No-Log-VPNs sind in Indien nicht mehr willkommen. Wie ist es bei AdGuard?
VPNs ohne Protokollierung könnten in Indien unerwünscht werden, wenn eine kürzlich von der indischen Cybersicherheitsbehörde veröffentlichte Richtlinie in Kraft tritt.
Im Dokument, das vom indischen Computer Emergency Response Team (CERT) Ende letzten Monats veröffentlicht wurde, heißt es, dass VPN-Dienstanbieter (Virtual Private Network) sowie Datenzentren, Cloud-Service-Anbieter und VPS-Anbieter (Virtual Private Server) gezwungen werden, eine lange Liste von Benutzerdaten wenigstens 5 Jahre lang aufbewahren, selbst wenn die Nutzer:innen ihr Abonnement gekündigt haben.
Wenn die Richtlinie Ende Juli in Kraft tritt, müssen VPN-Anbieter unter anderem folgende Protokolle speichern:
- Namen, Adressen und Telefonnummern der Nutzer:innen;
- Zeitraum der Nutzung;
- IPs, die VPNs den Nutzer:innen zuweisen;
- E-Mail- und IP-Adressen der Nutzer:innen sowie Informationen darüber, wann genau sie sich bei dem Dienst angemeldet haben (Zeitstempel);
- Zweck der Nutzung;
- Eigentumsverhältnisse.
Das indische Ministerium für Elektronik und IT behauptet, es wolle die Cybersicherheit verbessern, indem es die Kontrolle über VPN- und andere Online-Diensteanbieter verschärfe. Die neue Gesetzgebung diene dazu, die „Lücken“ zu schließen, die „die Analyse von Vorfällen behindern“ und „die allgemeine Cybersicherheitslage verbessern und ein sicheres und vertrauenswürdiges Internet im Land gewährleisten“ sollen.
Sollten die Richtlinie nicht eingehalten werden, drohen den Anbietern Konsequenzen nach dem indischen Informationstechnologiegesetz. Der einschlägige Artikel des Gesetzes sieht vor, dass diejenigen, die gegen das Gesetz verstoßen, mit bis zu einem Jahr Gefängnis oder einer Geldstrafe in Höhe von 100,000 Rupien (ung. 1,218 Euro) oder beidem bestraft werden können.
Das neue Gesetz wird den „anonymen“ VPNs, die sich an eine strenge No-Log-Politik halten, einen Schlag versetzen. Entweder müssen sie den Forderungen nachgeben und mit dem Betrieb von Speicherservern beginnen, was weniger Privatsphäre für die Endnutzer:innen bedeutet, oder sie sind gezwungen, in eine Grauzone zu migrieren oder ihren Betrieb in Indien ganz einzustellen. Darüber hinaus können die neuen Anforderungen die Kosten für VPN-Dienste für indische Kunden in die Höhe treiben, da die Anbieter entweder Speicherserver mieten oder besitzen müssen, um Protokolle zu speichern.
AdGuard seinerseits führt keine Protokolle: dies widerspricht den Unternehmenswerten. Den Anforderungen dieses Gesetzes können wir nicht nachkommen. Wir beobachten die Situation ständig und denken über mögliche Lösungen nach. Sollte uns keine andere Wahl bleiben, werden wir gezwungen, die Präsenz unserer Server in dieser Region zu überdenken.