VPN-Audits Erklärt: Was 'Unabhängig Geprüft' Wirklich Bedeutet (Spoiler: Nicht Viel)

7 Min. Lesezeit Enthält Affiliate-Links
vpn audit no-logs datenschutz marketing exposé
Inhaltsverzeichnis

Jedes VPN behauptet jetzt, “unabhängig geprüft” zu sein. NordVPN, ExpressVPN, Surfshark - sie alle wedeln mit Audit-Berichten wie mit Freifahrtscheinen.

Hier ist, was sie hoffen, dass Sie nicht bemerken: Ein Audit beweist nur, was der Prüfer beauftragt wurde zu prüfen, während der spezifischen Zeit, in der er geprüft hat, auf den spezifischen Servern, die er sich angesehen hat. Das war’s.

“Geprüft” bedeutet nicht “keine Logs.” “Geprüft” bedeutet nicht “wir können Ihren Traffic nicht sehen.” “Geprüft” bedeutet nicht “Sie sind sicher.”

Dieser Artikel wird Ihnen beibringen:

  • Was VPN-Audits tatsächlich prüfen (und was nicht)
  • Wie man Audit-Scope-Sprache liest (das Kleingedruckte, das VPNs hoffen, dass Sie überspringen)
  • Welche Audits aussagekräftig sind vs. Marketing-Theater
  • Die Fragen, die Sie stellen sollten, bevor Sie irgendeiner Audit-Behauptung vertrauen

Provisionsoffenlegung: Dieser Artikel empfiehlt Mullvad ($0, kein Partnerprogramm) und ProtonVPN (~$25/Verkauf). Die meisten VPNs mit auffälligen Audits zahlen $60-150/Verkauf. Ich empfehle sie nicht.

30-Sekunden-Realitätscheck

Was VPN-Audits beweisen KÖNNEN:

  • Code hat keine offensichtlichen Hintertüren (zum Zeitpunkt des Audits)
  • Geprüfte spezifische Server hatten keine Logs (zum Zeitpunkt des Audits)
  • Datenschutzrichtlinie stimmt mit technischer Implementierung überein (zum Zeitpunkt des Audits)

Was VPN-Audits NICHT beweisen können:

  • Keine Logs existieren auf IRGENDEINEM Server (Prüfer prüfen Stichproben, nicht alles)
  • Keine Logs werden morgen existieren (Zeitpunkt, nicht kontinuierlich)
  • Das Unternehmen kann keine Logs erstellen, wenn es unter Druck gesetzt wird
  • VPN führt keine Metadaten (Verbindungszeiten, Bandbreite, etc.)
  • VPN wird nicht mit Behörden kooperieren trotz Behauptungen

Der echte Test: Wurde das VPN vorgeladen oder durchsucht, und hatten sie nichts zu übergeben? Das ist das einzige Audit, das zählt.

Die “Unabhängig Geprüft”-Marketing-Lüge

Was VPNs wollen, dass Sie denken: “Wir haben unabhängige Prüfer beauftragt und sie haben bestätigt, dass wir keine Logs führen. Sie sind völlig sicher.”

Was tatsächlich passiert ist:

  1. VPN hat eine Wirtschaftsprüfungsgesellschaft beauftragt und bezahlt
  2. VPN hat den Umfang dessen definiert, was geprüft werden sollte
  3. Prüfer haben nur das geprüft, was das VPN ihnen gesagt hat zu prüfen
  4. Prüfer haben nur die Server geprüft, zu denen das VPN ihnen Zugang gab
  5. Prüfer haben nur während des vereinbarten Zeitraums geprüft
  6. Prüfer fanden “keine Beweise” für die Dinge, nach denen sie gesucht wurden
  7. VPN machte daraus “VERIFIZIERTE NO-LOGS-RICHTLINIE”

Sehen Sie das Problem?

Es ist, als würde ein Restaurant einen Inspektor bezahlen, nur den Speisesaal zu prüfen, und dann mit “Gesundheitsamt Verifiziert!” werben, während die Küche ungeprüft bleibt.

Die Drei Arten von VPN-Audits

Nicht alle Audits sind gleich. Die Typen zu verstehen hilft Ihnen, den Mist zu erkennen.

Typ 1: Infrastruktur-Audit

Was es prüft:

  • Server-Konfigurationen
  • Ob Logging in Server-Einstellungen deaktiviert ist
  • RAM-only-Server-Behauptungen
  • Netzwerkarchitektur

Was es beweist:

  • Auf den spezifischen geprüften Servern, zum Zeitpunkt der Prüfung, schien das Logging in den untersuchten Konfigurationen deaktiviert zu sein

Was es nicht beweist:

  • Alle 5.000+ Server sind gleich konfiguriert
  • Logging kann nicht remote aktiviert werden
  • Kein Logging passiert auf Rechenzentrumsebene
  • Das VPN-Unternehmen hat keine anderen Wege, Daten zu sammeln

Beispiel: NordVPNs PwC-Audit prüfte eine “Stichprobe” von Servern. Welcher Prozentsatz ihrer 5.000+ Server? Sie sagen es nicht. Könnte 10 sein, könnte 100 sein. Sie wissen es nicht.

Typ 2: Code-Audit

Was es prüft:

  • Anwendungsquellcode
  • Ob die VPN-App Tracking oder Logging eingebaut hat
  • Sicherheitslücken
  • Datensammlungsmechanismen in der Software

Was es beweist:

  • Die geprüfte Version des Codes hatte kein offensichtliches Tracking
  • Sicherheitsexperten fanden keine größeren Schwachstellen (zum Zeitpunkt des Audits)

Was es nicht beweist:

  • Der Code auf Ihrem Gerät entspricht dem, was geprüft wurde
  • Zukünftige Updates werden kein Tracking hinzufügen
  • Server-seitiger Code (den Sie nie sehen) ist sauber
  • Browser-Erweiterungen haben die gleiche Prüfung

Beispiel: ExpressVPNs Cure53-Audit überprüfte ihre Apps. Aber das Audit sagt ausdrücklich, dass es “die Client-Anwendungen” abdeckte - nicht die Server-Infrastruktur, nicht die Backend-Systeme, nicht die Browser-Erweiterungen.

Typ 3: Richtlinien-Audit

Was es prüft:

  • Ob die Datenschutzrichtlinie mit der technischen Implementierung übereinstimmt
  • Ob No-Logs-Behauptungen technisch korrekt sind
  • Ob Datenverarbeitungsverfahren eingehalten werden

Was es beweist:

  • Zum Zeitpunkt des Audits schien die Richtlinie mit dem geprüften technischen Setup übereinzustimmen

Was es nicht beweist:

  • Die Richtlinie wird tatsächlich täglich befolgt
  • Mitarbeiter können nicht auf Daten zugreifen, wenn sie wollten
  • Behördenanfragen haben die Praktiken nicht geändert
  • Die rechtlichen Verpflichtungen des Unternehmens setzen die Richtlinie nicht außer Kraft

Wie Man Einen Audit-Bericht Tatsächlich Liest

VPNs verlinken auf Audit-Berichte in der Hoffnung, dass Sie “Audit abgeschlossen” sehen und aufhören zu lesen. Tun Sie das nicht.

Schritt 1: Finden Sie den Scope-Abschnitt

Jeder Audit-Bericht hat einen Scope-Abschnitt. Dieser sagt Ihnen genau, was die Prüfer untersuchen durften.

Rote Flaggen im Scope:

  • “Stichprobe von Servern” (nicht alle Server)
  • “Während des Audit-Zeitraums” (Zeitpunkt, nicht kontinuierlich)
  • “Vom Kunden bereitgestellt” (VPN kontrollierte, was Prüfer sahen)
  • “Beschränkt auf” (alles NICHT Aufgelistete wurde nicht geprüft)

Schritt 2: Prüfen Sie den Zeitrahmen

Frage zu stellen: Wann wurde dieses Audit durchgeführt, und wie alt ist es?

Rote Flaggen:

  • Audit älter als 2 Jahre (viel ändert sich)
  • Kein klares Datum angegeben
  • “Jährliches Audit” aber kein 2026/2026 Bericht

Schritt 3: Suchen Sie nach Spezifischen Ausschlüssen

Gute Audits sagen explizit, was NICHT untersucht wurde. Wenn ein Audit keine Ausschlüsse erwähnt, nehmen Sie an, dass alles Wichtige ausgeschlossen wurde.

Häufige Ausschlüsse (oft in Fußnoten versteckt):

  • Browser-Erweiterungen
  • Server-seitiges Logging
  • Drittanbieter-Infrastruktur (Rechenzentren)
  • Mitarbeiter-Zugriffskontrollen
  • Backup-Systeme
  • Metadaten (Verbindungszeitstempel, etc.)

Die Audits, Die Wirklich Zählen

Es gibt nur ein Audit, das eine No-Logs-Behauptung wirklich verifiziert:

Eine Vorladung, ein Durchsuchungsbefehl oder eine Razzia, bei der Behörden Daten forderten und das VPN keine hatte.

VPNs, Die “Gerichtlich Getestet” Wurden

Mullvad (Schweden, 2023):

  • Polizeirazzia mit Durchsuchungsbefehl
  • Ergebnis: Keine Kundendaten existierten zum Beschlagnahmen
  • Quelle

Private Internet Access (USA, mehrfach):

Die Unbequeme Wahrheit

VPNs, die NICHT von Behörden getestet wurden machen unbestätigte Behauptungen, unabhängig davon, wie viele Audits sie herumwedeln.

Ein Audit sagt: “Wir haben geschaut und keine Logs gefunden.” Ein Gerichtsfall sagt: “Behörden forderten Logs und das VPN konnte keine liefern.”

Welchem würden Sie mehr vertrauen?

Rote Flaggen im VPN-Audit-Marketing

Rote Flagge #1: “Verifizierte No-Logs-Richtlinie”

Das Problem: Kein Prüfer kann eine No-Logs-Richtlinie “verifizieren”. Sie können nur sagen, dass sie an den spezifischen geprüften Stellen, zur spezifischen Zeit, keine Beweise für Logging gefunden haben.

Rote Flagge #2: “Unabhängiges” Audit (Das VPN Bezahlt Hat)

Das Problem: Das VPN hat den Prüfer beauftragt. Das VPN hat den Umfang definiert. Das VPN hat Zugang gewährt. Wie “unabhängig” ist das wirklich?

Rote Flagge #3: Altes Audit, Neue Behauptungen

Das Problem: Ein Audit von 2020 sagt Ihnen nicht viel über die Infrastruktur von 2026. Unternehmen ändern sich. Infrastruktur ändert sich. Richtlinien ändern sich.

Rote Flagge #4: Audit Deckt Nur Apps Ab

Das Problem: App-Audits verifizieren, dass die Software Sie nicht trackt. Server-Audits verifizieren, dass die Infrastruktur Sie nicht loggt. Das sind UNTERSCHIEDLICHE Dinge.

Rote Flagge #5: Kein Öffentlicher Audit-Bericht

Das Problem: Manche VPNs sagen “wir sind geprüft”, aber veröffentlichen den Bericht nicht. Warum? Vielleicht war der Umfang peinlich begrenzt.

Die Einzigen VPNs, Denen Man Vertrauen Sollte

Basierend auf tatsächlichen Beweisen (nicht nur bezahlten Audits), hier sind VPNs mit aussagekräftiger Verifizierung:

Mullvad - Höchste Vertrauenswürdigkeit

Warum:

  • Gerichtlich getestet (2023 schwedische Razzia)
  • Open Source Clients
  • Kein Kontosystem (nur Zufallsnummer)
  • Barzahlungen akzeptiert
  • Jährliche Cure53-Audits

Provision: $0 (kein Partnerprogramm)

Mullvad logo Mullvad Holen (Ich Verdiene $0, Empfehle Trotzdem)

ProtonVPN - Hohe Vertrauenswürdigkeit

Warum:

  • Open Source Apps (kontinuierliche Verifizierung)
  • Schweizer Rechtsprechung (starke Datenschutzgesetze)
  • Securitum-Audit
  • Keine identifizierenden Informationen zur Anmeldung erforderlich

Provision: ~$25/Verkauf

ProtonVPN logo ProtonVPN Holen (Open Source Apps)

Was Ist Mit NordVPN, ExpressVPN, Surfshark?

Meine Einschätzung:

Sie haben Audits. Die Audits sind im Umfang begrenzt. Sie wurden nicht auf Weisen gerichtlich getestet, die No-Logs-Behauptungen verifizieren.

Sie zahlen auch $60-150 pro Verkauf, weshalb jeder YouTuber sie empfiehlt.

Ich sage nicht, dass sie Sie loggen. Ich sage, dass ihre “unabhängig geprüft”-Behauptungen übertreiben, was tatsächlich verifiziert wurde.

Überprüfen Sie Das Selbst

Möchten Sie die Rohdaten hinter meinen Behauptungen sehen? Schauen Sie sich die Daten-Spreadsheets an - technische Details, Eigentumsverzeichnisse und mehr.

Vertrauen Sie mir nicht. Überprüfen Sie alles:

Mullvad-Razzia:

PIA-Gerichtsfälle:

Lesen Sie die tatsächlichen Audit-Berichte. Lesen Sie nicht nur die Marketing-Zusammenfassung des VPNs. Schauen Sie sich die Scope-Abschnitte an. Sehen Sie, was abgedeckt war und was nicht.

Das Fazit

“Unabhängig geprüft” ist Marketing, nicht Verifizierung.

Audits beweisen, dass bestimmte Dinge geprüft wurden und während bestimmter Zeiten in Ordnung schienen. Sie beweisen nicht “keine Logs existieren irgendwo, jemals.”

Die einzige aussagekräftige Verifizierung:

  1. Gerichtsfälle, bei denen Behörden keine Logs bekommen konnten
  2. Open Source Code, den Sie selbst verifizieren können
  3. Polizeirazzien, die nichts fanden

Meine Empfehlungen:

  • Mullvad - Gerichtlich getestet, Open Source, ich verdiene $0
  • ProtonVPN - Open Source Apps, Schweizer Rechtsprechung, ich verdiene ~$25

Die teuren VPNs mit auffälligen Audits? Sie könnten in Ordnung sein. Ihre Audits beweisen nur nicht, was sie behaupten zu beweisen.

Rechtlicher Hinweis: Dieser Artikel enthält meine Analyse öffentlich verfügbarer Audit-Berichte und Gerichtsdokumente. Meinungen darüber, was Audits beweisen und nicht beweisen, sind meine Interpretationen basierend auf dem Lesen der tatsächlichen Scope-Abschnitte.

Affiliate-Offenlegung: Ich verdiene Geld mit ProtonVPN (~$25/Verkauf) und nichts von Mullvad, weil sie kein Partnerprogramm haben. VPNs wie NordVPN und ExpressVPN zahlen $60-150/Verkauf. Ich empfehle die mit besserer Verifizierung, nicht höheren Auszahlungen.

The Angry Dev

Vertrauen Sie KEINER Review-Seite. Affiliate-Provisionen bestimmen deren Rankings. Dies ist auch eine Affiliate-Seite, aber ich bin ehrlich darüber, was ich verdiene, und ich bewerte nach Qualität statt nach Auszahlung. Selbst wenn das bedeutet, dass ich 0 $ bezahlt werde. Lesen Sie über meinen Ansatz und warum ich aufgehört habe zu lügen. Hier sind die Rohdaten, damit Sie alles selbst überprüfen können.

VPNs | Hosting | Speicher | Tools

Verwandte Beiträge