Tillbaka till Bulletin Board
Der VPN-Schwindel: Wem gehört eigentlich deine „sichere“ Verbindung?
Säkerhet 13 min lasning

Der VPN-Schwindel: Wem gehört eigentlich deine „sichere“ Verbindung?

Du bezahlst für ein VPN, um deine Privatsphäre zu schützen. Doch das Unternehmen dahinter kann einem verurteilten Betrüger, einer chinesischen Militärfirma oder einem alten Adware-Konzern gehören. Hier ist die ganze Wahrheit über die verborgenen Eigentümer der VPN-Branche.

Emma Bergqvist

Emma Bergqvist

17 februari 2026

508 visningar
VPNintegritetsäkerhetKape TechnologiesMullvadPirate Bayövervakningutvald

Du bezahlst für einen VPN-Dienst, um deine Privatsphäre zu schützen. Du vertraust darauf, dass niemand sieht, was du online tust. Aber was, wenn das Unternehmen hinter deinem VPN eine Vergangenheit als Verbreiter von Adware hat, einem verurteilten Betrüger gehört oder letztlich von einer fremden Staatsmacht kontrolliert wird? Willkommen bei den dunkelsten Geheimnissen der VPN-Branche.

Dieser Artikel beruht auf überprüfbaren Fakten, namentlich genannten Quellen und öffentlichen Dokumenten. Alles, was ich behaupte, kannst du selbst nachprüfen. Ich bin Eigentümerketten nachgegangen, habe in Handelsregistern gegraben und Gerichtsakten gelesen. Was ich gefunden habe, ist schlimmer, als ich dachte.

Es begann mit The Pirate Bay

Um zu verstehen, warum Millionen Schweden heute ein VPN nutzen, müssen wir bis ins Jahr 2006 zurückgehen. Am 31. Mai stürmen 65 schwedische Polizisten ein Rechenzentrum in Stockholm und beschlagnahmen die Server von The Pirate Bay. Der Zugriff erfolgt nach intensivem Druck der US-Botschaft in Stockholm – etwas, das später durch geheime amerikanische Botschaftsdepeschen bestätigt wurde, die über WikiLeaks geleakt wurden. Die Botschaft beschrieb den Zugriff als „einen bedeutenden Sieg“ für ihre Arbeit im Bereich des geistigen Eigentums in Schweden.

Doch es war der Prozess von 2009, der die Menschen wirklich aufrütteln ließ. Der Vorsitzende des Amtsgerichts, Tomas Norström, verurteilte die vier Angeklagten zu Haftstrafen und Schadenersatz. Kurz nach dem Urteil enthüllte P3 Nyheter von Sveriges Radio, dass Norström Vorstandsmitglied im Schwedischen Verein für Urheberrecht (SFU) und im Schwedischen Verein für Gewerblichen Rechtsschutz (SFIR) war. Genau jene Organisationen, in denen die Anwälte der Klägerseite saßen: Henrik Pontén von der Antipiratbyrån, Monique Wadsted, die die Filmindustrie vertrat, und Peter Danowsky von der IFPI.

Der Richter saß also in denselben Interessenverbänden wie die Anwälte, gegenüber denen er hätte neutral sein müssen. Trotzdem entschied das Berufungsgericht Svea hovrätt im Juni 2009, dass Norström nicht befangen sei – kritisierte ihn jedoch dafür, seine Engagements vor dem Prozess nicht offengelegt zu haben. Das Pikante daran: Bei der Auswahl der Schöffen hatte Norström selbst eine Person abgelehnt, gerade weil sie Verbindungen zu Urheberrechtsorganisationen hatte.

Dass das Svea hovrätt sich entschied, das Urteil trotz dieser Verbindungen nicht für ungültig zu erklären, legte etwas Tieferes offen: einen grundlegenden Mangel an Rechtssicherheit in Schweden. In den meisten Rechtssystemen wäre ein Richter mit dokumentierten Verbindungen zu den Organisationen der Klägerseite automatisch ausgeschlossen worden. In Schweden reichte das nicht. Die Argumentation des Berufungsgerichts – dass die Verbindungen zwar unangemessen, aber nicht ausreichend seien, um eine Befangenheit zu begründen – setzte einen erschreckenden Präzedenzfall. Wenn ein Richter ohne Konsequenzen in denselben Lobbygruppierungen sitzen kann wie die Anwälte der Gegenseite, wo verläuft dann die Grenze? Die Frage ist bis heute unbeantwortet. Seither wurden keine politischen Reformen durchgeführt, um die Befangenheitsregeln zu stärken. Die Rechtssicherheit in technikbezogenen Verfahren bleibt ein ungelöstes Problem, an dem Schwedens Politiker offenbar völlig uninteressiert sind, es anzupacken.

Damit hört es nicht auf. Der Ermittler in dem Fall, der Polizist Jim Keyzer, verließ die Polizei kurz nach Abschluss der Ermittlungen 2008 – um bei Warner Brothers anzufangen, einem der Filmstudios, die zur Klägerseite gehörten. Laut Sydsvenskan hatte Keyzer bereits für das Studio gearbeitet, während die Ermittlungen noch liefen.

Der Prozess erschütterte das Vertrauen in die Justiz unter technikinteressierten Schweden. Das Gefühl war eindeutig: Mächtige ausländische Interessen konnten den schwedischen Rechtsprozess beeinflussen. Die Lösung für viele? Sich ein VPN zulegen. Niemand sollte je wieder sehen können, was sie online taten. Doch genau das war das Problem.

Kape Technologies: Von Adware zum VPN-Imperium

Sprechen wir über das Unternehmen, dem heute vier der weltweit beliebtesten VPN-Dienste gehören: ExpressVPN, CyberGhost, Private Internet Access (PIA) und ZenMate. Das Unternehmen heißt Kape Technologies. Doch bis März 2018 hieß es Crossrider.

Crossrider war in der Sicherheitsbranche berüchtigt. Das Unternehmen entwickelte Werkzeuge zum Erstellen von Browser-Erweiterungen, die Werbung in die von Nutzern besuchten Webseiten injizierten – klassische Adware. Eine gemeinsame Studie der University of California Berkeley und Google identifizierte Crossrider 2015 als einen der größten Verbreiter von Werbe-Injektoren, einschließlich des berüchtigten SuperFish.

Das Unternehmen änderte 2018 seinen Namen in Kape Technologies, gerade um sich von diesem Hintergrund zu lösen. In ihren eigenen Worten: wegen „der starken Assoziation mit der früheren Geschäftstätigkeit des Unternehmens“. Seitdem haben sie in rasendem Tempo VPN-Dienste aufgekauft:

  • 2017: CyberGhost VPN – etwa 10 Millionen Dollar

  • 2018: ZenMate VPN – etwa 5 Millionen Dollar

  • 2019: Private Internet Access (PIA) – 127 Millionen Dollar

  • 2021: ExpressVPN – 936 Millionen Dollar

Doch Kape kaufte nicht nur VPN-Dienste. Im März 2021 erwarb das Unternehmen Webselenese – die Muttergesellschaft hinter vpnMentor und Wizcase, zwei der weltweit größten VPN-Bewertungsseiten – für 149 Millionen Dollar. Ein Unternehmen, das VPN verkauft, besitzt also die Seiten, die VPN bewerten. Rate mal, welche Dienste plötzlich ganz oben in den Rankings landeten?

Nach der Übernahme verschwanden NordVPN und Surfshark aus den Spitzenplatzierungen auf vpnMentor. Stattdessen kletterten CyberGhost und Private Internet Access auf Platz 2 und 3 hoch. Das Wort „Kape“ wird auf den Produktseiten nirgends erwähnt. Ihre Offenlegung der Eigentümerschaft ist in Fußnoten vergraben, die die allermeisten Besucher nie sehen.

Der Mann hinter den Kulissen: Teddy Sagi

Kape Technologies gehört Unikmind, einer Holdinggesellschaft, deren alleiniger Eigentümer der israelisch-zyprische Milliardär Teddy Sagi ist. Forbes schätzt sein Vermögen auf 7,1 Milliarden Dollar – die viertreichste Person Israels. 1996 wurde Sagi in Israel wegen Betrugs und Bestechung verurteilt, nachdem er bei einer Auktion der israelischen Zentralbank den Preis von Staatsanleihen manipuliert hatte. Er kaufte Anleihen im Wert von 20 Millionen Schekel und brachte deren Wert durch unzulässige Einflussnahme innerhalb von Minuten um 6 % zum Steigen. Er wurde zu neun Monaten Haft verurteilt.

Nach Verbüßung seiner Strafe gründete Sagi unter anderem Playtech, einen der weltweit größten Anbieter von Software für Online-Glücksspiel. Er wurde zudem über die Panama Papers mit 16 Offshore-Unternehmen in Verbindung gebracht. Das ist die Person, die letztlich deine „sichere“ VPN-Verbindung kontrolliert, wenn du ExpressVPN, CyberGhost, PIA oder ZenMate nutzt.

ExpressVPN und das Spionageprogramm, das Journalisten hackte

2021 wurde aufgedeckt, dass der damalige CIO (Chief Information Officer) von ExpressVPN, Daniel Gericke, einer von drei ehemaligen amerikanischen Geheimdienstagenten war, die an Project Raven teilnahmen – einem geheimen Überwachungsprogramm, das im Auftrag der Monarchie der Vereinigten Arabischen Emirate betrieben wurde. Das Projekt entwickelte ein Hacking-Werkzeug namens Karma, das Mobiltelefone ohne Interaktion des Nutzers übernehmen konnte.

Karma wurde eingesetzt, um Menschenrechtsaktivisten, Journalisten und rivalisierende Regierungen zu hacken. Gericke schloss mit dem US-Justizministerium eine Vergleichsvereinbarung (Deferred Prosecution Agreement) und wurde mit 335.000 Dollar Strafe belegt. ExpressVPN räumte ein, von Gerickes Hintergrund gewusst zu haben, behielt ihn aber dennoch. Edward Snowden hinterfragte öffentlich, wie ein VPN-Unternehmen eine Person mit diesem Hintergrund einstellen konnte.

Das ist das Unternehmen, dem Millionen Menschen ihren privatesten Internetverkehr anvertrauen.

Facebook und die VPN-Falle: Project Ghostbusters

VPN-Missbrauch kommt nicht nur von obskuren Unternehmen. 2013 kaufte Facebook das israelische Start-up Onavo für 120 Millionen Dollar. Onavo wurde als „datensparendes“ und auf Privatsphäre ausgerichtetes Werkzeug vermarktet. In Wirklichkeit verschaffte die Installation Facebook vollständigen Zugriff auf die digitale Aktivität der Nutzer – Browserverlauf, App-Nutzung und Zeitstempel wurden im Stillen gesammelt.

2016 startete Facebook intern „Project Ghostbusters“ – ein geheimes Projekt, um den Netzwerkverkehr zwischen Snapchat-Nutzern und Snapchats Servern abzuhören und zu entschlüsseln. Mark Zuckerberg schrieb in einer E-Mail, dass Facebook, da Snapchats Verkehr verschlüsselt war, „keine Analytics über sie“ habe, und wies seine Führungskräfte an, „einen neuen Weg zu finden, um verlässliche Analytics zu bekommen“. Die Lösung? Onavos VPN-Technik, die SSL-Man-in-the-Middle-Angriffe durchführte.

Dieselbe Methode richtete sich später gegen YouTube und Amazon. 2019 deckte TechCrunch auf, dass Facebook außerdem Teenagern – manche erst 13 Jahre alt – bis zu 20 Dollar im Monat dafür gezahlt hatte, Onavo zu installieren, was Facebook vollständigen Zugriff auf ihre gesamte Webaktivität verschaffte. Facebook legte Onavo still, startete aber umgehend ein neues Programm unter dem Namen „Facebook Research“, intern Project Atlas genannt, mit derselben Funktion.

Das chinesische Militär in deiner VPN-App

2019 deckte eine Untersuchung von VPNpro auf, dass fast ein Drittel der weltweit beliebtesten VPN-Dienste heimlich chinesischen Unternehmen gehörte. Insgesamt wurden 105 VPN-Produkte identifiziert, die von nur 24 Unternehmen betrieben wurden – und die Eigentümerstrukturen waren bewusst hinter Schichten von Briefkastenfirmen verborgen.

Das chinesische Unternehmen Innovative Connecting besitzt heimlich mindestens 10 VPN-Produkte mit insgesamt 86 Millionen Installationen, darunter Turbo VPN und Snap VPN. Der Eigentümer? Lemon Seed Technology Ltd, registriert auf den Cayman-Inseln, das wiederum von Qihoo 360 übernommen wurde – einem Unternehmen, das vom US-Handelsministerium als „chinesisches Militärunternehmen“ gelistet und im Juni 2020 aus Sicherheitsgründen sanktioniert wurde.

2020 bestätigten sich die Befürchtungen, als sieben in Hongkong ansässige VPN-Dienste – UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN und Rabbit VPN – 1,2 Terabyte Daten von über 20 Millionen Nutzern leakten. Alle nutzten dieselbe Infrastruktur. Die Daten lagen offen zugänglich auf einem ungesicherten Elasticsearch-Server und enthielten: Namen, E-Mail-Adressen, Wohnadressen, Passwörter im Klartext, Bitcoin- und PayPal-Zahlungsinformationen, besuchte Webseiten und Verbindungslogs. Alle sieben Dienste hatten eine „strikte no-log-Richtlinie“ in ihren Bedingungen.

Die unangenehme Schlussfolgerung: ein perfektes Überwachungsnetz

Hier möchte ich, dass du innehältst und das Gesamtbild siehst. Denk die folgende Kette durch:

  1. 2006: Mächtige Interessen üben Druck aus und bringen Schweden dazu, gegen Filesharing vorzugehen. Der Richter im Prozess sitzt in denselben Organisationen wie die Anwälte der Klägerseite. Der Polizeiermittler wechselt direkt zu einem der klagenden Filmstudios.

  2. Millionen Menschen, nicht nur in Schweden, sondern weltweit, verlieren das Vertrauen und legen sich ein VPN zu, um sich zu „schützen“.

  3. Die VPN-Branche explodiert. Hunderte Dienste tauchen auf, vermarktet als „no-log“ und „anonym“.

  4. Hinter den Kulissen gehören diese Dienste Unternehmen mit Verbindungen zu Israel, China, Russland und den USA – oft über Schichten von Briefkastenfirmen, die es unmöglich machen zu erkennen, wer die Server tatsächlich kontrolliert.

  5. Selbst die Seiten, die die VPN-Dienste prüfen und bewerten sollen, gehören denselben Unternehmen, die sie verkaufen.

Das Ergebnis? Statt dass dein Internetverkehr direkt von dir zu den Webseiten geht – wo er durch HTTPS-Verschlüsselung geschützt ist – leitest du freiwillig ALLES durch Server, die von Unternehmen kontrolliert werden, über die du nichts weißt. Du hast praktisch deinen Internetanbieter (der schwedischen Gesetzen unterliegt) gegen ein ausländisches Unternehmen getauscht, das vielleicht überhaupt keinen Gesetzen unterliegt.

Ich sage nicht, dass dies zwangsläufig von Tag eins an eine bewusste Strategie war. Aber wenn ein Geheimdienst ein System zur Massenüberwachung von Internetnutzern entwerfen wollte, die aktiv versuchen, der Überwachung zu entgehen – ja, dann würde es genau so aussehen.

Die Bewertungsseiten: Die Wölfe bewachen die Schafe

„Aber ich habe Bewertungen geprüft, bevor ich ein VPN gewählt habe!“ Ja, genau damit rechnen sie. Kape Technologies gehören vpnMentor (etwa 3,5 Millionen Besucher pro Monat) und Wizcase (etwa 3,3 Millionen Besucher pro Monat) über die Tochtergesellschaft Webselenese mit Sitz in Tel Aviv. Die Übernahme kostete 149 Millionen Dollar – mehr, als Kape für CyberGhost, ZenMate und PIA zusammen bezahlte.

Das sagt alles, was du darüber wissen musst, was diese Seiten für Kape eigentlich wert sind: keine Prüfwerkzeuge, sondern Marketingkanäle. Wenn du auf vpnMentor VPN-Dienste „vergleichst“, vergleichst du in Wirklichkeit Produkte, die alle demselben Unternehmen gehören.

Und es ist nicht nur Kape. Der VPN-Branche fehlt es vollständig an Regulierung und unabhängiger Prüfung. YouTuber, die VPN-Dienste empfehlen, erhalten oft Tausende von Dollar pro Video an Sponsorengeldern – ohne die Eigentümerstrukturen hinter den Diensten zu erwähnen, die sie bewerben. TechRadar hat darüber berichtet, wie die VPN-Kampagnen von Influencern selbst ein Sicherheitsrisiko darstellen können.

NordVPN und Surfshark: Dieselben Eigentümer, verschiedene Marken

NordVPN, dank aggressiven YouTube-Marketings vermutlich der bekannteste VPN-Dienst, und Surfshark schlossen sich 2022 unter der Muttergesellschaft Cyberspace BV zusammen. Sie gehören wiederum Nord Security, gegründet in Litauen. Historisch wurde NordVPN mit Tesonet, einem litauischen Technologieunternehmen, in Verbindung gebracht und über Tefincom S.A. in Panama registriert.

NordVPN und Surfshark behaupten, unabhängig zu sein, und haben externe Prüfungen durch PricewaterhouseCoopers durchlaufen. Doch Tatsache bleibt: Zwei der beliebtesten „alternativen“ VPN-Optionen sind dasselbe Unternehmen. Die Illusion von Wettbewerb und Wahlfreiheit wird durch getrennte Marken aufrechterhalten.

Die Eigentümerkarte: Wer kontrolliert was?

Hier ist eine Zusammenstellung der größten VPN-Dienste und ihrer tatsächlichen Eigentümer, basierend auf öffentlichen Handelsregisterdaten:

Kape Technologies (Israel/Zypern, über Teddy Sagi): ExpressVPN, CyberGhost, Private Internet Access, ZenMate. Plus die Bewertungsseiten vpnMentor und Wizcase.

Nord Security / Cyberspace BV (Litauen/Niederlande): NordVPN, Surfshark, Atlas VPN.

Aura/Pango (Israel/USA): Hotspot Shield, Betternet, Touch VPN, VPN360.

Innovative Connecting / Qihoo 360 (China, über die Cayman-Inseln): Turbo VPN, Snap VPN, VPN Proxy Master und mindestens sieben weitere Apps mit insgesamt 86 Millionen Installationen. Qihoo 360 wurde vom US-Handelsministerium als chinesisches Militärunternehmen gelistet.

Gaditek (Pakistan): PureVPN.

Beachte das Muster: Die meisten beliebten VPN-Dienste lassen sich nach Israel, China, Litauen oder in die USA zurückverfolgen. Die Transparenz variiert enorm – manche legen ihre Eigentümerschaft vollständig offen, andere verstecken sich hinter Briefkastenfirmen auf den Cayman-Inseln, in Panama oder auf den British Virgin Islands.

Die Ausnahme: Mullvad VPN

Ich will deutlich sein: Dieser Artikel ist keine Werbung für irgendein VPN. Aber bei der Recherche war es unmöglich, eine Ausnahme nicht zu bemerken. Mullvad VPN AB mit Sitz in Göteborg gehört zu 100 % den Gründern Fredrik Strömberg und Daniel Berntsson über die Muttergesellschaft Amagicom AB. Keine Holdinggesellschaften, keine Briefkastenfirmen, keine ausländischen Investoren.

Mullvad hat unabhängige Sicherheitsprüfungen unter anderem durch Cure53 und NCC Group durchlaufen. Doch der aussagekräftigste Beweis kam am 18. April 2023, als die Nationale Operative Abteilung (NOA) der schwedischen Polizei eine Hausdurchsuchung im Büro von Mullvad in Göteborg durchführte, mit einem Durchsuchungsbeschluss zur Beschlagnahme von Computern mit Kundendaten. Mullvad konnte nachweisen, dass im Einklang mit ihrer Richtlinie keine solchen Daten existierten. Die Polizei ging, ohne etwas zu beschlagnahmen.

Mullvad akzeptiert Barzahlung per Post, verlangt bei der Registrierung keine E-Mail-Adresse und veröffentlicht seinen Quellcode offen. Ihr Geschäftsmodell ist das denkbar einfachste: 5 Euro im Monat, kein Rabatt für längere Zeiträume, keine „Black-Friday-Deals“. Sie geben praktisch null für Marketing aus. Das ist an sich ein Signal – Unternehmen, die nicht aggressiv verkaufen müssen, haben meist nichts zu verbergen.

Brauchst du überhaupt ein VPN?

Das ist die Frage, die die VPN-Branche dich auf keinen Fall stellen lassen will. In den meisten Alltagssituationen: nein, vermutlich nicht. Seit HTTPS auf praktisch allen Webseiten zum Standard wurde (das grüne Schlosssymbol), ist dein Verkehr bereits verschlüsselt. Dein Internetanbieter kann sehen, welche Domains du besuchst, aber nicht, was du auf ihnen tust.

Ein VPN kann gerechtfertigt sein, wenn du:

  • Dich in einem offenen WLAN-Netzwerk befindest (Café, Flughafen, Hotel)

  • In einem Land mit Internetzensur lebst

  • Journalist, Aktivist oder whistleblower mit realen Bedrohungen gegen dich bist

  • Auf geoblockierte Inhalte zugreifen willst (Streaming aus anderen Ländern)

Aber fürs normale Surfen, E-Mails und soziale Medien? Du tauschst praktisch einen Überwacher (deinen ISP, der schwedischem Recht unterliegt) gegen einen anderen (ein VPN-Unternehmen, das vielleicht null Gesetzen unterliegt). Das ist nicht automatisch eine Verbesserung.

Was du tun kannst

Wenn du trotzdem ein VPN nutzen willst, prüfe wenigstens diese Dinge:

  1. Wem gehört das Unternehmen? Verfolge die Eigentümerkette den ganzen Weg. Wenn sie in einer Briefkastenfirma auf den Cayman-Inseln endet – lauf weg.

  2. Wo stehen die Server? Wenn die Antwort lautet „das können wir nicht sagen“, hast du deine Antwort schon.

  3. Haben sie unabhängige Prüfungen durchlaufen? Nicht selbst berichtete, sondern von Drittunternehmen wie Cure53, NCC Group oder PricewaterhouseCoopers.

  4. Wer bewertet sie? Wenn die Bewertungsseite einem VPN-Unternehmen gehört, ist sie nicht unabhängig.

  5. Ist der Code offen? Open-source-Clients bedeuten, dass unabhängige Forscher den Code prüfen können.

Und das Wichtigste von allem: Sei skeptisch. Nicht paranoid, aber skeptisch. Wenn ein Unternehmen Millionen für YouTube-Sponsoring und Affiliate-Seiten ausgibt, um dich davon zu überzeugen, dass du seinen Dienst haben „musst“ – frag dich, warum. Die Wahrheit ist, dass die meisten VPN-Unternehmen mehr daran verdienen, Daten über dich zu sammeln und zu verkaufen, als an deiner monatlichen Abogebühr.

Quellen und weiterführende Lektüre

  • Der Pirate-Bay-Prozess: Wikipedia (sv), SVT Nyheter, TorrentFreak

  • Kape Technologies: CyberInsider, The Register

  • ExpressVPN/Project Raven: Cybernews, TechRadar

  • Facebook/Onavo/Ghostbusters: TechCrunch

  • Chinesische VPN-Eigentümer: Top10VPN, SecurityAffairs

  • Das VPN-Datenleck 2020: WeLiveSecurity, The Register

  • Bewertungsseiten und Eigentümerschaft: CyberInsider, VPNpro

  • Razzia bei Mullvad: Wikipedia (en), Mullvad blogg


– Emma Bergqvist

Dieser Artikel wurde mit KI-Unterstützung aus dem schwedischen Original übersetzt. Inhaltlich ist er gleichwertig – vereinzelte Übersetzungsfehler sind aber möglich.

Vi använder cookies för att säkra din inloggning och förbättra din upplevelse. Läs mer i vår Cookiepolicy.