Unsere Nutzer vertrauen darauf, dass wir ihr digitales Leben jeden Tag aufs Neue schützen. Wir verdienen uns dieses Vertrauen unter anderem dadurch, dass wir regelmäßig unabhängige Cybersicherheits-Experten damit beauftragen, unsere Produkte zu bewerten und die Richtigkeit unserer Sicherheitsaussagen zu überprüfen.
Wir freuen uns, Ihnen heute über drei neue Audits zu berichten, die alle Desktop-Apps von ExpressVPN abdecken. Wir haben Cure53 beauftragt, Penetrationstests und Quellcode-Audits unserer Desktop-Clients für macOS und Linux durchzuführen. Nur wenige Monate nach dem Audit unserer vorherigen Windows-App (v10) haben wir zudem F-Secure erneut beauftragt, dieses Mal, um unsere App für Windows v12 durch Penetrationstests und Quellcode-Audits zu überprüfen.
Wir sind hocherfreut über das Ergebnis der Audits und über unsere langjährige Zusammenarbeit mit beiden Cybersicherheits-Unternehmen. Wir freuen uns, Ihnen heute weitere Ergebnisse und Erkenntnisse aus den Audits mitteilen zu können.
„Als Bestandteil unserer kontinuierlichen Bemühungen um Vertrauen und Transparenz können wir mit Stolz verkünden, dass alle unsere Desktop-Apps jetzt geprüft wurden“, sagte Brian Schirmacher, Penetration Testing Manager bei ExpressVPN. „Diese Audits sind ein Beweis für unsere Bemühungen, unser Produkt zu verbessern und seine Sicherheit zu gewährleisten, und wir freuen uns über die Bestätigung von Cure53 und F-Secure. Wir engagieren uns dafür, bald Audits für unsere mobilen Apps bereitstellen zu können, und werden weiterhin sicherstellen, dass unser Produkt an jedem Berührungspunkt Datenschutz und Sicherheit bietet.“
Cure53 bestätigt die Sicherheit unserer Apps für macOS und Linux
Cure53 hat von Juni bis August 2022 unsere Desktop-Apps für macOS und Linux durch White-Box-Penetrationstests und Quellcode-Audits getestet. Diese Beurteilungen sind entscheidend bei der Bestimmung, ob unsere Apps sicher genug sind, um Sicherheitsangriffe von böswilligen Angreifern abzuwehren, und bestätigen die umfangreiche Arbeit unserer Technik- und Sicherheitsexperten.
Die Tester fanden eine geringe Anzahl von Problemen in unserer macOS-App und deckten nur zwei Sicherheitslücken und vier Informationsschwachstellen mit geringem Ausnutzungspotenzial auf. Wir haben alle relevanten Feststellungen schnell behoben, wobei Cure53 die Korrekturen überprüft hat, um sicherzustellen, dass keine zusätzlichen Schwachstellen eingeführt wurden.
„Zusammenfassend lässt sich sagen, dass diese Bewertung der neuesten ExpressVPN-App für die aktuellste macOS-Version einen außergewöhnlich soliden Eindruck in Bezug auf die Sicherheit hinterlässt“, schreibt die Crew von Cure53 in ihrem Bericht. „Alles in allem verdient das ExpressVPN-Team ein großes Lob für seine Bemühungen, einen außergewöhnlich sicheren macOS-Client bereitzustellen. Es sind nur wenige geringfügige Verbesserungen erforderlich, um den Sicherheitsstatus der Plattform auf ein vorbildliches Niveau zu heben.“
In ähnlicher Weise lieferte das Audit unserer App für Linux eine kurze Liste mit Sicherheitsproblemen. Unter den fünf entdeckten Funden waren zwei Sicherheitslücken und drei allgemeine Schwachstellen mit geringerem Ausnutzungspotenzial, die inzwischen alle von unserem internen Team überprüft wurden. „Das Fehlen von Ergebnissen, die über eine mittlere Stufe hinausgehen, ist noch ein weiterer starker und positiver Indikator für die Beschaffenheit der Sicherheitsprämisse bei den Linux-Zielen von ExpressVPN“, bemerkt Cure53.
Lesen Sie den vollständigen Audit-Bericht für macOS hier und für Linux hier.
Die ExpressVPN-App für Windows v12 ist sicherer als je zuvor
F-Secure führte von Februar bis März 2022 ein Sicherheitsaudit unserer neuesten Windows-App (v12) durch. Bei der Prüfung wurden zwei wichtige Eigenschaften der App bewertet:
- Dass die App nicht so manipuliert werden kann, dass Informationen (wie zum Beispiel die IP-Adresse eines Benutzers) aus dem VPN-Tunnel sickern können.
- Dass die App nicht anfällig ist für Angriffe mit Remote-Code-Ausführung.
Wir freuen uns, mitteilen zu können, dass F-Secure keine wesentlichen Schwachstellen gefunden hat. Die unabhängigen Auditoren von F-Secure fanden lediglich ein Informationsproblem in unserer App für Windows v12, das nicht ausnutzbar war. Das Problem wurde bereits behoben, was F-Secure bei einem erneuten Test im April 2022 bestätigte.
Es wurden keine Probleme einer kritischen, hohen, mittleren oder geringfügigen Stufe gefunden. Und wie schon in ihrem vorherigen Bericht gab F-Secure uns eine ausgezeichnete Bewertung und kam zu dem Schluss: „Weder war es möglich, Informationen über die ExpressVPN-Clients oder den Datenverkehr im Netzwerk zu erhalten noch war es möglich, über Angriffe wie Man-in-the-Middle (MitM), TLS-Downgrading oder Packet-Injection Code aus der Ferne auszuführen.“
Lesen Sie den vollständigen Bericht von F-Secure zu Windows v12.
Windows v12 bringt erhebliche Verbesserungen in Bezug auf die Sicherheit der App und die Integration in das Betriebssystem. Außerdem wurde das Backend neu gestaltet und für Lightway optimiert, unser proprietäres Protokoll, das wir für ein schnelleres, zuverlässigeres und sichereres VPN-Erlebnis entwickelt haben. Diese Änderungen ebnen den Weg für aufregende neue Funktionen für unsere Windows-Nutzer, wie zum Beispiel Parallele Verbindungen und Threat Manager. Angesichts dieser grundlegenden Upgrades wollten wir die Sicherheit von Windows v12 so schnell wie möglich verifiziert haben. Laden Sie ExpressVPN für Windows (v12) herunter.
Hinweis: v12 ist nur für Nutzer von Windows 10 und höher verfügbar.
Unser Engagement für Datenschutz- und Sicherheitsüberprüfungen durch Dritte
Mit diesen drei neuen Audits unserer Desktop-Apps erhöht sich die Gesamtzahl der von ExpressVPN veröffentlichten Audits auf 11. Damit stellen wir sicher, dass wir unseren Nutzern das sicherste Online-Erlebnis bieten. Hier finden Sie unsere früheren externen Audits und Sicherheitsbeurteilungen:
- Ein Audit von KPMG zu unserer No-Logs-Richtlinie (September 2022)
- Ein Sicherheitsaudit von Cure53 für unseren Aircove-Router (Juli 2022)
- Ein Sicherheitsaudit von Cure53 zu TrustedServer, unserer internen VPN-Servertechnologie (Mai 2022)
- Ein Sicherheitsaudit von F-Secure für unsere App für Windows v10 (März 2022)
- Ein Sicherheitsaudit von Cure53 für unser VPN-Protokoll Lightway (August 2021)
- Ein Audit durch PwC Schweiz zu unserem Build-Verifizierungsprozess (Juni 2020)
- Ein Audit durch PwC Schweiz zur Einhaltung unserer Datenschutzrichtlinien und unserer hauseigenen TrustedServer-Technologie (Juni 2019)
- Ein Sicherheitsaudit unserer Browsererweiterung durch Cure53 (November 2018)
Wir werden auch weiterhin an unserer Verpflichtung festhalten, mehr und häufigere Audits durch Dritte durchzuführen. Dies ist nur eine der vielen Möglichkeiten, mit denen wir sicherstellen, dass unsere Nutzer in den Genuss des sichersten VPN-Erlebnisses kommen.
Auch wenn einige der Inhalte noch in der Originalsprache sind, glauben wir, dass sie für den Beitrag relevant sind. Wir hoffen, dass Sie ihn trotzdem genießen können.