Malwarebytes veröffentlicht erstes unabhängiges VPN-Sicherheitsaudit

Malwarebytes hat sein erstes unabhängiges Sicherheitsaudit für die Infrastruktur seines Privacy VPN-Dienstes veröffentlicht. Der globale Cybersecurity-Spezialist ließ seine Systeme von den renommierten Experten der X41 D-Sec prüfen. Das Ergebnis: Die No-Logs-Richtlinie wird strikt eingehalten und die Systeme weisen ein hohes Sicherheitsniveau auf.

In einer Branche, in der Datenschutzversprechen oft schwer zu überprüfen sind, setzt Malwarebytes damit auf radikale Transparenz. Das Unternehmen öffnete den Prüfern den gesamten Quellcode, die Serverkonfigurationen und die internen Prozesse. Ziel war es, zu beweisen, dass der Nutzerschutz mehr ist als nur ein Marketingversprechen.

Während VPNs die Privatsphäre schützen, lauern auf dem Gerät selbst oft unbemerkte Spionage-Programme. PC-Sicherheitsexperten verraten in diesem kostenlosen PDF-Ratgeber ihre besten Schutzmaßnahmen gegen Viren und Hacker. Gratis: Das Anti-Virus-Paket für Ihren PC-Schutz sichern

Tiefe Prüfung mit White-Box-Methode

Die Experten von X41 D-Sec führten das Audit über zwei Monate nach der White-Box-Penetrationstest-Methodik durch. Sie erhielten damit vollständigen Zugriff auf die gesamte technologische Basis – von den Kernanwendungen für Windows, macOS, Android und iOS bis hin zur globalen Serverinfrastruktur.

Ein zentraler Fokus lag auf der Verifizierung der No-Logs-Systeme. Die Prüfer wollten sicherstellen, dass keinerlei identifizierbare Nutzermetadaten gespeichert werden. Ein solches Maß an Offenlegung ist in der VPN-Branche nach wie vor selten. Viele Anbieter lassen lediglich ihre Datenschutzrichtlinien rechtlich prüfen.

Keine Protokollierung, strenge Zugriffskontrolle

Das entscheidende Ergebnis: Die Auditoren fanden keinerlei Hinweise auf eine Protokollierung von Nutzeraktivitäten. Das stützt die Behauptung des Unternehmens, einen echten No-Logs-Service anzubieten. Zudem wird der Zugriff auf die internen Systeme streng kontrolliert.

Die Prüfer stellten fest, dass keine unnonymer Fernzugriffe oder Schnittstellen nach außen exponiert waren. Diese restriktive Zugriffspolitik minimiert die Angriffsfläche für Hacker erheblich. Die Architektur sei gut positioniert, um die Privatsphäre auch gegen fortgeschrittene Bedrohungen zu verteidigen.

„Vertrauen darf keine bloße Glaubenssache sein“, betonte Marcin Kleczynski, Gründer und CEO von Malwarebytes. Mit diesem Audit gehe das Unternehmen über bloße Versprechen hinaus und liefere Nutzern den objektiven Beweis für hohe Sicherheitsstandards.

Kritische Schwachstellen bereits behoben

Trotz des positiven Gesamturteils identifizierte das Audit-Team auch Schwachstellen: zwei kritische, zwei mittlere und zwei niedrige Sicherheitsrisiken. Eine kritische Lücke betraf die Validierung von Prüfsummen beim Download von Betriebssystem-Images für neue Server.

Hier wurde zwar ein sicheres Protokoll verwendet, die Signatur der Prüfsumme jedoch nicht gegen den offiziellen Debian-Schlüssel validiert. Malwarebytes reagierte umgehend und implementierte eine Korrektur. Eine weitere kritische Schwachstelle betrifft den PXE-Bootprozess, dem eine kryptografische Signatur fehlt.

Neben der Desktop-Sicherheit ist vor allem der mobile Datenschutz entscheidend, da wir sensible Dienste wie PayPal oder WhatsApp mobil nutzen. Ein gratis PDF-Ratgeber zeigt 5 einfache Schritte, mit denen Sie Ihr Android-Smartphone in wenigen Minuten gegen Hacker absichern können. So sichern Sie Ihr Android-Smartphone effektiv ab

Von den identifizierten Problemen wurden eine kritische, beide mittleren und eine niedrige Schwachstelle bereits vollständig gelöst. Branchenanalysten werten die schnelle Reaktion als Zeichen für eine reife Sicherheitshaltung.

Gemeinsame Basis mit AzireVPN

Ein zentraler Aspekt des Audits ist die Integration der AzireVPN-Infrastruktur, die Malwarebytes Ende 2024 übernommen hat. Seitdem nutzen beide VPN-Dienste dieselbe Hardware- und Softwarebasis. Das Audit validierte somit die gemeinsame technologische Plattform.

Durch die Nutzung dedizierter Hardware in Rechenzentren behält das Unternehmen eine größere Kontrolle über die gesamte Datenkette. Experten sehen darin einen klaren Wettbewerbsvorteil gegenüber Anbietern, die lediglich Kapazitäten von Drittanbietern anmieten.

Vertrauen als Währung im VPN-Markt

Die Veröffentlichung ist Teil eines größeren Trends in der Cybersecurity-Branche. Führende Anbieter wie NordVPN oder ProtonVPN führen bereits seit Jahren regelmäßige Prüfungen durch. Dass Malwarebytes nun nachzieht und dabei eine sehr tiefe technische Prüfung wählt, zeigt den hohen Reifegrad des Produkts.

In einer Ära allgegenwärtiger staatlicher Überwachung und Datenlecks ist nachweisbare Sicherheit für viele Nutzer ein entscheidendes Kaufkriterium. Das aktuelle Audit adressiert genau die Sorge, dass ein VPN-Anbieter theoretisch den gesamten Internetverkehr einsehen könnte.

Regelmäßige Audits geplant

Für die Zukunft plant Malwarebytes, solche Audits fest in seinen Entwicklungszyklus zu integrieren. Das Ziel ist eine kontinuierliche Validierung der Sicherheitsversprechen. Das Unternehmen will auch die verbleibenden geringfügigen Mängel in den kommenden Wochen vollständig beheben.

Zudem wird erwartet, dass Malwarebytes seine Privacy-Suite weiter ausbauen wird. Neben dem VPN stehen Funktionen zur Identitätssicherung und zum Schutz vor Datenhandel im Fokus. Der erfolgreiche Abschluss des Infrastruktur-Audits legt den Grundstein für diese Erweiterungen.

boerse | 69058271 |