VPNs sind bis auf wenige Ausnahmen nützlich, leider gibt es viele fragwürdige Unternehmen mit schwer überprüfbaren Versprechen, welche den Markt dominieren.
Grundlegend ist ein Virtual Private Network (VPN) simpel: Alles was Sie im Internet bei einer aktiven VPN-Verbindung machen, wird über einen Umweg mit dem sogenannten VPN-Tunnel ins Internet gesendet und vor etwaigen Mitlesern geschützt. Ihr Internet-Anbieter kann für gewöhnlich sehen, auf welche Webseiten Sie zugreifen und kann Ihren Datenverkehr mitlesen. Bei einem VPN-Tunnel kann man es sich so vorstellen, als ob man vom Computer aus direkt einen Tunnel zum VPN-Anbieter hat und dieser lässt einen dann wieder frei im Internet surfen. Diese Verbindung von Ihrem Computer zum VPN-Anbieter wird natürlich auch verschlüsselt, sodass keiner die Verbindung mitlesen kann. Ursprünglich wurde VPN für Außendienstmitarbeiter zur Verbindung ins eigene Firmen-Netzwerk konzipiert, doch immer mehr Private nutzen VPN, um auf diesem Weg die Datensicherheit erhöhen zu wollen, wie etwa in öffentlichen WLANs das Mitlesen des Datenverkehrs zu verhindern, sodass Fremde nicht einfach die eigenen Passwörter, welche Sie auf Webseiten eigegeben haben, mitlesen können.
VPN-Anbieter verdienen gut mit der Angst
Einer der größten VPN-Anbieter - ExpressVPN - wurde um fast eine Milliarde US-Dollar verkauft. Man sieht, hier steckt viel Geld dahinter. Doch warum eigentlich? In Wirklichkeit ergibt die VPN-Nutzung für die meisten Nutzer heutzutage kaum mehr einen Sinn und kann oftmals auch schädlich für die Privatsphäre und Sicherheit sein.
Mehr Schutz als früher
Über die Jahre ist das Internet ein wesentlich sicherer Ort geworden. Das Abgreifen von Passwörtern im offenen WLAN ist heutzutage kaum mehr möglich. Denn mittlerweile kommt fast überall eine Verschlüsselung bei der Datenübertragung zum Einsatz. Mehr als 95 Prozent der beliebtesten Webseiten nutzen von Haus aus sichere HTTPS-Verbindungen, hier war Google maßgeblich daran beteiligt. Auch öffentliche WLANs wurden oft modernisiert, damit es nicht mehr so einfach möglich ist, Daten anderer Nutzer mitzulesen.
Aus Anonymität oder Privatsphärensicht bringen VPNs kaum etwas. Für viele Websites ist es noch immer ein Kinderspiel, einzelne Benutzer über Cookies oder den digitalen Fingerabdruck eindeutig zu identifizieren. Durch die Verschleierung der eigenen IP-Adresse, was so ein VPN bietet, ändert sich daran jedoch wenig. Man kann jedoch die VPNs mit anderen Sicherheitsmaßnahmen kombinieren, wie etwa durch die Verwendung von TOR, Anti-Tracking-Tools oder sichereren Webbrowsern, wie Brave, um den Schutz massiv zu erhöhen.
Vertrauen in eine fremde Firma
Wenn man sich für einen VPN-Anbieter entscheidet, muss man diesem bedingungslos vertrauen. Der VPN-Anbieter stellt schlussendlich die Verbindung dar mit der dann weiter im Web gesurft wird. Der VPN-Anbieter kann daher sämtliche der Internetaktivitäten auch mitprotokollieren.
Wertvolle und auch sensible Daten sind hier womöglich zu finden, deshalb versprechen viele VPN-Anbieter, dass sie absolut keine Daten mitprotokollieren. Das große Problem hierbei ist jedoch, dass man in dieser Hinsicht den Aussagen des Providers vertraut. Gerade bei kostenlosen VPN-Anbietern muss man sich fragen, wie dieser Dienst finanziert wird, und wieso ein Anbieter etwas kostenlos hergeben soll. Es muss jedem klar sein, dass für den Betrieb einer Firma und der technischen Infrastruktur die Kosten dafür finanziert werden müssen.
Versprechen gebrochen? Keine Daten?
Auch sollte man nicht denken, dass, nur weil man für die Nutzung des Diensts zahlt, dieser nun nicht mitprotokolliert. In den letzten Jahren gab es immer wieder Vorfälle, dass bei angeblich nicht-mitprotokollierten Anbietern plötzlich doch Daten zu finden waren oder gezielt auf Wunsch eines Geheimdienstes die Internetaktivitäten einzelner Kunden protokolliert werden. Doch auch da haben die VPN-Anbieter oft ein Argument, denn hier ist oftmals zu lesen, dass ein VPN-Anbieter gewählt werden sein soll, der nicht in einem der Länder angesiedelt ist, die einem Geheimdienstverbund angehören wie den USA, Großbritannien, Kanada, Australien und Neuseeland. Aber auch das ist nur eine Illusion von Sicherheit. Oft heißt es auch die Schweiz sei hier ein sicherer Hafen. Wenn Regierungen und Geheimdienste es wirklich darauf anlegen, werden Firmen oft zur Überwachung der Kunden auf dem einen oder anderen Weg gezwungen.
Kann ich XYZ vertrauen?
Für die Nutzer ist es in Wahrheit unmöglich, herauszufinden, welche Anbieter wirklich vertrauenswürdig sind und welche nicht. Selbst bei den bekanntesten Anbietern und auch oft mit am besten bewerteten, bei VPN-Anbietern ist in dieser Hinsicht immer Zweifel angebracht.
Unterschiedliche VPNs, ein Anbieter
Am Beispiel von ExpressVPN, können wir mal hinter die Strukturen schauen, welche Firma nun dahinter steckt: Der neue Besitzer Kape Technologies ist in der Branche bekannt. Zu diesem Unternehmen gehören bekannte Anbieter wie Cyberghost, Private Internet Access (PIA) und Zenmate und viele weitere bekannte VPN-Anbieter, die alle durchwegs positive Rezensionen erhalten von Kunden.
Jedch gehören auch bekannte VPN-Vergleichsportale ebenfalls der Firma, wie VPNMentor und Wizcase, auf denen dann natürlich nicht ganz überraschenderweise die VPN-Dienste von der eigenen Firma immer am besten abschneiden.
Der Gründer von Kape soll auch noch aus dem Umfeld des israelischen Geheimdiensts kommen, wie Forbes vor einigen Jahren berichtet hatte.
Zwei, die sich gefunden haben
Ebenso wurde vor kurzem bei Reuters erst bekannt, dass ein leitender Angestellter der Firma, gemeinsam mit zwei anderen, in den USA zu einer Geldstrafe von 1,6 Millionen US-Dollar verurteilt wurde, weil er im Auftrag der Vereinigten Arabischen Emirate US-Bürger ausspioniert haben soll.
Auch der bekannte NSA-Whistleblower Edward Snowden rät, nach Bekanntgabe der ersten Berichte zu diesen Vorgängen, dringend davon ab, ExpressVPN und weitere Anbieter von dieser Firma zu benutzen.
Doch selbst wenn man mal einen Anbieter gefunden hat, dem man vertraut, bleibt noch immer die Frage, ob der VPN-Einsatz tatsächlich notwendig ist. Die meisten privaten Anwender nutzen wohlmöglich einen VPN für das Verschleiern der eigenen IP um Geoblocking vieler Online-Dienste zu umgehen, damit man auf Inhalte zugreifen kann, die in einzelnen Ländern beschränkt sind. Oder aber auch als eine Art Pseudonymisierung, um Bittorrent-Aktivitäten zu verschleiern. Dass genau dies dann auch von vielen Anbietern offen beworben wird, ist insofern auch keine große Überraschung. In Deutschland tragen auch immer wieder teils ungerechtfertigte Abmahnwellen dazu bei, dass sich immer mehr Benutzer nur mehr mit VPN sicher fühlen, da die Herausgabe des Kunden durch den Provider nicht mehr so einfach bis gar nicht möglich ist.
Doch welche Alternativen bleiben
Für eine normale Nutzung des Internets ist der Einsatz eines VPNs in der Regel weitgehend nutzlos. Mittlerweile blockieren viele Webbrowser einen unsicheren Datenverkehr oder weisen darauf hin. Mittlerweile lassen sich auch in einigen Browsern HTTPS-Verbindungen so einstellen, dass von Haus aus jegliche unverschlüsselte Übertragung blockiert wird oder auf eine verschlüsselte Verbindung forciert wird. Durch den hohen Datenschutzstandard und der Zwei-Faktor-Authentifizierung tragen diese erheblich zu mehr Sicherheit bei als jeder VPN. HTTPS und 2FA bringen in dieser Hinsicht wesentlich mehr als ein VPN-Einsatz.
Bei Textnachrichten oder Chats ist hier gar eine Ende-zu-Ende-Verschlüsselung aus einer Sicherheitsperspektive so oder so sinnvoller. Auch verschlüsselte Verbindungen zum Mailserver über das Mailprogramm werden oft schon forciert, was früher ebenfalls unverschlüsselt geschah. Hier sollte man sein Mail-Programm auch überprüfen, ob eine sichere Verbindung zum Mailserver aufgebaut wird. Da war es früher ein Kinderspiel E-Mails abzufangen und mitzulesen.
Ebenfalls bietet Apple mit der iCloud+ die Funktionen eines VPNs an. Hier werden die Verbindungen auf dem Smartphone automatisch anonymisiert und verschlüsselt und schafft zumindest so ohne großen Aufwand ein Stückchen mehr Sicherheit im DNS-, Web- und Mail-Datenverkehr.
Dann gibt es natürlich noch den Einsatzzweck für Firmen, wo Außendienstmitarbeiter auf das interne Netzwerk zugreifen, oder wenn zwei Standorte miteinander verbunden werden sollen um Außenstellen der Firma an das interne Netzwerk der Zentrale mit einzubinden. Hierfür wird jedoch kein VPN Provider, wie im privaten Sektor oft benutzt, sondern Lösungen wie OpenVPN (einen Kurs darüber gibt es von mir auf Udemy) oder Hardwarelösungen.
Es gibt unzählige weitere Szenarien, in denen VPN sinnvoll ist.
Im allgemeinen erschwert ein VPN, der im Ausland liegt, dem Staat die Kontrolle einzelner Bürger, und es ist weitaus aufwendiger für eine Behörde, als wenn kein VPN benutzt wird.
Wie beschrieben können mit VPN viele lokale Restriktionen umgangen werden, was äußerst sinnvoll sein kann, wenn Sie im Ausland auf Inhalte aus Deutschland zugreifen wollen die sonst blockiert werden, wie die ORF TV-Thek oder ARD Mediathek.
Eine der sichersten Alternativen wäre noch, wenn man selber auf der Welt verteilt VPN-Server sein Eigen nennen kann, hier gibt es dann auch keine Vertrauensthematik. Hier müsste man nur auf die Provider vor Ort vertrauen, oder seinen Server so absichern, dass kein Externer darauf Zugriff hat.
Privatsphäre ist nicht Anonymität
Wer sich sorgen machen muss und den Schutz Anonymität sucht oder gar zwingend benötigt, wie z.B. als Aktivist, Reporter oder dergleichen, der sollte im Normalfall gleich auf VPNs der bekannten Anbieter verzichten, und nicht auf die Privatsphäre und Anonymitätsversprechen vertrauen. Hier sollte man gleich auf Linux vertrauen mit einem Live-Distributionssystem wie Tails, wo jeder Netzwerkverkehr ausschließlich über das Tor-Netzwerk anonymisiert wird. Mit TOR ist man in der Regel recht langsam unterwegs, aber dafür bietet es den derzeit besten Schutz. Eine 100%ige Garantie wird es auch hierbei nie geben. Zusätzlich könnte man noch einen VPN-Anbieter davor schalten um Ländersperren zum TOR-Netzwerk zu umgehen.
Fazit
Unzählige Falschinformationen gibt es im Internet zu diesem Thema, aber auch falsche Erwartungen der Anwender sind das Problem. Oft ist man sich gar nicht bewusst, was eigentlich benötigt wird. In einigen europäischen Ländern wäre es nicht so einfach möglich und legal, den Datenverkehr der Nutzer gewinnbringend auszuwerten, hier haben VPN-Anbieter im Ausland ohne strenge Datenschutzbestimmungen ganz andere Möglichkeiten und wird daher eher egal sein. Es geht meist um die Frage, welche der Lösungen sinnvoller sind.
Linux mit Tails sind für normale User oft zu langsam oder zu kompliziert. Ein VPN ermöglicht zudem auch die Verschlüsselung der Domainnamens-Abfragen, sodass auch dem eigenen Provider verborgen bleibt, welche Webseite man ansteuert. Mit einem eigenen angemieteten Server kann man sich jedoch auch sein eigenes VPN einrichten, womit man nicht auf Drittanbieter angewiesen wäre, Anonymität bietet dieser jedoch nicht. Wie man so einen Server anmietet und einrichtet erkläre ich ebenfalls in meinem Kurs "OpenVPN verstehen und einrichten"
Dank eines VPN-Servers im eigenen Land könnte man jedenfalls auf legale Angebote auch im Urlaub zugreifen, wie Netflix (Deutschland), ORF TVthek , ARD Mediathek usw.
Quellenangaben
- Gizmodo - https://gizmodo.com/you-should-probably-stop-using-expressvpn-1847739547
- ZDNet - https://www.zdnet.com/article/trust-but-verify-an-in-depth-analysis-of-expressvpns-terrible-horrible-no-good-very-bad-week/
- NordVPN - https://nordvpn.com/de/features/next-generation-encryption/
- Screenrant - https://screenrant.com/express-vpn-edward-snowden-gericke/
- Ubuntuusers - https://wiki.ubuntuusers.de/VPN/
- Tagesschau - https://www.tagesschau.de/ausland/europa/eu-vorratsdatenspeicherung-101.html
- W3Techs - https://w3techs.com/technologies/details/ce-httpsdefault
- Golem - https://www.golem.de/news/kape-frueher-malware-heute-vpns-und-reviewseiten-2110-160328.html
- Heise - https://www.heise.de/news/Sicheres-Surfen-Britisch-israelische-Firma-Kape-kauft-ExpressVPN-6192012.html
