ExpressVPN wurde 2009 gegründet und operiert unter der Gerichtsbarkeit der Britischen Jungferninseln, die keine gesetzlichen Pflichten zur Datenspeicherung vorschreiben. Im September 2021 übernahm Kape Technologies das Unternehmen für 936 Millionen US-Dollar – die größte VPN-Akquisition in der Geschichte. Kapes Vorgeschichte ist für die Bewertung von ExpressVPN von zentraler Bedeutung: Das Unternehmen operierte von 2011 bis 2018 unter dem Namen Crossrider und betrieb eine Plattform, die Werbung in Browser-Erweiterungen injizierte. Symantec stufte Crossrider-Software als Malware ein, und Google identifizierte sie als Verteiler potenziell unerwünschter Anwendungen. Kapes Mehrheitseigentümer Teddy Sagi verbüßte in den 1990er Jahren eine Gefängnisstrafe wegen Wertpapierbetrugs. Kape besitzt außerdem CyberGhost, PIA, ZenMate und – besonders relevant – die Bewertungsseiten vpnMentor und WizCase, die Kapes eigene VPNs nun in ihren Spitzenpositionen führen.
Die Kontroverse um Daniel Gericke fügte eine weitere Ebene hinzu. Gericke, der im Dezember 2019 als CIO eingestellt wurde, hatte zuvor an Project Raven mitgearbeitet – einer Überwachungsoperation der VAE-Regierung, die mithilfe von Zero-Click-Exploits US-Bürger, ausländische Journalisten und Menschenrechtsaktivisten ins Visier nahm. Das US-Justizministerium belegte ihn im Rahmen einer aufgeschobenen Strafverfolgungsvereinbarung mit einer Geldstrafe von 335.000 US-Dollar. ExpressVPN räumte ein, vor seiner Einstellung von wesentlichen Fakten gewusst zu haben, und argumentierte, sein Hintergrund als Angreifer verbessere die defensive Sicherheit. Edward Snowden stellte das Urteilsvermögen des Unternehmens öffentlich in Frage. Gericke verließ das Unternehmen im Juli 2023.
Vor diesem Eigentümerhintergrund ist die technische Sicherheitsinfrastruktur von ExpressVPN tatsächlich beeindruckend. TrustedServer läuft vollständig im RAM ohne Festplatten – bei jedem Neustart wird ein frisches, kryptografisch signiertes OS-Image geladen, und die Server durchlaufen wöchentliche Upgrade-Zyklen, die alle vorherigen Daten löschen. Diese Architektur wurde von PwC (2019), Cure53 (2022) und KPMG (2022, 2023, 2025) geprüft. Die No-Logs-Politik erhielt 2017 eine reale Bestätigung, als türkische Behörden im Rahmen einer Mordermittlung einen physischen Server beschlagnahmten und null Nutzerdaten vorfanden.
Das intern entwickelte und auf GitHub als Open-Source veröffentlichte Lightway-Protokoll wurde 2025 von C auf Rust umgeschrieben, um die Speichersicherheit zu verbessern. Lightway Turbo, im selben Jahr eingeführt, verwendet Multi-Lane-Tunneling und datenkanal-Offloading auf Kernel-Ebene, um unter Windows Geschwindigkeiten von bis zu 1.479 Mbps zu erreichen – wobei dies derzeit nur unter Windows verfügbar ist. Standard-Lightway liefert in unabhängigen Tests 200–300 Mbps, was wettbewerbsfähig, aber in den meisten direkten Vergleichen langsamer als NordVPNs NordLynx ist.
Post-Quanten-Verschlüsselung mit ML-KEM (dem NIST-Standard) ist standardmäßig sowohl für Lightway als auch für WireGuard aktiviert und macht ExpressVPN zu einem der ersten Anbieter, der PQ-Schutz über mehrere Protokolle hinweg ausliefert. Die WireGuard-Unterstützung wurde im August 2025 zusammen mit der Post-Quanten-Integration hinzugefügt.
Das Servernetzwerk umfasst mehr als 3.000 Server in über 105 Ländern und mehr als 160 Standorten. ExpressVPN umgeht zuverlässig Zensur in China, dem Iran, den VAE, Russland und Saudi-Arabien – eine entscheidende Fähigkeit, der viele Konkurrenten ermangeln. Das Entsperren von Streaming-Diensten ist durchgehend das stärkste in der Branche, mit bestätigtem Zugang zu mehr als 20 Netflix-Bibliotheken, Disney+, Prime Video, BBC iPlayer, Hulu, HBO Max und DAZN.
Ein erheblicher Sicherheitsmangel war das DNS-Leck im Windows-Split-Tunneling (CVE-2024-25728), das von Mai 2022 bis Februar 2024 bestand – 21 Monate, in denen DNS-Anfragen den VPN-Tunnel umgingen, wenn Split-Tunneling aktiviert war. ExpressVPN schätzt, dass weniger als 1 % der Windows-Nutzer betroffen waren. Die Reaktion umfasste zwei Ursachenanalysen, einen beauftragten Penetrationstest durch Nettitude sowie die vorübergehende Deaktivierung des Split-Tunnelings bis zur Behebung.
Die Preisgestaltung wurde im September 2025 in drei Stufen neu strukturiert: Basic (2,44 US-Dollar pro Monat bei 2-Jahres-Plänen, 10 Verbindungen), Advanced (4,49 US-Dollar pro Monat, enthält zusätzlich Passwort-Manager und ID-Überwachung) und Pro (7,49 US-Dollar pro Monat, enthält zusätzlich eine dedizierte IP). Der monatliche Preis bleibt mit 12,99 US-Dollar der höchste in der Branche. Zahlungsoptionen umfassen Kreditkarten, PayPal, Bitcoin, Apple Pay und Google Pay mit einer 30-tägigen Geld-zurück-Garantie.
Nennenswerte Lücken sind Port-Forwarding (auf keinem Server verfügbar), Multi-Hop-Routing und Open-Source-Client-Apps – lediglich die Lightway-Kernbibliothek ist öffentlich zugänglich. Split-Tunneling ist unter iOS nicht verfügbar. Diese Einschränkungen fallen angesichts des Premium-Preises von ExpressVPN stärker ins Gewicht.
ExpressVPN entfernte im Juni 2022 proaktiv alle physischen Server aus Indien, anstatt der CERT-In-Datenspeicherungspflicht nachzukommen, und wechselte zu virtuellen Servern in Singapur und dem Vereinigten Königreich für indische IP-Adressen. Transparenzberichte zeigen 529 Regierungsanfragen im Jahr 2025 und 2,44 Millionen DMCA-Beschwerden – in keinem einzigen Fall wurden Daten offengelegt.
Das Unternehmen hat ISO-27001-, 9001- und 18295-Zertifizierungen angestrebt; ISO 27701 (Datenschutz) und ISO 42001 (KI) sind für 2026 geplant. Ein kostenloser EventVPN-Tarif, der im November 2025 eingeführt wurde, läuft auf Premium-Infrastruktur mit Post-Quanten-Schutz und No-Logs – ein bemerkenswerter Kontrast zu den meisten kostenlosen VPN-Angeboten.