vpn

Ist Mullvad sicher? Sicherheit, Datenschutz & Audit-Analyse

Ist Mullvad sicher? Ergebnisse unabhängiger Audits, Verschlüsselungsprotokolle, Jurisdiktionsanalyse, Kill-Switch-Tests und Überprüfung der No-Logs-Richtlinie.

VPN.com Editorial Team · ·9 Min. Lesezeit

Ist Mullvad sicher? Eine direkte Bewertung

Mullvad erreicht 86/100 auf unserem Vertrauensindex. Das Unternehmen operiert unter schwedischer Jurisdiktion, verlangt einen pauschalen Betrag von 5 €/Monat ohne Konten und setzt eine verifizierte No-Logs-Richtlinie durch. Unabhängige Audits von Cure53 und Assured AB bestätigten minimale Schwachstellen. Mullvad speichert keinerlei Verbindungsprotokolle, Datenverkehrsdaten oder personenbezogene Informationen auf seinen über 700 Servern in mehr als 50 Ländern.

Schwedische Jurisdiktion und rechtliche Datenanfragen

Schweden gehört dem 14-Augen-Geheimdienstbündnis an. Das klingt auf den ersten Blick beunruhigend. In der Praxis zeichnet der Rechtsrahmen ein differenzierteres Bild für VPN-Anbieter.

Das schwedische Recht verpflichtet VPN-Unternehmen nicht zur Speicherung von Nutzerdaten. Mullvad unterliegt nach den aktuellen schwedischen Telekommunikationsvorschriften keiner obligatorischen Datenspeicherungspflicht. Das bedeutet, dass Behörden zwar Anfragen stellen können, Mullvad jedoch nichts gespeichert hat, was es herausgeben könnte.

Im April 2023 betraten schwedische Polizisten Mullvads Büro in Göteborg mit einem Durchsuchungsbefehl. Die Beamten beabsichtigten, Computer mit Kundendaten zu beschlagnahmen. Mullvad-Mitarbeiter erklärten, dass auf keinem Gerät Kundendaten vorhanden seien, und die Polizei verließ das Büro mit leeren Händen. Dieser reale Test bewies, dass die No-Logs-Richtlinie auch unter rechtlichem Druck standhält.

Geschichte der unabhängigen Audits

Mullvad hat mehrere Sicherheitsaudits durch Dritte abgeschlossen. Jedes Audit untersuchte verschiedene Teile der Infrastruktur und der Client-Anwendungen.

Cure53-Audit (2020)

Cure53, ein in Berlin ansässiges Penetrationstesting-Unternehmen, prüfte die Mullvad-VPN-Apps im Jahr 2020. Das Team identifizierte insgesamt 7 Schwachstellen: 2 mit mittlerem Schweregrad und 5 mit niedrigem Schweregrad. Mullvad behob alle 7 Probleme, bevor der vollständige Auditbericht öffentlich auf der Website veröffentlicht wurde.

Assured AB Audit (2023)

Assured AB führte 2023 ein Infrastrukturaudit der Server und internen Systeme von Mullvad durch. Die Bewertung umfasste Serverkonfigurationen, die Implementierung der Verschlüsselung und Datenverarbeitungsverfahren. Die Ergebnisse bestätigten, dass Mullvads Infrastruktur den öffentlich kommunizierten No-Logs-Aussagen entsprach. Während dieser Prüfung wurden keine kritischen Schwachstellen entdeckt.

Cure53 App-Audit (2023)

Cure53 kehrte 2023 für eine zweite Prüfrunde zurück, diesmal mit Fokus auf den aktualisierten App-Code. Diese Folgeprüfung fand weniger Probleme als das Audit von 2020. Mullvad behob alle Feststellungen und veröffentlichte erneut den vollständigen Bericht zur öffentlichen Einsicht.

Die Veröffentlichung vollständiger Auditberichte ist in der VPN-Branche unüblich. Mullvad schwärzt keine Ergebnisse und wählt keine günstigen Resultate aus. Diese Transparenz verleiht seinen Sicherheitsaussagen erhebliches Gewicht.

Protokollierungsrichtlinie: Was Mullvad speichert und was nicht

Daten, die Mullvad nicht erhebt

Mullvad protokolliert keine Datenverkehrsdaten, Verbindungszeitstempel, Sitzungsdauern oder IP-Adressen. Es werden keine DNS-Anfragen, Bandbreitennutzungsaufzeichnungen oder VPN-Serverzuweisungen gespeichert. Die Kontoaktivität bleibt vollständig von Surfverhalten oder Verbindungsmetadaten getrennt.

Daten, die Mullvad verarbeitet

Mullvad verarbeitet die Gesamtzahl der gleichzeitigen Verbindungen pro Konto (begrenzt auf 5). Dieser Zähler existiert in Echtzeit und wird nicht in einem dauerhaften Speicher gesichert. In dem Moment, in dem Sie die Verbindung trennen, wird dieser Zähler dekrementiert. Es bleiben keine historischen Aufzeichnungen erhalten.

Mullvad verarbeitet außerdem kurzfristige aggregierte Serverlastdaten zur Leistungsoptimierung. Diese Daten enthalten keinerlei benutzeridentifizierbare Informationen und werden automatisch rotiert.

Das Kontosystem

Mullvad generiert eine zufällige 16-stellige Kontonummer. Keine E-Mail, kein Name, kein Passwort erforderlich. Sie können mit per Post versandtem Bargeld, Bitcoin oder Monero bezahlen. Dieses Design eliminiert personenbezogene Daten vollständig aus dem Registrierungsprozess.

Verschlüsselungsstandards und Protokolle

Mullvad unterstützt zwei Protokolle: WireGuard und OpenVPN. Beide Implementierungen verwenden starke, gut geprüfte kryptografische Standards.

WireGuard-Implementierung

WireGuard verwendet ChaCha20 für die symmetrische Verschlüsselung, Curve25519 für den Schlüsselaustausch und BLAKE2s für das Hashing. Mullvad setzt standardmäßig WireGuard auf allen Plattformen ein. Verbindungs-Handshakes werden auf den meisten Netzwerken in unter 100 Millisekunden abgeschlossen.

OpenVPN-Implementierung

OpenVPN-Verbindungen verwenden AES-256-GCM für die Datenkanalverschlüsselung. Der Schlüsselaustausch basiert auf RSA-4096-Zertifikaten mit SHA-512-Authentifizierung. Mullvad konfiguriert OpenVPN mit tls-auth, um Fingerprinting und DDoS-Angriffe auf den VPN-Tunnel zu verhindern.

Quantenresistente Tunnel

Mullvad ergänzte WireGuard-Tunnel 2023 um einen post-quanten Schlüsselaustausch. Diese Funktion schichtet Classic McEliece und Kyber-Schlüsselkapselung über die Standard-WireGuard-Kryptografie. Mullvad war der erste kommerzielle VPN-Anbieter, der diese Funktion auf Desktop-Plattformen auslieferte.

Kill Switch und DNS-Leckschutz

Kill-Switch-Verhalten

Mullvads Kill Switch ist standardmäßig auf allen Plattformen aktiviert. Er blockiert den gesamten Internetverkehr, wenn der VPN-Tunnel unerwartet abbricht. Die Implementierung arbeitet auf Firewall-Ebene, nicht auf Anwendungsebene. Dies verhindert Lecks, selbst wenn die Mullvad-App vollständig abstürzt.

Unter Linux verwendet Mullvad nftables-Regeln, um die Datenverkehrsblockierung durchzusetzen. Unter Windows wird die Windows Filtering Platform modifiziert. Unter macOS werden Paketfilterregeln eingesetzt. Jede Implementierung verhindert gleichzeitig sowohl IPv4- als auch IPv6-Lecks.

DNS-Leckschutz

Mullvad leitet alle DNS-Anfragen über seine eigenen verschlüsselten DNS-Server weiter. Die App blockiert System-DNS-Anfragen, die versuchen, den Tunnel zu umgehen. Mullvad betreibt DNS-Server an jedem VPN-Serverstandort und löst Anfragen lokal auf, ohne sie an Dritte weiterzuleiten.

Benutzer können auch benutzerdefiniertes DNS innerhalb der App konfigurieren. Selbst bei benutzerdefiniertem DNS verlaufen Anfragen weiterhin durch den verschlüsselten Tunnel. Unabhängige Lecktests zeigen durchgängig null DNS-, WebRTC- oder IPv6-Lecks bei allen Mullvad-Clients.

Vergangene Sicherheitsvorfälle

Polizeirazzia (April 2023)

Sechs Beamte der schwedischen Nationalpolizei betraten Mullvads Büro in Göteborg. Sie trugen einen Durchsuchungsbefehl eines Bezirksgerichts, der auf Kundeninformationen abzielte. Mullvads CEO erklärte, dass das Unternehmen keine Kundendaten speichert. Die Polizei beschlagnahmte keine Geräte und verließ das Büro, nachdem Mullvads Rechtsteam die Anwendbarkeit des Durchsuchungsbefehls angefochten hatte.

Keine bekannten Datenpannen

Zum Zeitpunkt des letzten Auditszyklus hat Mullvad keine Datenpannen gemeldet. Keine Nutzerdaten sind in geleakten Datenbanken aufgetaucht. Credential-Stuffing-Angriffe greifen nicht, da Mullvad weder Passwörter noch E-Mail-Adressen verwendet. Das 16-stellige Kontonummern-System reduziert die Angriffsfläche erheblich.

Offenlegung von Schwachstellen

Mullvad verfolgt einen aktiven Bug-Bounty-Ansatz und veröffentlicht Sicherheitshinweise in seinem Blog. Alle während der Audits gefundenen Schwachstellen wurden innerhalb von Wochen nach ihrer Entdeckung behoben. Das Unternehmen hat keine Zero-Day-Ausnutzung seiner Produktionsinfrastruktur erlebt.

Einzigartige Sicherheitsfunktionen

DAITA (Defense Against AI-Guided Traffic Analysis)

Mullvad entwickelte DAITA zur Abwehr von Datenverkehrsanalyse-Angriffen. Diese Funktion füllt Pakete auf einheitliche Größen auf und injiziert Köder-Verkehrsmuster. Sie verhindert, dass Angreifer anhand von Datenverkehrs-Fingerabdrücken erkennen, welche Websites Nutzer besuchen.

Verschlüsseltes DNS über HTTPS (DoH)

Mullvad bietet einen öffentlichen DoH-Dienst unter dns.mullvad.net an. Benutzer können DNS-Anfragen auch ohne aktives VPN verschlüsseln. Der Dienst umfasst optionale DNS-Profile zur Blockierung von Werbung und Trackern.

Festplattenlose RAM-Only-Server

Mullvad betreibt seinen gesamten Serverpark im RAM-Only-Modus. In den Servern befinden sich keine Festplatten. Jeder Neustart löscht alle Daten vollständig. Diese Architektur stellt sicher, dass physische Server-Beschlagnahmungen keinerlei verwertbare Informationen liefern.

Multihop-Routing

Benutzer können ihren Datenverkehr über 2 separate VPN-Server in verschiedenen Ländern leiten. Dies fügt eine zweite Verschlüsselungsschicht hinzu und trennt den Einstiegspunkt vom Ausstiegspunkt. Multihop ist direkt in der App konfigurierbar, ohne manuelle Einrichtung.

Häufig gestellte Fragen

Führt Mullvad Protokolle?

Mullvad führt keinerlei dauerhafte Protokolle. Keine Datenverkehrsprotokolle, Verbindungszeitstempel, IP-Adressen oder Sitzungsdaten gelangen auf Datenspeicher. Zwei unabhängige Audits haben diese Aussage verifiziert. Die RAM-Only-Serverinfrastruktur stellt sicher, dass selbst temporäre Daten beim Neustart verschwinden. Mullvads Polizeirazzia 2023 bestätigte, dass keine Nutzerdaten zur Beschlagnahmung vorhanden waren.

Wurde Mullvad gehackt?

Mullvad wurde nicht gehackt. Es wurden keine Datenpannen oder unbefugten Zugriffsereignisse öffentlich gemeldet oder bei Audits entdeckt. Das passwortlose Kontosystem und die RAM-Only-Server reduzieren die Angriffsfläche unter das Niveau typischer VPN-Anbieter. Cure53 fand weder beim Audit 2020 noch beim Audit 2023 kritische Schwachstellen.

Ist Mullvad vertrauenswürdig?

Mullvad demonstriert seine Vertrauenswürdigkeit durch wiederholte unabhängige Audits, vollständige Berichtstransparenz und einen realen Rechtstest. Das Unternehmen veröffentlicht seinen Quellcode offen auf GitHub. Es akzeptiert anonyme Barzahlungen. Es hat eine Polizeidurchsuchung überstanden, ohne Daten preiszugeben. Diese verifizierten Handlungen haben mehr Gewicht als Marketingversprechen.

Kann Mullvad meine Daten einsehen?

Mullvad kann Ihre Browsing-Daten nicht einsehen. Der Datenverkehr innerhalb des VPN-Tunnels verwendet AES-256- oder ChaCha20-Verschlüsselung. Mullvads Server verarbeiten verschlüsselte Pakete, inspizieren, erfassen oder speichern jedoch keine Inhalte. Die RAM-Only-Architektur verhindert, dass temporäre Verarbeitungsdaten über die aktive Sitzung hinaus gespeichert werden.

Das Fazit zur Sicherheit von Mullvad

Mullvad verdient seinen Vertrauensscore von 86/100 durch Architektur, nicht durch Versprechen. RAM-Only-Server, Kontoanonymität, veröffentlichte Auditberichte und das verifizierte Ergebnis einer Polizeidurchsuchung heben es von der Konkurrenz ab. Der pauschale Preis von 5 €/Monat ohne Testversionen oder Rabatte spiegelt ein Unternehmen wider, das sich auf den Dienst und nicht auf die Abonnentenzahl konzentriert. Für Benutzer, die der Datenschutzverifizierung Vorrang vor der Anzahl der Funktionen einräumen, bleibt Mullvad mit seinen über 700 Servern in mehr als 50 Ländern eine der stärksten verfügbaren Optionen.