Für die Entwicklung und Wartung einer ExpressVPN-App sind viele Menschen erforderlich, die über viele Systeme verteilt arbeiten. Damit dies auf sichere Weise geschehen kann, müssen wir gewährleisten, dass alle Beteiligten genau überprüft, ausgerüstet und geschult sind. Das allein reicht jedoch noch nicht aus.
Wir müssen auch sichergehen, dass niemand von außerhalb unseres Unternehmens die Möglichkeit hat, sich in den Prozess einzumischen. Deswegen haben wir ein strenges Build-Verfahren eingeführt, das sicherstellt, dass Dritte keine unbefugten Änderungen an unserer Software vornehmen können. Dazu gehört auch, dass keine Malware eingeschleust werden kann.
So wie die Wasserversorgung geschützt ist, damit Sie dem Wasser vertrauen können, das aus Ihrem Wasserhahn fließt, ist auch unsere Software von der Erstellung bis zur Auslieferung an Sie vor einer Verseuchung durch bösartigen Code geschützt. Und diese Sicherheitsvorkehrungen haben wir jetzt von unabhängiger Stelle überprüfen lassen.
Minimierung des Risikos einer Verseuchung
In den letzten Jahren haben wir mehrere Fälle erlebt, in denen große Technologieunternehmen, darunter auch PC-Hersteller, Software und Hardware an Kunden ausgeliefert haben, die zu irgendeinem Zeitpunkt während der Entwicklung oder des Vertriebs mit bösartigem Code infiziert worden waren.
Vor diesem Hintergrund haben wir ein Verifizierungssystem entwickelt, das das Risiko, dass eine kompromittierte Person oder ein kompromittiertes Gerät dazu führen könnte, dass wir versehentlich Malware an unsere Kunden verteilen, sehr stark verringert.
Für Sie bedeutet das, dass Sie die ExpressVPN-Apps in der Gewissheit nutzen können, dass sie keinen unautorisierten oder bösartigen Code enthalten.
Dies sind einige der Richtlinien und Verfahren, die wir implementiert haben:
- Die Verwendung von PGP-Verschlüsselungsschlüsseln, die von ExpressVPN für alle Änderungen am Quellcode ausgegeben werden.
- Die Anforderung, dass alle Änderungen am Code von einer autorisierten Person genehmigt werden müssen. Dabei darf diese Person nicht mit der Person identisch sein, die die Änderung vorgenommen hat.
- Automatisierte Audits von Änderungen, wobei bei unerwarteten Änderungen Warnungen ausgegeben werden, die persönlich nachverfolgt werden.
- Die ausschließliche Verwendung der automatisierten Build-Umgebungen CircleCI und Azure DevOps für die Erstellung von Binärdateien, die an Kunden verteilt werden.
Unsere Verifizierungsprozesse wurden von PwC Schweiz geprüft.
Aber woher wissen Sie, dass unsere Behauptungen über unsere Richtlinien korrekt sind? Hier kommt die unabhängige Wirtschaftsprüfungsgesellschaft PwC Schweiz ins Spiel.
Zur Validierung dieser Sicherheitsvorkehrungen hat PwC Schweiz eine unabhängige Prüfung durchgeführt. Bei dieser wurden die Richtlinien und Kontrollen untersucht, die wir einsetzen, um Apps zu verteilen, die frei von unautorisierten Änderungen sind. Die Prüfer führten ihre Prüfung im Mai 2020 durch. Für die Prüfung bezogen sie unseren Quellcode, unsere Server, unsere Dokumentation und Mitarbeiter von ExpressVPN ein.
Der unabhängige Prüfbericht ist für Kunden verfügbar. In Übereinstimmung mit den Standards von PwC Schweiz für solche Berichte müssen Kunden, die den Bericht einsehen möchten, die Geschäftsbedingungen der Firma anerkennen, bevor sie auf den Bericht zugreifen. Hierfür können sich die Kunden über diesen Link einloggen.
Um sicherzustellen, dass die Ergebnisse nicht aus dem Zusammenhang gerissen und missverstanden werden, erlaubt PwC Schweiz es nicht, Auszüge aus dem Bericht zu veröffentlichen. Daher werden wir in diesem Artikel keine Einzelheiten zu den Ergebnissen nennen. Wir können jedoch sagen, dass wir mit dem Prozess zufrieden waren und regen unsere Kunden an, den vollständigen Bericht zu lesen.
Genießen Sie Sicherheit ohne Sorgen
Wir bei ExpressVPN sind immer auf der Suche nach potenziellen Bedrohungen für Ihre Privatsphäre und Ihre Sicherheit, und wir finden ständig Lösungen, um die Risiken zu verringern.
Audits durch vertrauenswürdige Dritte, wie unsere jüngste Sicherheitsbewertung durch Cure53 und die letztjährige Prüfung der Einhaltung unserer Datenschutzrichtlinien sowie unsere hauseigenen TrustedServer-Technologie durch PwC Schweiz, bieten unabhängige Überprüfungen der Datenschutz- und Sicherheitszusagen, die wir unseren Kunden gegenüber machen.
Diese Prüfungen und Sicherheitsbewertungen ergänzen unsere anderen Bemühungen um Vertrauen und Transparenz, einschließlich der Bereitstellung von Open-Source-Tools zum Testen von Datenlecks, der öffentlichen Bekanntgabe unserer Sicherheitspraktiken und der Lancierung der VPN Trust Initiative, die das öffentliche Bewusstsein für Internetsicherheit fördern soll.
Wir bei ExpressVPN sind bestrebt, die Branche voranzubringen, sowohl durch Technologie als auch durch Transparenz. Wir freuen uns darauf, weitere Audits, Tools und Einblicke zu veröffentlichen, die es Ihnen ermöglichen, uns an diese Verpflichtung zu binden.
Auch wenn einige der Inhalte noch in der Originalsprache sind, glauben wir, dass sie für den Beitrag relevant sind, und hoffen, dass Sie ihn trotzdem genießen können.