VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich
Schütze Dich im Internet vor Hackern und Überwachung", "Höchste Sicherheit und Verschlüsselung", "Bleib online sicher und anonym" - mit Werbeversprechen dieser Art versuchen Anbieter sogenannter Virtual Private Networks (VPNs) zu vermitteln, dass die Nutzung eines VPNs Sicherheit und Datenschutz von Nutzern erhöhen. Doch was macht ein VPN eigentlich genau - und wie sinnvoll ist die Nutzung im modernen Web überhaupt?
Ein VPN stellt mittels einer Software einen üblicherweise verschlüsselten Kanal zwischen dem Nutzer und einem Server des Anbieters her. Alle Internetverbindungen des Nutzers werden anschließend durch diesen Kanal geleitet.
Was wird eigentlich verschlüsselt?
Daten zu verschlüsseln klingt gut, aber was wird hier eigentlich verschlüsselt? Ein VPN verschlüsselt Daten lediglich zwischen dem Nutzer und dem Server des VPN-Anbieters. Doch ein echter Schutz ist das nicht: Zwischen dem Server des VPN-Anbieters und dem Ziel können die Daten weiterhin mitgelesen werden, wenn sie nicht auf andere Weise geschützt sind.
Eine VPN-Verschlüsselung führt lediglich dazu, dass der mögliche Angriffspunkt verschoben wird. So können Datenverbindungen zwar nicht mehr durch Nachbarn im WLAN oder durch Mitarbeiter des Internetzugangsanbieters angegriffen werden, dafür aber beim VPN-Anbieter und bei dessen Internetzugangsdienstleister.
Eine vollständige Verschlüsselung zwischen Absender und Ziel einer Internetverbindung lässt sich nur realisieren, wenn diese Verschlüsselung zwischen Client und Server ausgehandelt wird. Genau das passiert heute auch meist: Die Mehrzahl der Webseiten wird über HTTPS mit einer TLS-Verschlüsselung ausgeliefert und ist damit vor mitlesenden Dritten und auch vor Manipulationen der Daten geschützt. Verbleibende Risiken kann man durch HSTS begegnen, was gewährleistet, dass unverschlüsselte HTTP-Verbindungen nicht mehr möglich sind.
Auch andere Internetprotokolle wie IMAP für E-Mails, Messenger oder sonstige Apps verschlüsseln ihren Datenverkehr heute üblicherweise mithilfe von TLS oder haben - Beispiel SSH - eigene Verschlüsselungstechnologien. Dieser Schutz gilt allerdings im Gegensatz zum VPN für den ganzen Weg einer Datenverbindung und ist damit klar die bessere Lösung. Ein VPN hat nur marginale Vorteile in Sachen Sicherheit - und diese Vorteile schwinden mit jeder Webseite, die auf HTTPS umstellt.
Metadaten werden zentralisiert
Was ist mit dem zweiten Versprechen, mit dem VPNs beworben werden - dem Datenschutz? Geht es nicht in erster Linie um den Schutz von Metadaten, insbesondere, wenn es um Massenüberwachung geht?
Auch hier kann man infrage stellen, ob ein VPN tatsächlich eine gute Lösung ist. Ein gewöhnlicher Internetnutzer wird im Normalfall unterschiedlichste Möglichkeiten nutzen, um sich mit dem Internet zu verbinden. Zuhause wählt er den Zugang über DSL oder einen Kabelanschluss, unterwegs das WLAN eines Cafés oder eine mobile Internetverbindung.
Ob ein VPN in Sachen Metadaten eher ein Vor- oder ein Nachteil ist, ist alles andere als eindeutig. Denn durch das VPN werden alle Datenverbindungen an einem Punkt zentralisiert. Ein Geheimdienst, der möglichst effizient Datenverkehr überwachen will, würde sich vermutlich strategisch im Netz in der Nähe von VPN-Zugangsknoten platzieren.
Ermittlungsbehörden erhalten angeblich nichtexistente Log-Daten
Fast alle VPN-Anbieter werben damit, dass sie selbst keine Logs vorhalten. Doch wie vertrauenswürdig sind diese Versprechen?
In einer ganzen Reihe von Fällen wurden Logs von VPN-Anbietern, die angeblich keine Daten loggen, in späteren Ermittlungsverfahren genutzt. 2011 wurde ein Mitglied der Hackergruppe Lulzsec mithilfe von Logs des VPN-Anbieters Hidemyass für einen Hack von Sony überführt. 2016 nutzten US-Ermittler Daten des Anbieters IPVanish in einem Fall von Kindesmissbrauch, 2017 überführte das FBI einen Cyberstalker - mithilfe von Logs des Anbieters PureVPN. PureVPN versuchte den Vorfall damit zu erklären, dass es verschiedene Arten von Logs gibt und sein Versprechen sich nur auf einen Teil der Logs bezog.
VPNs als Sicherheitsrisiko
VPNs nützen in Sachen Sicherheit wenig und beim Datenschutz ist der Nutzen zumindest fragwürdig. Doch in vielen Fällen werden VPNs selbst zum Sicherheitsrisiko.
VPN-Apps, die nicht verschlüsseln oder IPv6-Datenverkehr übersehen
2014 untersuchte ein Forscherteam 283 VPN-Apps für Android-Telefone auf deren Sicherheit. Die Resultate waren verheerend: 18 Prozent der VPNs verschlüsselten nicht einmal ihren Datenverkehr. 84 Prozent versäumten es, auch IPv6-Verbindungen über das VPN zu leiten, bei 66 Prozent wurden DNS-Anfragen nicht über das VPN verschickt. 16 Prozent der Apps manipulierten den Datenverkehr teilweise und fügten beispielsweise Tracking-Code in unverschlüsselte HTTP-Webseiten ein.
Ein populäres kostenloses VPN ist der Dienst Hola. 2015 zeigte eine Gruppe von Sicherheitsforschern Remote-Code-Execution-Lücken und andere Schwachstellen in Hola auf. Unabhängig von konkreten Sicherheitslücken basiert das Konzept von Hola darauf, dass Datenverkehr nicht über Server geleitet wird, sondern über andere Nutzer.
Damit begeben sich Nutzer der Anwendung selbst in enorme Gefahr. Wenn ein Hola-Nutzer eine Verbindung für illegale Zwecke nutzt, können diese auf andere Nutzer zurückfallen ohne dass sie darüber Bescheid wissen. Dass die Hola-Webseite standardmäßig unsicher über HTTP ausgeliefert wird, ist dabei wohl noch das geringste Problem.
Eine andere beliebte und kostenlose VPN-Anwendung ist Hotspot Shield. Laut einer Beschwerde der US-Organisation Center for Democracy and Technology bei der US-Behörde FTC wird bei Hotspot Shield Javascript-Trackingcode in Webseiten eingefügt. Zudem verkauft der Hersteller der App Daten über die Web-Surfgewohnheiten seiner Nutzer. Ironisch dabei: Hotspot Shield wirbt damit, dass ISPs ähnliche Geschäftsmodelle betreiben - und dass man sich mit der App davor schützen kann.
Klar, dabei handelt es sich um Extremfälle von unseriösen Anbietern. Doch unbedarfte Nutzer, die hören, dass sie ein VPN für mehr Sicherheit nutzen sollten, haben kaum eine Chance zu beurteilen, welche Anbieter und Produkte seriös sind.
Zusammengefasst kann man sagen: Der Nutzen von VPNs in Sachen Sicherheit ist im modernen Web dank HTTPS kaum noch vorhanden. Wer Services nutzt, die nicht standardmäßig über HTTPS ausgeliefert werden, sollte lieber darauf drängen, dass diese Services die Sicherheit ihrer Nutzer ernst nehmen - oder sich nach Alternativen umsehen.
In Sachen Datenschutz ist zweifelhaft, wie viel VPNs bringen. Es hängt stark davon ab, wie sehr man einem Anbieter vertrauen kann. Fragwürdige VPN-Anbieter liefern oft Software aus, die selbst voller Sicherheitsrisiken ist.
VPNs nur für Nischenanwendungen sinnvoll
Sinnvoll können VPNs für einige Nischenanwendungen sein. So lassen sich damit manchmal ärgerliche Geoblocking-Sperren umgehen. Für Anwender in Ländern, in denen das Internet zensiert wird, bieten sie eine Möglichkeit, gesperrte Services abzurufen. Die Risiken bleiben dabei natürlich bestehen. Wer in solchen Fällen ein VPN nutzen möchte, sollte am besten darauf achten, dass es mit Standardsoftware arbeitet, denn die meisten Sicherheitsrisiken bestehen aufgrund fragwürdiger Eigenentwicklungen von VPN-Anbietern. Einen vergleichsweise guten Ruf hat hierbei die Software Wireguard.
Für den normalen Webanwender gilt jedoch: In Sachen Sicherheit überwiegen die Risiken den möglichen Nutzen eines VPNs deutlich. Und wer ernsthaft eine Lösung für starken Datenschutz sucht, ist mit einem Tor-Browser besser dran.
VPNs verschlüsseln - aber was eigentlich genau? Und brauchen Nutzer das? Unser Autor findet: Im Normalfall nicht.
Quelle; golem
Schütze Dich im Internet vor Hackern und Überwachung", "Höchste Sicherheit und Verschlüsselung", "Bleib online sicher und anonym" - mit Werbeversprechen dieser Art versuchen Anbieter sogenannter Virtual Private Networks (VPNs) zu vermitteln, dass die Nutzung eines VPNs Sicherheit und Datenschutz von Nutzern erhöhen. Doch was macht ein VPN eigentlich genau - und wie sinnvoll ist die Nutzung im modernen Web überhaupt?
Ein VPN stellt mittels einer Software einen üblicherweise verschlüsselten Kanal zwischen dem Nutzer und einem Server des Anbieters her. Alle Internetverbindungen des Nutzers werden anschließend durch diesen Kanal geleitet.
Was wird eigentlich verschlüsselt?
Daten zu verschlüsseln klingt gut, aber was wird hier eigentlich verschlüsselt? Ein VPN verschlüsselt Daten lediglich zwischen dem Nutzer und dem Server des VPN-Anbieters. Doch ein echter Schutz ist das nicht: Zwischen dem Server des VPN-Anbieters und dem Ziel können die Daten weiterhin mitgelesen werden, wenn sie nicht auf andere Weise geschützt sind.
Eine VPN-Verschlüsselung führt lediglich dazu, dass der mögliche Angriffspunkt verschoben wird. So können Datenverbindungen zwar nicht mehr durch Nachbarn im WLAN oder durch Mitarbeiter des Internetzugangsanbieters angegriffen werden, dafür aber beim VPN-Anbieter und bei dessen Internetzugangsdienstleister.
Eine vollständige Verschlüsselung zwischen Absender und Ziel einer Internetverbindung lässt sich nur realisieren, wenn diese Verschlüsselung zwischen Client und Server ausgehandelt wird. Genau das passiert heute auch meist: Die Mehrzahl der Webseiten wird über HTTPS mit einer TLS-Verschlüsselung ausgeliefert und ist damit vor mitlesenden Dritten und auch vor Manipulationen der Daten geschützt. Verbleibende Risiken kann man durch HSTS begegnen, was gewährleistet, dass unverschlüsselte HTTP-Verbindungen nicht mehr möglich sind.
Auch andere Internetprotokolle wie IMAP für E-Mails, Messenger oder sonstige Apps verschlüsseln ihren Datenverkehr heute üblicherweise mithilfe von TLS oder haben - Beispiel SSH - eigene Verschlüsselungstechnologien. Dieser Schutz gilt allerdings im Gegensatz zum VPN für den ganzen Weg einer Datenverbindung und ist damit klar die bessere Lösung. Ein VPN hat nur marginale Vorteile in Sachen Sicherheit - und diese Vorteile schwinden mit jeder Webseite, die auf HTTPS umstellt.
Metadaten werden zentralisiert
Was ist mit dem zweiten Versprechen, mit dem VPNs beworben werden - dem Datenschutz? Geht es nicht in erster Linie um den Schutz von Metadaten, insbesondere, wenn es um Massenüberwachung geht?
Auch hier kann man infrage stellen, ob ein VPN tatsächlich eine gute Lösung ist. Ein gewöhnlicher Internetnutzer wird im Normalfall unterschiedlichste Möglichkeiten nutzen, um sich mit dem Internet zu verbinden. Zuhause wählt er den Zugang über DSL oder einen Kabelanschluss, unterwegs das WLAN eines Cafés oder eine mobile Internetverbindung.
Ob ein VPN in Sachen Metadaten eher ein Vor- oder ein Nachteil ist, ist alles andere als eindeutig. Denn durch das VPN werden alle Datenverbindungen an einem Punkt zentralisiert. Ein Geheimdienst, der möglichst effizient Datenverkehr überwachen will, würde sich vermutlich strategisch im Netz in der Nähe von VPN-Zugangsknoten platzieren.
Ermittlungsbehörden erhalten angeblich nichtexistente Log-Daten
Fast alle VPN-Anbieter werben damit, dass sie selbst keine Logs vorhalten. Doch wie vertrauenswürdig sind diese Versprechen?
In einer ganzen Reihe von Fällen wurden Logs von VPN-Anbietern, die angeblich keine Daten loggen, in späteren Ermittlungsverfahren genutzt. 2011 wurde ein Mitglied der Hackergruppe Lulzsec mithilfe von Logs des VPN-Anbieters Hidemyass für einen Hack von Sony überführt. 2016 nutzten US-Ermittler Daten des Anbieters IPVanish in einem Fall von Kindesmissbrauch, 2017 überführte das FBI einen Cyberstalker - mithilfe von Logs des Anbieters PureVPN. PureVPN versuchte den Vorfall damit zu erklären, dass es verschiedene Arten von Logs gibt und sein Versprechen sich nur auf einen Teil der Logs bezog.
VPNs als Sicherheitsrisiko
VPNs nützen in Sachen Sicherheit wenig und beim Datenschutz ist der Nutzen zumindest fragwürdig. Doch in vielen Fällen werden VPNs selbst zum Sicherheitsrisiko.
VPN-Apps, die nicht verschlüsseln oder IPv6-Datenverkehr übersehen
2014 untersuchte ein Forscherteam 283 VPN-Apps für Android-Telefone auf deren Sicherheit. Die Resultate waren verheerend: 18 Prozent der VPNs verschlüsselten nicht einmal ihren Datenverkehr. 84 Prozent versäumten es, auch IPv6-Verbindungen über das VPN zu leiten, bei 66 Prozent wurden DNS-Anfragen nicht über das VPN verschickt. 16 Prozent der Apps manipulierten den Datenverkehr teilweise und fügten beispielsweise Tracking-Code in unverschlüsselte HTTP-Webseiten ein.
Ein populäres kostenloses VPN ist der Dienst Hola. 2015 zeigte eine Gruppe von Sicherheitsforschern Remote-Code-Execution-Lücken und andere Schwachstellen in Hola auf. Unabhängig von konkreten Sicherheitslücken basiert das Konzept von Hola darauf, dass Datenverkehr nicht über Server geleitet wird, sondern über andere Nutzer.
Damit begeben sich Nutzer der Anwendung selbst in enorme Gefahr. Wenn ein Hola-Nutzer eine Verbindung für illegale Zwecke nutzt, können diese auf andere Nutzer zurückfallen ohne dass sie darüber Bescheid wissen. Dass die Hola-Webseite standardmäßig unsicher über HTTP ausgeliefert wird, ist dabei wohl noch das geringste Problem.
Eine andere beliebte und kostenlose VPN-Anwendung ist Hotspot Shield. Laut einer Beschwerde der US-Organisation Center for Democracy and Technology bei der US-Behörde FTC wird bei Hotspot Shield Javascript-Trackingcode in Webseiten eingefügt. Zudem verkauft der Hersteller der App Daten über die Web-Surfgewohnheiten seiner Nutzer. Ironisch dabei: Hotspot Shield wirbt damit, dass ISPs ähnliche Geschäftsmodelle betreiben - und dass man sich mit der App davor schützen kann.
Klar, dabei handelt es sich um Extremfälle von unseriösen Anbietern. Doch unbedarfte Nutzer, die hören, dass sie ein VPN für mehr Sicherheit nutzen sollten, haben kaum eine Chance zu beurteilen, welche Anbieter und Produkte seriös sind.
Zusammengefasst kann man sagen: Der Nutzen von VPNs in Sachen Sicherheit ist im modernen Web dank HTTPS kaum noch vorhanden. Wer Services nutzt, die nicht standardmäßig über HTTPS ausgeliefert werden, sollte lieber darauf drängen, dass diese Services die Sicherheit ihrer Nutzer ernst nehmen - oder sich nach Alternativen umsehen.
In Sachen Datenschutz ist zweifelhaft, wie viel VPNs bringen. Es hängt stark davon ab, wie sehr man einem Anbieter vertrauen kann. Fragwürdige VPN-Anbieter liefern oft Software aus, die selbst voller Sicherheitsrisiken ist.
VPNs nur für Nischenanwendungen sinnvoll
Sinnvoll können VPNs für einige Nischenanwendungen sein. So lassen sich damit manchmal ärgerliche Geoblocking-Sperren umgehen. Für Anwender in Ländern, in denen das Internet zensiert wird, bieten sie eine Möglichkeit, gesperrte Services abzurufen. Die Risiken bleiben dabei natürlich bestehen. Wer in solchen Fällen ein VPN nutzen möchte, sollte am besten darauf achten, dass es mit Standardsoftware arbeitet, denn die meisten Sicherheitsrisiken bestehen aufgrund fragwürdiger Eigenentwicklungen von VPN-Anbietern. Einen vergleichsweise guten Ruf hat hierbei die Software Wireguard.
Für den normalen Webanwender gilt jedoch: In Sachen Sicherheit überwiegen die Risiken den möglichen Nutzen eines VPNs deutlich. Und wer ernsthaft eine Lösung für starken Datenschutz sucht, ist mit einem Tor-Browser besser dran.
VPNs verschlüsseln - aber was eigentlich genau? Und brauchen Nutzer das? Unser Autor findet: Im Normalfall nicht.
Quelle; golem
