Wie ihr bestimmt schon mitbekommen habt, wurden bei Windscribe am 24. Juni diesen Jahres VPN-Server in der Ukraine beschlagnahmt. Soweit so schlecht.
Laut Arstechnica musste Windscribe zugeben, dass die Server nicht gut genug gesichert waren. Den Angaben nach liefen die Server auf einem alten Stack und waren nicht verschlüsselt. Und so wurden auf den Servern private Schlüssel auf den Festplatten gefunden. Das ist natürlich sehr peinlich und wurde jetzt behoben, wie wir in ihrem neuen Blogbeitrag lesen konnten. Loben muss man auch, dass sie nun den In-Memory-Stack-Ansatz verfolgen, so dass auf den Festplatten keine privaten Daten gefunden werden können.
Das ist in etwa das Gleiche was wir schon seit vielen Jahren in unserer Infrastruktur implementiert haben: Unsere Server laufen auf RAM-Disks, also auf flüchtigem Speicher. So ist sichergestellt dass sobald der Strom vom Server getrennt wird keine sicherheitsrelevanten Daten gefunden werden können. Man könnte auch sagen, dass Windscribe jetzt endlich im Jahr 2021 dieses Feature bei uns abgeschaut hat.
Als Windscribe am 15. November 2018 ihren serverseitigen Ad und Tracking-Blocker 'R.O.B.E.R.T.' vorstellte, haben wir etwas geschmunzelt, da dieser quasi eine Kopie von unserem 'TrackStop' darstellte, welches wir bereits am 08.09. 2016 vorgestellt haben.
Uns ehrt es ja sehr wenn unsere Features von anderen Anbietern kopiert werden :)
Das Daten bei Anbietern gefunden werden obwohl sie laut Marketing eine No-Logging-Strategie verfolgen ist hinlänglich bekannt. Auffällig ist auch dass diese Anbieter gerade mal so billig sind, dass man sagen kann sie sind nicht kostenlos. Wir werden dazu nie Namen nennen oder Stellung beziehen, das ist nicht unser Stil. Windscribe hat sich in dem Blogbeitrag die Mühe gemacht auf die Defizite der Mitbewerber einzugehen. Das ist zwar schlechter Stil, von einem VPN-Anbieter, welcher selbst Fehler gemacht hat und sich dadurch vesucht besser darzustellen, aber das muss jedes Unternehmen für sich selbst entscheiden.
Aber dass Windscribe im oben verlinktem Blogbeitrag schreibt, dass wir bei der Serverbeschlagnahmung in Rotterdamm unsere Ram-Disk-Infrastruktur noch nicht hatten und damit mutmaßt dass Daten unserer Nutzer gefunden hätten werden müssen, ist einfach nur eine dreiste Unterstellung. Hätten sie sich stattdessen an grundlegende, journalistische Standards gehalten, und einfach nachgefragt anstatt Unwahrheiten zu behaupten, so hätten wir gerne aufgeklärt, dass unsere VPN-Server bereits seit dem Jahr 2013 mit den RAM-Disks laufen. Außerdem ziehen wir trotz Ram-Disk selbstverständlich die Zertifikate zurück wenn wir die Kontrolle über einen Server verlieren.
Wir gehen also vollkommen zu Recht davon aus, dass bei der Beschlagnahmung unserer Server in Rotterdam im Jahr 2016 die Ermittler auf den Festplatten lediglich eine Linux-Basisinstallation mit angepasster Konfiguration vorgefunden haben und keinerlei anderer Daten habhaft werden konnten.
Euer Perfect Privacy Team