No-Log schreiben sich alle VPNs auf die Fahne, aber was ist diese Behauptung eigentlich wert, wenn sie denn wahr ist?
Kürzlich veröffentlichte PureVPN eine Nachricht auf seiner Mailingliste, in der das Unternehmen verlautbart, dass ihre No-Log Policy von unabhängiger Seite bestätigt wurde. Einen Kommentar dazu kann ich mir leider nicht verkneifen.
Vertrauen ist gut, Kontrolle ist besser?
VPNs sind Vertrauenssache. Vertrauen muss man sich verdienen. Und verdienen kann man sich der Meinung vieler Anbieter nach mit einer No-Log Policy. Kürzlich hat sich Mullvad die Blöße gegeben und sich attestieren lassen, dass sie nicht loggen und dabei leider die VPN-Dienste vergessen. Jetzt hat es PureVPN geschafft, die No-Log Policy von KPMG prüfen zu lassen. Kleines Detail, dass viele möglicherweise nicht wissen: KPMG ist ein Wirtschaftsprüfungsunternehmen.
Im Gegensatz zum schwedischen Maulwurf, hatte PureVPN aber leider nicht die Güte den Bericht ebenfalls zu veröffentlichen. Auf eine Bitte um diesen Bericht hat Pure bisher noch nicht reagiert.
Auch hier ist also die hauptsächliche Frage, wie sehr wir dem Anbieter vertrauen können. Dazu kommen wir später. Aber in meinen Augen eine eher schwache Basis, um mögliche kriminelle Aktivitäten abzuwickeln.
Was heißt „No Log“?
Was genau loggen die Anbieter nicht, ist eine Frage, die eine skeptische Person hier stellen könnte und der eher unbekannte Anbieter Cryptostorm bringt es hier auf den Punkt:
Every VPN provider has to log something, be it for their website or their actual VPN service, and we’re no exception. […] In short, while we do have some logs for security reasons, we don’t keep any logs that can be used to identify a customer, such as when they connect, or where they connect from, or where they’re connecting to.
Cryptostorm.is FAQ
Während Cryptostorm und Mullvad umfangreich darüber informieren, was und wie genau geloggt wird, sind die meisten mit Details zurückhaltender. Unabhängig davon ist es aber grundsätzlich unmöglich, einen Negativbeweis zu erbringen.
Und jetzt?
Was viele VPNs nicht verraten: Das, was sonst euer ISP sieht, sieht nun euer VPN Anbieter. Das heißt, dass (für die meisten Sachen) theoretisch die Ziel-IP eurer Verbindung bekannt ist. Sonst nichts. Die meisten Dienste nutzen heutzutage Ende-zu-Ende-Verschlüsselung und dem Anbieter sind nur die Ziele eurer Kommunikation bekannt.
Cloudflare hat hier durch seine Funktion als Reverse-Proxy Zugang zu viel mehr, möglicherweise belastenden, Informationen, da der Traffic bei Cloudflare entschlüsselt und weitergesendet wird. Das schließt Log-ins und sensible Informationen ein.
Es gibt einen guten Grund, warum man für wirklich kriminelle Sachen ins Dark Web geht: Man muss kein Vertrauen in einem kommerziellen Anbieter haben, sondern es ist vom Design her anonym. Überraschung: Es gibt keine echte Sicherheit ohne Komfort-Verlust, pseudonym ist nicht anonym, Kryptowährungen sind kein Investment und es gibt keine Zahnfee.
„No Log“-VPNs und ihr Marketing Blabla
Wer mich kennt, weiß, dass ich kein großer Fan der kommerziellen VPN-Anbieter bin. Neben Jahren irreführender Werbung, fragwürdiger Abo-Modelle und viel zu vielen Anbietern, die sich mit unbemerkten Hacks, grober Fahrlässigkeit oder gesprächigen Apps eigentlich längst selbst ins Aus geschossen haben, sollte man meinen, dass bei den Leuten der Geldbeutel nicht so locker sitzt … Aber da irre ich mich wohl, wenn ich mir ansehe, dass Anbieter mit entsprechender Userbase für fast eine Milliarde verkauft werden.
Warum also ein VPN?
Um die ToS von Streaming Anbietern zu umgehen? Sonst fällt mir da leider echt nichts ein, was es nicht kostenlos mit besserem Datenschutz gibt oder durch das VPN besser wird.
Statt 100 € für ein VPN inklusive der hochtrabenden No-Log Versprechen auf den Kopf zu kloppen, spendet lieber der Tarnkappe. Nach diesem Kommentar werden die VPNs vermutlich vor Freude hüpfen.