Welche Fragen sollte ein seriöser VPN-Service aufrichtig und öffentlich beantworten können?

Wie erkennt man einen seriösen VPN-Anbieter?

Vertrauen ist ein entscheidender Bestandteil eines modernen digitalen Ökosystems. Wir vertrauen den Banken, dass Finanzinformationen sicher sind. Wir vertrauen auf Suchmaschinen, um uns die gewünschten Informationen zu liefern, und Navigations-Apps, die uns den effizientesten Weg zeigen.

Ironischerweise sind virtuelle private Netzwerke oder VPNs häufig ein Werkzeug für Benutzer, die kein Vertrauen in die Praktiken anderer Online-Entitäten haben. Anbieter kommerzieller VPN-Dienste müssen jedoch immer noch das Vertrauen pflegen, dass sie die digitalen Fußabdrücke ihrer Benutzer ausreichend verschleiern und ihre Daten schützen. Dies hat sich aus vielerlei Gründen für VPNs als schwierig herausgestellt.

VPNs ermöglichen es Einzelpersonen, ihren Internetverkehr zu verschleiern und zu schützen.

Wenn Sie mehr über die Funktionsweise von VPNs erfahren möchten, lesen Sie bitte unsere Informationen zu diesen immer wichtiger werdenden „Tips zur sicheren Nutzung des Internets„.

Eine schnelle Suche nach „VPN“ in einem App Store zeigt schnell, wie undurchsichtig und verwirrend es sein kann, die Anzahl und Vielfalt der verschiedenen VPNs zu sortieren. Viele versprechen zusätzliche Sicherheit und Datenschutz, aber wie wir immer wieder gewarnt haben, machen Versprechen allein ein VPN nicht unbedingt vertrauenswürdig. Was macht das?

Was ist wichtig?

Wir haben in den letzten Monaten eine Diskussion einberufen, in der sich einige VPNs dazu auch geäussert haben, dass ihre Branche mit einem Vertrauensdefizit konfrontiert ist. Nach einigen persönlichen Treffen haben wir mit diesen Unternehmen zusammen mit unabhängigen Experten eine Liste mit Fragen entwickelt, die grundlegende Verpflichtungen signalisieren, die VPNs machen können, um ihre Vertrauenswürdigkeit und ihren guten Ruf zu signalisieren.

Wir haben VPN-Anbieter dazu ermutigt, ihre Antworten und andere Ressourcen auf ihrer Website zur Verfügung zu stellen, um den Vergleich zu erleichtern. Die Antworten dieser VPN-Anbieter kann man nun auch auf den Webseiten der Anbieter einfach auffinden.

Wir haben gemeinsam mit einem unabhängigen Institut eine Liste an Fragen erarbeitet, welche ein seriöser VPN-Anbieter aufrichtig und vollständig beantworten können sollte. Die dabei gewonnen Informationen aus den Antworten geben konkrete verwertbare Rückschlüsse darüber, ob ein Service vertrauensvoll ist.

Und wir machen damit natürlich weiter. Jeden Tag werden weitere VPNs von uns kontaktiert und gebeten uns Antworten zu liefern auf Fragen welche sich mit dem Thema und deren Ruf beschäftigen. In  naher Zukunft werden wir auch Anbieter welche diese Fragen vollständig beantwortet haben entsprechend veröffentlichen und damit für eine noch bessere Vergleichbarkeit Sorge tragen.

8 Fragen auf die ein VPN-Anbieter öffentlich Auskunft geben sollte.

Die acht Fragen, die gestellt werden, konzentrieren sich auf (1) die Rechenschaftspflicht von Unternehmen, (2) Datenprotokollierungspraktiken und (3) das Aufzeigen bewährter Sicherheitspraktiken. Wir hoffen, im Laufe der Zeit weitere VPN-Antworten hinzufügen zu können.

Das Ziel dieser Fragen ist es, die Transparenz zwischen VPN-Diensten zu verbessern und Ressourcen wie die Datenschutz-Websiten zu unterstützen. So können Vergleiche zwischen verschiedenen Diensten besser bereitgestellt werden. Wir sind der Meinung, dass VPN-Anbieter diese Fragen problemlos beantworten können sollten, und dies auf eine offene und öffentliche Art und Weise.

Hinweis:

Bei der Beantwortung dieser Fragen müssen die Benutzer leider immer noch herausfinden, was los ist, aber jedes VPN, das diese Informationen nicht in den Vordergrund stellt, ist problematisch.

8 Fragen zur Glaubwürdigkeit eines VPN-Services!

UNTERNEHMENSVERANTWORTUNG & GESCHÄFTSMODELL

1) Wie lautet der öffentlich bekannte und vollständige rechtliche Name des VPN-Dienstes und anderer verbundener oder Holding-Unternehmen? Besitzen diese Beteiligten andere VPN-Dienste oder vertreten sie wirtschaftliche Interessen an solchen, und wenn ja, teilen sie untereinander die Benutzerinformationen? Wo haben sie ihren Sitz? Gibt es noch weitere Unternehmen oder Partnerorganisationen, die direkt am Betrieb des VPN-Dienstes beteiligt sind, und wenn ja, wie lauten deren vollständige rechtliche Namen?

2) Besitzt das Unternehmen oder besitzen andere Unternehmen, die bei dem Betrieb oder Eigentum des Dienstes mitwirken, Webseiten, die VPN-Dienste bewerten?

3) Was ist das Geschäftsmodell des Dienstes (d. h. wie erzielt der VPN-Dienst Umsatz)? Zum Beispiel: Besteht die einzige Einkommensquelle aus den Abonnements der Kunden?

DATENSCHUTZ: PRAKTIKEN DER LOGIN-/DATENSAMMLUNG UND BEANTWORTUNG VON ANFRAGEN DER STRAFVERFOLGUNGSBEHÖRDEN

4) Speichert der Dienst Daten oder Metadaten, die in einer VPN-Sitzung gesammelt wurden (von der Verbindung bis zur Unterbrechung der Verbindung) nachdem die Sitzung abgeschlossen wurde? (Einschließlich Daten des Kunden, VPN-App, APIs, VPN-Gateways).

5) Speichert Ihr Unternehmen (oder teilt mit Dritten) Daten über die Browser- und/oder Netzwerkaktivität der Nutzer, einschließlich DNS-Suchen und Aufzeichnungen von Domain-Namen und besuchten Webseiten?

6) Haben Sie ein klares Verfahren zur Beantwortung legitimer Anfragen nach Daten von Strafverfolgungsbehörden und Gerichten?

SICHERHEITSPROTOKOLLE UND SCHUTZMECHANISMEN

7) Was tun Sie, um sich gegen unerlaubten Zugang zu Kundendaten über das VPN zu schützen?

8) Welche weiteren Kontrollmechanismen verwendet der Dienst, um Nutzerdaten zu schützen?

Die Antworten auf diese Fragen sollten bei seriösen Anbietern auch öffentlich auf der Webseite zu finden sein. Tun sie dies nicht, sollte man in jedem Fall vorsichtiger sein. Jede dieser Fragen und deren Antworten geben Aufschluss über die Seriosität und auch Professionalität, welche der Service im Betrieb seinen Kunden bieten wird. Die Nutzer können sich damit ein verbindliches Bild eines Anbieters machen und in jedem Fall darauf bestehen, entsprechende und ausführliche Auskünfte darüber zu erhalten.

Deutung und Hinweise zu den Antworten

Im Folgenden versuchen wir Dir Hinweise zu geben, wie Du Antworten von VPN Services zu den gestellten Fragen deuten kannst. Das wiederum entscheidet darüber, ob Du einem VPN vertrauen solltest oder nicht.

Verantwortlichkeit des Unternehmens

Frage 1: Was ist der Öffentlichkeit und der vollständige rechtliche Name des VPN-Dienstes sowie aller Mutter- oder Holdinggesellschaften?
Frage 2: Haben das Unternehmen oder andere Unternehmen, die an dem Betrieb oder dem Besitz des Dienstes beteiligt sind, Eigentumsrechte an VPN-Überprüfungs-Websites?
Frage 3: Wie sieht das Geschäftsmodell des Dienstes aus (d. H. Wie verdient das VPN Geld?)

Wer leitet das Unternehmen?

Für kommerzielle Datenschutz- und Sicherheitstools muss der Ruf eines Unternehmens auch ein Messkriterium sein. Eine Reihe von VPNs hat die öffentliche Unterstützung für den Schutz der Privatsphäre und des digitalen Ausdrucks im Internet zum Ausdruck gebracht, und diese One-Privacy-Site prüft sogar, ob ein VPN aus Gründen des Datenschutzes zurückgegeben wird. Wichtiger ist jedoch, ob Sie dem Unternehmen und seiner Expertise ein Gesicht geben können. Da Unternehmen wie Facebook, Verizon und sogar PornHub VPNs betreiben, ist es wichtig, nicht nur die Verantwortlichen für den Betrieb und die Sicherung des VPNs zu kennen, sondern auch, wer letztendlich das Unternehmen besitzt.

Was ist das Geschäftsmodell?

Es ist jetzt ein Klischee zu sagen, wenn DU nicht für das Produkt bezahlst, dann bist DU das Produkt. Dies gilt insbesondere für VPNs. Verwenden besser kein kostenloses kommerzielles VPN. Der Betrieb von VPN-Servern und das erforderliche technische und sicherheitstechnische Know-how zum Betrieb eines VPN sind nicht billig. Ein VPN sollte im Voraus wissen, wie es Geld verdient, und welche Anreize nicht mit den Datenschutz- und Sicherheitsinteressen der Benutzer in Einklang stehen.

Datenprotokollierungspraktiken

Frage 4: Speichert der Dienst nach Abschluss der Sitzung Daten oder Metadaten, die während einer VPN-Sitzung (von der Verbindung zur Trennung) generiert wurden?
Frage 5: Speichert Ihr Unternehmen (oder teilt es mit anderen) Daten zum Durchsuchen von Benutzern und / oder Netzwerkaktivitäten, einschließlich DNS-Lookups und Aufzeichnungen von besuchten Domänennamen und Websites?
Frage 6: Haben Sie ein klares Verfahren, um auf legitime Datenanfragen von Strafverfolgungsbehörden und Gerichten zu antworten?

Was sagt das VPN zu „Protokollierungspraktiken“?

Protokollierungspraktiken ähneln der dritten Schiene der VPN-Politik, und die Protokollierungspraktiken verschiedener VPNs sind verwirrend. VPNs stolpern oft über sich selbst hinweg, um allgemeine „Keine-Logfiles“ -Ansprüche zu erheben, die sich immer wieder als ungenau erwiesen haben. Protokolle können im Allgemeinen in Verbindungs- und Aktivitätsprotokolle unterteilt werden. Es gibt jedoch keine Standarddefinition für das, was ein Protokoll darstellt. Relevant ist, welche Informationen an einen Benutzer gebunden werden können.

Dies kann Folgendes umfassen:
  • Verkehrsaktivität (wie Downloads)
  • DNS-Anfragen (Details, welche Websites besucht werden)
  • Verbindungszeitstempel (enthüllen, wann ein Benutzer online war)
  • Protokollierung der Bandbreite (zeigt an, wie viele Daten verwendet wurden, um zu erraten, welche Geräte verwendet wurden oder sogar welcher Film gerade gesehen wurde)
  • IP-Adressen

Die Protokollierung dieser Informationen kann für die Problembehandlung hilfreich sein. Informationen, die nach dem Ende einer VPN-Sitzung aufbewahrt werden können, sind jedoch ein Sicherheitsrisiko. Ein verantwortungsbewusstes VPN weiß sehr genau, was es bedeutet, zu protokollieren und welche Daten es im Laufe der Zeit speichert, auch wenn es aggregiert oder anonym ist. Dies sollte an oberster Stelle jeder Datenschutzrichtlinie oder Nutzungsbedingungen stehen. Es sollte separat bekannt gegeben und leicht über die Website oder App des VPNs abgerufen werden.

Was ist mit Strafverfolgung und staatlicher Überwachung?

Viele Menschen verwenden VPNs, um den wachsamen Augen der Geheimdienste der Regierung zu entgehen, und Länder wie China und Russland haben Gesetze zur Beschränkung und zum Verbot von VPNs erlassen. VPNs können an Orten, an denen Dissidenten strafrechtlich verfolgt werden, ein nützliches Instrument sein. Dies hat jedoch zu einer Situation geführt, in der sich VPNs häufig in einer Spannung mit der Strafverfolgung und der staatlichen Überwachung im Allgemeinen befinden. Infolgedessen unterstreichen viele Ressourcen die rechtliche Zuständigkeit, unter die das VPN fällt, insbesondere die Tatsache, dass sich Server in „5-9-14 Eyes Jurisdiktionen“ befinden, dh Ländern, die digitale Intelligenz gemeinsam nutzen. Aber niemand sollte erwarten, dass ein VPN die Überwachung auf nationaler Ebene perfekt abwehrt. Wieder kann ein VPN keine Anonymität garantieren. Der physische Standort eines VPN und die nationalen Gesetze, unter denen er tätig ist, können den Benutzern jedoch unterschiedliche Datenschutzbestimmungen bieten und bestimmen, wie ein VPN auf eine Regierungsanfrage nach Daten reagieren kann. CDT empfiehlt, dass VPNs mindestens Transparenzberichte darüber bereitstellen, wie oft sie gerichtliche Anordnungen und andere staatliche Anfragen erhalten und einen klaren Prozess für die Beantwortung von Datenanfragen eingerichtet haben.
Gute Sicherheit demonstrieren

Wie denkt das VPN über Sicherheit?

Frage 7: Was tun Sie, um sich vor dem unbefugten Zugriff auf Kundendaten über das VPN zu schützen?
Frage 8: Welche anderen Steuerelemente verwendet der Dienst zum Schutz der Benutzerdaten?

Eine Person kann die tatsächlichen Sicherheitspraktiken eines VPN nicht beurteilen. Dies ist besonders problematisch, da es oft ein primärer Marketingpunkt für das Unternehmen ist.

Einige Praktiken sind jedoch besonders wichtig:

  • Überwachung:
    • Es wurde viel über die Notwendigkeit unabhängiger Sicherheitsüberprüfungen von VPNs gesprochen, aber Überprüfungen sind weder billig noch einfach durchzuführen. Viele VPNs wollen entweder billig bewertet werden oder die Ergebnisse sind so problematisch, dass nichts öffentlich offenbart wird. Derzeit hat nur TunnelBear ein Sicherheitsaudit durchgeführt, bei dem der Auditor Cure53 öffentlich Informationen über aufgetretene Probleme veröffentlichte.
  • „Bug-Bounty“-Programme  oder „Sicherheitslücken-Vorsorge“-Programme:
    • Ein „Bug Bounty“ -Programm fordert Sicherheitsforscher und andere technische Experten dazu auf, Schwachstellen zu ermitteln und zu melden, die bei der Verwendung eines VPN-Dienstes möglicherweise entdeckt werden. Ein Bug-Bounty-Programm ist jedoch nur ein Teil eines umfangreicheren Programms zur Handhabung von Schwachstellen, zu dem ein Kontaktpunkt, Follow-up und der Aufbau eines Software-Entwicklungslebenszyklus gehören, der sicherstellt, dass Fehler beseitigt werden. Fehlerkosten sind kein Ersatz für die laufenden Penetrationstests des VPN.
  • Verschlüsselungsprotokolle:
    • VPNs verwenden ein schwindelerregende Auswahl Protokollen und Verschlüsselungstechniken, um den Datenverkehr zu schützen, und nicht alle Entscheidungen, die Anbieter in Bezug auf die Verschlüsselung treffen, sind gleich. Durchschnittsbenutzer werden zwar nicht in der Lage sein, Informationen über kryptographische Mechanismen auszuwerten, sie sollten jedoch offengelegt werden, damit Sicherheitsexperten und technische Benutzer einschätzen können, welchen praktischen Schutz ein Dienst bietet. Beispielsweise verwenden einige VPNs Verschlüsselungsprotokolle mit niedrigerer Sicherheit (L2TP-PSK), die möglicherweise einen Verschlüsselungsschlüssel für alle Benutzer oder alle Benutzer verwenden, wodurch die praktische Sicherheit des Dienstes verringert wird.
  • Softwareaktualisierung und „Patching“:
    • VPN-Dienste befassen sich mit den Mechanismen, mit denen versucht werden soll, Fehler in der vom Anbieter gewarteten VPN-Software oder anderen Support-Tools schnell zu beheben.
  • Serverkontrolle und physische Sicherheit:
    • Auch die physische Sicherheit und Steuerung von Servern kann ein Problem sein. Zu wissen, wer die von einem VPN verwendeten Server betreibt und sichert, ist eine nützliche Information. VPNs sollten auch einige Details zum physischen Schutz ihrer Infrastruktur und zur Schulung von Mitarbeitern enthalten.

Es kann durch den VPN-Anbieter aber noch mehr getan werden.

Wie wir und andere bereits festgestellt haben, sind Sicherheits- und Datenschutzprüfungen in dieser Branche dringend erforderlich, aber wirklich unabhängige Beurteilungen erfordern erhebliche Ressourcen. Spezifische technische Funktionen und Sicherheitsoptionen lagen außerhalb des Umfangs dieser Fragen, aber wir würden alle VPN-Anbieter dazu anhalten, grundlegende Datenschutz- und Sicherheitsfunktionen und -prozesse zu erklären, mehr Einblick in ihre Unternehmensstruktur und Geschäftspraktiken zu gewähren und anschließend Dritte zur Überprüfung aufzufordern diese Praktiken. Achte daher darauf, ob Anbieter auch unabhängige Institute beauftragt haben, entsprechende Gutachten für den sicheren Betrieb der VPN-Services zu erstellen. Und ob diese auch öffentlich zugänglich und von einem renommierten Unternehmen stammen.

VPNs welche die Fragen öffentlich auf deren Webseiten beantwortet haben:

  • VyprVPN beantwortet die Fragen zur Vertrauenswürdigkeit
  • ExpressVPN hat die Fragen ebenso beantwortet
  • TunnelBear hat die Fragen beantwortet

Wir werden bald auch bei den Testberichten entsprechende Links zu den Anbietern einbauen und eine vollständige Liste aller VPNs veröffentlichen, welche mit den Fragen und Antworten entsprechend vollständig und transparent umgehen.




Erstellt am: 1. Dezember 2018

Artikel aus der gleichen Kategorie:

 
Legal Disclaimer VPNTESTER

Schreibe einen Kommentar