Der Virtual Private Network (VPN)-Anbieter ExpressVPN hat am Donnerstag bekannt gegeben, dass er die in Indien ansässigen VPN-Server als Reaktion auf eine neue Cybersicherheitsrichtlinie des indischen Computer Emergency Response Teams (CERT-In) entfernt.
„Unsere Nutzerinnen und Nutzer können sich weiterhin mit VPN-Servern verbinden, die ihnen indische IP-Adressen geben und ihnen den Zugang zum Internet ermöglichen, als ob sie sich in Indien befänden“, so das Unternehmen. Diese „virtuellen“ indischen Server befinden sich jedoch in Singapur und Großbritannien.
Die Entwicklung kommt zu einem Zeitpunkt, an dem das CERT-In neue umstrittene Vorschriften zur Vorratsdatenspeicherung durchgesetzt hat, die am 27. Juni 2022 in Kraft treten und VPN-Anbieter dazu verpflichten, die echten Namen, Kontaktdaten und zugewiesenen IP-Adressen ihrer Abonnenten mindestens fünf Jahre lang zu speichern.
Die protokollierten Nutzerdaten, so betonte das CERT-In, werden nur für die Zwecke der „Reaktion auf Cybervorfälle sowie für Schutz- und Präventionsmaßnahmen im Zusammenhang mit Cybervorfällen“ angefordert.
Die Behörde hat inzwischen klargestellt, dass diese Regelung nicht für VPN-Lösungen für Unternehmen gilt, sondern nur für Betreiber, die proxyähnliche Dienste für „allgemeine Internetteilnehmer/innen“ anbieten.
„Das neue Datengesetz […], das zur Bekämpfung der Cyberkriminalität beitragen soll, ist unvereinbar mit dem Zweck von VPNs, die dazu gedacht sind, die Online-Aktivitäten der Nutzer privat zu halten“, so ExpressVPN. „Das Gesetz ist außerdem zu weitreichend und so weit gefasst, dass es potenziellem Missbrauch Tür und Tor öffnet.
Die Vorschriften mit dem Namen „Cybersicherheitsrichtlinien“ verpflichten Unternehmen außerdem dazu, Sicherheitslücken wie Datenschutzverletzungen und Ransomware-Angriffe innerhalb von sechs Stunden zu melden, nachdem sie sie bemerkt haben.