Über 30 VPNs, die gleichzeitig hinsichtlich Datenschutz und Sicherheit bewertet wurden
Ein VPN ist heute eine Notwendigkeit für jeden, der seine Privatsphäre online schätzt. Sie verhindern, dass Hacker, Regierungen, Unternehmen und Internetdienstanbieter die Internetaktivitäten überwachen und zum Benutzer zurückverfolgen. Der gesamte Internetverkehr wird verschlüsselt und über einen Remote-Server getunnelt, sodass niemand sein Ziel oder seinen Inhalt verfolgen kann.
Die Nutzung eines VPN erfordert ein gewisses Maß an Vertrauen in Unternehmen, die diese Dienste betreiben. Sie könnten – und einige haben es auch getan – den Datenverkehr überwachen und analysieren, der über ihre Server läuft. Diese Unternehmen können wiederum gehackt, missbraucht oder dazu gezwungen werden, private Informationen über Benutzer preiszugeben.
Heutzutage wirbt jedes VPN, das sich lohnt, für eine Datenschutzrichtlinie ohne Protokolle und eine starke Verschlüsselung. Grundsätzlich gilt, dass der Anbieter keine Informationen über die Inhalte des Internetverkehrs der Kunden aufzeichnet. Das scheint einfach genug, aber„Keine Verkehrsprotokolle“ bedeutet nicht unbedingt, dass keine Protokolle vorhanden sind.
Die meisten VPN-Anbieter, selbst diejenigen, die mit ihrer protokollfreien Richtlinie prahlen, speichern tatsächlich Metadatenprotokolle auf ihren Servern. Diese können eine Reihe von Informationen über die Art der VPN-Verbindungen eines Kunden umfassen, jedoch nicht den tatsächlichen Inhalt. Zeitstempel, verbrauchte Bandbreite, verwendete Datenmenge und sogar die ursprüngliche IP-Adresse des Benutzers können vom VPN-Anbieter protokolliert werden. In den Händen des FBI oder eines schnüffelnden Hackers könnten diese Informationen wertvoll sein.
Ebenso VPN-AnbieterVerschlüsselungsstandards werden nicht immer direkt beworben.Die meisten werden Ihnen mitteilen, dass sie entweder 256-Bit- oder 128-Bit-AES für die Kanalverschlüsselung verwenden, können jedoch Informationen darüber, wie dieser Kanal eingerichtet wurde, einschließlich RSA-Schlüsselaustausch und Authentifizierungsdetails, weglassen.
Tatsächlich können mehrere Faktoren, die über eine einfache No-Logging-Richtlinie und eine starke Übertragungsverschlüsselung hinausgehen, die Privatsphäre von VPN-Benutzern beeinträchtigen. In diesem Artikel gehen wir über die oft beworbenen oberflächlichen Maßnahmen hinaus und gehen tiefer auf die feineren Details ein, die oft übersehen werden. Bedenken Sie, dass wir immer noch darauf angewiesen sind, dass die Anbieter ehrlich sind, was die Maßnahmen angeht, die sie zum Schutz der Privatsphäre der Nutzer ergreifen. Mangels einer besseren Methode müssen wir sie also einfach beim Wort nehmen. Mehr dazu Methodik unten.
Wir haben den Datenschutz jedes VPN-Anbieters anhand der folgenden Kriterien mit 19 möglichen Punkten bewertet:
- Richtlinie zur Verkehrsprotokollierung (2 Punkte): Keine Verkehrsprotokolle jeglicher Art. Verkehrsprotokolle beziehen sich auf Aufzeichnungen der Benutzeraktivitäten und der Inhalte, die sie während der Nutzung des VPN angesehen haben.
- Metadaten-Protokollierungsrichtlinie (2 Punkte): Wir befassen uns hauptsächlich mit Protokollen, die die Quell-IP der Benutzer enthalten. Wir ziehen keine Punkte für Bandbreiten- oder Zeitstempelprotokolle ab, die keine identifizierenden Informationen enthalten.
- VPN-Protokoll (1 Punkt): Muss ein sicheres VPN-Protokoll wie OpenVPN, L2TP, SSTP oder IKEv2 verwenden.
- Kanalverschlüsselung (1 Punkt): Muss den AES 128-Bit-Algorithmus oder höher verwenden.
- Authentifizierungsprotokoll (1 Punkt): Muss SHA256 oder besser sein. SHA1 weist Schwachstellen auf, aber HMAC SHA1 ist wohl immer noch sicher und leidet nicht unter Kollisionen , so sind Punktenichtfür HMAC SHA1 abgezogen.
- Schlüsselaustausch (1 Punkt): RSA- und DH-Schlüssel müssen 2.048 Bit oder höher sein.
- Perfekte Vorwärtsgeheimhaltung (1 Punkt): Sitzungsschlüssel können nicht kompromittiert werden, selbst wenn der private Schlüssel des Servers kompromittiert wird.
- DNS-Leak-Schutz (1 Punkt): DNS-Leak-Schutz muss in die Apps des Anbieters integriert sein.
- Verhinderung von WebRTC-Lecks (1 Punkt): WebRTC-Leck Prävention muss in die Apps des Anbieters integriert werden.
- Schutz vor IPv6-Lecks (1 Punkt): Der Schutz vor IPv6-Lecks muss in die Apps des Anbieters integriert sein.
- Kill-Switch (2 Punkte): Ein Kill-Switch, der den Datenverkehr stoppt, wenn die VPN-Verbindung unterbrochen wird, ist ein Muss. Wir vergeben einen Punkt für das Vorhandensein eines Kill-Schalters in Desktop-Apps (MacOS und Windows) und einen Punkt für das Vorhandensein eines Kill-Schalters in mobilen Apps (iOS und Android).
- Private DNS-Server (1 Punkt): Der Anbieter muss seine eigenen DNS-Server betreiben und darf DNS-Anfragen nicht über den Standard-ISP oder einen öffentlichen Anbieter wie OpenDNS oder Google DNS weiterleiten.
- Server (1 Punkt): Uns geht es in erster Linie darum, ob Server virtuell oder physisch sind. Physische Server werden bevorzugt. Wir haben keine Punkte basierend darauf abgezogen, ob ein Server im Besitz oder gemietet ist, da es für beides Argumente gibt.
- Anonyme Zahlungsmethoden (1 Punkt): Die Annahme von Bitcoin als Zahlungsmittel bringt einen Punkt, aber wir haben auch diejenigen zur Kenntnis genommen, die Geschenkgutscheine und andere Kryptowährungen akzeptieren.
- Torrenting-Richtlinie (1 Punkt): Das Herunterladen über BitTorrent muss erlaubt sein.
- Gründungsland (1 Punkt): Ein Punkt wird vergeben, wenn das VPN außerhalb der 14 Länder eingetragen ist: Australien, Kanada, Neuseeland, Vereinigtes Königreich, Vereinigte Staaten, Dänemark, Frankreich, Niederlande, Norwegen, Deutschland, Belgien, Italien , Schweden und Spanien.
Wir haben die Leistung jedes VPN in einer großen Tabelle unten aufgeführt. Jedes VPN wird weiter unten bewertet und detaillierter zusammengefasst, in keiner bestimmten Reihenfolge.
AirVPN | Nein | Keiner | OpenVPN | 256-Bit-AES | HMAC SHA384 | 4096-Bit-AND-RSA | Ja | Ja | Ja | Ja | Ja, nur Desktop | Ja | Vermietet | Körperlich | Im Haus | Ja | Italien | Ja |
BolehVPN | Nein | Keiner | OpenVPN | 256-Bit-AES-CBC | HMAC SHA512 | 4096-Bit-RSA | Ja | Ja | Nein | Ja | Ja, auf allen Plattformen | Ja | Vermietet | Gemischt | Zendesk* | Ja | Seychellen | Ja |
CyberGhost | Nein | Keiner* | OpenVPN | 256-Bit-AES | SHA256 | 2048-Bit-AND-RSA | Ja | Ja | Ja | Ja | Ja, auf allen Plattformen | Ja | Gemischt | Körperlich | Plattform eines Drittanbieters | Ja | Rumänien | Ja |
ExpressVPN | Nein | Datumsstempel, Serverstandort, Datenmenge | OpenVPN | 256-Bit-AES | SHA512 | 4096-Bit-AND-RSA | Ja | Ja | Ja | Ja | Ja, nur auf dem Desktop | Ja | Vermietet | Körperlich | Plattform eines Drittanbieters | Ja | Britische Jungferninseln | Ja |
Goose VPN | Nein | Datumsamp, Betriebssystem | IKEv2 | 256-Bit-AES | ? | 2048-Bit-AND-RSA | Ja | Nein | Nein | Nein | Ja, nur auf dem Desktop | Nein | ? | ? | Live-Chat | Ja | Niederlande | Nein |
Versteck meinen Arsch! | Nein | Benutzername, Zeitstempel, Datenmenge, IP-Adresse, Server-IP | OpenVPN | 256-Bit-AES | SHA256 | 2048-Bit-Diffie-Hellman | Nein | Ja | Nein | Ja | Alle außer Windows | Nur Windows | Gemischt | Gemischt | Zendesk | Ja | Vereinigtes Königreich | Nein |
hide.me VPN | Nein | Keiner | OpenVPN | 256-Bit-AES | HMAC SHA256 | 8192-Bit-AND-RSA | Ja | Ja | Ja | Ja | Ja, nur auf dem Desktop | Ja | Vermietet | Körperlich | Plattform eines Drittanbieters | Ja | Malaysia | Ja |
Hotspot-Schild | Ad-Injection, Cookies | Zeitstempel, Bandbreite, IP-Adresse | Hydra | 128-Bit-AES | ? | 2048-Bit-AND-RSA | Ja | Ja | Ja | Ja | Ja, nur auf dem Desktop | Nein | ? | ? | Plattform eines Drittanbieters | Ja | Vereinigte Staaten | Nein |
ibVPN | Nein | Keiner | OpenVPN | 256-Bit-AES-CBC | HMAC SHA512 | 2048-Bit-RSA | Ja | Ja | Ja | Ja | Ja, nur auf dem Desktop | Ja | Gemischt | Gemischt | Plattform eines Drittanbieters | Ja | Rumänien | Ja |
IPVanish | Nein | Nein | OpenVPN | 256-Bit-AES | SHA512 | 2048-Bit-AND-RSA | Ja | Ja | Nein | Ja | Ja, nur auf dem Desktop | Ja | Im Besitz | Körperlich | Plattform eines Drittanbieters | Ja | Vereinigte Staaten | Nein |
Ivacy | Nein | Keiner | IKEv2 | 256-Bit-AES | ? | 2048-Bit-AND-RSA | Ja | Ja | Ja | Ja | Nur Windows | Ja | ? | ? | Plattform eines Drittanbieters | Ja | Singapur | Ja |
Keenow Unblocker | Nein | Bandbreite, Zeitstempel, IP-Adresse | OpenVPN | 256-Bit-AES-GCM | SHA512 | 2048-Bit-ECDHE-RSA | Ja | Ja | Ja | Ja | Ja, auf allen Plattformen | Ja | Vermietet | Gemischt | Im Haus | Ja | Israel | Ja |
LiquidVPN | Nein | Server, Anzahl der Anmeldungen, Bandbreite | OpenVPN | 256-Bit-AES | SHA512 | 4096-Bit-AND-RSA | Ja | Ja | Ja | Ja | Ja, nur auf dem Desktop | Ja | Vermietet | Körperlich | Im Haus | Ja | Vereinigte Staaten | Ja |
Mole VPN | Nein | Keiner | Wireguard, OpenVPN | 256-Bit-AES | SHA512 | 4096-Bit Diffie-Hellman | Ja | Ja | Nein | Ja | Ja, auf allen Plattformen | Ja | Gemischt | Körperlich | Im Haus | Ja | Schweden | Ja |
NordVPN | Nein | Keiner | IKEv2, OpenVPN | 256-Bit-AES | SHA384 | 3072-Bit-AND-RSA | Ja | Ja | Ja | Ja | Ja, ausgenommen Android | Ja | Vermietet | Körperlich | Plattform eines Drittanbieters | Ja | Panama | Ja |
OneVPN | Nein | Verbrauchte Bandbreite, Zeitstempel, Benutzeranmeldeinformationen und IP-Adresse | OpenVPN | 256-Bit-AES | SHA384 | RSA 4096 | Ja | Ja | Ja | Ja | Ja, auf allen Plattformen | Ja | Vermietet | Gemischt | Im Haus | Ja | Hongkong | Ja |
Privater Internetzugang | Nein | Keiner | OpenVPN | 256-Bit-AES | SHA256 | 4096-Bit-AND-RSA | Ja | Ja | Ja | Ja | Ja, auf allen Plattformen | Ja | Vermietet | Körperlich | Im Haus | Ja | Vereinigte Staaten | Ja |
PrivateVPN | Nein | Keiner | OpenVPN | 256-Bit-AES | SHA256 | 2048-Bit-AND-RSA | Ja | Ja | Ja | Ja | Nur Windows | Ja | ? | ? | LiveAgent | Ja | Schweden | Ja |
ProtonVPN | Nein | Anmeldezeitstempel | OpenVPN | 256-Bit-AES | SHA512 | 2048-Bit-RSA | Ja | Ja | Ja | Ja | Alle Plattformen außer Android | Ja | Gemischt | Körperlich | Zendesk | Ja | Schweiz | Ja |
PureVPN | Nein | Datumsstempel, Serverstandort, ISP | L2TP | 256-Bit-AES | SHA256 | 2048-Bit-AND-RSA | Ja | Ja | Ja | Ja | Ja, auf allen Plattformen | Ja | Vermietet | Gemischt | Live-Chat | Ja | Hongkong | Ja |
SaferVPN | Nein | Verbrauchte Bandbreite, Zeitstempel | IKEv2 | 256-Bit-AES | SHA256 | 4096-Bit-AND-RSA | Ja | Ja | Ja | Ja | Ja, auf allen Plattformen | Ja | Gemischt | Gemischt | Plattform eines Drittanbieters | Ja | Israel | Ja |
Beschleunigen | Nein | IP Adresse | Brauch | 256-Bit-ChaCha | SHA256 | ? | Ja | Ja | Ja | ? | Ja, unter Windows und Android | Nein | ? | ? | ? | Ja | Vereinigte Staaten | Nein |
StrongVPN | Nein | Keiner | IKEv2, OpenVPN | 256-Bit-AES | SHA512 | 2048-Bit-AND-RSA | Ja | Ja | Ja | Ja | Ja, nur Desktop | Ja | Im Besitz | Körperlich | Plattform eines Drittanbieters | Ja | Vereinigte Staaten | Nein |
Surfeasy | „Temporäre Nutzungsdaten“, Ziel-IP | Bandbreite, IP-Adresse, In-App-Analyse | OpenVPN | 128-Bit-Blowfish | SHA256 | 1024-Bit-RSA | Ja | Ja | Ja | ? | Nein | Ja | ? | ? | Zendesk | Ja | Kanada | Ja |
TigerVPN | Nein | Datenmenge, Zeitstempel | OpenVPN | 256-Bit-AES | SHA512 | 4096-Bit-RSA | Nein | Ja | Nein | Nein | Nein | Ja | Gemischt | Gemischt | Plattform eines Drittanbieters | Ja | Slowakei | Ja |
TorGuard | Nein | Keiner | OpenVPN | 256-Bit-AES | SHA512 | 4096-Bit-AND-RSA | Ja | Ja | Ja | Ja | Ja, ausgenommen Android | Ja | Gemischt | Gemischt | Im Haus | Ja | Vereinigte Staaten | Ja |
Tunnelbär | Nein | Zeitstempel, Bandbreite, Betriebssystem | OpenVPN | 256-Bit-AES | SHA256* | 2048-Bit-DH-RSA | Ja | Ja | Ja | Ja | Ja, außer iOS | Ja | Vermietet | Virtuell | Im Haus | Nein | Kanada | Ja |
VyprVPN | Nein | IP-Adresse, Server-IP, Verbindungszeitstempel, Datenmenge | OpenVPN, Chameleon | AES-256-CBC | SHA256 | 2048-Bit-AND-RSA | Ja | Ja | Nein | Nein | Ja, nur auf dem Desktop | Ja | Im Besitz | Gemischt | Plattform eines Drittanbieters | Ja* | Schweiz | Nein |
Windschreiber | Nein | In einem Zeitraum von 30 Tagen genutzte Bandbreite | OpenVPN | AES-256-GCM | SHA512 | 4096-Bit-AND-RSA | Ja | Ja | Ja | Ja | Ja, nur auf dem Desktop | Ja | Vermietet | Körperlich | Im Haus | Ja | Kanada | Ja |
Zenmate | Nein | IP-Adresse, Betriebssystem, Zeitstempel | OpenVPN | 256-Bit-AES | SHA256 | 2048-Bit-RSA | Ja | Ja | Ja | Ja | Ja, nur Windows | Nein | ? | ? | Zendesk | Ja | Deutschland | Nein |
ExpressVPN
Ergebnis: 18/19
ExpressVPN führt keine Verkehrsprotokolle, speichert jedoch einige Metadatenprotokolle, darunter „Daten (nicht Uhrzeiten) der Verbindung zu unserem Dienst, Wahl des Serverstandorts und die Gesamtmenge der pro Tag übertragenen Daten“.
OpenVPN-Verbindungen, die mit 256-Bit-AES-CBC verschlüsselt sind, sind die Standardeinstellung. 4.096-Bit-DHE-RSA-Zertifikate werden durch den SHA-512-Hashing-Algorithmus identifiziert. Es werden sowohl HMAC-Authentifizierung als auch Perfect Forward Secrecy verwendet.
Der DNS-Leckschutz funktioniert, erfordert jedoch möglicherweise die Deaktivierung von IPv6 auf dem Clientgerät. Ein Kill-Switch, im ExpressVPN-Sprachgebrauch „Netzwerksperre“ genannt, stoppt den gesamten Internetverkehr, wenn die Verbindung unerwartet unterbrochen wird. ExpressVPN verwendet standardmäßig seine eigenen DNS-Server, Kunden können sich jedoch dafür entscheiden, ihre eigenen zu verwenden. ExpressVPN verfügt über einige der robustesten Leckschutzmaßnahmen auf dem Markt, einschließlich der WebRTC-Leckverhinderung.
Das Unternehmen ist auf den Britischen Jungferninseln eingetragen, die nicht der Gerichtsbarkeit des Vereinigten Königreichs unterliegen. Es akzeptiert Bitcoin als Zahlungsmittel und verfügt sogar über eine .onion-Site, auf der sich Tor-Benutzer anonym anmelden können. Torrenting ist auf allen Servern erlaubt.
ExpressVPN gibt an, gelegentlich Vorladungen zu erhalten, aber da es sich um einen VPN-Anbieter ohne Protokollierung handelt, verfügt es nicht über Informationen, die eine IP-Adresse oder einen Zeitstempel mit einem Kunden verknüpfen könnten.
ExpressVPN vermietet physische Server auf der ganzen Welt. Festplatten sind verschlüsselt und auf jedem Server wird ein eindeutiger Schlüssel verwendet.
Kunden interagieren mit ExpressVPN über SnapEngage und ZenDesk, aber das Unternehmen gibt an, dass diese externen Anbieter keinen Zugriff auf Kundeninformationen haben.
NordVPN
Ergebnis: 18/19
NordVPN führt keinerlei Protokolle über Kunden. Weder Datenverkehr noch Sitzungsprotokolle jeglicher Art, was es zu einem der wenigen Anbieter mit einer echten Null-Protokoll-Richtlinie macht.
Unter Windows und Android umfasst das OpenVPN-Protokoll eine 256-Bit-AES-Verschlüsselung und 2.048-Bit-DH-Schlüssel.
Die MacOS- und iOS-Apps verwenden standardmäßig das IKEv2-Protokoll. Das IKEv2-Protokoll bietet perfekte Vorwärtsgeheimhaltung. Die IKEv2-Option für Macbooks, iPhones und iPads verwendet 3.072-Bit-DH-Schlüssel, 256-AES-GCM und SHA2-384-Authentifizierung. Dies sind die in der Tabelle und Tabelle dargestellten Spezifikationen.
Der DNS-Leckschutz ist standardmäßig aktiviert und NordVPN betreibt eigene DNS-Server, die Benutzer optional verwenden können. Alle Apps außer Android verfügen über einen prozessspezifischen Kill-Switch, der den Datenverkehr zu bestimmten Anwendungen nur dann blockiert, wenn die Verbindung unterbrochen wird. Alternativ verhindert ein zweiter Alles-oder-Nichts-Kill-Schalter Lecks aller Art in allen Szenarien.
Das Unternehmen ist in Panama eingetragen. Es akzeptiert Bitcoin als Zahlungsmittel. Torrenting ist auf allen Servern erlaubt. Zu den zusätzlichen Sicherheitsfunktionen gehört ein Double-Hop-VPN, das die Verbindung des Benutzers über zwei VPNs statt über eines leitet. Tor-über-VPN-Server senden Ihren Internetverkehr über das Tor-Netzwerk, nachdem Sie den VPN-Server verlassen haben.
NordVPN teilt uns mit, dass es mehrere offizielle Informationsanfragen erhalten hat, aufgrund seiner No-Logs-Richtlinie jedoch keine Auskunft geben konnte. In mindestens einem Fall wurden Server beschlagnahmt, NordVPN sagt jedoch, dass sich auf den Servern nichts befand, was Benutzer belasten könnte.
NordVPN gibt an, für den Serverkauf ein Hybridmodell zu verwenden, bei dem einige gemietet und andere gekauft werden. Alle Server sind physisch.
NordVPN nutzt Newsletter- und Live-Chat-Tools von Drittanbietern, um den Kundensupport zu erleichtern. Es heißt, dass diesen externen Anbietern nur E-Mail-Adressen von Kunden zur Verfügung stehen.
VyprVPN
Ergebnis: 12/19
VyprVPN protokolliert „die Quell-IP-Adresse des Benutzers, die vom Benutzer verwendete VyprVPN-IP-Adresse, die Start- und Stoppzeit der Verbindung und die Gesamtzahl der verwendeten Bytes.“ Am besorgniserregendsten ist die Quell-IP des Benutzers, die über den ISP mit seiner Identität verknüpft werden könnte. Diese Informationen werden 30 Tage lang gespeichert. VyprVPN sagte gegenüber Comparitech: „Wir protokollieren weder den Datenverkehr eines Benutzers noch den Inhalt jeglicher Kommunikation und führen weder flache noch tiefe Paketinspektionen durch.“
VyprVPN-Verbindungen verwenden das OpenVPN-Protokoll, 256-Bit-AES-Verschlüsselung, 2.048-Bit-RSA-Schlüssel mit perfekter Vorwärtsgeheimhaltung und SHA256-Authentifizierung.
DNS-Server sind im Paket enthalten und ein DNS-Auslaufschutz ist integriert. Ein Kill-Switch stoppt den gesamten Internetverkehr, wenn die Verbindung unterbrochen wird. Gegen eine zusätzliche Gebühr können VyprVPN-Abonnenten das „Chameleon“-Protokoll nutzen, das OpenVPN-Metadaten verschlüsselt, sodass Deep Packet Inspection sie nicht erkennen kann.
Das Unternehmen ist in der Schweiz eingetragen. VyprVPN hat in der Vergangenheit eine harte Linie gegen Torrenting eingenommen, und in einigen Fällen berichteten Benutzer, dass ihre Konten dafür gesperrt oder gekündigt wurden. Seit 2018 teilt VyprVPN Comparitech jedoch mit, dass Torrenting zulässig ist.
VyprVPN besitzt eigene Server. Es ist einer der wenigen Anbieter, der an jedem Standort auf der Welt über eigene Rechenzentren verfügt, anstatt Rackspace von Hosting-Diensten Dritter zu mieten.
Die Bereitstellungs-, Abrechnungs- und Datenbanksysteme des Unternehmens wurden intern entwickelt und gespeichert, für E-Mail und Support arbeitet das Unternehmen jedoch mit Dritten zusammen.
StrongVPN
Ergebnis: 16/19
StrongVPN gibt an, keinerlei Protokolle zu führen.
Die neuen Apps von StrongVPN verwenden standardmäßig IKEv2, geben jedoch an, dass die OpenVPN-Option sicherer sei, weshalb wir in der Tabelle und im Diagramm die OpenVPN-Spezifikationen verwendet haben. OpenVPN-Verbindungen verwenden AES-256-CBC-Kanalverschlüsselung, 2048-Bit-Diffie-Hellman-RSA-Schlüssel, SHA256-Authentifizierung und Perfect Forward Secrecy.
IKEv2-Verbindungen nutzen AES-256-Kanalverschlüsselung, 8192-Bit-Diffie-Hellman-MODP-Schlüssel, SHA512-Authentifizierung und Perfect Forward Secrecy.
Der Schutz vor DNS-, IPv6- und WebRTC-Lecks funktioniert und StrongVPN betreibt seine eigenen DNS-Server. In den Einstellungen kann ein Kill-Switch aktiviert werden.
Die Muttergesellschaft von StrongVPN hat ihren Sitz in San Francisco, Kalifornien. Das Unternehmen akzeptiert Bitcoin-Zahlungen. Torrenting wird auf allen Servern toleriert.
Das Unternehmen besitzt alle seine eigenen physischen Server und mietet nichts von Dritten.
Sowohl die Desktop- als auch die mobilen Apps verfügen über eine „Verschlüsselungsfunktion“, die den verschlüsselten Datenverkehr so verschleiert, dass er wie normaler, entschlüsselter Datenverkehr aussieht.
Strong VPN nutzt externe Anbieter für E-Mails. E-Mail-Adressen und Spracheinstellungen werden gespeichert – es werden keine personenbezogenen Daten gespeichert.
IPVanish
Ergebnis: 15/19
Außer bei der ersten Registrierung eines Kontos führt IPVanish keine Aufzeichnungen oder Protokolle über die VPN-Nutzung seiner Benutzer.
Es verwendet standardmäßig eine 256-Bit-Verschlüsselung des OpenVPN-Protokolls, SHA512-Authentifizierung und einen DHE-RSA 2048-Bit-Schlüsselaustausch mit perfekter Vorwärtsgeheimnis.
Das Unternehmen betreibt eigene DNS-Server und verfügt über einen integrierten DNS-Leckschutz sowie einen Kill-Switch. Es fehlt immer noch der Schutz vor WebRTC-Lecks.
Das Unternehmen hat seinen Sitz in den Vereinigten Staaten. Bitcoin ist eine akzeptable Zahlungsmethode. Torrenting wird auf allen Servern toleriert.
IPVanish ist einer der wenigen Anbieter, der seine gesamte physische Hardware besitzt und betreibt, anstatt sie von einem Dritten zu mieten.
Benutzer können angeben, wie oft sich ihre IP-Adresse ändern soll, und eine „Verschlüsselungsfunktion“ verwenden, um verschlüsselten Datenverkehr zu verschleiern.
IPV nutzt externe E-Mail-Anbieter und die einzigen verfügbaren Informationen sind die E-Mail-Adressen der Benutzer. Es werden keine Kundeninformationen gespeichert oder sind zugänglich.
LiquidVPN
Ergebnis: 17/19
LiquidVPN zeichnet keine Verkehrsprotokolle und nur sehr wenige Metadatenprotokolle auf, einschließlich der letzten VPN-Anmeldung, der Gesamtzahl der Anmeldungen und der verwendeten Bandbreite.
OpenVPN mit 256-Bit-AES-Verschlüsselung ist Standard, es sind jedoch auch andere Protokolle verfügbar. Dazu kommen supersichere 4096-Bit-RSA-Schlüssel und perfekte Vorwärtsgeheimnis. Schlüssel werden standardmäßig alle 30 Minuten aktualisiert.
Das Unternehmen betreibt eigene DNS-Server, die auch als separater Smart-DNS-Proxy-Dienst (LiquidDNS) genutzt werden können. Der Schutz vor DNS-Lecks ist wirksam. Ein Kill-Switch mit der Bezeichnung „Liquid Lock“ fungiert sowohl als Kill-Switch als auch als Firewall, in der Benutzer bestimmte IP-Adressen auf die Whitelist setzen und LAN-Verkehr zulassen können.
Das Unternehmen hat seinen Sitz in den USA. Torrenting wird auf allen Servern toleriert. Benutzer können zwischen drei „Topografien“ wählen: statische, gemeinsame oder modulierende IP-Adresse. Bei Verwendung der Topologie „modulierende IP-Adresse“ ändert sich die gemeinsame IP-Adresse des Benutzers jedes Mal, wenn er eine Verbindung zu einem anderen Webserver herstellt.
LiquidVPN vermietet Bare-Metal-Server in Ländern, die Rechenzentren nicht dazu zwingen, den Datenverkehr zu überwachen oder zu protokollieren.
Ein Warrant Canary wird wöchentlich auf seiner Website aktualisiert, obwohl LiquidVPN uns mitteilt, dass es zum Redaktionsschluss keine Vorladungen oder andere offizielle Anfragen nach Kundeninformationen erhalten hat.
Der E-Mail- und Kundenservice wird komplett hausintern auf den Servern des Unternehmens gehostet.
Privater Internetzugang
Ergebnis: 18/19
PIA ist einer der wenigen VPN-Anbieter, der keinerlei Protokolle führt, weder Traffic noch Metadaten.
OpenVPN, 256-Bit-AES-Verschlüsselung, SHA256-Authentifizierung und 4.096-Bit-RSA-Schlüssel bilden die stärkste mögliche Kombination, es sind jedoch auch andere Algorithmen und Protokolle verfügbar.
In den Einstellungen können sowohl ein Kill-Switch als auch ein DNS-Leak-Schutz aktiviert werden. Das Unternehmen betreibt eigene DNS-Server. WebRTC- und IPv6-Leckschutz sind ebenfalls integriert. Ein Kill-Schalter ist sowohl in Desktop- als auch in mobilen Apps verfügbar.
Kunden können mit Bitcoin und bestimmten Geschenkkarten bezahlen.
Etwa im März 2016 schickte das FBI eine Vorladung an die PIA, um Informationen über einen mutmaßlichen Kriminellen zu erhalten. Dem FBI-Bericht zufolge hat das Unternehmen keine verwertbaren Daten preisgegeben. PIA gibt an, Vorladungen und Gerichtsbeschlüsse zu erhalten, aber keine Protokolle zur Verfügung zu stellen.
Das Unternehmen hat seinen Sitz in den Vereinigten Staaten. Torrenting ist auf allen Servern erlaubt. Die Portweiterleitung ist in die Desktop- und mobilen Apps integriert.
E-Mails werden intern bearbeitet, Zendesk bietet jedoch Support für das Hilfeportal. PIA teilte uns mit: „Obwohl Zendesk das Potenzial hat, auf die E-Mail-Adressen von Kunden zuzugreifen, wird ihnen dies durch die Datenschutzrichtlinie von Zendesk verwehrt. Das ist etwas, was wir genau beobachten.“
PureVPN
Ergebnis: 17/19
PureVPN zeichnet die Daten auf, an denen Sie sich mit einem Server verbinden, den Standort dieses Servers (nicht die IP) und Ihren ISP. Die ISP-Metadaten könnten für manche Anlass zur Sorge geben, da sie die Suche nach einer IP-Adresse erfordern und als identifizierende Informationen angesehen werden könnten. Deshalb haben wir einen Punkt an dieser Stelle angehängt.
256-Bit-AES-verschlüsseltes L2TP/IPSec ist das stärkste in der App verfügbare Protokoll, obwohl OpenVPN manuell in einer Drittanbieter-App konfiguriert werden kann. Für die Authentifizierung wird SHA256 verwendet, unterstützt durch einen 2048-Bit-DHE-RSA-Schlüssel.
DNS-Leckschutz und ein Kill-Switch sind in alle PureVPN-Apps integriert. Das Unternehmen betreibt eigene DNS-Server. Es soll auch WebRTC- und IPv6-Lecks verhindern.
PureVPN hat seinen Sitz in Hongkong. Es akzeptiert Bitcoin, Geschenkkarten und eine Vielzahl anderer Online-Zahlungssysteme. Torrenting ist auf allen Servern erlaubt und die App zeigt Ihnen sogar, welche Server sich am besten für die Dateifreigabe eignen.
PureVPN mietet eine Mischung aus virtuellen und physischen Servern.
Für den Kundensupport nutzt PureVPN nach eigenen Angaben „Dienste, die DSGVO-konform sind“. Auf der Website kommt LiveChat zum Einsatz.
HideMyAss
Ergebnis: 12/19
HideMyAss gibt an, den Inhalt des Benutzerverkehrs nicht zu protokollieren, erlaubt aber die Aufzeichnung von Metadatenprotokollen, einschließlich Benutzername, Zeitstempel, Quell-IP und der IP des verbundenen Servers. Das Unternehmen teilt Comparitech mit: „Wir protokollieren die IP-Adresse, die Sie von uns erhalten, um auf unsere Server zuzugreifen. Diese Informationen werden 3 Monate lang aufbewahrt und sind gesetzlich vorgeschrieben, um die örtlichen Gesetze und Vorschriften einzuhalten. Wir können zu 100 % nicht sehen, was Sie mit dieser IP-Adresse online tun, und auch keine Ihrer Aktivitäten verfolgen. Nach 3 Monaten sind diese Informationen für immer verschwunden.“
Beim OpenVPN-Protokoll wird AES-256-Verschlüsselung verwendet, die mit einem 2048-Bit-DH-RSA-Schlüssel gesichert ist. Zur Authentifizierung wird SHA256 verwendet. Perfect Forward Secrecy wird nicht unterstützt.
Die App verfügt zwar über einen integrierten DNS-Leckschutz, aber nur Windows-Benutzer können die privaten DNS-Server von HMA nutzen und alle anderen DNS-Anfragen über OpenDNS leiten. Es gibt auch keinen Schutz vor WebRTC-Lecks. Die Windows-App verfügt über keinen Kill-Switch, ermöglicht aber die IP-Bindung. Die restlichen Apps sind mit normalen Kill-Switches ausgestattet.
HMA hat seinen Sitz im Vereinigten Königreich, wo gerade einige der eindringlichsten Internetüberwachungsgesetze der Welt verabschiedet wurden. Das Unternehmen akzeptiert Bitcoin. Torrenting ist offenbar erlaubt, wir würden es aber nicht empfehlen.
Der Kundenservice wird über einen Drittanbieter, Zendesk, abgewickelt.
AirVPN
Ergebnis: 17/19
AirVPN verfügt über eine echte Zero-Logs-Richtlinie und speichert daher keine Verkehrs- oder Sitzungsdaten.
Wenn die sichersten Einstellungen aktiviert sind, verwendet die App OpenVPN, 256-Bit-AES-CBC-Verschlüsselung, HMAC SHA-1 oder HMAC SHA384 und 4.096-Bit-RSA-Schlüssel, die stündlich und bei jedem neuen Verbindungsaufbau ausgehandelt werden. Dies gewährleistet eine perfekte Vorwärtsgeheimhaltung und die RSA-Neueingabezeit kann verkürzt werden.
Ein DNS-Leckschutz und ein Kill-Switch sind integriert. AirVPN betreibt seine eigenen DNS-Server. Auch WebRTC- und IPv6-Lecks werden gestopft.
Das Unternehmen ist in Italien, einem 14-Eyes-Land, eingetragen. Es akzeptiert Bitcoin und mehrere andere Kryptowährungen sowie Geschenkgutscheine. Torrenting ist auf allen Servern erlaubt. Die App ist mit robusten Sicherheitsfunktionen ausgestattet, darunter Portweiterleitung und DDNS; VPN über SSH, SSL und Tor; und Verschleierung.
AirVPN mietet physische Server von geprüften Rechenzentren.
AirVPN nutzt ein hauseigenes Ticket-Einreichungssystem und Foren für den Kundensupport.
BolehVPN
Ergebnis: 17/19
BolehVPN zeichnet keinerlei Verkehrs- oder Sitzungsprotokolle auf, mit einer Ausnahme: „Wir können Protokolle vorübergehend aktivieren, um Missbrauch unserer Dienste zu erkennen (z. B. DoS oder Spam über unsere Server).“
Standardmäßig verwendet die App OpenVPN, 256-Bit-AES-Kanalverschlüsselung, 4.096-Bit-RSA-Schlüssel mit Perfect Forward Secrecy und SHA-512 HMAC-Authentifizierung.
Das Unternehmen betreibt eigene DNS-Server und die App nutzt einen DNS-Leak-Schutz. Ein Kill-Schalter, in den Einstellungen „Lock Down“ genannt, ist eingebaut. Leider bieten die Apps noch keinen Schutz vor WebRTC-Leaks. Ein Kill-Schalter ist sowohl in mobilen als auch in Desktop-Apps verfügbar.
Das Unternehmen hat seinen Sitz in Malaysia und ist auf den Seychellen eingetragen. Mit der BolehVPN-App können Benutzer den Datenverkehr selektiv über das VPN leiten, den Datenverkehr verschleiern und den DNS-Datenverkehr weiterleiten. Server nutzen eine dezentrale PKI-Infrastruktur. Als Zahlungsmittel werden sowohl Bitcoin als auch Dash akzeptiert.
Das Unternehmen veröffentlicht monatlich einen Warrant Canary. Im Mai 2016 richteten die Behörden an BolehVPN eine Auskunftsanfrage zu einem seiner deutschen Server, der das Unternehmen jedoch nicht nachkam, heißt es in dem damals veröffentlichten Haftbefehl von Canary.
BolehVPN gibt an, Zendesk zur Bearbeitung von Supportanfragen zu nutzen, bietet jedoch die Möglichkeit, PGP-verschlüsselte Nachrichten per E-Mail zu versenden.
SaferVPN
Ergebnis: 18/19
SaferVPN speichert keine Verkehrsprotokolle und hat kürzlich die Menge der erfassten Metadaten zum Nutzen der Benutzer reduziert. Jetzt werden nur noch Zeitstempel und die verbrauchte Bandbreite protokolliert.
Das OpenVPN-Protokoll verwendet 256-Bit-AES-Verschlüsselung, 4096-Bit-RSA-Schlüssel mit Perfect Forward Secrecy und SHA256-Authentifizierung.
Der DNS-Leckschutz funktioniert gut und SaferVPN betreibt seine eigenen DNS-Server. Die Apps verhindern WebRTC- und IPv6-Lecks. Ein Kill-Schalter ist sowohl in Desktop- als auch in mobilen Apps verfügbar.
Das Unternehmen hat seinen Sitz in Israel. SaferVPN akzeptiert Bitcoin und einige Zahlungssysteme von Drittanbietern. SaferVPN hat seine Torrenting-Richtlinien gelockert und erklärt nun, dass die Nutzung von BitTorrent erlaubt sei.
SaferVPN erklärt gegenüber Comparitech: „Wir sind der einzige VPN-Anbieter, der automatische Wi-Fi-Sicherheit für iOS, Android, Windows und Mac bietet und VPN jedes Mal automatisch aktiviert, wenn das Gerät mit einem ungesicherten Wi-Fi verbunden wird, selbst wenn die App im Hintergrund läuft.“ und nicht aktiv, oder das Telefon ist im gesperrten Modus.“
Für den Kundenservice wird eine Drittanbieterplattform genutzt. Das Netzwerk besteht aus einer Mischung aus physischen und virtuellen Servern.
TunnelBear
Ergebnis: 15/19
TunnelBear sammelt einige Metadaten, darunter Zeitstempel, verwendete Bandbreite und Betriebssystem. Es werden keine Verkehrsprotokolle oder Benutzer-IP-Adressen gespeichert.
OpenVPN wird auf Desktops verwendet, während IKEv2 auf unterstützten Mobilgeräten bevorzugt wird. AES-256-CBC ist Standard bei Windows und Android, während AES-256-GCM bei Apple- und iOS-Apps verwendet wird. Auf allen Plattformen wird die SHA256-Authentifizierung verwendetMit Ausnahme von Windows, das beim veralteten SHA1 hängen bleibt. Dafür sollten Windows-Nutzer einen Extrapunkt abziehen.Abhängig von Ihrem Gerät verwendet die App entweder einen 2048-Bit- (Windows), 3072-Bit- (MacOS, iOS) oder 4096-Bit-Diffie-Hellman-Schlüssel. OpenVPN unterstützt die perfekte Weiterleitungsgeheimhaltung.
Der DNS-Leckschutz ist integriert und TunnelBear verwendet jetzt seine eigenen DNS-Server anstelle der von Google. Die App enthält einen Kill-Switch namens „Vigilant Bear“, der aktualisiert wurde, um IPv6- und WebRTC-Lecks zu bewältigen.
TunnelBear hat seinen Sitz in Kanada. Es akzeptiert Bitcoin. Torrenting ist auf TunnelBear-Servern verboten und deaktiviert anstelle der Protokollierung gängige BitTorrent-Ports.
TunnelBear vermietet virtuelle statt physische Server.
Der gesamte Kundensupport und E-Mail wird intern abgewickelt.
CyberGhost
Ergebnis: 19/19
CyberGhost ist das einzige Unternehmen im Jahr 2018, das eine perfekte Punktzahl erreicht hat.Es werden „keine Protokolle geführt, die einen Eingriff in Ihre IP-Adresse, den Zeitpunkt oder den Inhalt Ihres Datenverkehrs ermöglichen.“ Das macht es praktisch protokollfrei, sowohl im Hinblick auf den Datenverkehr als auch auf die Metadaten. Auch Zahlungs- und Registrierungsdaten werden nicht protokolliert, stattdessen erhalten die Nutzer anonyme Benutzer-IDs. CyberGhost sagt uns: „Wir wissen, wie viel Bandbreite verbraucht wird, aber das gilt nicht pro Benutzer, sondern nur als Ganzes auf dem gesamten Server.“
Verbindungen verwenden standardmäßig OpenVPN, 256-Bit-AES-Verschlüsselung, 2.048-Bit-DHE-RSA-Schlüssel mit perfekter Weiterleitungsgeheimhaltung und SHA256-Authentifizierung.
DNS-, IPv6- und WebRTC-Leckschutz sowie ein Kill-Switch sind in allen Apps enthalten. CyberGhost betreibt eigene DNS-Server.
Das Unternehmen hat seinen Sitz in Rumänien. Es veröffentlicht regelmäßig Transparenzberichte, um den Datenschutz zu gewährleisten, was als eine Art Haftbefehlskanarienvogel fungiert. Torrenting wird toleriert, das Unternehmen fordert seine Kunden jedoch dringend auf, P2P-optimierte Server zu verwenden. CyberGhost akzeptiert Bitcoin.
CyberGhost enthält außerdem ein Anti-Fingerprinting-Tool, das Werbetreibende und andere Unternehmen daran hindert, Benutzer anhand ihrer Browsermerkmale zu identifizieren.
CyberGhost verwendet ausschließlich physische Server, die entweder vom Unternehmen gemietet werden oder ihm gehören. Für den Kundenservice wird eine Drittanbieterplattform genutzt.
OneVPN
Ergebnis: 16/19
OneVPN gibt an, keine Aktivitätsprotokolle zu speichern, aber Metadatenprotokolle, einschließlich Zeitstempel, Benutzeranmeldeinformationen und IP-Adresse.
Standardmäßig werden Verbindungen mit 256-Bit-AES, SHA-384-Authentifizierung und 4.096-Bit-RSA-Schlüsseln mit perfekter Vorwärtsgeheimnis verschlüsselt.
OneVPN sagt, dass es DNS-, WebRTC- und IPv6-Lecks verhindert, wir sind jedoch skeptisch, was den Wahrheitsgehalt einiger dieser Behauptungen angeht. Kill-Switches sind sowohl in Mobil- als auch in Desktop-Apps integriert.
Das Unternehmen vermietet Server, bei denen es sich um eine Mischung aus physischer und virtueller Hardware handelt.
Das Unternehmen hat seinen Sitz in Hongkong. Als Zahlungsmittel werden Bitcoin und einige Geschenkkarten akzeptiert. Torrenting wird toleriert.
Für die Kommunikation mit den Kunden wird ein firmeneigener dedizierter E-Mail-Server genutzt.
Tiger VPN
Ergebnis: 13/19
TigerVPN speichert keine Verkehrsprotokolle, protokolliert jedoch die für das VPN aufgewendete Zeit und die übertragene Datenmenge. Außerdem wird die IP-Adresse des Benutzers bei der Zahlung erfasst, jedoch nicht in Sitzungsprotokollen.
OpenVPN-Verbindungen verwenden eine 256-Bit-AES-Kanalverschlüsselung, 4.096-Bit-RSA-Schlüssel ohne Perfect Forward Secrecy und SHA512-Authentifizierung.
Die App von TigerVPN verfügt über keinen Kill-Schalter. Das Unternehmen betreibt seine eigenen DNS-Server und verfügt über einen integrierten DNS-Leckschutz.
Der Hauptsitz des Unternehmens liegt in der Slowakei, einem Teil der Europäischen Union. Bitcoin wird akzeptiert. Torrenting wird auf allen Servern toleriert.
TigerVPN gibt an, an den meisten Standorten über physische Server zu verfügen, greift jedoch manchmal auf gemietete virtuelle Instanzen zurück, bei denen keine Hardware importiert werden kann. Ein Vertreter teilt uns mit, dass diese dedizierten virtuellen Maschinen nicht mit anderen Kunden geteilt werden und eine spezielle Version maßgeschneiderter Software ausführen, die erkennt, ob etwas mit dem Server passiert. Auf diesen Maschinen werden keine Daten gespeichert.
Das Unternehmen wurde bisher weder mit einer Vorladung noch mit einem Gerichtsbeschluss konfrontiert. Wenn es soweit ist, wird TigerVPN zunächst seine Anwälte konsultieren. Da die Protokolle jedoch keine IP-Adressen enthalten und IP-Adressen gemeinsam genutzt werden, gibt es keine identifizierenden Informationen über Kunden.
Das Ticketeinreichungssystem wird von einem Drittanbieter bereitgestellt. Laut TigerVPN werden dort E-Mail-Adressen und interne Ticket-IDs gespeichert, aber sonst nichts, was Kundendaten betrifft.
SurfEasy
Ergebnis: 8/19
Das in Kanada ansässige Unternehmen SurfEasy ist eine Art Blackbox. Das Unternehmen hat auf unseren Sicherheitsfragebogen nicht geantwortet und es mangelt an zuverlässigen, aktuellen Spezifikationen für das VPN.
Die Datenschutzrichtlinie von Surfeasy ist undurchsichtig und besagt, dass das Unternehmen auf aggregierte Bandbreitennutzung, temporäre Nutzungsdaten, Internet- und Datenverkehr sowie In-App-Telemetriedaten zugreift und diese sammelt. Dazu gehören sowohl die Ursprungs-IP-Adresse als auch die Zielwebsite oder IP-Adresse. Die Telemetriedaten scheinen sich auf Google Analytics zu beziehen, das in der App ausgeführt wird. Während auf all dies zugegriffen und es gesammelt wird, behauptet SurfEasy, dass „keine Protokolldaten gespeichert werden“. Am Ende haben wir entschieden, dass SurfEasy unsere Protokollierungsstandards nicht erfüllt, und haben in dieser Hinsicht alle Punkte verloren.
Verschlüsselungsspezifikationen sind ebenfalls schwer zu bekommen, aber durch sekundäre Quellen haben wir vermutet, dass SurfEasy 128-Bit-Blowfish mit 1024-Bit-RSA-Schlüsseln verwendet, was veraltet und nicht sicher ist. Zumindest wird SHA256 zur Authentifizierung verwendet. Es scheint vollkommene Vorwärtsgeheimnis zu haben.
Die Verhinderung von DNS- und WebRTC-Lecks scheint wie erwartet zu funktionieren, obwohl wir uns bei IPv6-Lecks nicht sicher sind. Zum Zeitpunkt des Verfassens dieses Artikels gibt es noch keinen Kill-Schalter. SurfEasy betreibt eigene DNS-Server. Wir wissen nicht, ob es sich bei den VPN-Servern um physische oder virtuelle Server handelt, noch ob sie Eigentum oder Leasing sind.
Torrenting ist erlaubt, wir würden es jedoch nicht empfehlen, ohne die Protokollierungsrichtlinien und ein Verschlüsselungs-Upgrade genauer zu klären.
Der Support wird über einen Drittanbieter abgewickelt.
Hotspot-Schild
Ergebnis: 8/19
Hotspot Shield speichert keine Verkehrsprotokolle oder IP-Adressen im Zusammenhang mit Benutzeraktivitäten, speichert jedoch IP-Adressen, um Tracking-Cookies bereitzustellen und Werbung in die Browser der Benutzer einzuschleusen. Diese Cookies können von Dritten zur Schaltung von Werbung verwendet werden und Hotspot Shield gibt an, nicht dafür verantwortlich zu sein, wie Dritte seine Daten verwenden. Aus diesem Grund erfüllt Hotspot Shield nicht unsere Datenschutzstandards. Der eigentliche VPN-Dienst protokolliert Metadaten einschließlich Zeitstempel und Bandbreite.
Hotspot Shield verwendet standardmäßig das Hydra VPN-Protokoll. Verbindungen werden durch eine 128-Bit-AES-Verschlüsselung und einen 2048-Bit-DHE-RSA-Schlüssel mit perfekter Vorwärtsgeheimnis geschützt.
Der DNS-Leckschutz scheint zu funktionieren, obwohl Hotspot Shield keine eigenen DNS-Server betreibt und Benutzer auffordert, sich für Google DNS zu entscheiden. Die Desktop-App verfügt über einen Kill-Schalter. Die App schützt vor WebRTC- und IPv6-Lecks.
Die Muttergesellschaft von Hotspot Shield, AnchorFree, hat ihren Sitz in den Vereinigten Staaten. Torrenting ist erlaubt. Bitcoin wird akzeptiert.
Fehlende Informationen: Authentifizierung, physische oder virtuelle Server, Kundenservice
TorGuard
Ergebnis: 16/19
TorGuard führt keinerlei Protokolle.
Mit den höchstmöglichen Einstellungen verwenden OpenVPN-Verbindungen eine 256-Bit-AES-Kanalverschlüsselung, einen 4.096-Bit-DHE-RSA-Schlüsselaustausch und eine SHA512-Authentifizierung. Perfect Forward Secrecy wird unterstützt und sogar in der App angezeigt.
TorGuard betreibt eigene DNS-Server. In die App sind ein DNS-Leckschutz und ein prozessspezifischer Kill-Switch integriert.
Das Unternehmen hat seinen Sitz in den Vereinigten Staaten. Das Unternehmen akzeptiert Bitcoin und eine Vielzahl anderer Zahlungsoptionen. Torrenting ist erlaubt. TorGuard-Kunden können eine „Stealth“-Funktion nutzen, die den Datenverkehr verschleiert, um Firewalls zu umgehen, die Paketprüfung nutzen.
TorGuard besitzt Server in einigen Rechenzentren und mietet andere. Die meisten sind physisch, aber diejenigen, die hauptsächlich für Streaming verwendet werden, sind virtuell, da ihre IP-Adressen regelmäßig geändert werden müssen.
Das Unternehmen gibt an, dass sein Rechtsteam alle Vorladungen und Gerichtsbeschlüsse auf ihre Gültigkeit in seinem Zuständigkeitsbereich prüft. Wenn es als gültig erachtet wird, erklärt es lediglich die Natur der gemeinsam genutzten IPs und die Tatsache, dass auf seinen Servern keine Protokolle gespeichert werden und es daher keinen seiner Benutzer identifizieren kann.
Torguard nutzt für alle E-Mail-Transaktionen mit Kunden eigene Mitarbeiter und Server.
Mol
Ergebnis: 17/19
Mullvad zeichnet weder Verkehrs- noch Metadatenprotokolle auf.
OpenVPN-Verbindungen verwenden eine 256-Bit-AES-Verschlüsselung, DHE-RSA-4096-Bit-Schlüssel und SHA512-Authentifizierung. Es ist eine perfekte Vorwärtsgeheimhaltung eingebaut.
Das Unternehmen betreibt eigene DNS-Server. App-Benutzer profitieren von einem DNS-Leckschutz und einem integrierten Kill-Switch, es fehlt jedoch der Schutz vor WebRTC-Lecks.
Mullvad hat seinen Sitz in Schweden. Torrenting ist erlaubt. Bitcoin wird akzeptiert.
Das Unternehmen besitzt einige Server und mietet andere, die alle physisch sind.
Mullvad teilt uns mit, dass es nie eine Vorladung erhalten hat, aber von den Behörden gefragt wurde, wie bestimmte IP-Adressen verwendet wurden. Es gab keine Informationen zu geben.
Gmail wird für die E-Mail-Korrespondenz mit Kunden verwendet. Auf seiner Website wird ein PGP-Schlüssel aufgeführt, falls Kunden verschlüsselte Informationen senden möchten, auf die Google nicht zugreifen kann.
ProtonVPN
Ergebnis: 18/19
ProtonVPN, ein neuerer Anwärter auf dieser Liste, hat einen guten Start hingelegt. Der Dienst wird von demselben in der Schweiz ansässigen Team angeboten, das auch ProtonMail, einen sicheren E-Mail-Dienst, herstellt.
ProtonVPN führt außer den Anmeldezeitstempeln keine Verkehrs- oder Metadatenprotokolle. Standardmäßig verwenden Verbindungen eine 256-Bit-AES-Kanalverschlüsselung, SHA512-Authentifizierung und kurzlebige 2.048-Bit-RSA-Schlüssel mit perfekter Vorwärtsgeheimhaltung.
Die Apps verfügen über einen integrierten DNS-, WebRTC- und IPv6-Leckschutz. ProtonVPN verwendet seine eigenen DNS-Server. Ein Kill-Switch ist auf allen Plattformen außer Android verfügbar.
Proton VPN verfügt über eine „Secure Core“-Option im nativen Windows-Client. Die sicheren Kernserver sind physische Server, die Proton VPN gehören. Wir haben keine Informationen zur Konfiguration des nicht sicheren Kernservers.
Proton wickelt Bitcoin-Zahlungen und E-Mails intern ab. Allerdings kommen Supportanfragen von einer Zendesk-E-Mail-Adresse und es ist nicht klar, wer Kreditkartenzahlungen abwickelt. Laut Proton sind die Kreditkarteninformationen verschlüsselt und durch das Schweizer Bankgeheimnis geschützt.
Wenn Sie mit Proton über ein privateres Medium als Zendesk kommunizieren möchten, bietet das Unternehmen auf seiner Website ein internes Support-Formular sowie eine E-Mail-Adresse über den unternehmenseigenen Ende-zu-Ende-verschlüsselten E-Mail-Dienst an.
Zu den zusätzlichen Sicherheitsfunktionen gehören die Verschleierung von Benutzernamen und Passwörtern für nicht-native Clients, die Möglichkeit, vom Client aus eine Verbindung zu Tor anstelle des VPN herzustellen, und der sichere Kernmodus, bei dem es sich im Wesentlichen um ein Doppel-VPN über die privaten sicheren Server von Proton in der Schweiz oder Island handelt.
Goose VPN
Ergebnis: 11/19
GooseVPN speichert keine identifizierenden Protokolle, sondern zeichnet lediglich das Datum, an dem Sie den Dienst nutzen, und das Betriebssystem Ihres Geräts auf.
Standardmäßig wird eine 256-Bit-AES-Verschlüsselung verwendet, gepaart mit 2048-Bit-RSA-Schlüsseln mit perfekter Vorwärtsgeheimhaltung.
Gans leckt. Eine Menge. In den Apps sind DNS-, WebRTC- und IPv6-Leaks vorhanden, und ein Kill-Switch ist nur in den Desktop-Versionen verfügbar. Es verwendet öffentliche DNS-Server anstelle privater.
LiveChat ist ein Drittanbieterdienst zur Bereitstellung von Live-Kundensupport.
Torrenting ist erlaubt, aber ohne Kill-Switch würden wir es nicht empfehlen.
Das Unternehmen hat seinen Sitz in den Niederlanden, einem 14-Eyes-Land.
Fehlende Informationen: Authentifizierungs-Hash-Algorithmus, gemietete oder geleaste Server, virtuelle oder physische Server
Versteck mich
Ergebnis: 18/19
Hide.me gibt an, dass keinerlei Protokolle gespeichert werden.
Verbindungen werden durch 256-Bit-AES-Verschlüsselung, HMAC-SHA256-Authentifizierung und 8192-Bit-DH-Schlüssel mit perfekter Vorwärtsgeheimnis geschützt – alles ausreichend, um Ihre Daten zu schützen.
Die Apps umfassen DNS-, WebRTC- und IPv6-Leckschutz. Der Kill-Schalter ist nur für Desktop-Apps verfügbar. Hide.me betreibt eigene DNS-Server.
Hide.me mietet physische Server für sein Netzwerk.
Das Unternehmen hat seinen Sitz in Malaysia, das weder ein 5-Eyes- noch ein 14-Eyes-Land ist. Torrenting ist erlaubt.
Der Kundensupport wird über eine Drittanbieterplattform abgewickelt.
ibVPN
Ergebnis: 17/19
ibVPN gibt an, keinerlei Protokolle zu führen.
Verbindungen werden mit 256-Bit-AES-CBC-Verschlüsselung, 512-Bit-HMAC-SHA-Authentifizierung und 2048-Bit-RSA-Schlüsseln mit perfekter Vorwärtsgeheimnis gesichert.
Die Apps verhindern DNS-, WebRTC- und IPv6-Lecks. Windows- und Mac-Versionen verfügen über einen Kill-Schalter, mobile Geräte jedoch nicht. ibVPN betreibt eigene DNS-Server.
Bei den VPN-Servern handelt es sich um eine Mischung aus physischer und virtueller Infrastruktur, die entweder vom Unternehmen gemietet oder im Besitz des Unternehmens ist.
Für die Verwaltung des Kundenservices wird eine Plattform eines Drittanbieters verwendet.
Torrenting ist erlaubt.
Das Unternehmen hat seinen Sitz in Rumänien, das kein 14-Eyes-Land ist.
Ivacy
Ergebnis: 16/19
Ivacy sagt, dass überhaupt keine Protokolle gespeichert werden.
Es verwendet eine 256-Bit-AES-Verschlüsselung gepaart mit 2048-Bit-DHE-RSA-Schlüsseln für perfekte Vorwärtsgeheimnis.
Die Apps schließen DNS-, WebRTC- und IPv6-Lecks. Leider verfügt bislang nur die Windows-App über einen Kill-Schalter. Ivacy betreibt eigene DNS-Server.
Der Kundensupport erfolgt über eine Drittanbieterplattform.
Torrenting ist erlaubt.
Das Unternehmen hat seinen Sitz in Singapur, außerhalb der 14 Eyes.
Fehlende Informationen: Authentifizierungs-Hash, eigene oder geleaste Server, virtuelle oder physische Server
Keenow Unblocker
Ergebnis: 16/19
Die Bewertung von Keenow ist etwas schwierig, da seine Apps sowohl einen intelligenten DNS-Proxy-Dienst als auch ein VPN umfassen. Wir werden uns auf Letzteres konzentrieren.
Keenow führt eine beträchtliche Menge an Protokollen, darunter Verbindungszeitstempel, Bandbreitennutzung (Upload und Download) und die tatsächliche IP-Adresse des Benutzers. Der Inhalt des verschlüsselten Datenverkehrs wird jedoch nicht protokolliert.
Während die Protokollierungsrichtlinie Anlass zum Nachdenken gibt, sind die Sicherheitsstandards streng. Sie erhalten 256-Bit-AES-GCM-Verschlüsselung, 2048-Bit-ECDHE-RSA-Schlüssel mit Perfect Forward Secrecy und SHA512-Authentifizierung.
Wenn Sie mit dem VPN verbunden sind, sind Sie vor DNS-, WebRTC- und IPv6-Lecks geschützt. Ein Kill-Schalter ist sowohl in der mobilen als auch in der Desktop-App verfügbar. Keenow betreibt seine eigenen DNS-Server.
Keenow mietet eine Mischung aus physischen und virtuellen Servern.
Der gesamte Kundensupport wird im eigenen Haus abgewickelt.
Torrenting ist erlaubt.
Keenow ist in Israel eingetragen.
PrivateVPN
Ergebnis: 16/19
PrivateVPN speichert keinerlei VPN-Protokolle.
Verschlüsselungsstandards erfüllen alle Kriterien: 256-Bit-AES, SHA256-Authentifizierung und 2048-Bit-RSA-Schlüssel mit perfekter Vorwärtsgeheimhaltung.
DNS-, WebRTC- und IPv6-Leckschutz sind alle in die Apps integriert. Leider ist der Kill-Schalter derzeit nur auf dem Windows-Client verfügbar.
LiveAgent wird zur Bereitstellung des Kundensupports verwendet.
Torrenting ist erlaubt.
Der Hauptsitz des Unternehmens ist in Schweden.
Fehlende Informationen: gemietete oder geleaste Server, virtuelle oder physische Server
Beschleunigen
19.10
Speedify geht einen anderen Weg als die meisten VPNs und entscheidet sich für sein maßgeschneidertes „Channel-Bonding“-Protokoll und ChaCha-Verschlüsselung mit SHA256-Authentifizierung.
Die tatsächlichen IP-Adressen der Benutzer werden aufgezeichnet, jedoch keine Verkehrsprotokolle.
Der DNS- und WebRTC-Schutz funktioniert, wir konnten jedoch nicht feststellen, ob Speedify über einen IPv6-Leckschutz verfügt. In den Android- und Windows-Apps ist ein Kill-Schalter verfügbar. Das Unternehmen betreibt keine eigenen DNS-Server, sondern setzt auf öffentliche.
Das Unternehmen hat seinen Sitz in den Vereinigten Staaten. Es werden weder Bitcoin noch andere Kryptowährungen akzeptiert. Torrenting ist erlaubt, wir würden es jedoch aufgrund der Protokollierung von IP-Adressen vermeiden.
Fehlende Informationen: geleaste oder eigene Server, virtuelle oder physische Server, Kundenservice, IPv6-Leckschutz, Schlüsselaustausch
Windschreiber
Ergebnis: 17/19
Windscribe protokolliert nur, wie viel Bandbreite in einem Zeitraum von 30 Tagen genutzt wird; Keine IP- oder Verkehrsprotokolle.
Die 256-Bit-AES-Verschlüsselung schützt Ihre Daten, kombiniert mit SHA512-Authentifizierung und 4096-Bit-RSA-Schlüsseln mit perfekter Vorwärtsgeheimhaltung.
DNS-, WebRTC- und IPv6-Lecks werden alle berücksichtigt und Windscribe betreibt seine eigenen DNS-Server, aber der Kill-Switch ist nur auf dem Desktop verfügbar.
Windscribe mietet physische Server zur Nutzung in seinem Netzwerk.
Das Unternehmen hat seinen Sitz in Kanada, einem Five-Eyes-Land. Es akzeptiert Bitcoin und ermöglicht Torrenting. Der Kundenservice wird im eigenen Haus abgewickelt.
Zenmate
Ergebnis: 12/19
Zenmate protokolliert die IP-Adresse, das Betriebssystem und die Verbindungszeitstempel des Benutzers.
OpenVPN-Verbindungen sind durch 256-Bit-AES-Verschlüsselung, SHA256-Authentifizierung und 2048-Bit-RSA-Schlüssel mit perfekter Vorwärtsgeheimnis geschützt. DNS, WebRTC und IPv6-Leckschutz sind alle enthalten, Zenmate verwendet jedoch öffentliche DNS-Server anstelle privater.
Für den Kundenservice wird Zendesk eingesetzt.
Torrenting ist erlaubt, wir würden es jedoch aufgrund der protokollierten IP-Adressen nicht empfehlen. Das Unternehmen ist in Deutschland, einem 14-Eyes-Land, eingetragen. Bitcoin wird nicht akzeptiert.
Fehlende Informationen: geleaste oder gemietete Server, physische oder virtuelle Server
Methodik
Alle in diesem Artikel und der dazugehörigen Tabelle präsentierten Informationen wurden auf verschiedene Weise gesammelt. Wir haben jedem Anbieter in dieser Liste einen Fragebogen geschickt, der zum Ausfüllen der Tabelle verwendet wurde. Als nächstes versuchten wir, das, was wir konnten, durch die Nutzung der VPNs selbst auszufüllen. Wir haben auf unsere eigenen Erfahrungen, Rezensionen und Artikel verwiesen. Abschließend haben wir die von jedem VPN-Anbieter bereitgestellten Websites, Wissensdatenbanken, FAQs, Datenschutzrichtlinien und manuellen Konfigurationsdateien durchgesehen.
17 von 30 Anbietern haben den Fragebogen beantwortet. Wir haben festgestellt, dass diejenigen mit der besten Sicherheit oft am schnellsten reagieren, da sie nichts zu verbergen haben. Allen Anbietern wurde ausreichend Zeit – mehr als einen Monat – gegeben, um zu antworten.
Einige reagierten überhaupt nicht. Wenn dies der Fall war, haben wir nach sekundären Informationsquellen gesucht, beispielsweise externen Bewertungen und zuverlässigen Forenbeiträgen. Uns ist bewusst, dass Sicherheit ein fortlaufender Prozess ist, der regelmäßige Aktualisierungen erfordert. Aus diesem Grund haben wir alle Informationen aus zweiter Hand ausgeschlossen, die älter als ein Jahr sind und an anderer Stelle nicht bestätigt werden konnten.
Am Ende,einige Felder blieben leer.In einem solchen FallWir müssen vom Schlimmsten ausgehen und Punkte abziehen.Diese Felder sind in der Tabelle mit einem Fragezeichen (?) gekennzeichnet. Selbstverständlich können wir diesen Artikel und die Tabelle jederzeit ändern, falls uns ein VPN-Anbieter nach der Veröffentlichung Auskunft geben möchte. Tatsächlich fördern wir es.
Weitere Hinweise
- Gemeinsame IP-Adressen sind eher die Regel als die Ausnahme, daher gehen wir davon aus, dass alle VPNs auf dieser Liste sie verwenden. Dies ist eine Win-Win-Situation für VPN-Anbieter, da die Verwaltung gemeinsam genutzter IP-Adressen kostengünstiger ist und den Kunden eine größere Anonymität bietet. Nur sehr wenige kommerzielle Anbieter bieten überhaupt dedizierte IPs an, und wenn sie das tun, kostet das meist extra.
- Für die Nutzung gemieteter Server haben wir keine Punkte abgezogen, wohl aber für virtuelle oder Cloud-Server. Der Besitz eines Servers bietet zwar das größte Maß an Kontrolle, bietet aber auch weniger Flexibilität. Wenn ein Rechenzentrum seine Standards senkt, ist es viel einfacher, einfach einen Mietvertrag zu beenden und einen Server in einem anderen Rechenzentrum zu mieten, als physische Server zu verlegen. Bei virtuellen und Cloud-Servern kommt jedoch ein unbekannter Dritter hinzu – der Besitzer des physischen Servers – weshalb wir Punkte abziehen. Unabhängig davon, wie gut eine virtuelle Maschine gesichert ist, ist sie weitaus anfälliger als eine dedizierte physische Maschine.
- Externe E-Mail- und Kundensupportanbieter haben in der Regel Zugriff auf einige Kundeninformationen, auch wenn es sich nur um eine E-Mail-Adresse handelt. Deshalb ziehen wir für die Nutzung Punkte ab. Selbst wenn die Mitarbeiter keinen Zugriff auf Kundeninformationen haben, kann es außerdem sein, dass ein Kunde nicht erkennt, dass er über einen Dritten kommuniziert, und private Informationen preisgibt.
- Verschlüsselungsstandards basieren auf dem, was anfällig ist, und nicht unbedingt darauf, was am stärksten ist. Deshalb ziehen wir beispielsweise für die Nutzung von AES-128 keine Punkte ab. Obwohl AES-256 stärker ist, sind beide derzeit unknackbar. Das Gleiche gilt für RSA-Schlüssel und Authentifizierung. SHA1- und 1.024-Bit-RSA-Schlüssel sind anfällig, daher setzen SHA256 (oder HMAC SHA1) und RSA 2.048 unsere Messlatte. Viele VPNs entscheiden sich für noch stärkere Maßnahmen wie 4.096-Bit-RSA-Schlüssel und SHA512, erhalten dafür aber keine Extrapunkte.
- Reaktionen auf Vorladungen, Haftbefehle oder DMCA-Takedown-Mitteilungen: Wir haben berücksichtigt, ob ein Anbieter in der Vergangenheit auf gerichtliche Anordnungen zur Einholung von Kundeninformationen gestoßen ist und wie er darauf reagiert hat. Es werden jedoch keine Punkte dafür vergeben, ob dies der Fall war oder nicht.
- Die Wirksamkeit von Kanarienvögeln ist ein heiß diskutiertes Thema, daher haben wir keine Punkte dafür vergeben. Wenn ein VPN-Anbieter eines hat, haben wir es vermerkt.