Was Cure53 getestet hat
2025 hat NordVPN Cure53 beauftragt, eine umfassende Sicherheitsbewertung durchzuführen, die sowohl unsere Anwendungen als auch unsere Infrastruktur analysierte. Cure53 ist ein in Deutschland ansässiges Unternehmen für Penetrationstests mit mehr als 15 Jahren Erfahrung in Softwaretests.
Die Prüfer haben eine Reihe von White-Box- und Gray-Box-Penetrationstests (Pentests) durchgeführt und umfangreiche Überprüfungen des Quellcodes vorgenommen. Neunzehn Senior Tester haben eng mit unseren Ingenieuren zusammengearbeitet und erhielten vollen Zugang zu allen für die Tests benötigten Materialien. Die Bewertung fand im Mai, Juni und Oktober 2025 statt und erstreckte sich über mehrere Dutzend Arbeitstage des Projekts.
Der Umfang umfasste viele verschiedene NordVPN-Komponenten, darunter:
- Android-, iOS-, Windows-, macOS- und Linux-Anwendungen.
- Browser-Erweiterungen für Chrome, Edge und Firefox.
- Bedrohungsschutz-Komponenten, einschließlich Malware-Scanning und Netzwerkfilterung.
- NordAccount-Authentifizierungs- und MFA-Abläufe.
- Core APIs für die VPN-, Bedrohungsschutz-, Meshnet- und Kontodienste.
- VPN-Server und unterstützende Infrastruktur.
- Containerisierte Dienste, Authentifizierungslogik und interne Zugriffskontrollen innerhalb der Serverumgebung.
Was das Cure53-Audit ergab
Trotz des relativ großen Umfangs des Audits hat Cure53 keine kritischen Schwachstellen in irgendeinem Teil des Assessments gefunden. Und während die Prüfer einige Punkte als kritisch und aufmerksamkeitsbedürftig eingestuft haben, wurden alle identifizierten Probleme bereits behoben, und jeder dieser Punkte wurde von Cure53 als erwartungsgemäß funktionierend bewertet. Die verbleibenden Feststellungen reichten von mittel bis informativ (weniger schwerwiegende Angelegenheiten, die die Benutzersicherheit nicht gefährden, uns aber helfen, die internen Schutzmaßnahmen zu verschärfen). Sie waren typisch für eine Sicherheitsüberprüfung dieser Größenordnung. Neben diesen Feststellungen haben die Prüfer einige Bereiche hervorgehoben, in denen der Dienst besonders gut abgeschnitten hat.
Sichere Client-Anwendungen
Das Audit ergab, dass unsere Anwendungen auf allen wichtigen Plattformen strenge Sicherheitspraktiken befolgen. Auf mobilen Geräten implementieren die Android- und iOS-Apps strikte Sicherheitspraktiken, einschließlich sicherer Datenspeicherung, kontrollierter WebView-Nutzung, biometrischer Schutzmaßnahmen und Geräteregistrierung (Device Binding). Auf dem Desktop stellten die Auditoren ein sicheres IPC-Design (Interprozesskommunikation), eine solide Firewall-Logik sowie eine ordnungsgemäße Validierung von Deep Links und Dateioperationen fest.
Starker Authentifizierungs- und Kontoschutz
Das Nord-Account-System hat den Test von Cure53 ebenfalls gut bestanden und zeigte eine sichere Token-Verarbeitung, konsistente Eingabevalidierung und die korrekte Verwendung von Industriestandards wie PKCE. Die Prüfer bestätigten, dass die Sitzungsisolation und die Zustandsvalidierung dazu beitrugen, gängige Versuche zur Umgehung der Authentifizierung zu verhindern.
Gut strukturierte und zuverlässige APIs
Die Backend-APIs zeigten eine starke Durchsetzung der Zugriffskontrolle, eine gründliche Sanitisierung und einen sicheren Umgang mit sensiblen Aktionen. Kernkomponenten, einschließlich Empfehlungssystemen, Abonnementabläufen und Meshnet-APIs, funktionierten wie vorgesehen bei detaillierten Tests.
Starke Bedrohungsschutz-Logik
Cure53 überprüfte die Komponenten zur Malware-Erkennung und stellte fest, dass hash-basierte und maschinelle Lernansätze sicher implementiert wurden. Die Auditoren identifizierten keine Umgehungsmethoden für Scan-Engines oder Traffic-Filtermechanismen.
Sichere und resiliente Infrastruktur
Als Cure53 unsere Serverumgebung inspizierte, bestätigten sie, dass unsere VPN-Server ordnungsgemäß gehärtet sind und restriktive Firewall-Regeln sowie eine starke Container-Isolation verwenden. Die Auditoren kamen zu dem Schluss, dass die allgemeine Härtungsstrategie von NordVPN eine starke Grundlage für die Serversicherheit bildet.
Wie NordVPN reagierte
Once Cure53 delivered its findings, our engineers began improving the service right away. The issues flagged as most urgent were addressed first, and Cure53 later confirmed that the corrective work functioned as intended. The remaining items were either resolved or reviewed with the auditors to make sure the safeguards we already had in place remained appropriate.
Some findings were known limitations or accepted risks — situations where changing a component would create new complications without improving security. In these cases, we worked with Cure53 to validate that the existing protections remain sufficient.
Both of the full assessment reports are available to NordVPN users through their accounts or via the links below:
Sobald Cure53 seine Ergebnisse geliefert hatte, begannen unsere Ingenieure sofort mit der Optimierung des Dienstes. Die als am dringendsten eingestuften Probleme wurden zuerst behoben, und Cure53 bestätigte später, dass die Optimierungen wie beabsichtigt funktionieren. Die verbleibenden Punkte wurden entweder behoben oder mit den Prüfern überprüft, um sicherzustellen, dass die bereits vorhandenen Sicherheitsvorkehrungen weiterhin angemessen waren.
Einige Feststellungen waren bekannte Einschränkungen oder akzeptierte Risiken – Situationen, in denen die Änderung einer Komponente neue Komplikationen hervorrufen würde, ohne die Sicherheit zu verbessern. In diesen Fällen arbeiteten wir mit Cure53 zusammen, um zu bestätigen, dass die bestehenden Schutzmaßnahmen weiterhin ausreichend sind.
Beide vollständigen Prüfberichte sind für NordVPN-Nutzer über ihre Konten oder über die unten stehenden Links verfügbar:
NordVPN sicher halten
Sicherheit ist ein Bereich, der ständiges Bemühen erfordert, und regelmäßige Überprüfungen wie diese helfen uns, potenzielle Probleme frühzeitig zu erkennen und neuartige Cyber-Bedrohungen abzuwehren. Deshalb werden wir weiterhin in die Stärkung von NordVPN investieren, indem wir unabhängige Sicherheitsaudits durchführen und unsere Infrastruktur wo immer möglich optimieren.
Die Sicherheitsarbeit endet nie, und jedes neue Audit hilft uns, den Dienst noch sicherer zu machen. Die neuesten Cure53-Testergebnisse zeigen, dass die Anwendungen und Systeme von NordVPN gut geschützt bleiben, und wir werden sie zum Nutzen aller Nutzer, die sich auf unseren Dienst verlassen, weiter verbessern. Wir möchten uns auch beim gesamten Cure53-Team für die gründliche Arbeit und die Kooperation während dieser Bewertung bedanken. Ihre Expertise hilft unserem Engagement, NordVPN stets sicher zu halten.
Online-Sicherheit beginnt mit einem Klick.
Bleib sicher – mit dem weltweit führenden VPN
