Ein nüchterner Blick auf VPN. Braucht man das?

Egal, ob ich bei YouTube etwas schaue oder einen Podcast höre, eines ist (fast) sicher: Ich werde über einen VPN-Werbeclip stolpern. Wobei es natürlich Sponsoring genannt wird, klingt einfach besser, als Werbung. Und jeder dieser Creator erzählt einem, dass man seine Sicherheit im Online-Umfeld drastisch erhöht, wenn man ein VPN-Abo abschließt und über diesen VPN-Anbieter unterwegs ist. Aber auch die Anbieter selbst halten sich bei ihren Versprechen nicht zurück.

Besucht man die bekannten VPN-Anbieter, ließt man Dinge, wie “Surfe mit VPN im Internet ohne Tracking” oder “Dank modernster Technologien und der AES-256-Verschlüsselung hält VPN-Anbieter […] deine Geräte frei von Schadsoftware und dein Surf-Erlebnis ist sicher vor Einblicken durch Dritte“. Ich habe hier den Namen des Anbieters entfernt.

Es werden im Wesentlichen zwei immer Dinge versprochen: Sicherheit im Internet und Schutz der Privatsphäre. Diese Punkte möchte ich in diesem Beitrag einmal beleuchten, dann aber auch schauen, ob, wann und wofür sich ein VPN-Abo lohnt. Da der Beitrag etwas länger ist, hier eine kurze Übersicht, was ich beleuchten möchte:

Was ist ein VPN?
Versprechen 1: Sicherheit im Internet
Versprechen 2 - Privatsphäre: Was ist mit Tracking?
Wann lohnt sich ein VPN
Fazit

VPN steht für Virtual Private Network und wurde entwickelt, damit sich Computer über das offene Internet mit einem Unternehmensnetzwerk verbinden konnten. Hierzu entwickelte man eine Technologie, mit welcher man einen sogenannten verschlüsselten Tunnel vom eigenen Computer zum Firmennetzwerk aufbauen konnte. Dieser Tunnel “bohrte” sich durch das Internet, sodass von außen niemand die Kommunikation mitlesen konnte. Dabei ging es in erster Linie um den Schutz von Unternehmensgeheimnissen. Niemand sollte eine solche Kommunikation über das Internet einfach mitlesen können. Microsoft war schon 1996 dabei, die Technologie des VPN voranzutreiben.

Ein VPN war - und ist noch immer - ein Weg, um ein privates Netzwerk (wie z.B. ein Unternehmensnetzwerk, aber beispielsweise auch das eigene Heimnetzwerk) virtuell über das Internet zu erweitern, um einen Computer, der nicht physisch per Kabel oder WLAN an dieses Netzwerk angeschlossen ist, hinzuzufügen. Wer Homeoffice betreibt weiß vermutlich, dass man einen VPN-Client starten muss (oder dieser startet automatisch), bevor man auf Ressourcen des Firmennetzes zugreifen kann.

Daher auch der Name: virtuelles privates Netzwerk. Aber wieso verkauft sich diese Idee auch so gut als Sicherheitsfeature? Wieso wurden VPN-Abos mittlerweile zu einer Art Hype und werden als Notwendigkeit für Jedermann angepriesen?

Mit einem VPN hat man einen entscheidenden Unterschied zur normalen Internetnutzung. Der ausgehende Datenverkehr ist zwischen VPN-Client und VPN-Server komplett verschlüsselt. Das ist ein wichtiger Punkt - positiv, wie auch negativ. Schauen wir tiefer.

Um zu verstehen, was sich bei der Nutzung eines VPN ändert, schauen wir einmal, wie die Kommunikation im Internet (grundlegend und rudimentär) ohne VPN funktioniert.

Das Szenario ist, ihr startet euren Browser und öffnet Google. Euer Browser geht über den sogenannten Access Point des Netzwerks (also den Router, über den das Netzwerk mit dem Internet verbunden ist) an euren Internetanbieter (Telekom Vodafone, O2, etc.) und über diesen wird die Anfrage an die Google-Server weitergegeben. Zwischen Google und eurem Endgerät liegen also zwei Instanzen, die potentiell erfahren könnten, wohin ihr im Internet unterwegs seid. Der Betreiber des Netzwerkes könnte dies sehen und euer Internetanbieter erfährt ebenfalls, wann ihr Google geöffnet habt. Google wiederum erfährt, anhand eurer IP-Adresse, wer sich gemeldet hat. Die IP-Adresse ist ein sensibler Datensatz, da die Internetprovider mit einer IP auf den nutzenden Haushalt schließen können. Selbst die Rechtssprechung verlangt mittlerweile, dass eine IP-Adresse genauso zu behandeln ist, wie der Name oder das Geburtsdatum einer Person.

Ein VPN würde bereits auf eurem Rechner verschlüsseln, dass ihr Google besuchen wollt. Das heißt, der Access Point im Netzwerk, sowie euer Provider bekämen nur die Info, dass ihr den Server eures VPN-Anbieters erreichen möchtet. Der VPN-Anbieter empfängt diese Nachricht, entschlüsselt sie, um zu erkennen, dass ihr zu Google möchtet und leitet die Anfrage an Google weiter. Somit bekommt auch Google nicht mehr eure IP-Adresse, sondern die IP-Adresse eures VPN-Anbieters. Google kennt eure IP nicht und euer Netzwerkbetreiber, sowie Internetprovider kennen eure Ziele im Internet nicht.

Das ist der Unterschied, den ein VPN machen würde. Kein Geringer, denn wie geschrieben, ist eure IP ein sensibler Datensatz. Aber ausschließlich dieses Verschleiern ist das Feature eines VPN. Nicht mehr, nicht weniger.

Aber genau mit dieser Verschlüsselung argumentieren VPN-Anbieter. Verschlüsselt nach “Militärstandard” oder so ähnlich ließt man oft. Auch das ist keine Lüge, aber die Kommunikation von eurem Browser zu Google (oder so gut, wie allen anderen Webseiten - auch zu meinem Blog) ist auch ohne VPN verschlüsselt. Auch nach “Militärstandard” 🪖 , wenn man dieses geflügelte Wort benutzen möchte. Die Frage ist, erhöht ein VPN den Schutz vor Angriffen?

Verschlüsselung im Internet

Nun muss man beachten, dass auch das Internet sich in den letzten Jahren weiterentwickelt hat. So sind Verbindungen zwischen Browser (oder App) und dem Server heutzutage generell verschlüsselt. Das Stichwort ist https, wobei das s tatsächlich für “secure” steht. Mittlerweile basiert die Kommunikation im Internet also auf einem abgesicherten Protokoll: Hyper Text Transfer Protocol Secure. Ein Punkt, den VPN-Anbieter (natürlich) gern außen vor lassen. Moderne Browser (mit modern können sie auch gern schon ein paar Jahre alt sein) zeigen mittlerweile aktiv an, wenn eine Verbindung zu einer Webseite nicht über eine solche abgesicherte Verbindung läuft.

Links zeigt eine sichere Verbindung im Browser Chrome, rechts eine Warnung, wenn keine sichere Verbindung hergestellt werden konnte.

Sofern ihr auf einer Webseite seid, deren Identität von eurem Browser bestätigt wurde, ist die Kommunikation zwischen eurem Browser und der Webseite sicher. Es wird niemand mitlesen, eure Passwörter klauen, Emails lesen oder euren Kontostand beim Onlinebanking einsehen. Auch ganz ohne VPN.

Ich habe es schon kurz erwähnt, aber nicht nur die Kommunikation zwischen Browser und Server ist sicher, auch eure Apps nutzen eine solche sichere Verbindung. Apple erzwingt seit 2016 die Nutzung von https bei allen Apps, die über das Internet kommunizieren und Google tut dies bei Android seit 2018. Somit auch hier kein Problem.

Ihr müsst natürlich trotzdem beachten, nicht auf andere Tricks hereinzufallen. Klickt nicht auf Links und Emails, die euch verdächtig vorkommen. Prüft den Absender der Emails und sollte eine Aufforderung in einer Email nachvollziehbar sein, dann besucht die Webseite manuell und prüft die Forderung, anstatt auf den Link in der Email zu klicken. Aber das ist ein anderes Thema. Phishing ist das Täuschen von Nutzern, um auf bösartige Webseiten zu leiten. Das hat erstmal nichts mit dem Ausspionieren von Datenflüssen zu tun und auch ein VPN könnte euch nicht schützen, wenn ihr auf solche Links klickt.

Soviel erstmal zum Thema Sicherheit. Was ist mit dem nächsten Versprechen?

VPN-Anbieter versprechen immer wieder ein privates Surfen im Netz, da eure IP-Adresse verschleiert wird und wie im oberen Abschnitt erwähnt, ist die IP-Adresse ein sensibler Datensatz und es ist nicht falsch, diese verschleiern zu wollen. Aber so, wie sich die Sicherheit im Internet verbessert hat, hat sich leider auch die Möglichkeit des Trackings stark verbessert und die IP ist nur noch ein Mosaik-Stückchen im Puzzle der Identifizierung.

Werbung ist ein Riesengeschäft geworden und Firmen, die gezielt Werbung anzeigen können, verdienen haufenweise Geld damit. Genau deshalb ist das Identifizieren von Nutzern im Internet mittlerweile extrem ausgefeilt geworden. Eine sehr effektive Methode der Identifizierung, ist das Browser Fingerprinting. Wahrscheinlich habt ihr schon von Cookies gehört oder kennt mindestens diese (etwas nervigen) Cookie-Banner, die dank einer EU-Regulierung nun Vorgabe sind. Doch diese Technologie ist fast schon auf dem absteigenden Ast, Browser Fingerprinting ist deutlich effektiver.

Beim Fingerprinting lesen Webseiten verschiedene Merkmale des Browsers aus, der die Webseite besucht (u.a. die Art, wie Grafiken dargestellt oder Design-Befehle interpretiert werden, die Zeit, in der bestimmte Aufgaben erledigt werden, Browser AddOns, Browsergröße und vieles Weitere). Die Kombination all dieser Werte liefert ein so eindeutiges Ergebnis, dass ein Client auch ohne IP-Adresse erkannt werden kann. Und Trackingdienste können euch so über verschiedene Websites hinweg wiedererkennen.

Nehmen wir an, ein Trackingservice ist auf Webseite A und B eingebettet und ein Browser durchläuft das Fingerprinting auf Webseite A genauso, wie auf Webseite B, dann ist die Wahrscheinlichkeit, dass es derselbe Browser (also derselbe Nutzer) ist, extrem hoch. So genau sind diese Verfahren mittlerweile. Es gibt Browser, wie z.B. den Brave Browser, die ein solches Fingerprinting aktiv unterdrücken. Also absichtlich verschiedene Ergebnisse liefern. Ein VPN und das Verschleiern der IP hilft in solchen Fällen nicht wirklich.

Außerdem muss beachtet werden, dass Dienste, wie Google oder Meta nicht doof sind. Wenn ihr also eine IP aus Bangladesh besitzt, aber per Google Maps in Bielefeld navigiert, dann wird Google wissen, dass ihr nicht in Bangladesh sitzt. Wenn ihr mit einer solchen IP bei Amazon bestellt und nach Bielefeld liefern lasst, dann kann Amazon Eins und Eins zusammenzählen. Auch das Hochladen eines Fotos bei Instagram, welches GPS-Koordinaten enthält, zeigt Meta, wo ihr wohl gerade seid. Auch, wenn eure IP etwas anderes vorgibt. Und wenn ihr einen Account bei diesen Diensten besitzt und in der Vergangenheit immer aus Bielefeld eingeloggt wart, nun aber mit Mal aus Bangladesh online kommt, auch dann werden diese Dienste wissen, dass ihr vermutlich erstmal nicht umgezogen seid. Neben einem VPN käme es also auch noch auf euer Nutzungsverhalten an.

Was ich versuche zu zeigen ist, eure IP ist nur ein einzelner (fast unbedeutender) Baustein im System des Trackings. Wenn ihr eure Identität im Internet verschleiern wollt, ist dies ein riesiger Aufwand. Vor allem, da bis heute vermutlich wenig in diese Richtung unternommen und bereits viele Daten gesammelt wurden.

Es gibt natürlich valide Gründe für einen VPN-Dienst. Aber diese sind eventuell weniger spektakulär oder lassen sich schlechter vermarkten.

Das Umgehen (einfacher) Ländersperren beispielsweise ist ein Grund. Seid ihr im Urlaub, möchtet aber auf deutsche Medien zugreifen, dann ist dies aus Rechte-Gründen manchmal nicht möglich sein, wie beispielsweise bei den Mediatheken der Öffentlich-Rechtlichen). Mit einem VPN könntet ihr euch eine deutsche IP holen und würdet wohl Zugriff erhalten - aber auch nur, da diese Mediatheken eine eher rudimentäre IP-Prüfung zur Lokalisierung durchführen. Netflix zum Beispiel geht aktiv gegen ein solches Verhalten vor und erkennt recht gut, ob ihr VPNs zum Umgehen solcher Länderblockaden nutzt.

Wenn sich die Nutzung offener WLAN-Hotspots nicht vermeiden lässt und ihr sicherstellen möchtet, dass eure Kommunikation vor den Betreibern geschützt ist. Dann lohnt sich ein VPN. Betonung liegt hierbei auf “nicht vermeiden lässt”, meine Empfehlung wäre, keine offenen WLANs zu verwenden, deren Betreiber ihr nicht kennt oder zuordnen könnt.

Valide ist auch, wenn ihr eure Kommunikation vor eurem Internetprovider verschleiern wollt, da eventuell die Vorratsdatenspeicherung vorangetrieben wurde und ihr nicht möchtet, dass irgendwo eine Historie eures Internetverlaufs liegt. Oder ihr besucht Länder, dessen Providern ihr nicht traut, z.B. zensiertes Internet in China.

Ich will dabei betonen, dass ein VPN nicht unsichtbar macht! Es ist kein Freifahrtschein für illegale Aktivitäten im Internet und bietet keine komplette Anonymität. Es ist ein Punkt, der unter gewissen Umständen eine extra Schicht an Sicherheit bieten kann oder dessen Features in bestimmten Situationen hilfreich sind.

Ich denke, für die allermeisten Menschen lohnt sich das Abo für einen VPN-Zugang nicht. Selbst in offenen WLANs würde ohne VPN niemand eure Passwörter oder Zugangsdaten zum Onlinebanking klauen können. Die Verbindung zu diesen Diensten ist verschlüsselt und eure Endgeräte zeigen ganz aktiv an, wenn sie es mal nicht sein sollte. Für normale, alltägliche Tätigkeiten im Internet ist ein VPN kein nennenswerter Mehrwert, was Sicherheit und Privatsphäre angeht.

Trifft auf dich aber einer der Punkte zu, die ich eben angesprochen habe, als ich auflistete, wann sich ein VPN lohnt, dann hol dir gern ein Abo, sofern du noch keines besitzt. Ich will niemandem davon abraten, wollte aber einmal klar machen, dass ein VPN keine Pflicht ist, um sicher im Internet unterwegs zu sein und es ist vor allem kein Tool, um seine Privatsphäre zu schützen. Es verschleiert nur den Datenverkehr vor dem Netzwerkbetreiber und dem Internetanbieter.

Ich bin von den Werbeblöcken für VPN mittlerweile nur genervt, da selbst Podcasts und YouTube-Kanäle, die sich eigentlich mit dem Thema auskennen sollten, in einer Art für diese Dienste werben, die irreführend ist. Das finde ich sehr schade, nicht nur, da Menschen eventuell Geld ausgeben für etwas, das sie vielleicht nicht benötigen, sondern auch, weil es einen falsches Gefühl der Sicherheit gibt.

Abschließend möchte ich noch erwähnen, dass ihr bei der Wahl des VPN-Anbieters bitte Recherche betreiben müsst. Der VPN-Anbieter sieht am Ende das, was sonst euer Internetanbieter sehen würde. Vertraut ihr dem VPN-Anbieter mehr, als eurem Provider? Und wieso habt ihr hier ein höheres Vertrauen? Verspricht er eine No-Log-Policy - also nicht zu speichern, was ihr im Internet macht? Kann er diese Policy beweisen? Fragen, die sich in zweiter Instanz stellen, wenn ihr euch entschieden habt, ein VPN-Abo abzuschließen, aber nun entscheiden müssen, bei wem ihr es abschließt.

Ich hoffe, ich konnte für ein wenig Klarheit bei dem Thema sorgen, nun noch viel Spaß im Internet - ob mit oder ohne VPN!