Reaktion auf Leak: 5 neue Maßnahmen für geballte NordVPN Sicherheit

Die dem NordVPN Leak folgende Partnerschaft mit VerSprite soll Risiko- und Schwachstellenmanagement beinhalten, Pentests, Compliance-Management and Assessment-Services. Außerdem unterstützt VerSprite NordVPN dabei, ein unabhängiges Cybersicherheits-Beratungskomitee aufzubauen. Dieses soll aus ausgewählten Experten bestehen und die NordVPN Sicherheitsmaßnahmen überwachen.

„Wir möchten nicht nur unser eigenes Wissen nutzen, sondern auch den Rat der besten Cybersicherheits-Experten annehmen und die effizientesten verfügbaren Cybersicherheitspraktiken implementieren“, so Laura Tyrell von NordVPN. „Und das ist nur der erste Schritte, um die Sicherheit unseres Services auf ein komplett neues Level zu heben.“

Ein sehr wichtiger Faktor der NordVPN Sicherheitsstrategie sind Pentester. Sie bereiten die Infrastruktur auf Schwachstellen vor und merzen diese aus. Deswegen geht NordVPN eine langfristige ausgelegte Partnerschaft mit VerSprite ein, einer führenden Cybersicherheits-Consultingfirma.

VerSprite wird mit den eigenen Pentestern von NordVPN zusammenarbeiten, um die Infrastruktur herauszufordern und die Sicherheit der User zu gewährleisten. Im vorliegenden neuen Agreement sind neben den Penetrationstests das Handling von Eindringlingen und Quellcode-Analysen zentrale Aufgaben. Außerdem wird VerSprite die NordVPN Sicherheit bei dir Bildung eines unabhängigen Cybersicherheitsteams unterstützen.

In den nächsten Wochen wird NordVPN ein Bug Bounty Programm einführen. Bug Bountys belohnen Cybersicherheits-Experten für das Auffinden potenzieller Schwachstellen und die Meldung an die jeweiligen Entwickler. Diese können die Bugs damit frühzeitig fixen und Risiken minimieren. NordVPN wird den Bounty-Jägern großzügige Auszahlungen gewähren. Die User wissen so stets, dass sie ein Service nutzen, das tagtäglich Tausende Menschen auf Bugs durchsuchen.

NordVPN plant 2020 die Durchführung eines komplett unabhängigen Audits durch eine dritte Partei. Das Audit soll die Infrastruktur-Hardware, VPN-Software, Backend-Architektur, Backend-Quellcode und interne Prozesse abdecken.

NordVPN plant, ein Netzwerk von collocated Servern zu bilden. Diese werden zwar nach wie vor in einem Datencenter stationiert sein, aber sie stehen im kompletten, ausschließlichen Eigentum von NordVPN. Derzeit beendet NordVPN gerade seinen Infrastrukturtest, damit es jedwede Schwachstellen durch Drittpartei-Serverprovider eliminieren kann. NordVPN verpflichtet sich dazu, dass seine eigenen Datencenter höchste Sicherheitsstandards erfüllen.

NordVPN plant, seine gesamte Infrastruktur (momentan über 5.100 Server) auf RAM Server upzugraden. Dieses Upgrade ermöglich die Realisierung eines zentral kontrollierten Netzwerks, wo nichts lokal gespeichert wird – nicht einmal ein Betriebssystem. Alles, was die Server für ihren Betrieb benötigen, wird von NordVPNs sicherer zentraler Infrastruktur bereitgestellt. Wenn sich irgendjemand Zugriff auf einen dieser Server verschafft bzw. ihn beschlagnahmt, findet er nur ein leeres Stück Hardware ohne Daten oder Konfigurationsfiles.

„Die geplanten Änderungen bringen dir signifikant mehr NordVPN Sicherheit, jedes Mal, wenn du das Service nutzt. Jeder Teil von NordVPN wird schneller, stärker und sicherer werden – angefangen bei unserer Infrastruktur und Code bis hin zu unseren Teams und unseren Partnern,“ so Laura Tyrell als Versprechen an die NordVPN User.

Die NordVPN Sicherheitsoffensive ist eine Reaktion auf die Vorkomnisse rund um das NordVPN Leak der letzten Woche. Damals hat eine unautorisierte dritte Partei einen der über 5.000 NordVPN Server  geentert. Der Hacker erschlich sich diesen Zugang zu einem Server in Finnland laut NordVPN aufgrund eines Fehlers des Datencenter-Besitzers. NordVPN aber kannte diesen Fehler nicht.