NordVPN, einer der beliebtesten VPN-Anbieter, ist der letzte, der bestätigt, dass er seine Server in Indien entfernen wird, bevor die Nation später in diesem Monat neue strenge Richtlinien durchsetzt.
Das in Litauen ansässige Unternehmen, das General Catalyst und Novator zu seinen Unterstützern zählt und einen Wert von 1,6 Milliarden US-Dollar hat, sagte am Dienstag, dass es keine Protokolle der Daten seiner Kunden führt, Informationsketten, die Neu-Delhi bald VPN-Anbieter benötigen wird Teilen.
„Darüber hinaus verpflichten wir uns, die Privatsphäre unserer Kunden zu schützen. Daher sind wir nicht länger in der Lage, Server in Indien zu halten“, sagte ein Unternehmenssprecher.
Das Indian Computer Emergency Response Team, das von der Regierung zum Schutz der indischen Informationsinfrastruktur ernannte Gremium, stellte Ende April Cybersicherheitsrichtlinien vor, die „Virtual Private Server (VPS)-Anbieter, Cloud-Service-Provider, VPN-Service-Provider, Virtual-Asset-Service-Provider, Virtual Asset Exchange Providers, Custodian Wallet Providers and Government Organizations“, um Kundennamen, E-Mail-Adressen, IP-Adressen, Know-Your-Customer-Datensätze und Finanztransaktionen für einen Zeitraum von fünf Jahren zu speichern.
Die neuen Regeln treten am 27. Juni in Kraft.
Die Entscheidung von NordVPN folgt ähnlichen Anweisungen von ExpressVPN und SurfShark, die beide Server im Land entfernt haben. Es ist unklar, wie beliebt VPN-Dienste in Indien sind, aber auf ihren Websites geben die oben genannten Firmen an, dass sie von Millionen von Benutzern weltweit genutzt werden.
ProtonVPN, ein weiterer beliebter VPN-Anbieter, hat ebenfalls erklärt, dass er sich verpflichtet hat, seine „Keine-Logs-Richtlinie“ einzuhalten. Einige VPN-Anbieter, darunter ExpressVPN, haben erklärt, dass sie weiterhin „virtuelle Serverstandorte“ für indische Kunden bereitstellen werden, aber gemäß den neuen Regeln könnte eine solche Umgehung möglich sein immer noch gegen die neuen Richtlinien verstoßen.
Gesetzgeber in Indien haben deutlich gemacht, dass sie nicht die Absicht haben, die neuen Regeln zu lockern.
Rajeev Chandrasekhar, der Junior-IT-Minister Indiens, sagte in einer Pressekonferenz im vergangenen Monat, dass VPN-Anbieter, die verbergen wollen, wer ihre Dienste nutzt, „sich aus dem Land zurückziehen“ müssen. Die Regierung, sagte er, werde keine öffentliche Konsultation zu diesen Regeln abhalten.
Die neuen Regeln verpflichten Unternehmen außerdem, Vorfälle von Sicherheitslücken wie Datenschutzverletzungen innerhalb von sechs Stunden nach Bekanntwerden solcher Fälle zu melden. Nach dem Widerstand von Interessengruppen sagte Chandrasekhar letzten Monat, dass Indien „sehr großzügig“ sei, indem es Unternehmen sechs Stunden Zeit gebe, um Sicherheitsvorfälle zu melden, und wies auf Länder wie Indonesien und Singapur hin, die seiner Meinung nach strengere Anforderungen hätten.
„Wenn Sie sich die Präzedenzfälle auf der ganzen Welt ansehen – und verstehen, dass Cybersicherheit ein sehr komplexes Thema ist, bei dem das Situationsbewusstsein mehrerer Vorfälle es uns ermöglicht, die größere Kraft dahinter zu verstehen –, ist die genaue, rechtzeitige und obligatorische Berichterstattung ein absolut wesentlicher Bestandteil der Fähigkeit des CERT und der Regierung, sicherzustellen, dass das Internet immer sicher ist“, sagte er.