All production code requires at least one other human to act as a reviewer. This makes it much more difficult to add malicious code, either from insider threat or if an employee’s workstation is compromised.

Security and privacy threat modeling is incorporated into the design phase of any system. We use the MITRE ATT&CK framework to identify threats that can exist in our designs, consider ways to remove them, and apply sufficient measures to minimize potential risks.

Erhalten Sie zusätzliche {{bonus_days}} Tage kostenlos für jeden Tarif, wenn Sie sich jetzt anmelden.

Lassen Sie sich das nicht entgehen! Sie erhalten {{bonus_months}} Monate gratis, wenn Sie ein 12-Monatsabo abschließen.

Home
Trust

ExpressVPN Trust Center

ExpressVPN ist in erster Linie ein Datenschutzunternehmen. Unsere Nutzer vertrauen darauf, dass wir ihre Privatsphäre mit einer branchenführenden Kombination aus Hardware, Software und menschlichem Einfallsreichtum schützen. Hier werfen wir einen Blick darauf, wie wir uns dieses Vertrauen erarbeiten.

A dog walker, an adult and child, and someone with their phone.

Sicherheit bei ExpressVPN: Unsere 4 wichtigsten Strategien

Erfahren Sie, wie wir Cybersicherheit gestalten, um unsere Systeme und Nutzer zu schützen.

1. Systeme schwer kompromittierbar machen

Build-Verifizierungssystem

Hardware-Sicherheitsgeräte

Wir verwenden öffentlich-private Schlüsselpaare für eine Vielzahl von Sicherheitszwecken, zum Beispiel für die Zwei-Faktor-Authentifizierung, das Signieren von Git-Commits und die Verbindung mit einem Server über SSH. Wir vermindern das Risiko eines Diebstahls unserer privaten Schlüssel, indem wir sie in Hardware-Sicherheitsgeräten aufbewahren. Das bedeutet, dass ein Angreifer unsere privaten Schlüssel nicht stehlen kann, selbst wenn unsere Workstations kompromittiert werden.

Diese Geräte sind mit starken Passphrasen gesichert und so konfiguriert, dass sie sich nach mehreren fehlgeschlagenen Entsperrungsversuchen von selbst unbrauchbar machen. Die Geräte können nur durch physische Berührung bedient werden, was bedeutet, dass Malware die Schlüssel nicht stehlen kann, ohne dass ein Mensch daran beteiligt ist.

Code-Überprüfung

Abgesicherte Secure Shell (SSH)

Wir nutzen SSH als sichere Methode, um Remote-Zugriff auf unsere wichtigen Server zu erhalten. Diese SSH-Server sind so konfiguriert, dass sie nur eine Reihe von hochsicheren Codierschlüsseln, Schlüsselaustauschalgorithmen und MACs verwenden. Außerdem ist es nicht möglich, sich als Root anzumelden, und die Authentifizierung kann nur mit starken SSH-Schlüsseln erfolgen – Passwörter sind nicht erlaubt. Wir verwenden zwischengeschaltete SSH-Bastion-Hosts, um die Produktionsinfrastruktur vom offenen Internet abzutrennen. Diese Rechner akzeptieren nur Datenverkehr von Adressen auf einer IP-Whitelist.

All diese Konfigurationen sind definiert in Code und damit von Fachkollegen geprüft und reproduzierbar.

Schnelle Fehlerbehebung

2. Minimieren potenzieller Schäden

Ausüben von Zero Trust

Um die Gefahr zu verringern, dass gestohlene Schlüssel verwendet werden, um sich als VPN-Server auszugeben, muss sich die ExpressVPN-App bei unseren API-Servern anmelden, um aktualisierte Konfigurationseinstellungen zu erhalten. Unsere Applikationen authentifizieren die Server, mit denen sie sich verbinden, indem sie die Signatur der privaten Zertifizierungsstelle und den üblichen Namen validieren, um sicherzustellen, dass ein Angreifer sich nicht als uns ausgeben kann.

Zero-Knowledge-Verschlüsselung

Wenn Sie ExpressVPN nutzen, werden Ihre Daten durch eine hoch entwickelte Mathematik mit AES-256 geschützt – demselben Verschlüsselungsstandard, der von der US-Regierung eingeführt wurde und der von Sicherheitsexperten weltweit zum Schutz geheimer Informationen eingesetzt wird. Wenn Sie den Passwort-Manager (ExpressVPN Keys) von ExpressVPN nutzen, werden Ihre sensiblen Daten mit einer Zero-Knowledge-Verschlüsselung geschützt, sodass niemand – nicht einmal wir – die in Keys gespeicherten Informationen entschlüsseln kann. Alle Daten werden immer nur auf dem Gerät des Nutzers entschlüsselt. Die Entschlüsselung kann nur mit den Verschlüsselungscodes erfolgen, die mithilfe des Hauptpassworts des Nutzers generiert werden, welches nur er allein kennt.

Um die robuste technische Sicherheit und Privatsphäre der dedizierten IP-Lösung von ExpressVPN zu gewährleisten, setzen wir eine Zero-Knowledge-Zuweisung der IP-Adresse und Blind-Token ein. Damit verhindern wir, dass ExpressVPN-Administratoren jemals einen Nutzer anhand seiner dedizierten IP-Adresse identifizieren können.

Sicheres Design

Die Modellierung von Sicherheits- und Datenschutzbedrohungen wird in die Entwurfsphase eines jeden Systems einbezogen. Wir verwenden das MITRE ATT&CK-Framework, um Bedrohungen zu identifizieren, die in unseren Entwürfen vorhanden sein können, Möglichkeiten zu deren Beseitigung zu prüfen und um ausreichende Maßnahmen zur Minimierung potenzieller Risiken anzuwenden.

Prinzip der geringsten Rechte

Alle unsere Nutzer, Dienste und Abläufe folgen dem Least-Privilege-Modell. Unsere Mitarbeiter haben nur Zugriff auf die Dienste und Produktionssysteme, die für ihre Aufgaben erforderlich sind. Unsere Support-Mitarbeiter arbeiten in zwei Umgebungen, einer für allgemeine Web-Browsing-Aktivitäten und einer restriktiven für den Zugriff auf sensible Systeme. Diese Maßnahmen minimieren die Auswirkungen und durchkreuzen die Ziele der Angreifer, sollte es ihnen gelingen, eines unserer Konten zu übernehmen.

3. Minimieren der Dauer der Kompromittierung

Sicherheitsüberwachung

Wir überwachen unsere internen Dienste und unsere Infrastruktur kontinuierlich auf anormale oder nicht autorisierte Aktivitäten. Unser Sicherheitsteam steht rund um die Uhr auf Abruf zur Verfügung und führt eine Echtzeit-Überwachung der Sicherheitswarnungen sowie deren Ersteinschätzung und Bearbeitung durch.

Automatische Rebuilds

4. Validieren unserer Sicherheitskontrollen

Interne Validierung: Penetrationstests

Wir führen regelmäßige Penetrationstests durch, um unsere Systeme und Software auf Anfälligkeiten und Schwachstellen hin zu überprüfen. Unsere Tester haben vollen Zugriff auf den Quellcode und setzen eine Kombination aus automatisierten und manuellen Tests ein, um eine gründliche Bewertung unserer Dienstleistungen und Produkte zu gewährleisten.

Externe Validierung: Sicherheitsaudits durch Dritte

Wir beauftragen unabhängige Auditoren mit der Überprüfung der Sicherheit unserer Dienstleistungen und unserer Software. Diese Aufträge dienen der Bestätigung, dass unsere internen Kontrollen bei der Abschwächung von Sicherheitsschwachstellen wirksam sind, und bieten unseren Kunden gleichzeitig eine Dokumentation über die Richtigkeit der Sicherheitsaussagen, die wir über unsere Produkte machen.

Zu der kompletten Liste von Audit-Berichten

Innovation

Wir sind bestrebt, die Sicherheitsstandards der Branche zu erfüllen und zu übertreffen, und suchen gleichzeitig ständig nach neuen Möglichkeiten, um unsere Produkte und die Privatsphäre unserer Nutzer zu schützen. Hier stellen wir zwei bahnbrechende Technologien von ExpressVPN ins Scheinwerferlicht.

Lightway: Unser Protokoll für ein hervorragendes VPN-Erlebnis

Lightway ist ein von ExpressVPN entwickeltes VPN-Protokoll. Ein VPN-Protokoll ist die Methode, mit der sich ein Gerät mit einem VPN-Server verbindet. Die meisten Anbieter nutzen die gleichen Standardprotokolle, aber wir haben uns zum Ziel gesetzt, ein Protokoll mit überlegener Leistung zu entwickeln, das das VPN-Erlebnis der Nutzer nicht nur schneller und zuverlässiger, sondern auch sicherer macht.

Lightway verwendet wolfSSL, dessen bewährte Kryptographie-Bibliothek von Dritten umfassend geprüft wurde, unter anderem anhand des Standards FIPS 140-2.
Lightway bewahrt außerdem eine perfekte vorwärts gerichtete Geheimhaltung (auch Folgenlosigkeit genannt) mit dynamischen Schlüsseln für die Verschlüsselung, die regelmäßig gelöscht und neu generiert werden.
Die Kernbibliothek von Lightway wurde als Open Source zur Verfügung gestellt, um sicherzustellen, dass sie transparent und umfassend auf ihre Sicherheit geprüft werden kann.
Lightway bietet Post-Quanten-Support und schützt Benutzer vor Angreifern, die Zugang zu klassischen und zu Quantencomputern haben. ExpressVPN ist einer der ersten VPN-Anbieter, der Post-Quanten-Schutz einsetzt, damit Benutzer auch angesichts der Fortschritte im Quantencomputing sicher bleiben.

Erfahren Sie mehr über Lightway und lesen Sie unseren Entwickler-Blog für technische Einblicke der ExpressVPN-Softwareentwickler in die Funktionsweise von Lightway. Finden Sie dort auch heraus, was Lightway besser macht als alle anderen.

TrustedServer: Mit jedem Neustart werden alle Daten gelöscht

TrustedServer ist eine von uns entwickelte VPN-Servertechnologie, die unseren Benutzern mehr Sicherheit bietet.

Sie läuft allein auf flüchtigem Speicher, auch RAM genannt. Das Betriebssystem und die Apps schreiben nie auf Festplatten, auf denen alle Daten gespeichert werden, bis sie gelöscht oder überschrieben werden. Da RAM zum Speichern von Daten Strom benötigt, werden alle Informationen auf einem Server jedes Mal gelöscht, wenn er aus- und wieder eingeschaltet wird – so wird verhindert, dass Daten und auch potenzielle Eindringlinge auf dem Rechner bleiben.
Sie erhöht die Einheitlichkeit. Mit TrustedServer läuft auf jedem ExpressVPN-Server die aktuellste Software, anstatt dass jeder Server je nach Bedarf zu unterschiedlichen Zeiten ein Update erhält. Das bedeutet, dass ExpressVPN genau weiß, was auf jedem einzelnen Server läuft – was das Risiko von Schwachstellen oder Fehlkonfigurationen minimiert und die Sicherheit des VPNs deutlich erhöht.
Die TrustedServer-Technologie wurde von PwC auditiert.

Möchten Sie mehr über die vielen Wege wissen, über die TrustedServer Nutzer schützt? Lesen Sie unseren ausführlichen Beitrag über die Technologie, geschrieben von dem Ingenieur, der das System entwickelt hat.

ExpressVPN Keys: unser integrierter Passwort-Manager

Keys ist ein vollumfänglicher Passwort-Manager, der von ExpressVPN entwickelt wurde. Wie auch unser VPN wurde Keys im Hinblick auf Sicherheit entwickelt und gibt den Nutzern die Kontrolle über ihre Daten. Wir haben sogar ein Sicherheits-Whitepaper veröffentlicht, das für vollständige Transparenz das Design und die Infrastruktur von Keys beschreibt.

Mit Keys können die Nutzer unbegrenzt viele Passwörter generieren, speichern und ausfüllen lassen. Außerdem erhalten sie Warnungen vor Sicherheitsbedrohungen und Datenschutzverletzungen. Alles, was Sie in Keys speichern, wird mit einer Zero-Knowledge-Verschlüsselung geschützt. Diese gewährleistet, dass niemand – nicht einmal ExpressVPN – die von unseren Nutzern gespeicherten Informationen entschlüsseln kann. Keys ist direkt in die ExpressVPN-Apps für iOS und Android integriert und als Browsererweiterung für Computer verfügbar. Mehr über Keys erfahren

Die dedizierte IP-Adresse von ExpressVPN: eine statische IP-Adresse mit unübertroffenem Datenschutz

Bei einer dedizierten IP-Adresse von ExpressVPN wird eine eindeutige IP-Adresse ausschließlich einem einzigen Nutzer zugewiesen. Der Vorteil ist eine konsistente Online-Identität unter gleichzeitiger Wahrung Ihrer Privatsphäre.

Traditionell teilen sich die Nutzer bei einem VPN dieselbe IP-Adresse, was ein wesentliches Element bei der Anonymisierung durch das VPN ist. Mit einer dedizierten IP-Adresse, die einem einzelnen Nutzer zugewiesen wird, müssen besondere Maßnahmen ergriffen werden, um die Anonymität zu gewährleisten.

Während heutige Lösungen Sicherheits- und Datenschutzlücken aufweisen, die die wahre IP-Adresse eines Nutzers potenziell preisgeben können, haben wir zusätzliche Maßnahmen ergriffen, um die Anonymität unserer Nutzer zu wahren, wie in unserem technischen Whitepaper erläutert.

Wir setzen ein Blind-Token-basiertes System ein, um die Zahlungsdaten von der IP-Adresse, die wir einem Nutzer zuweisen, zu entkoppeln. Dies stellt sicher, dass wir eine dedizierte IP-Adresse niemals zu einem Nutzer zurückverfolgen können.

Unabhängige Sicherheitsaudits

Wir haben festgelegt, dass wir unsere Produkte in regelmäßigen Abständen durch Dritte überprüfen lassen. Hier finden Sie in chronologischer Reihenfolge eine umfassende Liste unserer externen Audits:

Ein zweites Audit von Cure53 zu unserer ExpressVPN-Browsererweiterung (Juni 2024)
Eine Prüfung der Windows-App, um die Behebung eines DNS-Problems bezüglich Split-Tunneling zu bestätigen (April 2024)
Eine Prüfung durch KPMG, um unsere Datenschutzerklärung zu evaluieren (Dezember 2023)
Die zweite Prüfung unseres VPN-Protokolls Lightway durch Cure53 (November 2022)
Ein Audit von Cure53 zu unserer Browsererweiterung von ExpressVPN Keys (Oktober 2022)
Ein Audit von Cure53 zu unserer ExpressVPN-Browsererweiterung (Oktober 2022)
Ein Audit von KPMG zu unserer No-Logs-Richtlinie (September 2022)
Ein Sicherheitsaudit von Cure53 zu unserer iOS-App (September 2022)
Ein Sicherheitsaudit von Cure53 zu unserer Android-App (August 2022)
Ein Audit von Cure53 zu unserer Linux-App (August 2022)
Ein Audit von Cure53 zu unserer macOS-App (Juli 2022)
Ein Sicherheitsaudit von Cure53 zu unserem Aircove-Router (Juli 2022)
Ein Sicherheitsaudit von Cure53 zu TrustedServer, unserer unternehmenseigenen VPN-Servertechnologie (Mai 2022)
Ein Audit von F-Secure zu unserer Windows-App v12 (April 2022)
Ein Sicherheitsaudit von F-Secure zu unserer Windows-App v10 (März 2022)
Ein Sicherheitsaudit von Cure53 zu unserem VPN-Protokoll Lightway (August 2021)
Ein Audit von PwC Schweiz zu unserem Build-Verification-Prozess (Juni 2020)
Ein Audit von PwC Schweiz zur Einhaltung unserer Datenschutzrichtlinien und unserer internen TrustedServer-Technologie (Juni 2019)
Ein Sicherheitsaudit von Cure53 zu unserer Browsererweiterung (November 2018)

Transparenzbericht

Unsere halbjährlichen Transparenzberichte liefern Informationen über Anfragen zu Nutzerdaten, die an unsere Rechtsabteilung gerichtet werden.

Während wir regelmäßig solche Anfragen erhalten, sorgt unsere No-Logs-Richtlinie dafür, dass wir nie etwas haben, das wir teilen könnten. Wir führen keine Protokolle über Ihre Online-Aktivitäten oder Ihre persönlichen Informationen, einschließlich der von Ihnen besuchten Webseiten, der Ziele oder Metadaten Ihres Datenverkehrs, DNS-Anfragen oder der IP-Adressen, die Ihnen zugewiesen werden, wenn Sie sich mit unserem VPN verbinden. Und wir werden dies auch niemals tun.

Wir können diese Kundendaten nie bereitstellen, weil wir sie schlichtweg nicht haben. Mit der Veröffentlichung dieser zusätzlichen Informationen über die Anfragen, die wir erhalten, wollen wir noch mehr Transparenz darüber bieten, wie wir unsere Nutzer schützen.

Anfragen zu Nutzerdaten

Datumsbereich: Januar – Juni 2024

Art	Eingegangene Anfragen
Anfragen von Regierungen, Strafverfolgungsbehörden und Zivilanfragen	170
DMCA-Anfragen	259.561
Richterliche Anordnungen von Regierungsinstitutionen	2
Geheimhaltungsbefehle	0
Briefe zur nationalen Sicherheit	0

None of the requests resulted in the disclosure of user-related data.

Datumsbereich: Juli – Dezember 2023

Art	Eingegangene Anfragen
Anfragen von Regierungen, Strafverfolgungsbehörden und Zivilanfragen	194
DMCA-Anfragen	152.653
Richterliche Anordnungen von Regierungsinstitutionen	0
Geheimhaltungsbefehle	0
Briefe zur nationalen Sicherheit	0

None of the requests resulted in the disclosure of user-related data.

Bug Bounty

Im Rahmen unseres Bug Bounty-Programms laden wir Sicherheitsforscher ein, unsere Systeme zu testen und für gefundene Probleme eine finanzielle Belohnung zu erhalten. Durch dieses Programm haben wir Zugang zu einer großen Anzahl von Testern, die unsere Infrastruktur und Anwendungen regelmäßig auf Sicherheitsprobleme untersuchen. Die Ergebnisse werden dann validiert und korrigiert, damit unsere Produkte so sicher sind wie nur möglich.

Der Umfang unseres Programms umfasst Schwachstellen in unseren VPN-Servern, Apps und Browsererweiterungen, unserer Webseite und mehr. Personen, die Fehler melden, bieten wir einen sicheren Hafen, der weltweite Best Practices im Bereich der Sicherheitsforschung einhält.

Unser Bug Bounty Programm wird von Bugcrowd verwaltet. Folgen Sie diesem Link, um mehr zu erfahren oder einen Fehler zu melden.

A bar graph with an arrow on the highest bar.

Führend in der Branche

Wir setzen uns strenge Maßstäbe, glauben aber auch, dass unsere Arbeit für die Schaffung eines privateren und sichereren Internets an dieser Stelle nicht aufhören darf. Deshalb arbeiten wir mit der gesamten VPN-Branche zusammen, um die Standards anzuheben und die Nutzer besser zu schützen.

Wir sind Mitbegründer und Vorsitzender der VPN Trust Initiative (VTI), zusammen mit der Internet Infrastructure Coalition (i2Coalition) und mehreren anderen wichtigen Akteuren in der Branche. Zusätzlich zu ihrer laufenden Aufklärungs- und Befürwortungsarbeit hat die Gruppe die VTI-Prinzipien ins Leben gerufen – gemeinsame Richtlinien für verantwortungsvolle VPN-Anbieter in den Bereichen Sicherheit, Datenschutz, Transparenz und mehr. Diese bauen auf der Arbeit der früheren Transparenzinitiative von ExpressVPN in Zusammenarbeit mit dem Center for Democracy and Technology auf.

Einige der Innovationen, bei denen wir Pionierarbeit geleistet haben, haben dazu beigetragen, die VPN-Branche voranzubringen Wir waren die Ersten, die TrustedServer entwickelt haben, und seitdem sind andere unserem Beispiel gefolgt und haben ähnliche Technologien eingeführt. Lightway ist ein weiteres Beispiel für eine Technologie, die wir von Grund auf neu entwickelt haben, und wir hoffen, dass sie durch die Freigabe des Codes als Open-Source einen Einfluss auf die gesamte VPN-Branche haben wird.

Bemerkenswerte Datenschutz-Initiativen

Finden Sie mehr darüber heraus, wie wir die Privatsphäre unserer Kunden schützen.

ioXT-zertifiziert

ExpressVPN ist eine der wenigen VPN-Apps, die von der ioXt Alliance für Sicherheitsstandards zertifiziert wurden, sodass Verbraucher unsere Dienste mit größerem Vertrauen nutzen können.

In-App-Datenschutzfunktionen

Wir haben in unserer App für Android eine Funktion namens Netzschutz-Übersicht eingeführt, die den Nutzern hilft, ihre Privatsphäre mit praktischen Richtlinien zu schützen.

Digital Security Lab

Wir haben das Digital Security Lab ins Leben gerufen, um reale Datenschutzprobleme tiefgehend zu erforschen. Sehen Sie sich die Tools für Leak-Tests an, die Ihnen helfen, die Sicherheit Ihres VPNs zu überprüfen.