Warum ExpressVPN deine Privatsphäre nicht schützt

Andreas Wiebe -


ExpressVPN wirbt stark mit dem Argument der „Jurisdiktion auf den British Virgin Islands“ und suggeriert damit besondere Privatsphäre.
Die tatsächliche Unternehmensrealität ist jedoch deutlich komplexer – und problematischer.

1. Unternehmenssitz vs. tatsächlicher Betrieb

  • Gegründet 2009, offiziell registriert auf den British Virgin Islands
  • Tatsächlicher operativer Schwerpunkt jedoch in Singapur und Hongkong, wo ein Grossteil des Führungspersonals sitzt
  • Ursprünglich betrieben von der Hongkonger Firma Chengbao, später umbenannt in NetworkGuard
  • Stellenausschreibungen warben explizit mit Hongkong-Positionen zur „Betrieb eines weltweiten Server- und Systemnetzwerks“

Rechtliche Registrierung ≠ reale Kontrolle 

2. Übernahme durch Kape Technologies

  • Im September 2021 wurde ExpressVPN für 936 Mio. USD von Kape Technologies übernommen
  • Kape hiess ursprünglich Crossrider (gegründet 2011)
  • Eine Studie von UC Berkeley und Google (2015) zeigte:
    Crossrider kontrollierte 42–44 % des weltweiten Ad-Injection-Marktes
  • Malwarebytes und Symantec stuften Crossrider-Software als Adware ein
  • 2018 erfolgte ein Rebranding
    → CEO Ido Erlichman gab offen zu, dass dies wegen der „starken Assoziation mit den früheren Aktivitäten“ geschah 

3. Eigentümerstruktur

  • Kape wird kontrolliert vom israelischen Milliardär Teddy Sagi
  • Verurteilt 1996 in Israel wegen Betrugs, Bestechung und Kursmanipulation
  • Genannt in den Panama Papers und Pandora Papers
  • 2023 nahm Sagi Kape für 1,6 Mrd. USD von der Börse
    keine öffentlichen Berichtspflichten mehr 
quelle: https://x.com/iAnonymous3000/status/2016979031208710515/photo/1

4. Der Project-Raven-Skandal

  • Dezember 2019: ExpressVPN stellt Daniel Gericke als CIO ein
  • Gericke war leitend beteiligt an Project Raven, einem Überwachungsprogramm der VAE
  • Entwicklung von Zero-Click-iPhone-Exploits gegen Journalisten und Menschenrechtsaktivisten
  • Am 14. September 2021 (einen Tag nach der Kape-Übernahme) erhebt das US-Justizministerium Anklage
  • Gericke zahlt 335.000 USD Strafe
  • ExpressVPN entlässt ihn nicht
  • Stattdessen wird er später sogar zum CTO befördert
  • Stillen Abgang im Juli 2023

Statement von ExpressVPN:
„Es war seine Vergangenheit und Expertise, die ihn zu einer wertvollen Einstellung machten.“

5. Technische und sicherheitsrelevante Probleme

  • Sicherheitsforscher Marc Bevand kritisierte:
    • Verwendung schwacher 1024-Bit-RSA-Schlüssel
  • DNS-Leak-Bug in der Windows-App:
    • Bestand von Mai 2022 bis Februar 2024 (fast 2 Jahre)
    • Split-Tunneling leitete DNS-Anfragen an den ISP weiter
    • Offenlegung besuchter Domains
    • Bestand trotz mehrerer Sicherheits-Audits 

6. Audits & Vertrauensargumente

  • ExpressVPN verweist häufig auf Audits durch PwC
  • PwC war jedoch mehrfach wegen schwerer Prüfungsfehler auffällig
  • Aktueller Skandal mit der australischen Regierung wegen Missbrauchs vertraulicher Informationen zur Geschäftsanbahnung

➡ Ein Audit ersetzt keine gute Unternehmensführung 

7. Tracking laut eigener Datenschutzerklärung

Als „essenziell“ (nicht deaktivierbar) deklariert:

  • Google Analytics
  • Facebook Pixel (Remarketing)
  • AppsFlyer (Mobile Tracking)

Erhobene Daten:

  • Verbindungsdaten (Datum)
  • Ausgewählte Serverstandorte
  • Herkunftsland & ISP 

8. Manipulation von Review-Websites

  • 2021: Kape kauft vpnMentor und Wizcase für 149,1 Mio. USD
  • 6 Mio. monatliche Besucher
  • Rankings vor Übernahme: NordVPN auf Platz 1
  • Danach: ExpressVPN, CyberGhost, Private Internet Access
    → alle Kape-eigen
  • Offenlegung nur über einen kaum sichtbaren Footer-Link

9. Das Gegenargument: Türkei-Server 2017

Ja – die Beschlagnahmung eines Servers in der Türkei 2017 bestätigte:

  • Keine Logs auf Serverebene

Aber: Technische Architektur ersetzt keine vertrauenswürdige Unternehmensstruktur. Ein Unternehmen mit Wurzeln im Adware-Geschäft, im Besitz eines wegen Betrugs verurteilten Eigentümers, operativ aus Hongkong geführt, das einen Veteranen eines staatlichen Hacking-Programms der VAE einstellte und beförderte und zudem die Bewertungsportale kontrolliert, die es selbst empfehlen, verlangt ein Mass an Vertrauen, das seine eigene Struktur nicht rechtfertigt.

 Zum Schluss noch ein Kommentar von Edward Snowden:
„Wenn du ExpressVPN nutzt, solltest du es nicht tun.“ 

 https://vpn.swisscows.app/de