Zu Beginn dieses Jahres haben wir uns verpflichtet, häufiger und in größerem Umfang in Audits durch Dritte zu investieren. Audits durch vertrauenswürdige Dritte sind ein wichtiges Zeichen für Vertrauenswürdigkeit und Transparenz, da sie eine unabhängige Bewertung unserer Angaben zum Datenschutz und zur Sicherheit liefern.
Heute stellen wir Ihnen die neuesten Ergebnisse dieser Audits vor. Wir haben KPMG und Cure53 damit beauftragt, unabhängige Prüfungen unserer Systeme und der zentralen Servertechnologien durchzuführen. Auf der Grundlage der uns zur Verfügung gestellten Berichte können Sie nach unserem Ermessen darauf vertrauen, dass wir niemals erfahren, was Sie bei bestehender Verbindung mit unserem Dienst im Internet machen, und dass wir niemals derart sensible Daten weiterleiten können, da wir sie schlichtweg nicht haben.
Unser Leitprinzip bei der Datenerfassung ist es, nur die absolut notwendigen Daten zu erfassen, die es für den Betrieb eines erstklassigen VPN-Dienstes in großem Umfang braucht. Das bedeutet, dass wir niemals Daten sammeln oder speichern, die die Privatsphäre oder Sicherheit eines Benutzers gefährden könnten – wir speichern keine Aktivitätsprotokolle, keine Verbindungsprotokolle und auch keine anderen sensiblen Informationen.
Eines der wichtigsten Mittel, die uns das ermöglichen, ist TrustedServer, unsere innovative unternehmenseigene VPN-Servertechnologie, die die Datenschutz- und Sicherheitsrisiken herkömmlicher Serververwaltung deutlich minimiert. TrustedServer ist die weltweit fortschrittlichste Servertechnologie mit mehreren Kontrollschichten, die sicherstellen, dass wir keine Benutzerdaten aufzeichnen – nicht einmal versehentlich.
Wir haben eine Reihe von Kontrollmechanismen definiert und implementiert, die uns die Gewissheit geben, dass wir im Einklang mit unserem Versprechen, keine Aktivitäts- oder Verbindungsprotokolle zu führen, arbeiten. KPMG hat das Design und die Implementierung dieser Kontrollen, die uns helfen, die Schlüsselaspekte unserer Datenschutzrichtlinien umzusetzen, überprüft. Cure53 hat außerdem einen Penetrationstest und ein Source-Code-Audit für TrustedServer durchgeführt.
KPMG-Audit stellt die Anti-Logs-Richtlinie von ExpressVPN auf die Probe
Unabhängige Wirtschaftsprüfer von KPMG haben unsere Kontrollmechanismen getestet. Dazu gehörte zum einen eine Mitarbeiterbefragung, um die Prozesse, Systeme und Kontrollen zu überprüfen, die sicherstellen sollen, dass unsere VPN-Server mit unserer Datenschutzrichtlinie übereinstimmen. Zum anderen wurde unsere Richtlinie, keine Aktivitäts- und Verbindungsprotokolle zu führen, begutachtet und verifiziert, dass die TrustedServer-Technologie wie beschrieben funktioniert.
Deshalb freuen wir uns sehr, dass KPMG uns die sichere Funktionsweise unserer Technologie bestätigt hat.
Der umfassende Bericht von KPMG ist frei verfügbar – Sie müssen lediglich den AGB von KPMG zustimmen. ExpressVPN-Kunden können den umfassenden Bericht auch lesen, indem Sie sich in Ihrem Konto anmelden und die Seite der Datenschutz- und Sicherheitsaudits aufrufen.
Das Audit wurde nach dem weltweit anerkannten International Standard on Assurance Engagements (ISAE) (UK) 3000 Typ 1 durchgeführt.
Cure53-Audit stärkt die Sicherheit von TrustedServer weiter
Unabhängig davon hat das Cybersicherheitsunternehmen Cure53 ein Quellcode-Audit und eine White-Box-Sicherheitsüberprüfung von TrustedServer durchgeführt. Die Ergebnisse waren positiv und unterstreichen die starke Sicherheit von TrustedServer. (Übrigens: Unsere Bug-Bounty-Prämie für Trusted Server in Höhe von 100.000 US-Dollar ist noch zu haben!)
Cure53 zufolge wurden „hauptsächlich allgemeine Schwächen und kleinere Fehler entdeckt. Außerdem können die meisten von ihnen als trivial eingestuft und behoben werden. Positiv zu vermerken ist auch, dass keine der vier identifizierten Schwachstellen mit einem hohen oder kritischen Schweregrad eingestuft wurde, was zeigt, dass die Komponenten von ExpressVPN TrustedServer bereits eine recht robuste Umgebung darstellen.”
Den umfassenden Audit-Bericht von Cure53 können Sie hier finden.
Unser Versprechen von Zuverlässigkeit und Transparenz
Die zwei neuen Audits ergänzen unsere Liste der bisher durchgeführten Audits und Sicherheitsüberprüfungen:
- Ein Audit von Cure53 zu unserer Linux App (August 2022)
- Ein Audit von Cure53 zu unserer MacOS App (Juli 2022)
- Ein Sicherheitsaudit von Cure53 für unseren Aircove-Router (Juli 2022)
- Ein Audit von F-Secure für unsere App für Windows v12 (April 2022)
- Ein Sicherheitsaudit von F-Secure für unsere App für Windows v10 (März 2022)
- Ein Sicherheitsaudit von Cure53 zu unserem VPN-Protokoll Lightway (August 2021)
- Ein Audit durch PwC Schweiz zu unserem Build-Verifizierungsprozess (Juni 2020)
- Ein Audit durch PwC Schweiz zur Einhaltung unserer Datenschutzrichtlinien und unserer hauseigenen TrustedServer-Technologie (Juni 2019)
- Ein Sicherheitsaudit unserer Browsererweiterung durch Cure53 (November 2018)
“Wir freuen uns, dass unsere Systeme und zentralen Servertechnologien von KPMG und Cure53 untersucht wurden. Regelmäßige Audits durch Dritte, die unsere Kontrollen und die Ergebnisse der Arbeit unserer Mitarbeiter bestätigen, zusammen mit anderen Sicherheitsmaßnahmen wie unserem Bug-Bounty-Programm, bestärken uns in unserer Zuversicht, dass wir unsere Nutzer gut schützen“, sagt Aaron Engel, Leiter der Cybersicherheitsabteilung von ExpressVPN. „Wir sind stolz darauf, branchenführend in Sachen Vertrauenswürdigkeit und Transparenz zu sein, und werden in diesem Jahr noch weitere Audits veröffentlichen.”
Auch wenn einige der Inhalte noch in der Originalsprache vorliegen, halten wir es für sinnvoll, sie hier zu veröffentlichen. Wir hoffen, dass sie Ihnen trotzdem gefallen.
Holen Sie sich die Kontrolle über Ihre Privatsphäre zurück
30-Tage Geld-zurück-Garantie