Update vom 19. September 2025: Dieser Artikel wurde aktualisiert, um das neueste Audit unserer No Logs-Richtlinie durch Securitum vorzustellen. Links zu allen Audits unserer No Logs-Richtlinie sind enthalten.

Wir freuen uns bekannt zu geben, dass Proton VPN zum vierten Mal in Folge ein jährliches Infrastruktur-Audit durch einen Drittanbieter bestanden hat, das unsere strikte No Logs-Richtlinie bestätigt. Wenn wir sagen, dass wir ein No-Logs-VPN sind, ist das nicht nur eine Behauptung: Es wurde von unabhängigen Experten doppelt überprüft.

Als Organisation, die von Wissenschaftlern gegründet wurde, die sich am CERN kennengelernt haben, glauben wir an Peer-Review und Transparenz. Deshalb machen wir alle unsere Apps Open Source, damit jeder unseren Code überprüfen kann.

Natürlich verstehen wir, dass nicht jeder die Zeit oder die Fähigkeiten hat, Code selbst zu überprüfen. Deshalb lassen wir unsere Apps zusätzlich zu unseren internen Audits regelmäßig Sicherheitsaudits durch Drittanbieter(neues Fenster) unterziehen und veröffentlichen die Ergebnisse. So kann sich jeder eine unabhängige Meinung von Experten zur Sicherheit unserer Apps einholen.

Im jüngsten Sicherheitsaudit aller Proton-Apps(neues Fenster) deckten Sicherheitsexperten von Securitum(neues Fenster), einem führenden europäischen Sicherheitsaudit-Unternehmen, das jedes Jahr mehr als 300 Sicherheitstestprojekte für Großkonzerne und Banken betreut, keine wesentlichen Sicherheitsprobleme auf. Dies zeigt, dass die internen Audits und die Kultur der sicheren Softwareentwicklung bei Proton effektiv sind. Und weil der Code unserer Apps vollständig Open Source ist, wird unsere Sicherheit durch unser Bug-Bounty-Programm(neues Fenster) gestärkt, das Sicherheitsexperten aus der ganzen Welt zusammenbringt, um unsere Anwendungen zu überprüfen.

Bei einem VPN-Dienst ist es jedoch auch wichtig zu überprüfen, was auf der Serverseite passiert, und nicht nur auf der Anwendungsseite.

Warum es wichtig ist, die No Logs-Richtlinie eines VPNs zu überprüfen

Wenn du dich mit einem VPN verbindest, wird es effektiv zu deinem Internetanbieter, was bedeutet, dass jeder VPN-Anbieter technisch in der Lage ist, zu verfolgen und zu protokollieren, was du online tust. Während viele VPNs behaupten, No Logs-Richtlinien zu haben, halten diese Richtlinien nicht immer stand, wenn sie auf die Probe gestellt werden.

Die strikte No Logs-Richtlinie von Proton VPN wurde in einem Rechtsfall im Jahr 2019 geprüft. Wir wurden angewiesen, Protokolle herauszugeben, um bei der Identifizierung eines Benutzers zu helfen, konnten dem aber nicht nachkommen, da diese Protokolle nicht existierten. Der Schweizer Gerichtsstand von Proton VPN bringt auch zusätzliche Vorteile für VPN-Dienste mit sich. Zum Beispiel hat Proton VPN im aktuellen Schweizer Rechtsrahmen keine Protokollierungspflichten. Es besteht jedoch die Möglichkeit, dass eine falsche Serverkonfiguration oder eine fehlerhafte Systemarchitektur dazu führen könnte, dass Protokolle versehentlich gespeichert werden.

Um dies anzugehen, haben wir Securitum gebeten, regelmäßige gründliche Untersuchungen unserer Infrastruktur und serverseitigen Abläufe durchzuführen. Jedes Jahr verbrachten Sicherheitsexperten von Securitum mehrere Tage vor Ort, um unsere VPN-Konfigurationsdateien und Serverkonfigurationen zu überprüfen, unsere Betriebsabläufe zu bewerten und unsere Mitarbeiter zu befragen. Ihre jährlichen Audits sind umfassend und prüften Folgendes:

  • Wird Benutzeraktivität auf den Produktions-VPN-Servern, die den Benutzerverkehr abwickeln, verfolgt oder protokolliert?
  • Werden Verbindungsmetadaten, wie DNS-Abfragen oder Sitzungszeitstempel, auf VPN-Servern protokolliert?
  • Wird der Netzwerkverkehr der Benutzer aktiv inspiziert oder werden dessen Inhalte auf VPN-Servern protokolliert?
  • Werden Informationen bezüglich der spezifischen Dienste (z. B. Websites, externe Server), mit denen sich ein Benutzer verbindet, überwacht oder protokolliert?
  • Werden aggregierte Protokolle geführt, die zugegriffene Dienste (z. B. Websites, Server) mit dem spezifischen genutzten VPN-Server korrelieren?
  • Wird die No Logs-Richtlinie einheitlich auf alle Server, in allen geografischen Regionen und auf alle Benutzer-Abonnementstufen angewendet?
  • Gibt es einen automatisierten Prozess, um unautorisierte Konfigurationsänderungen zu erkennen und Warnungen zu generieren, die die Protokollierung aktivieren könnten (z. B. das Ändern eines “log”-Parameters von false auf true)?
  • Wird ein formeller Change-Management-Prozess, der ein Vier-Augen-Prinzip beinhaltet, für alle autorisierten Änderungen an protokollierungsbezogenen Konfigurationen durchgesetzt?
  • Enthalten die aktiven Konfigurationsdateien für die Kern-VPN-Dienste irgendwelche aktivierten Protokollierungsanweisungen?
  • Werden Informationen protokolliert, die einen spezifischen Benutzer mit einem spezifischen VPN-Server, mit dem er verbunden ist, in Verbindung bringen?

Die resultierenden Berichte bestätigen, dass wir keine Metadaten-Protokolle führen, deine VPN-Aktivität nicht protokollieren und keine Praktiken anwenden, die deine Privatsphäre gefährden könnten.

Die Berichte bestätigen auch, dass, während Proton VPN unserem Dienst weitere Funktionen und Funktionalitäten hinzufügt, dies in keiner Weise unsere strikte No Logs-Richtlinie beeinträchtigt. Wie der neueste Bericht (2025) schlussfolgert:

“Die geprüften technischen Beweise zeigten keine Fälle von Protokollierung der Benutzeraktivität, Speicherung von Verbindungsmetadaten oder Inspektion des Netzwerkverkehrs, die der No Logs-Richtlinie widersprechen würden. Darüber hinaus verifizierte das Audit die Implementierung robuster administrativer und technischer Kontrollen, einschließlich automatisiertem Konfigurationsmanagement und einem formellen Änderungsprozess mit Vier-Augen-Prinzip, die darauf ausgelegt sind, die kontinuierliche Integrität der Umgebung ohne Protokollierung sicherzustellen.

Basierend auf diesen Erkenntnissen bescheinigt Securitum, dass der Proton VPN-Dienst, wie er zum Zeitpunkt des Audits konfiguriert war, die in seiner No Logs-Richtlinie dargelegten Datenschutzverpflichtungen vollständig erfüllt”.

Du kannst den neuesten vollständigen Bericht von Securitum unten lesen:

In Übereinstimmung mit den Empfehlungen von Securitum ist dies nun das dritte aufeinanderfolgende jährliche Audit unserer No Logs-Richtlinie. Du kannst auch unsere vergangenen No Logs-Audits von Securitum lesen:

Vertrauen durch Transparenz

Bei Proton glauben wir, dass alle Behauptungen untersucht und verifiziert werden sollten, auch unsere eigenen. Auch in Zukunft werden wir regelmäßige Sicherheitsaudits durchführen und die Ergebnisse veröffentlichen, damit du den Bericht eines unabhängigen Sicherheitsexperten lesen kannst, bevor du uns deine Daten anvertraust.

Wenn du ein Sicherheitsforscher bist, laden wir dich auch ein, die Sicherheit bei Proton durch unser Bug-Bounty-Programm(neues Fenster) zu unterstützen, das großzügige Prämien für jeden bietet, der Schwachstellen in unseren Open Source-Diensten identifizieren kann.

Registriere dich für Proton VPN(neues Fenster), um ein transparentes, Open Source- und vollständig geprüftes No-Logs-VPN zu erhalten, das deine Privatsphäre respektiert