Kürzlich gelang es ukrainischen Strafverfolgungsbehörden bei einer Razzia unverschlüsselte VPN-Server der Firma Windscribe zu beschlagnahmen.
Nach Angaben des Tech-Blogs Ars Technica fielen ukrainischen Behörden die VPN-Server von Windscribe mehr oder weniger ungeschützt in die Hände. Das kanadische Unternehmen musste zugeben, dass sie die Aktivitäten ihrer Nutzer nicht ausreichend durch eine Verschlüsselung geschützt haben. Außerdem musste Windscribe einräumen, dass sie früher eine veraltete Version von OpenVPN eingesetzt haben. Diese war für Hackerangriffe anfällig. Der Hintergrund der Razzia der beiden OpenVPN-Server ist bislang ungeklärt.
VPN-Server von Windscribe mangelhaft abgesichert
Die Wahl des richtigen VPN-Anbieters ist bekanntlich schwierig. Das stimmt umso mehr, weil man als Nutzer die großspurigen Versprechungen der Unternehmen nicht überprüfen kann. Die können alle möglichen Features anpreisen. Was in den angemieteten Serverschränken tatsächlich passiert, weiß niemand außer dem Betreiber selbst. Somit ist ein VPN stets eine Frage des Vertrauens.
Nachrichten wie diese über Windscribe erschüttern unser Vertrauen nachhaltig. Anstatt die vielen eingesetzten Tracker der Konkurrenz zu kritisieren, wenn auch berechtigt, sollten sich die Mitarbeiter wohl besser zunächst um die Absicherung ihrer eigenen Server kümmern.
Auf der eigenen Seite schrieb ein Windscribe-Mitarbeiter laut Ars Technica, dass sich auf der Festplatte der beiden am 24. Juni beschlagnahmten Server ein OpenVPN-Serverzertifikat nebst dem privaten Schlüssel befunden hat. Und obwohl man verschlüsselte Server in hochsensiblen Regionen unterhalte, „liefen die fraglichen Server mit einem älteren Stack und waren nicht verschlüsselt. Wir setzen derzeit unseren Plan um, um dies zu beheben.“ Durch Nichtbeachtung der branchenüblichen Praktiken hat Windscribe seine Sicherheitsgarantien weitgehend ausgehebelt. Währenddessen versuchte man die Problematik öffentlich ein wenig herunterzuspielen.
Datenkompression bei Windscribe sollte Netzwerkleistung optimieren
Ferner setzte Windscribe früher eine für Angriffe anfällige Datenkompression ein, um die Netzwerkleistung zu verbessern. Laut einem Seminar auf der Black Hat Conference fielen dabei bei den VPN-Servern digitale Spuren an, die es ermöglicht haben sollen, die Daten zu entschlüsseln, die per OpenVPN verschlüsselt waren. Ein paar Monate nach Bekanntwerden des Angriffsszenarios Voracle hat OpenVPN diese Form der Datenkompression wieder abgeschafft.
Für die Versäumnisse gibt es keine Entschuldigung
In einer E-Mail gab sich Windscribe-Direktor Yegor Sak erstaunlich offen. Es gebe laut Sak keine Entschuldigung für dieses Versäumnis. „Es wurden keine Sicherheitsmaßnahmen ergriffen, die eigentlich hätten vorhanden sein müssen.“ Man habe im Umgang mit dem Vorfall dennoch die beste Vorgehensweise gewählt, schrieb Yegor Sak. „Es waren so wenige Nutzer wie möglich betroffen, während wir das unwahrscheinliche hypothetische Szenario, das sich aus der Beschlagnahmung ergibt, transparent behandelt haben.“ Und dann schickt der Gründer des kanadischen Unternehmens noch hinterher, dass keine Benutzerdaten in Gefahr waren oder sind.
Neuer VPN-Vergleichstest von Tarnkappe.info in Arbeit
In Anbetracht der Versäumnisse kann man Windscribe das glauben, das muss man aber nicht. Wer auf der Suche nach einem vertrauenswürdigen VPN-Anbieter ist, sollte sich unseren Vergleichstest anschauen. Autorin honeybee arbeitet derzeit einen neuen Test aus, der vor allem die technischen Aspekte beleuchten wird.
Das Problem mit den nicht überprüfbaren Werbeversprechen bleibt natürlich dennoch bestehen. Derartige Vorfälle, egal bei welchem Unternehmen, werden bestimmt nicht oft bekannt. Von daher ist dies wahrscheinlich nur die Spitze des Eisberges.
Tarnkappe.info
