Laden
Zurück zum Blog
Datenschutz··10 Min. Lesezeit

No-Logs-VPN-Richtlinien erklärt

Sprache: EnglishالعربيةEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

Eine No-Logs-VPN-Richtlinie ist die Zusage eines Diensteanbieters, dass er keine Aufzeichnungen über die Aktivität der Nutzer aufbewahrt. Der Begriff ist im VPN-Marketing geläufig geworden, doch die tatsächliche Bedeutung unterscheidet sich von Anbieter zu Anbieter. Dieser Artikel erklärt, was eine glaubwürdige No-Logs-Richtlinie abdeckt, wie sie auf Infrastrukturebene umgesetzt wird und wie du beurteilst, ob das Versprechen durch unabhängige Belege gestützt ist.

Was eine No-Logs-Richtlinie verspricht

Eine No-Logs-Richtlinie ist eine Aussage darüber, welche Arten von Nutzerdaten der Anbieter erfasst und aufbewahrt. Starke Richtlinien gehen ausdrücklich auf Verbindungsprotokolle, Aktivitätsprotokolle und identifizierende Metadaten ein und beschreiben die technischen Maßnahmen, die die Richtlinie durchsetzen.

Die Formulierung ist wichtig, denn “No Logs” wird manchmal locker im Sinne von “keine Logs, die wir als sensibel betrachten” verwendet, während andere Daten — Bandbreitennutzung, Verbindungsanzahl, Serverauslastung — weiterhin zu betrieblichen Zwecken aufbewahrt werden. Eine klare Richtlinie unterscheidet zwischen beidem und erläutert die jeweilige Begründung.

Arten von Protokollen

Protokolle im VPN-Kontext fallen typischerweise in drei Kategorien.

Aktivitätsprotokolle

Aktivitätsprotokolle halten fest, welche Websites, Anwendungen oder Ziele der Datenverkehr eines Nutzers während einer Sitzung erreicht hat. Das ist die sensibelste Kategorie. Ein Anbieter, der Aktivitätsprotokolle aufbewahrt, kann den Browserverlauf eines Nutzers rekonstruieren. Eine No-Logs-Richtlinie, die Aktivitätsprotokolle nicht ausdrücklich ausschließt, ist keine bedeutsame Datenschutzzusage.

Verbindungsprotokolle

Verbindungsprotokolle halten fest, wann ein Nutzer sich verbunden hat, wie lange die Sitzung dauerte, von welcher Quell-IP-Adresse aus der Nutzer sich verbunden hat und mit welchem Server. Sie sind zwar weniger sensibel als Aktivitätsprotokolle, können aber dazu verwendet werden, VPN-Sitzungen mit anderswo im Internet beobachteter Aktivität in Beziehung zu setzen.

Aggregierte oder betriebliche Protokolle

Aggregierte Protokolle erfassen Kennzahlen wie die Gesamtbandbreite pro Server, die Anzahl gleichzeitiger Sitzungen und die Fehleranzahl. Diese sind typischerweise für Kapazitätsplanung und Missbrauchsabwehr nötig. Eine vernünftige No-Logs-Richtlinie unterscheidet zwischen aggregierten betrieblichen Kennzahlen und nutzerbezogenen Protokollen.

Wie sie umgesetzt wird

Eine glaubwürdige No-Logs-Richtlinie wird durch das Infrastrukturdesign durchgesetzt, nicht nur durch eine Unternehmensrichtlinie. Mehrere Praktiken kommen häufig zum Einsatz.

  • Server, die nur aus dem Arbeitsspeicher laufen. VPN-Server laufen vollständig aus dem RAM, ohne angeschlossenen dauerhaften Speicher. Wird der Server neu gestartet, gehen alle Daten im Arbeitsspeicher verloren. Das wird manchmal als RAM-only- oder datenträgerlose Konfiguration bezeichnet.
  • Zustandslose Tunnel. Moderne Protokolle wie WireGuard halten minimalen Zustand auf dem Server. Der Server weiß, welche Peers autorisiert sind, muss aber keinen Sitzungsverlauf verfolgen. Im Gegensatz dazu hält OpenVPN mit nutzernamenbasierter Authentifizierung zusätzlichen Zustand vor.
  • Unterdrückte Systemprotokolle. Server werden so konfiguriert, dass die Standard-System-Logger keine Informationen pro Verbindung aufzeichnen. Ausführliches Protokollieren wird typischerweise nur kurz während der Fehlersuche aktiviert.
  • Keine Kontodatenbank. Dienste, die keine Nutzerkonten erfordern, können Verbindungen überhaupt nicht mit Einzelpersonen verknüpfen. Snap VPN verfolgt diesen Ansatz: Abos werden über Apple abgewickelt, und der Dienst führt keine Nutzerdatenbank.

Unabhängige Audits

Ein unabhängiges Audit ist die stärkste verfügbare Form des Belegs, dass eine No-Logs-Richtlinie wie behauptet umgesetzt ist. Ein typischer Audit-Auftrag besteht darin, dass eine externe Sicherheitsfirma die Serverkonfigurationen, den Quellcode und die betrieblichen Abläufe des Anbieters über mehrere Wochen hinweg prüft.

Der Wert eines Audits hängt von seinem Umfang ab. Ein nützliches Audit gibt an, welche Server, Komponenten und Zeiträume untersucht wurden, und veröffentlicht die Ergebnisse — sowohl positive als auch negative — in einem Bericht, der vollständig eingesehen werden kann. Audits, die nur eine Marketing-Zusammenfassung hervorbringen, sind erheblich schwächer.

Ebenso wichtig ist zu erkennen, was ein Audit nicht belegen kann. Ein Audit erfasst eine Momentaufnahme. Es garantiert nicht, dass der Anbieter nach Abschluss des Audits weiterhin auf dieselbe Weise arbeitet. Wiederholte Audits in regelmäßigen Abständen bieten eine stärkere fortlaufende Gewähr.

Rechtliche Anfragen

Eine No-Logs-Richtlinie greift auf wichtige Weise mit rechtlichen Verfahren ineinander. Wenn ein Anbieter eine Vorladung oder einen Gerichtsbeschluss erhält, der Nutzerdaten verlangt, kann der Anbieter nur das offenlegen, was er hat. Werden Aktivitäts- und Verbindungsprotokolle nicht aufbewahrt, hat der Anbieter über den Abo-Datensatz hinaus nichts zur konkreten Nutzeraktivität offenzulegen.

Mehrere Anbieter veröffentlichen “Transparenzberichte”, die die erhaltenen rechtlichen Anfragen und die gegebenen Antworten beschreiben. Ein Transparenzbericht, der erhaltene Anfragen auflistet und das Fehlen substanzieller offenzulegender Daten darlegt, ist mit einer funktionierenden No-Logs-Richtlinie vereinbar.

Auch der Rechtsraum spielt eine Rolle. Das Rechtssystem, unter dem der Anbieter agiert, bestimmt, zu welchen Arten von Anfragen er gezwungen werden kann und ob er verpflichtet werden kann, künftig mit dem Protokollieren zu beginnen.

Ein Versprechen prüfen

Mehrere Signale zeigen, ob ein No-Logs-Versprechen glaubwürdig ist.

  • Genauigkeit der Richtlinie. Die Richtlinie benennt ausdrücklich die Kategorien von Protokollen, die nicht aufbewahrt werden, statt vage Formulierungen zu verwenden.
  • Audit-Historie.Der Anbieter hat unabhängige Audits beauftragt, die vollständigen Audit-Berichte sind öffentlich verfügbar, und die Audits decken die Komponenten ab, auf die es am meisten ankommt — Server und Authentifizierungssysteme.
  • Betriebliches Design. Die Infrastruktur wird im technischen Detail beschrieben, einschließlich des Einsatzes von Servern, die nur aus dem Arbeitsspeicher laufen, kontofreier Authentifizierung und zustandsloser Protokolle.
  • Transparenzberichte. Der Anbieter veröffentlicht wiederkehrende Berichte, die erhaltene rechtliche Anfragen und die gegebenen Antworten beschreiben.

Häufige Fallstricke

Mehrere Muster deuten auf ein No-Logs-Versprechen hin, das weniger belastbar sein könnte, als es scheint.

Mehrdeutige Sprache.Richtlinien, die versprechen, “keine personenbezogenen Daten” aufzubewahren, ohne anzugeben, welche Datenkategorien ausgeschlossen sind, können mit der Aufbewahrung erheblicher Verbindungsmetadaten vereinbar sein.

Kontobasierte Dienste. Ein Dienst, der eine E-Mail-Adresse für ein Konto verlangt, bewahrt von Natur aus einige Informationen auf, selbst wenn er behauptet, keine Aktivität zu protokollieren. Kontofreie Dienste haben eine strukturell stärkere Position.

Nur Selbstauskunft. Ein No-Logs-Versprechen, das nicht von einer unabhängigen Stelle geprüft wurde, beruht allein auf der Aussage des Anbieters.

Snap VPN ist so aufgebaut, dass ein No-Logs-Versprechen mechanisch glaubwürdig wird: keine Nutzerkonten, Server, die nur aus dem Arbeitsspeicher laufen, und das WireGuard-Protokoll, das minimalen Sitzungszustand mit sich führt. Für einen breiteren Zusammenhang siehe unsere Einführung zu VPNs und den Vergleich von WireGuard und OpenVPN.

The Snap VPN Team
Editorial