vpn

Ist ExpressVPN sicher? Sicherheit, Datenschutz & Audit-Analyse

Ist ExpressVPN sicher? Ergebnisse unabhängiger Audits, Verschlüsselungsprotokolle, Jurisdiktionsanalyse, Kill-Switch-Tests und Verifizierung der No-Logs-Richtlinie.

VPN.com Editorial Team · ·9 Min. Lesezeit

Ist ExpressVPN sicher? Eine tiefgehende Sicherheitsanalyse

ExpressVPN erzielt einen Trust-Score von 85/100, basierend auf verifizierten No-Logs-Audits, AES-256-Verschlüsselung und RAM-only-Servern in 105 Ländern. Der Dienst unterliegt der Jurisdiktion der Britischen Jungferninseln, außerhalb der 14-Eyes-Überwachungsallianzen. Mehrere unabhängige Audits von KPMG und Cure53 bestätigen, dass die No-Logs-Behauptungen einer eingehenden Prüfung standhalten.

Jurisdiktion: Warum die Britischen Jungferninseln eine Rolle spielen

ExpressVPN ist auf den Britischen Jungferninseln eingetragen, einem selbstverwalteten britischen Überseegebiet. Die BVI haben keine Pflicht zur Datenspeicherung für VPN-Anbieter. Diese eine Tatsache bestimmt, wie ExpressVPN auf behördliche Datenanfragen reagiert.

Die BVI stehen außerhalb der 5-Eyes-, 9-Eyes- und 14-Eyes-Geheimdienstkooperationen. Anfragen ausländischer Regierungen müssen den BVI-High-Court passieren, bevor sie ExpressVPN erreichen. Die BVI sind nicht verpflichtet, ausländische Vorladungen oder Überwachungsanordnungen direkt zu erfüllen.

Dieser Jurisdiktionsvorteil erwies sich 2017 als real. Türkische Behörden beschlagnahmten im Zuge einer politischen Ermittlung einen ExpressVPN-Server. Der Server enthielt keinerlei Nutzerdaten und bestätigte damit, dass die No-Logs-Richtlinie auch unter tatsächlichem Regierungsdruck funktioniert.

Geschichte der unabhängigen Audits

ExpressVPN hat mehr Sicherheitsaudits durch Dritte abgeschlossen als die meisten Mitbewerber. Jedes Audit untersuchte verschiedene Aspekte der Datenschutz- und Sicherheitsversprechen des Dienstes.

KPMG No-Logs-Audits

KPMG prüfte die No-Logs-Richtlinie von ExpressVPN im Jahr 2022 und erneut im Jahr 2024. Beide Audits bestätigten, dass die TrustedServer-Technologie von ExpressVPN keine Aktivitätsprotokolle, Verbindungsprotokolle oder IP-Adressen speichert. KPMG testete Produktionsserver und interne Systeme, um diese Behauptungen unabhängig zu verifizieren.

Cure53-Sicherheitsaudits

Cure53, ein angesehenes deutsches Cybersicherheitsunternehmen, hat ExpressVPN mehrfach geprüft. Im Jahr 2019 untersuchte Cure53 die Browser-Erweiterungen und fand keine kritischen Schwachstellen. 2021 wurde das Lightway-Protokoll auditiert und die kryptografische Implementierung als solide bestätigt. Ein Audit im Jahr 2022 bewertete die TrustedServer-Infrastruktur als stark.

PwC-Audit

PricewaterhouseCoopers führte 2019 ein frühes No-Logs-Audit durch. PwC verifizierte, dass die Serverkonfiguration von ExpressVPN mit der öffentlichen Datenschutzrichtlinie übereinstimmt. Dies war eines der ersten großen Audits, die ExpressVPN in Auftrag gab.

ExpressVPN veröffentlicht Zusammenfassungen aller Audit-Ergebnisse auf seiner Website. Die vollständigen Cure53-Berichte sind öffentlich zugänglich, was für die VPN-Branche eine überdurchschnittliche Transparenz darstellt.

Protokollierungsrichtlinie: Was gespeichert wird und was nicht

Die Datenschutzrichtlinie von ExpressVPN legt klar dar, welche Daten gesammelt werden. Das Verständnis der Einzelheiten ist wichtiger als Marketingversprechen.

Daten, die ExpressVPN NICHT speichert

ExpressVPN protokolliert Ihren Browserverlauf, Ihr Traffic-Ziel, Ihre DNS-Anfragen oder Ihre IP-Adresse nicht. Es werden keine Verbindungszeitstempel, Sitzungsdauern oder zugewiesene VPN-IP-Adressen aufgezeichnet. Der Inhalt Ihrer Kommunikation wird durch kein Protokollierungssystem erfasst.

Daten, die ExpressVPN SAMMELT

ExpressVPN erfasst aggregierte Verbindungsdaten: welche App-Version Sie verwenden, welchen Serverstandort Sie gewählt haben (nicht den spezifischen Server) und die insgesamt täglich verbrauchte Bandbreite. Diese Daten können keine einzelnen Nutzer identifizieren oder Aktivitäten mit bestimmten Konten verknüpfen. Sie werden genutzt, um die Serverkapazität im Netzwerk mit über 3.000 Servern aufrechtzuerhalten.

Ihre Konto-E-Mail-Adresse, Zahlungsinformationen und der Verlauf Ihrer Support-Tickets werden zu Abrechnungszwecken gespeichert. Nutzer, die maximale Anonymität wünschen, können mit Bitcoin zahlen oder eine Wegwerf-E-Mail-Adresse verwenden.

Verschlüsselungsstandards und Protokolle

ExpressVPN verwendet AES-256-GCM-Verschlüsselung als Standardvorgabe. Dies ist das gleiche Verschlüsselungsniveau, das die US-Regierung für klassifizierte Informationen verwendet. Das Knacken von AES-256 würde Rechenleistung erfordern, die derzeit nicht existiert.

Verfügbare Protokolle

ExpressVPN bietet in seinen Apps 4 VPN-Protokolle an. Lightway ist das hauseigene Protokoll, das auf wolfSSL basiert und ChaCha20- oder AES-256-Verschlüsselung verwendet. OpenVPN läuft sowohl über UDP als auch über TCP mit AES-256-GCM. IKEv2/IPSec ist auf ausgewählten Plattformen für schnelle mobile Verbindungen verfügbar.

Lightway verdient besondere Aufmerksamkeit. Sein Quellcode umfasst etwa 2.000 Zeilen, verglichen mit über 70.000 Zeilen bei OpenVPN. Weniger Zeilen bedeuten weniger potenzielle Schwachstellen und schnellere Verbindungszeiten unter einer Sekunde. Cure53 prüfte den Quellcode von Lightway, den ExpressVPN als Open Source auf GitHub veröffentlicht hat.

Perfect Forward Secrecy

ExpressVPN handelt für jede Verbindungssitzung einen neuen Verschlüsselungsschlüssel aus. Sollte ein Angreifer auf irgendeine Weise einen Sitzungsschlüssel kompromittieren, bleiben vergangene und zukünftige Sitzungen geschützt. Diese Funktion verhindert die rückwirkende Massenentschlüsselung abgefangener Daten.

Kill Switch und DNS-Leckschutz

ExpressVPN nennt seinen Kill Switch „Network Lock”. Er aktiviert sich standardmäßig unter Windows, Mac, Linux und auf Routern. Network Lock blockiert den gesamten Internetverkehr, wenn die VPN-Verbindung unerwartet abbricht.

Network Lock arbeitet auf Firewall-Ebene, nicht auf Anwendungsebene. Dieser Ansatz verhindert Lecks während kurzer Wiederverbindungsfenster, die anwendungsbasierte Kill Switches häufig übersehen. Er lässt Datenverkehr nur durch den VPN-Tunnel und zu den DNS-Servern von ExpressVPN zu.

ExpressVPN betreibt auf jedem Server ein eigenes, privates und verschlüsseltes DNS. Ihre DNS-Anfragen berühren nie DNS-Anbieter Dritter wie Google oder Cloudflare. Dies eliminiert das DNS-Leck-Risiko auf Infrastrukturebene, anstatt sich auf Software-Patches zu verlassen.

Unabhängige Testtools zeigen konsistent null DNS-Lecks, null WebRTC-Lecks und null IPv6-Lecks in den wichtigsten Apps von ExpressVPN. Die Router-Firmware erweitert diesen Schutz auf jedes Gerät in Ihrem Netzwerk.

Vergangene Sicherheitsvorfälle

Kein Sicherheitsprodukt existiert ohne Überprüfung. ExpressVPN sah sich mit zwei nennenswerten Vorfällen konfrontiert, die es zu betrachten gilt.

Die Server-Beschlagnahme in der Türkei (2017)

Türkische Behörden ermittelten im Fall der Ermordung des russischen Botschafters Andrei Karlov. Sie beschlagnahmten einen ExpressVPN-Server auf der Suche nach Kommunikation von Verdächtigen. Der Server enthielt keinerlei verwertbare Daten und bestätigte damit die No-Logs-Infrastruktur unter realem behördlichem Druck.

Die Übernahme durch Kape Technologies (2021)

Kape Technologies erwarb ExpressVPN im September 2021 für rund 936 Millionen US-Dollar. Kape operierte zuvor unter dem Namen Crossrider, einem Unternehmen, das vor seiner Umbenennung mit der Verbreitung von Adware in Verbindung gebracht wurde. Diese Übernahme löste berechtigte Bedenken unter Datenschutzbefürwortern aus.

ExpressVPN reagierte, indem es seinen unabhängigen Betrieb und die BVI-Jurisdiktion beibehielt. Die KPMG-Audits nach der Übernahme in den Jahren 2022 und 2024 bestätigten, dass die No-Logs-Richtlinie intakt geblieben ist. Das Unternehmen behielt sein Führungsteam und veröffentlichte weiterhin transparent Audit-Ergebnisse. Nutzer sollten zukünftige Audits verfolgen, um die anhaltende Unabhängigkeit zu verifizieren.

Einzigartige Sicherheitsfunktionen

ExpressVPN bietet mehrere Sicherheitsfunktionen, die es von Mitbewerbern mit ähnlichen Verschlüsselungsstandards abheben.

TrustedServer-Technologie

Jeder ExpressVPN-Server läuft vollständig auf flüchtigem RAM, nicht auf Festplatten. Server laden bei jedem Start ein schreibgeschütztes Image. Alle Daten werden bei jedem Server-Neustart vollständig gelöscht. Diese Architektur macht eine dauerhafte Datenspeicherung auf VPN-Servern physisch unmöglich.

Threat Manager

Threat Manager verhindert, dass Apps und Websites mit bekannten Trackern und schädlichen Servern kommunizieren. Er arbeitet auf DNS-Ebene für alle verbundenen Geräte. ExpressVPN aktualisiert seine Blocklisten regelmäßig auf Basis von Bedrohungsintelligenz-Daten.

Express Keys (Passwort-Manager)

ExpressVPN bündelt einen integrierten Passwort-Manager namens Keys in allen Abonnements. Keys verwendet Zero-Knowledge-Verschlüsselung, was bedeutet, dass ExpressVPN keinen Zugriff auf Ihre gespeicherten Passwörter hat. Diese Integration bietet praktischen Sicherheitsmehrwert über den VPN-Tunnel hinaus.

Post-Quantum-Schutz

ExpressVPN hat Post-Quantum-Kryptografie-Unterstützung in sein Lightway-Protokoll implementiert. Diese Funktion schützt vor zukünftigen Quantencomputerangriffen, die aktuelle Verschlüsselungsstandards brechen könnten. Zum Zeitpunkt der aktuellen Tests haben nur wenige VPN-Anbieter diesen Schutz implementiert.

FAQ

Führt ExpressVPN Protokolle?

ExpressVPN führt keine Aktivitätsprotokolle, Verbindungsprotokolle, IP-Adressen oder Browserverlauf. Es werden minimale aggregierte Daten wie App-Version und Wahl des Serverstandorts für die Netzwerkwartung erfasst. KPMG- und PwC-Audits haben diese No-Logs-Behauptungen über mehrere Jahre hinweg unabhängig verifiziert.

Wurde ExpressVPN gehackt?

ExpressVPN hat keinen bestätigten Datenverlust erlitten, der Nutzerdaten betroffen hätte. Die Türkei-Server-Beschlagnahme im Jahr 2017 bewies, dass das No-Logs-System funktioniert, da die Behörden null Nutzerdaten zurückerhielten. Die TrustedServer-RAM-only-Architektur begrenzt die Auswirkungen einer potenziellen physischen Server-Kompromittierung.

Ist ExpressVPN vertrauenswürdig?

ExpressVPN demonstriert Vertrauenswürdigkeit durch mehr als 5 unabhängige Audits, Open-Source-Protokollcode und einen verifizierten No-Logs-Vorfall. Die Eigentümerschaft durch Kape Technologies wirft valide Fragen auf, die jeder Nutzer individuell abwägen sollte. Die 30-tägige Geld-zurück-Garantie ermöglicht es Nutzern, den Dienst mit minimalem finanziellen Risiko zu testen.

Kann ExpressVPN meine Daten sehen?

ExpressVPN kann Ihre Browserdaten aufgrund der AES-256-End-to-End-Verschlüsselung innerhalb des VPN-Tunnels nicht einsehen. Die TrustedServer-Infrastruktur verhindert, dass Daten auf irgendeinem Server auf eine Festplatte geschrieben werden. Selbst wenn ein Gericht eine Herausgabepflicht anordnet, hat ExpressVPN keine gespeicherten Nutzeraktivitätsdaten, die übergeben werden könnten.