Der VPN-Anbieter TunnelBear hat sich einem Audit der deutschen cure53 unterzogen und will damit einen Gegenpol zum verwilderten, unkontrollierten und in vielen Fällen schlichtweg gefährlichen Markt von VPN-Anbietern schaffen.
Consumers and experts alike have good reason to question the security claims of the VPN industry. Over the last few years, many less reputable VPN companies have abused users‘ trust by selling their bandwidth, their browsing data, offering poor security or even embedding malware. […] Being within the industry, it’s been hard to watch. We knew TunnelBear was doing the right things. We were diligent about security. We deeply respected our users‘ privacy. While we can’t restore trust in the industry, we realized we could go further in demonstrating to our customers why they can, and should, have trust in TunnelBear.
cure53, die deutsche Pentesting-Firma, die den Audit in zwei Durchläufen von Mitte 2016 bis Anfang 2017 durchgeführt hat, kommt in der Conclusio zu einem durchaus positiven Ergebnis, was die Bereitschaft und Geschwindigkeit zur Verbesserung der Services von TunnelBear angeht:
The progress made by TunnelBear over the course of half a year [zwischen dem ersten und dem zweiten Audit] demonstrates how the potential of a security audit and advice in the VPN realm may be harnessed to hoist up the safeguarding strategies within the entire software compound. After undergoing the first challenging security test which ended with several critical & high severity findings, the TunnelBear team seems to have redoubled efforts on security. The results of the second audit clearly underline that, and TunnelBear deserves recognition for implementing a better level of security, for both the servers and infrastructure, as well as the clients and browser extensions for various platforms.
Man mag von VPN-Anbietern halten, was man will, dieser Schritt – Audits durch externe Anbieter – ist aber definitiv einer in die richtige Richtung. Ob das Marketing von VPN-Anbietern hier auch nachzieht und dem Kunden verständlich macht, was ein VPN leisten kann (und was nicht), ist eine andere Sache.
Die Nutzung der Services eines VPN-Anbieters kann von Vorteil sein, ist aber in den meisten Fällen nicht die Lösung für Probleme, die das Marketing des Anbieters nennt. Wer der Meinung ist, VPNs nutzen zu wollen – und es gibt gute Gründe, dies zu tun – sollte sich gründlich über die Funktionsweise und die sich daraus ergebenden Möglichkeiten (und Unmöglichkeiten) informieren. Es gibt einige gute Informationsquellen zum Thema, wie zB prism-break.org/de, privacytools.io oder das Surveillance Self-Defense-Tutorial der EFF, sowie diverse Satements von Security-Spezialisten wie Zeynep Tufekci oder Kenn White, ich kann der interessierten Leserschaft jedoch aus eigener Erfahrung nur den Besuch einer Cryptoparty empfehlen, bei der man im Gespräch eruieren kann, welches Problem man eigentlich hat und ob ein VPN dafür die richtige Lösung ist.