Update 19. September 2025: Dieser Artikel wurde aktualisiert, um das neueste Audit unserer No-Logs-Richtlinie durch Securitum vorzustellen. Links zu all unseren Audits der No-Logs-Richtlinie sind enthalten.

Wir freuen uns bekannt zu geben, dass Proton VPN ein viertes jährliches Drittanbieter-Audit unserer Infrastruktur in Folge bestanden hat, das unsere strikte No-Logs-Richtlinie bestätigt. Wenn wir sagen, dass wir ein No-Logs-VPN sind, ist das nicht nur eine Behauptung: Es wurde von unabhängigen Experten doppelt geprüft.

Als eine Organisation, die von Wissenschaftlern gegründet wurde, die sich am CERN trafen, glauben wir an Peer-Review und Transparenz. Dies ist auch der Grund, warum wir alle unsere Apps Open Source machen, damit jeder unseren Code untersuchen kann.

Natürlich verstehen wir, dass nicht jeder die Zeit oder Fähigkeiten hat, Code selbst zu inspizieren. Deshalb reichen wir unsere Apps zusätzlich zu unseren internen Audits regelmäßig für Sicherheitsaudits durch Drittanbieter(neues Fenster) ein und machen die Ergebnisse öffentlich. Auf diese Weise kann jeder die Meinung eines unabhängigen Experten zur Sicherheit unserer Apps einholen.

Im jüngsten Sicherheitsaudit aller Proton-Apps(neues Fenster) deckten Sicherheitsexperten von Securitum(neues Fenster), einem führenden europäischen Sicherheitsaudit-Unternehmen, das jedes Jahr mehr als 300 Sicherheitstestprojekte für große Konzerne und Banken betreut, keine signifikanten Sicherheitsprobleme auf. Dies zeigt, dass Protons interne Audits und die Kultur der sicheren Softwareentwicklung effektiv sind. Und da der Code unserer Apps komplett Open Source ist, wird unsere Sicherheit durch unser Bug-Bounty-Programm(neues Fenster) gestärkt, das Sicherheitsexperten aus der ganzen Welt zusammenbringt, um unsere Anwendungen zu überprüfen.

Bei einem VPN-Dienst ist es jedoch auch wichtig zu verifizieren, was auf der Serverseite passiert, und nicht nur auf der Anwendungsseite.

Warum es wichtig ist, die No-Logs-Richtlinie eines VPNs zu verifizieren

Wenn du dich mit einem VPN verbindest, wird es effektiv zu deinem Internetanbieter, was bedeutet, dass jeder VPN-Anbieter technisch in der Lage ist, zu verfolgen und zu protokollieren, was du online tust. Während viele VPNs behaupten, No-Logs-Richtlinien zu haben, halten diese Richtlinien nicht immer stand, wenn sie auf die Probe gestellt werden.

Proton VPNs strikte No-Logs-Richtlinie wurde in einem Rechtsfall im Jahr 2019 getestet. Wir wurden angewiesen, Protokolle herauszugeben, um bei der Identifizierung eines Benutzers zu helfen, aber wir konnten dem nicht nachkommen, da diese Protokolle nicht existierten. Proton VPNs Schweizer Gerichtsbarkeit bringt auch zusätzliche Vorteile für VPN-Dienste mit sich. Zum Beispiel hat Proton VPN im Rahmen des aktuellen Schweizer Rechtsrahmens keine Protokollierungsanforderungen. Es besteht jedoch weiterhin die Möglichkeit, dass eine fehlerhafte Serverkonfiguration oder eine mangelhafte Systemarchitektur dazu führen könnte, dass Protokolle versehentlich gespeichert werden.

Um dies anzugehen, haben wir Securitum gebeten, regelmäßige gründliche Untersuchungen unserer Infrastruktur und serverseitigen Abläufe durchzuführen. Jedes Jahr verbrachten Sicherheitsexperten von Securitum mehrere Tage vor Ort, um unsere VPN-Konfigurationsdateien und Serverkonfigurationen zu überprüfen, unsere Betriebsabläufe zu bewerten und unsere Mitarbeiter zu interviewen. Ihre jährlichen Audits sind umfangreich und prüften Folgendes:

  • Wird Benutzeraktivität auf den Produktions-VPN-Servern, die Benutzerdatenverkehr verarbeiten, verfolgt oder protokolliert?
  • Werden Verbindungsmetadaten, wie DNS-Anfragen oder Sitzungszeitstempel, auf VPN-Servern protokolliert?
  • Wird Benutzer-Netzwerkverkehr aktiv inspiziert oder werden dessen Inhalte auf VPN-Servern protokolliert?
  • Werden Informationen bezüglich der spezifischen Dienste (z. B. Websites, externe Server), mit denen sich ein Benutzer verbindet, überwacht oder protokolliert?
  • Werden aggregierte Protokolle geführt, die zugegriffene Dienste (z. B. Websites, Server) mit dem spezifisch verwendeten VPN-Server korrelieren?
  • Wird die No-Logs-Richtlinie einheitlich über alle Server, in allen geografischen Regionen und für alle Benutzer-Abonnementstufen angewendet?
  • Ist ein automatisierter Prozess vorhanden, um unautorisierte Konfigurationsänderungen zu erkennen und Warnungen zu generieren, die Protokollierung aktivieren könnten (z. B. Ändern eines „log“-Parameters von false auf true)?
  • Wird ein formeller Change-Management-Prozess, der ein Vier-Augen-Prinzip beinhaltet, für alle autorisierten Änderungen an protokollierungsbezogenen Konfigurationen durchgesetzt?
  • Enthalten die aktiven Konfigurationsdateien für die Kern-VPN-Dienste irgendwelche aktivierten Protokollierungsanweisungen?
  • Werden Informationen protokolliert, die einen spezifischen Benutzer mit einem spezifischen VPN-Server verknüpfen, mit dem er verbunden ist?

Die resultierenden Berichte bestätigen, dass wir keine Metadaten-Protokolle führen, deine VPN-Aktivität nicht protokollieren und keine Praktiken anwenden, die deine Privatsphäre gefährden könnten.

Die Berichte bestätigen auch, dass, während Proton VPN mehr Funktionen und Funktionalität zu unserem Dienst hinzufügt, dies in keiner Weise unsere strikte No-Logs-Richtlinie beeinträchtigt. Wie der neueste Bericht (2025) schlussfolgert:

„Die überprüften technischen Beweise zeigten keine Fälle von Protokollierung der Benutzeraktivität, Speicherung von Verbindungsmetadaten oder Inspektion des Netzwerkverkehrs, die der No-Logs-Richtlinie widersprechen würden. Darüber hinaus verifizierte das Audit die Implementierung robuster administrativer und technischer Kontrollen, einschließlich automatisiertem Konfigurationsmanagement und einem formellen Änderungsprozess mit Vier-Augen-Prinzip, die darauf ausgelegt sind, die kontinuierliche Integrität der Umgebung ohne Protokollierung sicherzustellen.

Basierend auf diesen Erkenntnissen bescheinigt Securitum, dass der Proton VPN-Dienst, wie er zum Zeitpunkt des Audits konfiguriert war, die in seiner No-Logs-Richtlinie dargelegten Datenschutzverpflichtungen vollständig erfüllt“.

Du kannst den neuesten vollständigen Bericht von Securitum unten lesen:

Im Einklang mit den Empfehlungen von Securitum ist dies nun das dritte jährliche Audit unserer No-Logs-Richtlinie in Folge. Du kannst auch unsere vergangenen No-Logs-Audits von Securitum lesen:

Vertrauen durch Transparenz

Bei Proton glauben wir, dass alle Behauptungen untersucht und verifiziert werden sollten, einschließlich unserer eigenen. In Zukunft werden wir weiterhin regelmäßige Sicherheitsaudits durchführen und die Ergebnisse veröffentlichen, damit du den Bericht eines unabhängigen Sicherheitsexperten lesen kannst, bevor du uns deine Daten anvertraust.

Wenn du ein Sicherheitsforscher bist, laden wir dich auch ein, die Sicherheit bei Proton durch unser Bug-Bounty-Programm(neues Fenster) zu unterstützen, das großzügige Prämien für jeden bietet, der Schwachstellen in unseren Open-Source-Diensten identifizieren kann.

Registriere dich für Proton VPN(neues Fenster), um ein transparentes, Open-Source- und vollständig geprüftes No-Logs-VPN zu erhalten, das deine Privatsphäre respektiert