ermittlungsverfahren genutzt werden. 2011 wurde ein Mitglied der Hackergruppe Lulzsec mithilfe von Logs des VPN-Anbieters Hidemyass für einen Hack von Sony überführt.

2016 nutzten US-Ermittler Daten des Anbieters IPVanish in einem Fall von Kindesmissbrauch, 2017 überführte das FBI einen Cyberstalker - mithilfe von Logs des Anbieters PureVPN. PureVPN versuchte, den Vorfall damit zu erklären, dass es verschiedene Arten von Logs gebe und sein Versprechen sich nur auf einen Teil der Logs bezogen habe.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Audits sorgen für Transparenz

Doch woher soll man wissen, ob ein Anbieter mitloggt oder nicht? Schließlich kann man als Nutzer nicht in die Server hineinschauen. Manche VPN-Anbieter lassen daher ihre Systeme und Apps auditieren, um Sicherheitslücken zu finden und zu schließen und sich zudem bestätigen zu lassen, dass die Systeme privatsphärefreundlich arbeiten und eben keine Daten geloggt werden. Mullvad und IVPN beauftragen hierfür regelmäßig das Berliner Pentesting-Unternehmen Cure53 und veröffentlichen dessen Ergebnisse.

So bestätigt Cure53 Mullvad bei einem Infrastruktur-Audit, dass auf den VPN-Servern keine personenbezogene Daten oder anderweitige Probleme für die Privatsphäre der Nutzer gefunden wurden. Auch IVPN wird in einem Audit seine No-Log-Policy attestiert. Beide Anbieter haben auch ihre Apps auditieren lassen.

Auch ProtonVPN, der VPN-Dienst von Protonmail, hat sowohl seine Apps als auch das Versprechen keine Logs zu speichern auditieren lassen. Der Anbieter wirbt mit einer "strikten No-Log-Policy". Allerdings werden auch bei dem Angebot Protonmail die IP-Adressen nicht mitgeloggt, bis das Unternehmen im Fall eines französischen Klimaaktivisten dazu gezwungen wurde sie zu erfassen und an die Behörden zu übergeben.

"Nach geltendem Schweizer Recht werden E-Mail und VPN unterschiedlich behandelt, und ProtonVPN kann nicht gezwungen werden, Benutzerdaten zu protokollieren", betont das Unternehmen jedoch in einem Blogeintrag. Laut Transparenzbericht konnten bisher auch bei gerichtlichen Anfragen keine IP-Adressen herausgegeben werden - dieser wurde allerdings seit zwei Jahren nicht mehr aktualisiert.