Laden
Zurück zum Blog
Datenschutz··15 Min. Lesezeit

Was "No-Logs" bei einem VPN wirklich bedeutet

Sprache: EnglishالعربيةEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

Öffne irgendeine VPN-Startseite und du siehst oben die immer gleichen zwei Worte: “No Logs.” Sie tauchen so oft auf, dass sie kaum noch etwas Bestimmtes bedeuten. Jeder Anbieter sagt es. Die teuren, die billigen, die mit Plakaten an Flughäfen, die, von denen du nie gehört hast. Alle sagen es. Und dabei betreiben die, die es sagen, echte Server, auf echten Festplatten und im echten Arbeitsspeicher, die jedes Datenpaket verarbeiten, das du durch sie schickst.

Was bedeutet ein No-Logs-Versprechen bei einem VPN also wirklich, und woran würdest du erkennen, ob es stimmt? Das ist die Frage, die die Werbetexte nie ehrlich beantworten. Dieser Beitrag tut es.

Die Kurzfassung: “No Logs” ist ein nützlicher Ausgangspunkt, keine Ziellinie. Es deckt ein breites Spektrum an Praktiken ab, von denen dich manche wirklich schützen und manche im Grunde Marketingsprache um ganz normale Datenspeicherung herum sind. Um das zu beurteilen, musst du wissen, was ein VPN-Anbieter überhaupt sehen kann, welche Kategorien von Protokollen es gibt und worin der Unterschied zwischen einer Richtlinie, nichts zu protokollieren, und einer Architektur, die nicht protokollieren kann, besteht.

Was ein VPN-Anbieter sehen kann

Bevor wir über das Protokollieren reden, müssen wir über Sichtbarkeit reden. Protokollieren ist die Frage, was aufgeschrieben wird. Sichtbarkeit ist die Frage, was dem Server überhaupt vorliegt. Das sind unterschiedliche Probleme, und sie zu vermischen ist eine der wichtigsten Methoden, mit denen VPN-Marketing Menschen in die Irre führt.

Wenn du dich mit einem VPN verbindest, baut dein Gerät einen verschlüsselten Tunnel zu einem der Server des Anbieters auf. Von dort entschlüsselt der Server deinen Datenverkehr und leitet ihn ins öffentliche Internet weiter. Dieser Entschlüsselungsschritt ist der ganze Sinn der Sache — so ersetzt das VPN seine IP durch deine, wenn dein Datenverkehr die jeweilige Seite erreicht, die du besuchst. Unsere Einführung dazu, was ein VPN ist und wie es funktioniert erklärt die zugrunde liegende Mechanik genauer.

Allein durch diese Anordnung kann der VPN-Server technisch Folgendes beobachten:

  • Deine echte IP-Adresse zum Zeitpunkt der Verbindung. Dein Gerät muss dem Server mitteilen, wohin die verschlüsselten Antwortpakete geschickt werden sollen. Dieses Ziel ist deine echte IP.
  • Mit welchem VPN-Server du dich wann verbunden hast. Der Server, den du gewählt hast, der Zeitpunkt der Verbindung, der Zeitpunkt der Trennung. Das sind Metadaten über die Sitzung.
  • DNS-Anfragen, die du gestellt hast, sofern das VPN einen eigenen DNS-Resolver betreibt. Wenn du eine Domain in deinen Browser tippst, muss irgendetwas die IP-Adresse nachschlagen. Wenn dein VPN das für dich auflöst, sieht es die Abfragen.
  • Pro Sitzung genutzte Bandbreite. Wie viele Bytes sich in jede Richtung bewegt haben.
  • Zeitliche Muster im Datenverkehr. Selbst wenn die Inhalte zur Zielseite hin verschlüsselt sind, können Größe und Timing der Pakete einem entschlossenen Beobachter Informationen verraten.

Die verschlüsselten Inhalte deiner HTTPS-Verbindungen stehen nicht auf dieser Liste. Sobald dein Browser etwa mit deiner Bank über TLS spricht, sieht das VPN verschlüsselte Bytes, die an die IP deiner Bank gehen, nicht den tatsächlichen Inhalt. Dieser Teil des Schutzes ist real und wichtig.

Aber die obigen Metadaten sind real. Sie existieren im Arbeitsspeicher, solange deine Sitzung läuft, weil der Server sie braucht, um seine Aufgabe zu erfüllen. Die Frage nach den “Logs” ist, was mit diesen Daten danach passiert — ob sie auf die Festplatte geschrieben, aufbewahrt, indiziert, vorgehalten und womöglich später unter rechtlichem Druck herausgegeben werden.

Kategorien von Protokollen

Nicht alle Protokolle sind gleich. Eine sinnvolle Bewertung eines No-Logs-VPN beginnt damit, drei Kategorien zu unterscheiden, denn Anbieter verwischen sie mit Absicht.

Verbindungsprotokolle

Das sind minimale Sitzungsmetadaten: ein Eintrag, dass sich ein Nutzer zu einem bestimmten Zeitpunkt mit einem bestimmten Server verbunden hat, möglicherweise mit Sitzungsdauer und genutzter Bandbreite. Viele Anbieter bewahren eine Version davon kurzfristig auf, zur Diagnose, zur Missbrauchsabwehr oder zur Kapazitätsplanung. Wenige bewahren gar nichts auf.

Verbindungsprotokolle allein sind nicht katastrophal. Sie verraten nicht, was du getan hast. Aber sie verraten, dass du den Dienst genutzt hast, was in manchen Zusammenhängen eine Rolle spielen kann, und sie werden deutlich aussagekräftiger, wenn man sie mit identifizierenden Kontodaten kombiniert.

Datenverkehrsprotokolle

Das ist die Kategorie, die nicht existieren sollte. Datenverkehrsprotokolle halten fest, welche Seiten oder IPs du besucht hast, wie deine DNS-Anfragen lauteten und in extremen Fällen die URLs, die du angefordert hast. Ein VPN, das Datenverkehrsprotokolle führt, ist aus Sicht des Datenschutzes schlechter als gar kein VPN — du hast den Einblick in dein Surfverhalten in der Datenbank eines einzigen Anbieters gebündelt, statt ihn auf deinen Internetanbieter und die besuchten Seiten zu verteilen.

Kein seriöses VPN sollte Datenverkehrsprotokolle führen. Wenn die Richtlinie eines Anbieters an diesem Punkt mehrdeutig ist, werte die Mehrdeutigkeit als ein Nein.

Identifizierende Metadaten

Das ist die Kategorie, die die meisten Menschen vergessen, und oft steckt hier die eigentliche Datenschutzgeschichte. Dazu gehören:

  • Die E-Mail-Adresse, mit der du dich angemeldet hast
  • Deine Zahlungsmethode und Rechnungsdaten
  • Die IP-Adresse, von der aus du dich angemeldet hast
  • Support-Tickets und die IPs, von denen sie gesendet wurden
  • Sämtliche Informationen zur Kontowiederherstellung
  • Anmelde-Zeitstempel und Geräte-Fingerabdrücke, die zur Kontosicherheit dienen

Identifizierende Metadaten sind deine Identität beim VPN. Selbst wenn der Anbieter wirklich null Datenverkehrsprotokolle und null Verbindungsprotokolle führt, bedeuten eine E-Mail plus eine Kreditkarte, dass er die Frage beantworten kann: “Hatte dieser bestimmte Mensch ein Konto bei uns?” — und das ist oft die einzige Frage, die irgendjemand beantwortet haben will.

Deshalb ist ein No-Logs-Versprechen für sich genommen unvollständig. Ein Anbieter, der keine Protokolle führt, aber die Anmeldung per E-Mail und Karte verlangt, hat seine Datenschutzgeschichte auf Richtlinie aufgebaut, nicht auf Architektur. Die Daten existieren weiterhin; sie liegen nur in einer anderen Tabelle. Denselben Punkt greifen wir in unserem Beitrag über anonyme VPN-Dienste ohne E-Mail auf.

Richtlinie vs. Architektur

Es gibt zwei grundlegend verschiedene Dinge, die ein Anbieter meinen kann, wenn er sagt, er protokolliere nicht.

“Wir protokollieren nicht”ist eine Aussage über die Richtlinie. Die Systeme sind in der Lage zu protokollieren. Sie protokollieren vielleicht vorübergehend, im Arbeitsspeicher oder irgendwo in einem Support-Tool. Das Versprechen ist, dass das Unternehmen sich dafür entscheidet, diese Daten nicht aufzubewahren, oder sie zu verwerfen. Das ist ein echtes Versprechen und etwas wert — aber es beruht darauf, dem Unternehmen zu vertrauen. Richtlinien können sich ändern. Mitarbeiter können Fehler machen. Gerichtsbeschlüsse können Änderungen erzwingen, die nicht beworben werden.

“Wir können nicht protokollieren”ist eine Aussage über die Architektur. Das System wurde so gebaut, dass die Daten nicht bestehen bleiben. Server laufen nur aus dem Arbeitsspeicher und vergessen beim Neustart alles. Es gibt keine Datenbanktabelle, in der die betreffenden Informationen aufbewahrt werden könnten, selbst wenn es jemand wollte. Die Kontoerstellung erfordert von vornherein keine Erhebung identifizierender Informationen. Das ist eine deutlich stärkere Aussage, weil sie nicht von anhaltendem Wohlwollen abhängt — die Daten sind weg, weil es keinen Ort für sie gibt.

Architektur ist überprüfbar, zumindest im Prinzip. Richtlinie erfordert Vertrauen.

Die meisten Anbieter bieten eine Mischung. Das Marketing neigt dazu, Richtlinien-Versprechen in einer Sprache zu beschreiben, die architektonisch klingt (“No-Logs-Server”, “RAM-only-Infrastruktur”). Lies genau. Die Frage, die du stellen solltest, lautet: Wenn jemand diesem Anbieter morgen eine rechtmäßige rechtliche Anfrage zustellen würde, die alles über ein bestimmtes Konto verlangt — was könnte er tatsächlich herausgeben? Wenn die ehrliche Antwort lautet “eine E-Mail, einen Zahlungsdatensatz, die Anmelde-IP, den Support-Verlauf und womöglich Verbindungs-Zeitstempel”, dann ist das dein Datenschutz-Minimum, egal was die Startseite sagt.

Wie du ein Versprechen prüfst

Hier ist eine praktische Checkliste, um zu beurteilen, welche Daten ein VPN sammelt und ob seine Aussagen glaubwürdig sind.

Unabhängiges externes Audit

Halte Ausschau nach einem veröffentlichten Bericht einer seriösen Sicherheitsfirma, die die Systeme, die Methodik und die Infrastruktur des Anbieters geprüft hat. Zwei Dinge solltest du prüfen:

  • Aktualität. Ein Audit von vor vier Jahren beschreibt ein Unternehmen, das es in dieser Form womöglich nicht mehr gibt. Zwei Jahre oder neuer ist eine vernünftige Messlatte.
  • Umfang. Audits unterscheiden sich enorm darin, was sie tatsächlich untersucht haben. Ein Audit der No-Logs-Richtlinie ist aussagekräftiger als ein allgemeines Sicherheits-Audit. Lies den Abschnitt zum Umfang im Bericht selbst, nicht die Zusammenfassung im Blog des VPN.

Transparenzberichte und Warrant Canaries

Manche Anbieter veröffentlichen, wie viele rechtliche Anfragen nach Nutzerdaten sie pro Jahr erhalten, aufgeschlüsselt nach Rechtsraum und Art, und was sie daraufhin herausgeben konnten. Ein Anbieter, der veröffentlicht “wir haben N Anfragen erhalten und in keiner davon Daten herausgegeben, weil wir nichts herauszugeben hatten” macht eine stärkere Aussage als einer, der nichts veröffentlicht.

Ein Warrant Canary ist eine regelmäßige Erklärung, dass der Anbieter bestimmte Arten rechtlicher Aufforderungen nicht erhalten hat. Wenn die Erklärung verschwindet oder nicht mehr aktualisiert wird, ist das Fehlen selbst ein Signal. Canaries haben bekannte rechtliche Schwächen, aber ihr Vorhandensein zeigt zumindest, dass der Anbieter über diese Dimension nachgedacht hat.

Rechtsraum

Das Land, in dem ein VPN registriert ist, bestimmt, wessen Gesetze für es gelten und unter welchen internationalen Kooperationsabkommen es agiert. Manche Rechtsräume haben verpflichtende Vorratsdatenspeicherungsgesetze für Telekommunikationsanbieter. Andere gehören formellen Allianzen zum Austausch von Geheimdienstinformationen an, die zur grenzüberschreitenden Zusammenarbeit verpflichten.

Das ist keine binäre Gut-oder-Schlecht-Achse — verschiedene Bedrohungsmodelle legen auf Verschiedenes Wert. Aber es lohnt sich zu wissen, wo dein VPN registriert ist und was das bedeutet, statt danach auszuwählen, welche Startseite am saubersten aussieht.

Kontomodell

Das ist das, was die meisten überspringen. Schau dir an, wie du dich anmeldest. Wenn das Anlegen eines Kontos eine funktionierende E-Mail-Adresse erfordert, dann hat das VPN eine funktionierende E-Mail-Adresse von dir. Wenn die Zahlung per Kreditkarte erfolgt, hat das VPN einen Rechnungsdatensatz, der mit deinem Namen verknüpft ist. Diese Datensätze sind Teil des Datenschutzbildes, egal ob der Anbieter sonst etwas “protokolliert” oder nicht.

Anonyme Zahlungsoptionen (Geschenkkarten, bestimmte Kryptowährungen) verschieben das etwas. Abo-Modelle, die auf einer Plattform-Identität beruhen, die du ohnehin hast, wie die Apple ID über den App Store, verschieben es anders: Der VPN-Anbieter bekommt deine Identität nicht, aber die Plattform schon.

Quelloffener Client-Code

Wenn die App auf deinem Gerät quelloffen ist, können Sicherheitsforscher überprüfen, was sie tatsächlich sendet und wohin. Das deckt nicht die Serverseite ab, aber es beseitigt eine Kategorie der Unsicherheit: Du kannst wissen, ob der Client heimlich mit Telemetrie nach Hause funkt, der du nicht zugestimmt hast.

Closed-Source-Clients sind nicht automatisch verdächtig, aber sie sind weniger überprüfbar. In Kombination mit dem Audit-Bild heben quelloffene Clients das Minimum dessen an, was du unabhängig überprüfen kannst.

Vergangene Rechtsfälle

Wenn ein VPN in Gerichtsverfahren verwickelt war, in denen Protokolle verlangt wurden, zeigt die öffentliche Aktenlage, was passiert ist. Haben sie Daten herausgegeben? Hatten sie überhaupt Daten zum Herausgeben? Passte die Reaktion zu ihren Richtlinien-Aussagen?

Solche Fälle sind nicht häufig, aber äußerst aufschlussreich, wenn es sie gibt. Suche nach dem Namen des Anbieters plus “Vorladung” oder “Gerichtsbeschluss” und lies die Berichterstattung statt der Darstellung des Anbieters selbst.

Ein einfacher Vergleichsrahmen

Hier ist eine kompakte Art, die obigen Fragen zu betrachten:

FrageAntwort der RichtlinieAntwort der Architektur
Protokollierst du den Datenverkehr?“Wir entscheiden uns dagegen”“Das System hat keinen Ort, das zu speichern”
Hast du meine E-Mail?“Ja, aber wir geben sie nicht weiter”“Wir haben nie eine erhoben”
Hast du meine IP von der Anmeldung?“Ja, aber wir löschen sie nach N Tagen”“Wir haben nie danach gefragt”
Kannst du feststellen, ob ich Nutzer war?“Wir könnten, tun es aber nicht”“Wir haben keinen Eintrag”
Was, wenn ein Gericht dich zwingt?“Wir wehren uns, geben dann aber nach, wenn wir müssen”“Wir haben nichts herauszugeben”

Keine der Spalten ist für jeden Anbieter durchweg richtig, und die meisten bewegen sich irgendwo in der Mitte. Aber ein bestimmtes VPN auf dieser Tabelle einzuordnen ist nützlicher, als bei “No Logs” auf der Startseite zustimmend zu nicken.

Der Ansatz von Snap VPN

Snap VPN steht näher an der Architektur-Spalte als an der Richtlinien-Spalte. Konkret:

  • Keine E-Mail und keine Kontoanmeldung. Das Abo wird über den App Store via deine Apple ID abgewickelt. Wir erheben nie eine E-Mail-Adresse, einen Benutzernamen, eine Telefonnummer oder irgendwelche Kontozugangsdaten. Es gibt keine Kontodatenbank im herkömmlichen Sinn.
  • Keine Datenverkehrsprotokolle. Wir zeichnen die Seiten, die du besuchst, die IPs, mit denen du sprichst, oder die DNS-Anfragen, die du stellst, nicht auf.
  • Keine dauerhaften Verbindungsprotokolle. Wir bewahren keinen vorgehaltenen Eintrag darüber auf, welche Apple ID sich zu welcher Zeit mit welchem Server verbunden hat. Der Betriebszustand, der nötig ist, um eine aktive Sitzung zu leiten, ist nicht dasselbe wie ein gespeicherter Verbindungsverlauf.
  • Keine Nutzerkennungen, die an eine reale Person gebunden sind. Intern wird dein Abo durch einen undurchsichtigen Wert identifiziert, den der App Store bereitstellt. Wir haben keinen Namen, keine E-Mail und keine Telefonnummer an diesen Wert geknüpft, und wir können daraus auch keine ableiten.

Um ehrlich zu sein, was es sehr wohl gibt: Ein VPN zu betreiben erfordert einen gewissen Betriebszustand. Ein Server muss wissen, dass es eine aktive Sitzung gibt, um Pakete an dich zurückzuleiten. Es gibt kurzlebige Zähler und Metadaten, die das Netzwerk überhaupt zum Laufen braucht, so wie jeder Router aktive Verbindungen verfolgen muss, um seine Aufgabe zu erfüllen. Genau so sieht die Kategorie der Verbindungsprotokolle aus der obigen Einteilung in der Praxis aus: kurzlebig, auf die laufende Sitzung beschränkt, nicht als Eintrag deiner Aktivität aufbewahrt und mit nichts verknüpft, das dich identifiziert.

Das Prinzip hinter diesen Entscheidungen ist banal: Weniger gesammelte Daten sind weniger Daten, die verloren gehen, gehackt oder erzwungen werden können. Wenn eine Information nie erhoben wurde, kann sie bei einem Datenleck nicht abgegriffen, nicht per Vorladung verlangt und nicht später zweckentfremdet werden, wenn sich die Geschäftslage ändert oder jemand das Unternehmen aufkauft. Architektur schlägt Richtlinie nicht, weil Richtlinien unaufrichtig wären, sondern weil Architektur die Option beseitigt.

Wenn du dich speziell ins Kontomodell vertiefen möchtest, sieh dir unsere Erklärung zur anonymen VPN-Anmeldung ohne E-Mail-Adresse an.

Was kein VPN leisten kann

Es lohnt sich, die Grenzen ausdrücklich zu benennen, denn ein Teil des Vertrauens, das VPNs entgegengebracht wird, ist fehl am Platz und enttäuscht am Ende Menschen, die mehr erwartet haben, als die Technik liefern kann.

  • Ein VPN kann dich nicht vor Seiten verbergen, bei denen du dich anmeldest. Wenn du Gmail über ein VPN öffnest, weiß Google trotzdem, dass du du bist. Du hast dich angemeldet. Das VPN ändert die Route, nicht die Identität.
  • Ein VPN kann Browser-Fingerprinting nicht stoppen. Seiten bilden Kennungen aus deiner Browser-Version, Bildschirmgröße, den Schriftarten, der Zeitzone und hundert weiteren kleinen Details. Mit dieser Ebene befasst sich ein VPN überhaupt nicht.
  • Ein VPN verhindert keine Schadsoftware. Es verschlüsselt deinen Datenverkehr; es untersucht ihn nicht auf Bedrohungen. Antivirus ist eine eigene Angelegenheit.
  • Ein VPN kann bei Diensten, bei denen du dich bereits authentifiziert hast, nicht auf magische Weise Anonymität gewähren. Anonymität muss von Anfang an eingeplant sein. Wenn dein Ausgangspunkt ein authentifiziertes Konto ist, leitet ein VPN den Datenverkehr dieses Kontos anders — das ist die gesamte Wirkung.

Ein VPN ist eine Schicht eines Datenschutz-Stacks, nicht der ganze Stack. Weiterführende Lektüre: gängige VPN-Mythen entlarvt, was ein VPN wirklich ist, und eine umfassendere iPhone-Datenschutz-Checkliste für den Rest der Schichten.

Fazit

“No Logs” ist die Kurzform für ein viel größeres Gespräch. Wenn du es auf einer VPN-Startseite siehst, behandle es als Überschrift, nicht als Antwort. Die Fragen, auf die es wirklich ankommt, sind:

  • Welche Daten sammelt das System überhaupt, einschließlich identifizierender Metadaten bei der Anmeldung?
  • Von den Daten, die es sammelt: Was bewahrt es auf, in welcher Form und wie lange?
  • Ist das No-Logs-Versprechen eine Richtlinie (wir versprechen es) oder eine Architektur (wir können nicht)?
  • Hat jemand Unabhängiges das Versprechen kürzlich überprüft, und was genau hat er untersucht?
  • Wie sieht die Bilanz des Anbieters aus, wenn rechtlicher Druck ausgeübt wurde?

Ein Anbieter, der diese Fragen in klarer Sprache beantwortet, mit einer deutlichen Unterscheidung zwischen dem, was er versprochen hat, und dem, was seine Architektur unmöglich macht, ist ein Anbieter, über den du nachvollziehbar urteilen kannst. Einer, der vage auf “No Logs” deutet und das Thema wechselt, ist es nicht.

Der Grund, warum diese Unterscheidung wichtig ist, ist einfach: Datenschutz, der vollständig vom anhaltenden Wohlverhalten eines Unternehmens abhängt, ist Datenschutz, den du nicht vollständig kontrollierst. Datenschutz, der strukturell begrenzt ist, weil die Daten von vornherein nie erhoben wurden, ist die Variante, die Wechsel bei Eigentum, Rechtsraum, Führung und rechtlichem Klima übersteht.

Snap VPN wurde um diese zweite Idee herum gestaltet. Keine E-Mail-Anmeldung, keine Kontozugangsdaten, keine Nutzerkennungen, die an eine reale Person gebunden sind. Das Abo läuft über deine Apple ID via App Store, der Datenverkehr wird nicht protokolliert, und der Betriebszustand, der zum Betrieb des Netzwerks nötig ist, ist nicht an deine Identität gebunden. Es ist nicht die einzige Art, ein VPN zu bauen, und es löst nicht jedes Datenschutzanliegen. Aber es beseitigt eine Risikoklasse, die kein Richtlinien-Versprechen allein beseitigen kann. Wenn das die Art von Design ist, die du hinter deinem Datenverkehr haben willst, ist genau das hier im Angebot. Nur eine ehrliche Beschreibung der Entscheidungen, die wir getroffen haben, und warum.

The Snap VPN Team
Editorial