Verschiedene Anbieter bewerben VPNs als Allheilmittel für mehr Sicherheit, Anonymität und um gesperrte Internetseiten anzuschauen. Das ist durchaus umstritten. Wir schauen uns daher in diesem Beitrag an, was ein VPN ist, wofür man es verwenden kann sowie welche Vor- und Nachteile durch kommerzielle VPN-Anbieter.
Was ist ein VPN?
VPN steht für Virtual Private Network: Man erzeugt eine sichere Verbindung zwischen zwei Netzen. Diese läuft meist über das Internet, wird aber durch Verschlüsselung von außen geschützt – daher spricht man oft von einem VPN-Tunnel. Selbst euer Internetanbieter kann in die darin übertragenen Daten nicht hinein schauen. Er sieht nur, mit welchem VPN-Server ihr euch verbunden habt und Metadaten zur Verbindung (Zeitstempel, Dauer, Datenmenge etc). Dies kann mit entsprechendem Aufwand gewisse Rückschlüsse auf die Inhalte zulassen, aber die Inhalte selbst sieht man nicht.
Welchen Nutzen bringen VPNs?
Es gibt im wesentlichen vier Szenarien, für die sich VPNs einsetzen lassen.
1. Ein entferntes Netzwerk sicher erreichen
Bekanntestes Beispiel ist das MobileOffice oder HomeOffice: Daheim verbindet man sich per VPN mit dem Firmennetzwerk und kann auf alle Daten des Unternehmens zugreifen wie etwa Dateifreigaben, Drucker und andere Dienste – wie vor Ort. Man kann es sich vorstellen, als würde man das Notebook in der eigenen Wohnung mit einem langen Kabel im Büro ans Netzwerk anschließen. Mit der gleichen Technik könnt ihr übrigens auch Computerspiele mit LAN-Mehrspielermodus per Internet mit anderen spielen.
2. Schutz in potenziell unsicheren Netzwerken
Selbst wenn ihr HTTPS nutzt, lauern in offenen WLANs (z.B. am Flughafen) und anderen unsicheren Netzwerken Gefahren. DNS-Anfragen (Auflösung von Domains wie u-labs.de zu IP-Adressen) sind beispielsweise oft unverschlüsselt, wodurch ein Angreifer euch zu einer manipulierten Seite umleiten kann. Verbindet man sich mit einem VPN-Server im Unternehmen oder auch privat daheim, sind auch diese Daten besser geschützt.
3. Umgehung von Ländersperren oder Zensur
Das Internet ist als freies Netzwerk gestartet, wird jedoch zunehmend eingeschränkt. Sowohl durch staatliche Zensur, als auch mit Ländersperren. So kann man z.B. Amerikanische Netflix-Serien in Deutschland oft erst verzögert oder gar nicht anschauen. Auch in der EU gibt es mittlerweile wieder Internetsperren, etwa jüngst von RT Deutsch. Viele autoritäre Regierungen gehen noch deutlich weiter und sperren bzw. zensieren umfangreich.
Mit aktiver VPN-Verbindung kann man auch den Internet-Datenverkehr über das VPN leiten. Eine Internetseite wie z.B. Netflix sieht nur, dass der VPN-Server auf sie zugreift. Dass du per VPN mit dem Server verbunden bist, weiß nur der VPN-Server, nicht aber eine Internetseite. Somit lässt sich die Herkunft verschleiern. Steht der VPN-Server z.B. in den USA, sieht es technisch für Netflix so aus, als würde ein US-Amerikaner zugreifen – und den Zugriff auf Serien freigeben, die nur für die USA lizenziert sind.
Analog kann man Ländersperren mit einem Server umgehen, in denen die Inhalte nicht blockiert sind. Beispielsweise außerhalb der EU im Beispiel von RT Deutsch. Bei staatlicher Zensur kann man gesperrte Inhalte einsehen, aber auch z.B. Journalisten vor Verfolgung schützen. In manchen Staaten ist bereits der Aufruf kritischer Medien verboten und kann zu Strafen führen. Da ein VPN verschlüsselt ist, lassen sich die Inhalte nicht einsehen.
4. Anonymisierung
Kommerzielle VPN-Anbieter nutzen dies, um vorsichtige Nutzer zu werben: Je mehr Menschen den gleichen VPN-Server nutzen, um so schwieriger wird es für Internetseiten, Werbenetzwerke und andere Dienste, einen einzelnen Nutzer zu identifizieren. Vergleichbar mit einer Demonstration, bei der alle Teilnehmer das gleiche Kostüm tragen.
Ohne VPN oder andere Schutzmaßnahmen sind IP-Adressen ein zumindest grobes Erkennungsmerkmal: Nach außen hin haben alle Personen eines Haushaltes die gleiche IP-Adresse. Bei IPv4 ändert sie sich in der Regel alle 24h, mit IPv6 oft nur alle paar Monate. Im Mobilfunkbereich teilen sich in der Regel mehrere Nutzer in der Nähe eine IP-Adresse.
Sind VPNs für alle Zwecke geeignet?
Für einige dieser Zwecke sind VPNs nützliche Werkzeuge – wenngleich es Alternativen gibt, etwa Proxy-Server. Diese kann man gezielt in einem zweiten Browser einsetzen, um bestimmte Seiten mit anderer IP-Adresse aufzurufen.
Bei der Anonymität gibt es allerdings ein entscheidendes Problem: Da alle Daten über den VPN-Server fließen, kann der VPN-Anbieter sie sehen und protokollieren. Er kennt nicht nur eure echte IP-Adresse, sondern mindestens die Metadaten eures gesamten Internetverhaltens. Zudem oft noch weitere persönliche Daten zur Abrechnung. Anbieter die echten Wert auf Sicherheit und Privatsphäre legen, bieten daher auch anonyme Bezahlmethoden an wie z.B. per Wertkarten oder Bargeld. Das ist für beide Seiten tendenziell aufwändiger, aber alleine beim beliebten Dienst PayPal erfahren potenziell 600 Drittanbieter-Unternehmen von euch und eurem Kauf.
Surft ihr per VPN, kann er ein mindestens eben so umfangreiches Profil eures Verhaltens anlegen, wie euer Internetanbieter. Das ist sowohl aus politischen als auch finanziellen Gründen lukrativ. Der entscheidende Unterschied bei kommerziellen Anbietern im Gegensatz zum Unternehmens-VPN ist: Ihr betreibt den Dienst nicht selbst. Der Nutzen eines kommerziellen VPN-Anbieters steht und fällt also mit dem Vertrauen in das Unternehmen.
Risiken kommerzieller VPN-Anbieter
Zwar versprechen viele Anbieter, keine Daten zu speichern oder gar weiterzugeben – prüfen kann man das aber kaum. Neben blindem Vertrauen bleiben nur Security Audits von unabhängigen Sicherheitsfirmen. Dieses Whitepaper bietet einen Anhaltspunkt für einen Teil (51/200 Anbietern), die 2021 untersucht wurden. Solche Recherchen helfen, sind aber keine Garantie – schließlich kann der Anbieter sich ja z.B. vorbereiten, ähnlich wie ein Betrieb bei einer Kontrolle. Es schafft allerdings zumindest etwas Transparenz und ist besser, als sich nur auf die Werbung zu verlassen. Dazu erklärt sich aber nicht jeder Anbieter bereit.
Blindes Vertrauen hat sich bereits mehrfach gerächt: Erst 2020 wurde bekannt, dass sieben VPN-Anbieter ihre Server völlig unzureichend geschützt haben – jeder konnte auf die Systeme zugreifen. Dadurch wurde bekannt, dass die Anbieter eben doch alles gespeichert haben, was die Kunden über das VPN gemacht haben. Privateste Daten von 20 Millionen Kunden waren gefährdet, darunter auch E-Mail Adressen, Passwörter und andere Daten. Alle versprachen nach außen hin, nichts zu speichern – erst dieser grob fahrlässige Fehler entlarvte dies als Lüge.
Erst in Juni 2022 fanden Sicherheitsforscher eine Datenbank mit rund 19 GB von BeanVPN mit Daten zur echten Identität der 25 Millionen Nutzer. Und das ist kein Einzelfall: 2021 wurden 21 Millionen Datensätze von 3 VPN-Diensten auf dem Schwarzmarkt verkauft. Die Liste könnte man noch weiter führen – es gibt grundsätzlich drei Probleme:
- Kann man das Versprechen, keine Daten zu speichern, nicht prüfen. Einige – vor allem kostenlose VPNs – lügen bewusst, um mit den Daten selbst Geld verdienen zu können. Manche werden durch Strafverfolgungsbehörden dazu gezwungen, vor allem unsichere Drittstaaten wie die USA sind davon betroffen. Das hält viele aber nicht davon ab, zu behaupten, man wäre zu 100% anonym.
- Immer wieder kommt es vor, dass VPN-Anbieter ihre Systeme nur schlecht schützen. Das ist eine große Gefahr, da so zahlreiche Angriffe auch für Kunden möglich sind – nicht nur auf deren Daten. Auch Manipulation ist möglich.
- Neben kommerziellen Interessen scheinen auch Regierungen die VPN-Branche als Überwachungsziel entdeckt zu haben. Ähnlich wie Geheimdienste schon vor vielen Jahren gezielt manipulierte Überwachungskameras günstig verkauften, um damit Daten aus sensiblen Bereichen zu erhalten.
Diese Punkte werden zunehmend sichtbar. Auf dem VPN-Markt konkurrieren nämlich gar nicht so vielfältig, wie es auf den ersten Blick scheint: 40 VPN-Marken ließen sich auf lediglich sieben Unternehmen zurückführen. Die Eigentümer stammen z.B. China und Pakistan. Teils wird die Herkunft mit Tochterfirmen versucht zu verschleiern. Hier muss man davon ausgehen, dass einige davon der Überwachung dienen.
Ähnlich sind auch bereits BND und CIA vorgegangen: Sie kauften mit der Crypto-AG eine Scheinfirma in der Schweiz, um Seriosität und Neutralität zu vermitteln. Die Produkte erhielten jedoch eine Hintertür, um Überwachung und Spionage weltweit zu ermöglichen. Über Jahrzehnte wurde dies bis ins Jahre 2020 nicht bemerkt.
Bringen die Funktionen Vorteile?
Der grundsätzliche Nutzen der VPN-Technologie mit kommerziellen Drittanbieter-Unternehmen ist also durchaus zweischneidig. Doch mittlerweile werben manche Anbieter mit einer ganzen Reihe an zusätzlichen Funktionen, anbei ein Beispiel von NordVPN:
Mit Bedrohungsschutz scheint die Blockierung von Werbung gemeint zu sein – das können lokale Werbeblocker wie z.B: uBlock Origin im Browser oder PiHole Geräteübergreifend transparent. Eben so das blockieren schädlicher Webseiten über entsprechende Sperrlisten.
Starke, einigartige Passwörter sind dagegen sinnvoll. Einer geschlossenen eierlegenden Wollmichsau muss man diese aber nicht antrauen – dafür gibt es quelloffene Passwort Manager wie z.B. KeePass/KeePassXC oder Bitwarden. Ähnliches gilt für die Verschlüsselung von Cloudspeichern. All das gibt es in kostenfreier, transparenter Software seit Jahren – alter Wein in neuen Schläuchen, könnte man sagen. Dies gilt mit vielen Zusatzfunktionen: Meist wurde entweder das Rad neu erfunden, oder sie sind eher fragwürdige Versprechen.
Manche gar so offensichtlich, dass sie wie ein verzweifelter Versuch wirken, die vermeintlichen Funktionen zu füllen. Oder würde ein Supermarkt damit werben, Bargeld anzunehmen? Obst vorrätig zu haben? Vermutlich nicht.
De-Anonymisierung anhand anderer Merkmale
Weitere Probleme liegen ganz woanders: Wer sich z.B. in ein Konto einloggt, ist wiedererkennbar – egal ob mit oder ohne VPN. Auf Mobilgeräten gibt es sogar eine Geräte- bzw. Werbe-ID. Speziell dafür entwickelt, um es unabhängig von IPs oder sogar Konten zu erkennen. Microsoft hat sie in Windows vor einigen Jahren ebenfalls nachgerüstet. Gerade Windows sammelt sehr viele Daten über das Verhalten seiner Nutzer – mit dem derzeit ausgerollten Kontozwang werden es noch mehr.
Die IP-Adresse ist zudem nur eines von wenigen Merkmalen zur Identifizierung. Personalisierte Werbung ist ein riesiges Geschäft, alleine Google erwirtschaftet derzeit 257 Milliarden US-Dollar damit, Tendenz stark steigend. Ein so großer Markt hat schon längst ausgeklügeltere Techniken entwickelt: Man sammelt verschiedene Merkmale des Gerätes. Beispielsweise Bildschirmgröße, Ausrichtung, welche Schriften es auf dem System gibt, Betriebssystem, Zeitzone etc. Einzeln sind diese Informationen ungeeignet, aber miteinander kombiniert ergeben sie oft einen einzigartigen Fingerabdruck – den kein VPN ändert.
Es ist daher eher gefährlich, wenn manche Anbieter mit Versprechen wie „Ein Klick und du bist geschützt“ oder „Die Ein-Klick-Lösung für deine Privatsphäre“ werben. Denn eines sind VPNs definitiv nicht: „Allweckwaffen“, bei denen man sich um nichts mehr Gedanken mehr machen muss, weil dank VPN alles optimal abgesichert ist. Wie auch bei anderen Dingen (z.B. Antivirensoftware) ist dies ein Trugschluss. Bestenfalls können solche Werkzeuge dabei unterstützen, wie etwa ein Sicherheitsgurt.
Fazit
Selbst betriebene VPNs in z.B. Unternehmen sind sinnvoll. Kommerzielle Anbieter können unter Umständen auch einen Mehrwert bieten, etwa gegen gesperrte Inhalte. Anonymität schaffen sie jedoch nur begrenzt – dafür ist der Anbieter selbst ein Risiko. An verschiedener Stelle plädieren ganz unterschiedliche Menschen daher zunehmend dazu, keine kommerziellen VPN-Dienste zu nutzen. Das hat durchaus nachvollziehbare Gründe.
Es gibt bessere Maßnahmen, um weniger überwacht zu werden. Viele davon kosten nicht einmal etwas. Gerade für Sicherheit und Privatsphäre kann man mit einem Wechsel von z.B. Windows zu Linux, Edge zu Firefox, GDrive zu Nextcloud sowie weiteren kostenfreien Werkzeugen wie Werbeblockern wesentlich mehr erreichen, als mit einem VPN.
Wer sich dennoch für einen kommerziellen VPN-Provider entscheidet, sollte einen kostenpflichtigen Wählen. So reduziert sich das Risiko, dass er die eigenen Daten verkauft, zumindest etwas. Außerdem sollte man sich durch recherchieren selbst ein Bild vom Unternehmen machen. Und ihn nur einsetzen, wenn man ihm uneingeschränkt vertraut.
Proxys sind ebenfalls eine Überlegung wert. Im Gegensatz zum VPN läuft dabei nicht der Datenverkehr des gesamten Systems über den VPN-Server, sondern nur eine gezielte Anwendung. Schlussendlich kommt es stark auf das gewünschte Ziel an, um zu entscheiden, ob und wenn ja was für ein VPN dabei helfen kann.
Weiterführende Informationen
- https://www.heise.de/select/ct/2022/16/2215109093935760801
- https://www.heise.de/select/ct/2022/16/2215109062905263714