Im April 2022 führte das Indian Computer Emergency Response Team (CERT-In) Richtlinien zur Cybersicherheit ein, um Cyberangriffen entgegenzuwirken und die Online-Sicherheit zu stärken. Die neuen Regeln würden VPN-Dienste und andere Anbieter von Cloud-Diensten dazu verpflichten, alle Kundendaten und IKT-Transaktionen fünf Jahre lang aufzubewahren.
Die VPN-Branche hat die neuen Richtlinien angeprangert und erklärt, dass solch strenge Gesetze gegen den grundlegenden Zweck und die Politik von Virtual Private Networks verstoßen. Mehrere VPN-Anbieter haben ihre physischen indischen Server entfernt.
Was sind das für neue Regeln? Und gibt es Abhilfe?
Was bedeuten die neuen Datenschutzregeln für VPN-Anbieter?
Gemäß den neuen Vorschriften müssen Dienstleister die Kundendaten fünf Jahre oder länger aufbewahren und auf Anfrage an die Regierung weitergeben.
Die Regeln gelten für Verbraucher-VPNs; Unternehmens- oder Unternehmens-VPNs fallen nicht in diese Kategorie.
Die neuen Vorschriften würden nach ihrer Umsetzung bedeuten, dass jedes Verbraucher-VPN mit physischen Servern in Indien gezwungen wäre, Kundendatensätze zu speichern, einschließlich:
- Vollständiger Name und Adresse.
- Telefonnummer.
- E-Mail-Addresse.
- Tatsächliche IP-Adresse.
- Neue IP-Adresse (wird vom VPN vergeben).
- Zeitstempel der Anmeldung.
- Eigentumsmuster der Kunden.
- Zweck der Nutzung des VPN.
VPN-Dienste müssen auch Aufzeichnungen über Benutzer führen, selbst nachdem sie den Dienst gekündigt haben. Diese Regeln verletzen nicht nur die Privatsphäre der Benutzer; Sie sind auch nicht mit der Funktionsweise der meisten VPNs kompatibel. Neben dem strenge No-Logs-Richtlinien, die Hardwarekonfiguration macht es einigen VPN-Anbietern unmöglich, Daten aufzuzeichnen.
ExpressVPN, PIA und Surfshark betreiben beispielsweise RAM-basierte Server, die flüchtige RAM-Module anstelle herkömmlicher Festplatten verwenden. Sobald die Stromversorgung der Server unterbrochen wird, gehen alle Daten verloren.
Ursprünglich sollten die neuen Regeln innerhalb von 60 Tagen nach Bekanntgabe, also am 27. Juli, in Kraft treten. Laut einem Update von CERT-In wurde die Frist jedoch um drei Monate bis zum 25. September 2022 verlängert.
Die Verlängerung verschafft Cloud-Service-Anbietern und KMU die erforderliche Zeit, um Kapazitäten für die Umsetzung neuer Richtungen aufzubauen. Werden diese nicht eingehalten, kann es zu Gefängnisstrafen oder anderen Strafmaßnahmen kommen.
Wie hat die Cybersicherheitsbranche auf Indiens Datenschutzbestimmungen reagiert?
Die Internet Freedom Foundation (IFF) gab eine Erklärung heraus, in der sie dieses Gesetz als Verletzung der Privatsphäre und Informationssicherheit der Benutzer bezeichnete.
Insbesondere VPN-Dienstleister wehren sich gegen die Richtlinien, da sie gegen die Grundprinzipien von VPNs verstoßen, nämlich die Aktivitäten der Benutzer privat zu halten.
ExpressVPN war das erste Unternehmen, das seine Server aus Indien verlagert hat. Es beschrieb die Regeln als "weitgehend" und "übertrieben" und behauptete, dass der potenzielle Missbrauch eines solchen Gesetzes die Vorteile bei weitem überwiege.
Surfshark folgte bald und kündigte an, seine indischen Server herunterzufahren. In einem Blogbeitrag, sagte das Unternehmen,
"Surfshark arbeitet stolz unter einer strikten "No-Logs"-Richtlinie, daher widersprechen solche neuen Anforderungen dem Kernethos des Unternehmens."
NordVPN bestätigte auch, dass es indische Server als Reaktion auf die Cybersicherheitsrichtlinie des Landes terminiert.
Mehrere andere VPN-Dienstanbieter erwägen den gleichen Weg, wenn das Datenschutzgesetz in seiner aktuellen Form umgesetzt wird, darunter:
- Proton-VPN.
- CyberGhost.
- Versteck mich.
- Reines VPN.
- Privat.
Trotzdem bieten einige VPNs immer noch eine Möglichkeit, mithilfe virtueller Server eine indische IP-Adresse zu erhalten.
Sind virtuelle Server sicher zu verwenden?
Wenn Sie ein datenschutzbewusster Benutzer sind und indische Inhalte entsperren müssen, gibt es eine Problemumgehung in Form von virtuellen Servern. Es ist nicht ideal, aber immer noch die nächstbeste Option.
Ein virtueller Server ist eine softwarebasierte Darstellung eines dedizierten physischen Servers. Es bildet die Funktionalität nach, es fehlt jedoch die zugrunde liegende Maschinerie eines physischen Servers. Netzwerkadministratoren verwenden Virtualisierungssoftware, um einen physischen Server in mehrere virtuelle Server aufzuteilen.
VPNs wie Surfshark und ExpressVPN verwenden virtuelle Server, um Benutzern dabei zu helfen, indische Inhalte zu entsperren. Diese Server befinden sich physisch in Großbritannien und Singapur, verwenden jedoch eine Reihe indischer IP-Adressen, die den Anschein erwecken, als würden Sie von Indien aus im Internet surfen.
Da sich virtuelle Server nicht physisch in Indien befinden, gelten die neuen Gesetze zur Vorratsdatenspeicherung nicht für sie. Sie genießen immer noch die normale No-Logs-Richtlinie – mit einigen kleinen Nachteilen. Dazu gehören Ressourcen-Hogging und Probleme mit geringer Leistung. Dies geschieht normalerweise, wenn ein einzelner physischer Computer mehrere virtuelle Server hostet, von denen einige beginnen können, Ressourcen zu überlasten.
Der zweite Nachteil bezieht sich auf ihre Verfügbarkeit. Nicht alle VPN-Dienste bieten virtuelle Server an; diejenigen, die dies tun, leiden normalerweise unter Verzögerungen und langsamen Verbindungsgeschwindigkeiten. Möglicherweise sehen Sie jedoch höhere Geschwindigkeiten, wenn Sie eine Verbindung von einem Land aus herstellen, in dem es sich befindet.
Was bedeutet das für VPN-Benutzer?
Da Top-VPN-Unternehmen ihre Server in Indien kündigen, sind Benutzer besorgt darüber, wie sie VPN-Dienste nutzen werden. Viele VPNs haben damit begonnen, virtuelle Server bereitzustellen, um ihren Bedürfnissen gerecht zu werden.
Bis jetzt sind uns keine VPN-Unternehmen bekannt, die den Gesetzen zur Vorratsdatenspeicherung zugestimmt haben. Wenn Sie jedoch ein VPN verwenden und einen indischen Server in der Länderliste sehen, lohnt es sich, sich für Ihre eigene Privatsphäre beim Unternehmen zu erkundigen.