Anmerkung der Redaktion: Dieser Artikel wurde aktualisiert, um das neueste Audit unserer No Logs-Richtlinie durch Securitum vorzustellen. Links zu all unseren Audits der No Logs-Richtlinie sind enthalten.

Wir freuen uns, ankündigen zu können, dass Proton VPN das fünfte Jahr in Folge ein jährliches Audit unserer Infrastruktur durch Drittanbieter bestanden hat, das unsere strenge No Logs-Richtlinie bestätigt. Wenn wir sagen, dass wir ein No-Logs-VPN sind, ist das nicht nur ein Versprechen: Es wurde von unabhängigen Experten überprüft.

Viele unserer Konkurrenten wurden noch nie unabhängig geprüft oder haben ein Ablenkungsmanöver durchgeführt, indem sie ihre Privatsphäre-Richtlinie statt ihrer tatsächlichen No-Logs-Infrastruktur prüfen ließen. Und selbst wenn ihre No-Logs-Behauptungen unabhängig durch ein Audit verifiziert wurden, veröffentlichen viele die Ergebnisse nicht, verlangen von dir die Unterzeichnung einer Vertraulichkeitsvereinbarung für den Zugriff, machen sie nur zahlenden Kunden zugänglich oder erschweren das Lesen auf andere Weise.

Im Gegensatz dazu veröffentlicht Proton VPN den vollständigen No-Logs-Bericht offen, damit ihn jeder lesen kann. Als eine Organisation, die von Wissenschaftlern gegründet wurde, die sich am CERN kennengelernt haben, glauben wir an Peer-Review und Transparenz. Aus diesem Grund machen wir auch alle unsere Apps Open Source, sodass jeder unseren Code überprüfen kann.

Natürlich verstehen wir, dass nicht jeder die Zeit oder Fähigkeiten hat, Code selbst zu inspizieren. Deshalb reichen wir unsere Apps zusätzlich zu unseren internen Audits regelmäßig für Sicherheitsaudits durch Drittanbieter(neues Fenster) ein und machen die Ergebnisse öffentlich. Auf diese Weise kann jeder die Meinung eines unabhängigen Experten zur Sicherheit unserer Apps einholen.

Im jüngsten Sicherheitsaudit aller Proton-Apps(neues Fenster) haben die Sicherheitsexperten von Securitum(neues Fenster), einem führenden europäischen Sicherheitsaudit-Unternehmen, das jedes Jahr mehr als 300 Sicherheitstestprojekte für Großkonzerne und Banken betreut, keine wesentlichen Sicherheitsprobleme aufgedeckt. Dies zeigt, dass Protons interne Audits und die Kultur einer sicheren Softwareentwicklung effektiv sind. Und da der Code unserer Apps vollständig Open Source ist, wird unsere Sicherheit durch unser Bug-Bounty-Programm(neues Fenster) gestärkt, das Sicherheitsexperten aus der ganzen Welt zusammenbringt, um unsere Anwendungen zu überprüfen.

Bei einem VPN-Dienst ist es jedoch auch wichtig zu verifizieren, was auf der Serverseite passiert, und nicht nur auf der Anwendungsseite.

Warum es wichtig ist, die No-Logs-Richtlinie eines VPNs zu verifizieren

Wenn du dich mit einem VPN verbindest, wird es effektiv zu deinem Internetanbieter, was bedeutet, dass jeder VPN-Anbieter technisch in der Lage ist, zu verfolgen und zu protokollieren, was du online tust. Während viele VPNs behaupten, No-Logs-Richtlinien zu haben, halten diese Richtlinien nicht immer stand, wenn sie auf die Probe gestellt werden.

Die strenge No Logs-Richtlinie von Proton VPN wurde bisher in über 400 Rechtsfällen auf die Probe gestellt. Wir wurden angewiesen, Protokolle auszuhändigen, um unsere Benutzer zu identifizieren, aber wir konnten dem nicht nachkommen, da diese Protokolle nicht existierten.

Die Schweizer Gerichtsbarkeit von Proton VPN bringt auch zusätzliche Vorteile für VPN-Dienste mit sich. Beispielsweise gibt es innerhalb des aktuellen Schweizer Rechtsrahmens keine Protokollierungspflichten für Proton VPN. Es besteht jedoch weiterhin die Möglichkeit, dass eine fehlerhafte Serverkonfiguration oder eine fehlerhafte Systemarchitektur dazu führt, dass Protokolle versehentlich gespeichert werden.

Um dies zu beheben, haben wir Securitum gebeten, regelmäßige gründliche Überprüfungen unserer Infrastruktur und serverseitigen Abläufe durchzuführen. Jedes Jahr verbrachten die Sicherheitsexperten von Securitum mehrere Tage vor Ort, um unsere VPN-Konfigurationsdateien und Serverkonfigurationen zu überprüfen, unsere Betriebsabläufe zu bewerten und unsere Mitarbeiter zu befragen. Ihre jährlichen Audits sind umfangreich und prüften Folgendes:

  • Wird Benutzeraktivität auf den Produktions-VPN-Servern, die Benutzerdatenverkehr verarbeiten, verfolgt oder protokolliert?
  • Werden Verbindungsmetadaten, wie DNS-Anfragen oder Sitzungszeitstempel, auf VPN-Servern protokolliert?
  • Wird Benutzer-Netzwerkverkehr aktiv inspiziert oder werden dessen Inhalte auf VPN-Servern protokolliert?
  • Werden Informationen bezüglich der spezifischen Dienste (z. B. Websites, externe Server), mit denen sich ein Benutzer verbindet, überwacht oder protokolliert?
  • Werden aggregierte Protokolle geführt, die zugegriffene Dienste (z. B. Websites, Server) mit dem spezifisch verwendeten VPN-Server korrelieren?
  • Wird die No Logs-Richtlinie auf allen Servern, in allen geografischen Regionen und für alle Abonnementstufen der Benutzer einheitlich angewendet?
  • Gibt es einen automatisierten Prozess, um unbefugte Konfigurationsänderungen, die eine Protokollierung aktivieren könnten (z. B. das Ändern eines „Log“-Parameters von false auf true), zu erkennen und entsprechende Warnungen zu generieren?
  • Wird für alle autorisierten Änderungen an protokollierungsbezogenen Konfigurationen ein formaler Change-Management-Prozess angewendet, der das Vier-Augen-Prinzip beinhaltet?
  • Enthalten die aktiven Konfigurationsdateien für die Kern-VPN-Dienste irgendwelche aktivierten Protokollierungsanweisungen?
  • Werden Informationen protokolliert, die einen spezifischen Benutzer mit einem spezifischen VPN-Server verknüpfen, mit dem er verbunden ist?

Die resultierenden Berichte bestätigen, dass wir keine Metadaten-Protokolle führen, deine VPN-Aktivitäten nicht protokollieren und keine Praktiken anwenden, die deine Privatsphäre gefährden könnten. Die Berichte bestätigen außerdem, dass die Hinzufügung weiterer Funktionen zu unserem Dienst durch Proton VPN in keiner Weise unsere strenge No Logs-Richtlinie beeinträchtigt. Der neueste Bericht (2026) kommt zu folgendem Schluss:

„Die während der Prüfung gesichteten technischen Beweise deuten nicht darauf hin, dass die untersuchte Serverinfrastruktur von Proton VPN die Browseraktivitäten, DNS-Abfragen, Zielseiten-Dienste, Inhalte des Netzwerkverkehrs oder benutzeridentifizierbare Verbindungsmetadaten der Benutzer protokolliert. Securitum hat auch keine dauerhaften Aufzeichnungen gefunden, die es Proton ermöglichen würden, einen bestimmten Benutzer mit Aktivitäten in Verbindung zu bringen, die über einen überprüften VPN-Server durchgeführt wurden.“

Du kannst den neuesten vollständigen Bericht von Securitum unten lesen:

Gemäß den Empfehlungen von Securitum ist dies nun das fünfte jährliche Audit unserer No Logs-Richtlinie in Folge. Du kannst auch unsere früheren No-Logs-Audits von Securitum lesen:

Vertrauen durch Transparenz

Bei Proton glauben wir, dass alle Behauptungen untersucht und verifiziert werden sollten, einschließlich unserer eigenen. In Zukunft werden wir weiterhin regelmäßige Sicherheitsaudits durchführen und die Ergebnisse veröffentlichen, damit du den Bericht eines unabhängigen Sicherheitsexperten lesen kannst, bevor du uns deine Daten anvertraust.

Wenn du ein Sicherheitsforscher bist, laden wir dich auch ein, die Sicherheit bei Proton durch unser Bug-Bounty-Programm(neues Fenster) zu unterstützen, das großzügige Prämien für jeden bietet, der Schwachstellen in unseren Open-Source-Diensten identifizieren kann.

Registriere dich für Proton VPN(neues Fenster), um ein transparentes, Open-Source- und vollständig geprüftes No-Logs-VPN zu erhalten, das deine Privatsphäre respektiert