NordVPN wird von der NordVPN S.A. betrieben, die in Panama registriert und von Nord Security mit Hauptsitz in Amsterdam entwickelt wurde. Der Gerichtsstand in Panama stellt sicher, dass der Anbieter außerhalb der Five-Eyes-, Nine-Eyes- und Fourteen-Eyes-Allianzen liegt. Die Unternehmensgeschichte ist jedoch komplexer als bei den meisten Anbietern: NordVPN wurde von Tomas Okmanas und Eimantas Sabaliauskas mitgegründet, die auch Tesonet mitgegründet haben, einem litauischen Tech-Inkubator. Zum Portfolio von Tesonet gehört Oxylabs, ein Unternehmen für Residential Proxies und Web-Datenextraktion. Gerichtsdokumente aus einem Hola-Rechtsstreit aus dem Jahr 2018 bestätigten, dass Tesonet direkt in den NordVPN-Betrieb eingebunden war. NordVPN besteht darauf, dass Tesonet ausschließlich vertragliche Dienstleistungen erbracht hat und keinen Einfluss auf die VPN-Richtlinien besitzt. In der Datenschutz-Community besteht weiterhin Uneinigkeit darüber, ob diese Beziehung einen tatsächlichen Interessenkonflikt darstellt.
Die Audit-Bilanz ist umfangreich und gilt als die gründlichste der Branche. Deloitte hat sechs aufeinanderfolgende jährliche No-Logs-Bewertungen (2020–2025) nach dem ISAE-3000-Standard durchgeführt, die jeweils bestätigten, dass keine Benutzeraktivitäten protokolliert werden. Cure53 führte 2022 eine umfassende Infrastruktur- und App-Sicherheitsüberprüfung durch, bei der 22 App-Probleme und 11 Infrastrukturbefunde festgestellt wurden – alle wurden behoben. VerSprite führte 2019 und 2021 Penetrationstests durch, ohne kritische Schwachstellen zu finden. AV-Comparatives testete Threat Protection Pro im Jahr 2025 und verzeichnete eine Phishing-Blockierrate von 92 %. West Coast Labs überprüfte Geschwindigkeit, Zuverlässigkeit und Sicherheit unabhängig im November 2025.
Der Servereinbruch von 2018 in einem finnischen Rechenzentrum bleibt ein bedeutsamer Makel in NordVPNs Geschichte. Ein Angreifer verschaffte sich Root-Zugriff über ein unsicheres Fernverwaltungssystem, das das Rechenzentrum ohne Wissen von NordVPN installiert hatte. Obwohl keine Benutzerdaten kompromittiert wurden – NordVPN protokolliert nichts –, wartete das Unternehmen 18 Monate mit der öffentlichen Offenlegung des Vorfalls und begründete dies damit, zunächst alle 5.000 Server auditieren zu müssen. Sicherheitsforscher bezeichneten die Verzögerung als schwerwiegenden Fehler für ein Datenschutzunternehmen. Als Reaktion darauf beendete NordVPN die Zusammenarbeit mit dem Rechenzentrum, stellte das gesamte Netzwerk auf ausschließlich RAM-basierte Server um, startete ein Bug-Bounty-Programm und erhöhte die Audit-Häufigkeit deutlich.
Die Geschwindigkeitsleistung ist eine klare Stärke. NordLynx, NordVPNs WireGuard-basiertes Protokoll, liefert über 900 Mbit/s zu nahegelegenen Servern und rund 900 Mbit/s transatlantisch – das gehört zum Schnellsten in der Branche. TechRadar verzeichnete Spitzenwerte von über 1.200 Mbit/s. Das neuere NordWhisper-Protokoll, das 2025 eingeführt wurde, tarnt VPN-Datenverkehr als regulären HTTPS-Verkehr, um Deep Packet Inspection in stark zensierten Regionen zu umgehen.
NordVPN war das erste große VPN, das Post-Quanten-Verschlüsselung auf allen Plattformen einführte und ML-KEM (CRYSTALS-Kyber, der NIST-Standard) auf NordLynx im Mai 2025 implementierte. Dies schützt vor der theoretischen Bedrohung durch Quantencomputer, die heute abgefangenen Datenverkehr in der Zukunft entschlüsseln könnten – eine zukunftsorientierte Funktion, die ProtonVPN und den meisten Mitbewerbern fehlt.
Die Serverinfrastruktur umfasst 8.000–9.000+ Server in mehr als 127 Ländern, wobei genaue Zahlen nicht mehr veröffentlicht werden. Zu den Spezialservern gehören Double VPN, Onion over VPN, obfuskierte, für P2P optimierte und dedizierte IP-Optionen. Meshnet ermöglicht Peer-to-Peer-Verbindungen über bis zu 60 Geräte. Die Entsperrung von Streaming-Diensten funktioniert zuverlässig bei Netflix, Prime Video, Disney+, BBC iPlayer und Hulu.
NordVPN sieht sich mit mehreren Sammelklagen konfrontiert, die zwischen April 2024 und Mai 2025 eingereicht wurden und irreführende Praktiken bei der automatischen Verlängerung behaupten. Konkrete Vorwürfe umfassen das Verbergen von Kündigungsoptionen unter vier Menüebenen, die Verlängerung von Abonnements 14 Tage vor Ablauf ohne ausreichende Benachrichtigung sowie den Einsatz von Dark Patterns, um Kündigungen zu erschweren. In einem Interview im Oktober 2025 räumte NordVPN ein, im Bereich YouTube-Marketing und Kommunikation zur automatischen Verlängerung Fehler gemacht zu haben.
Die Preisgestaltung ist zu Einführungskonditionen wettbewerbsfähig: Der Zweijahresplan Basic beginnt bei 3,39 US-Dollar pro Monat. Die Verlängerungspreise steigen jedoch erheblich – eine in der Branche verbreitete Praxis, die hier angesichts des Umfangs an Marketing mit Versprechen niedriger Preise besonders kritisiert wird. Der Plus-Tarif bündelt NordPass (Passwortmanager) und Threat Protection Pro. Als Zahlungsmittel werden Kreditkarten, PayPal und Kryptowährungen akzeptiert.
Die Plattformunterstützung umfasst Windows, macOS, Linux (nur CLI – kein GUI), iOS, Android und Browser-Erweiterungen. Die Funktionsparität ist uneinheitlich: Split-Tunneling, erweiterte Kill-Switch-Optionen und Threat-Protection-Funktionen variieren je nach Plattform. Post-Quanten-Verschlüsselung ist nicht mit Meshnet, dedizierten IPs und obfuskierten Servern kompatibel – eine Einschränkung, die für Nutzer, die auf diese Funktionen angewiesen sind, von Bedeutung ist.
NordVPN zog sich 2019 aus Russland zurück, nachdem das Unternehmen eine Aufnahme in das staatliche Sperrlisten-Register abgelehnt hatte, und entfernt bis Juni 2026 alle Server in Indien als Reaktion auf die Datenspeicherungspflicht gemäß CERT-In. Beide Entscheidungen zeugen von der Bereitschaft, Datenschutz über Marktzugang zu stellen.
Trustpilot-Bewertungen und Reddit-Diskussionen zeigen ein gespaltenes Bild: Mainstream-Nutzer loben Geschwindigkeit und Streaming-Leistung, während Datenschutz-Enthusiasten die Tesonet-Verbindung und aggressives Influencer-Marketing als Gründe anführen, Mullvad oder ProtonVPN zu bevorzugen. Die aggressive YouTube-Sponsoring-Strategie hat eine überproportional große Marketingpräsenz geschaffen, die manche als Signal für kommerzielle statt datenschutzorientierte Prioritäten werten.