Die Idee hinter einem Virtual Private Network (VPN) ist simpel: Anstatt die eigenen Daten direkt über das Internet zu schicken, werden sie in einen Tunnel gepackt und mit einer diesen umgebenden Verschlüsselung vor etwaigen Mitlesern geschützt. Zunächst vor allem für Außendienstmitarbeiter zur Verbindung ins eigene Firmennetz gedacht, fand die Technologie über die Jahre Einzug bei vielen Privatnutzern, die auf diesem Weg ihre Datensicherheit stärken wollten – etwa um in öffentlichen WLANs zu verhindern, dass jemand einfach so die eigenen Passwörter mitlesen kann.

Ein gutes Geschäft

Wie groß diese Branche mittlerweile geworden ist, verdeutlichte eine Schlagzeile, die vor einigen Wochen die Runde machte. Mit ExpressVPN wurde eine der größten Firmen aus diesem Umfeld verkauft – und zwar um fast eine Milliarde US-Dollar. Das Geschäft brummt also, gleichzeitig stellt sich aber zunehmend die Frage: warum eigentlich? Denn in Wirklichkeit ergibt die VPN-Nutzung heutzutage für die meisten Nutzer kaum mehr einen Sinn und ist oftmals sogar schädlich für Privatsphäre und Sicherheit.

Zustandsbeschreibung

Die Gründe dafür sind mannigfaltig. Da wäre einmal der Umstand, dass das Netz über die Jahre ein wesentlich sichererer Ort geworden ist. Das oben beschriebene Szenario mit dem Abgreifen von Passwörtern im offenen WLAN ist heutzutage kaum mehr realistisch. Das liegt vor allem daran, das mittlerweile fast überall im Netz Verschlüsselung bei der Datenübertragung zum Einsatz kommt. 95 Prozent der Top-1000-Websites nutzen von Haus aus HTTPS-Verbindungen, und selbst Seiten, die das nicht tun, sichern üblicherweise zumindest die Übertragung von Passwörtern und anderen Daten auf diese Weise ab. Dazu kommt, dass auch öffentliche WLANs oftmals modernisiert wurden, es nicht mehr überall einfach so möglich ist, die Daten andere Nutzer im Umfeld mitzulesen.

Aus einer Privatsphärensicht bringen VPNs ohnehin kaum etwas. Für Websites ist es ein Leichtes, einzelne User über Cookies und digitale Fingerabdrücke eindeutig zu identifizieren. Die Verschleierung der eigenen IP-Adresse, die so ein VPN bietet, ändert daran herzlich wenig. Wer den Einsatz eines VPNs mit anderen Maßnahmen kombiniert – etwa der Verwendung von Anti-Tracking-Tools –, kann diese Situation zwar graduell verbessern, der Schutz bleibt aber immer ein löchriger.

Blindes Vertrauen

Nun könnte man mit gewissem Recht argumentieren, dass ein löchriger Schutz noch immer besser ist als keiner. Dem steht aber eine andere Realität entgegen: Wer einen VPN-Anbieter wählt, der muss diesem bedingungslos vertrauen. Das liegt daran, wie all das technisch funktioniert. Immerhin hat der von einem VPN aufgebaute Tunnel natürlich auch irgendwo einen Ausgang – und zwar eben beim jeweiligen Anbieter. Das heißt, dass dieser sämtliche Internetaktivitäten der eigenen Kunden auf dem Silbertablett geliefert bekommt und theoretisch auch mitprotokollieren könnte.

Das sind natürlich wertvolle – und auch äußerst sensible – Daten, also versprechen viele VPN-Provider, dass sie keinerlei Daten mitloggen. Das Problem dabei: Man muss in dieser Hinsicht den Aussagen des Providers vertrauen. Für all jene, die auch nur oberflächlich Augenmerk auf ihre Privatsphäre legen, fallen damit schon einmal sämtliche kostenlosen VPN-Anbieter flach. Immerhin sollte jedem klar sein, dass diese ihre eigenen Investitionen für den Betrieb der technischen Infrastruktur irgendwie wieder hereinspielen müssen. Und da ist die Auswertung des Datenschatzes vor der eigenen Nase die naheliegendste Variante.

Keine Daten? Wirklich?

Umgekehrt wäre aber der Schluss fatal, dass ein VPN-Anbieter keine Daten sammelt, nur weil man für die Nutzung des Dienstes zahlt. In der Vergangenheit gab es immer wieder Vorfälle, bei denen auf Behördendruck bei angeblich nicht mitloggenden Anbietern plötzlich doch Daten zu finden waren – oder gezielt auf Wunsch eines Geheimdiensts die Internetaktivitäten einzelner User protokolliert wurden. Aus Angst vor letzterem Szenario ist oftmals der Ratschlag zu hören, einen VPN-Anbieter zu wählen, der nicht in einem der "Five Eyes"-Länder angesiedelt ist – einem Geheimdienstverbund aus den USA, Großbritannien, Kanada, Australien und Neuseeland. Wie VPN-Experte David Gewirtz von ZDNet betont, ist das aber nur die Illusion von Sicherheit. Üblicherweise seien diese Firmen immer auf dem einen oder anderen Weg für die betreffenden Geheimdienste zu greifen, wenn es wirklich darauf ankommt.

Wem darf man vertrauen?

Erheblich schlimmer ist noch ein anderer Punkt: Für die Nutzer ist es de facto unmöglich, herauszufinden, welche Anbieter wirklich vertrauenswürdig sind – und welche nicht. Selbst bei den prominentesten, und in dieser Hinsicht auch oft am besten bewerteten, VPN-Providern sind in dieser Hinsicht nämlich ernsthafte Zweifel angebracht.

Viele VPNs, ein Anbieter

Was damit gemeint ist, lässt sich am besten anhand eines Beispiels verdeutlichen, das passenderweise bereits in der Einleitung des Artikels angeteasert wurde. Die Übernahme von ExpressVPN ist nämlich einen näheren Blick wert. Der neue Besitzer nennt sich Kape Technologies und ist in der Branche kein Neuling. Dem Unternehmen gehören mit Cyberghost, Private Internet Access (PIA) und Zenmate bereits andere bekannte VPN-Anbieter.

Doch Kape interessiert sich konsequenterweise nicht nur für VPN-Dienste, sondern auch gleich für passende Websites. Mit VPNMentor und Wizcase betreibt das Unternehmen gleich mehrere der bekanntesten Seiten auf diesem Gebiet, auf denen dann nicht ganz überraschenderweise die VPN-Dienste von Kape konsequent am besten abschneiden.

Zweifelhafte Vorgeschichte

Das ist an sich schon eine ziemlich unerfreuliche Verquickung, noch unerfreulicher wird es aber, wenn man sich die Hintergründe von Kape ansieht. Unter dem Namen "Crossrider" war die Firma nämlich in früheren Jahren im Adware-Umfeld tätig. Das brachte der Firma im Jahr 2015 sogar eine Erwähnung im Sicherheitsblog von Google ein, wo man vor betrügerischen Erweiterungen, die zusätzliche Werbung in den Browser einschmuggeln, warnte.

Angesichts eines schärferen Vorgehens von Google und Co gegen solche Adware haben sich die Verantwortlichen dann 2017 nach einem neuen Betätigungsfeld umgesehen – und sind dabei auf den Betrieb von VPNs gestoßen. Nun kann man natürlich glauben, dass mit dem Namenswechsel auch von einem Tag auf den anderen der Wandel vom Saulus zum Paulus im Umgang mit Nutzerdaten erfolgte – muss das aber natürlich nicht. Zumal der Gründer von Kape/Crossride auch noch aus dem Umfeld des israelischen Geheimdiensts kommt, wie vor einigen Jahren die Runde durch die internationale Presse machte.

Zwei, die sich gefunden haben

Das Narrativ des untadeligen VPN-Anbieters, der von einem zweifelhaften Unternehmen aufgekauft wird, lässt sich allerdings ebenfalls nicht halten. Hat doch ExpressVPN auch allein so seine dunklen Flecken. Erst unlängst wurde bekannt, dass der der Chief Information Officer (CIO) der Firma, Daniel Gericke, gemeinsam mit zwei anderen in den USA zu einer Geldstrafe von 1,6 Millionen Dollar verurteilt wurde, weil er im Auftrag der Vereinigten Arabischen Emirate US-Bürger ausspioniert haben soll. Bei ExpressVPN hieß es auf Nachfragen zu dem Thema, dass man wusste, dass Gericke aus dem Spionageumfeld kommt. Allerdings habe man damit kein Problem, da man ja zur Verteidigung auch entsprechendes Fachwissen brauche.

Dieses Argument könnte man mit – viel – Wohlwollen noch irgendwie gelten lassen, die Optik ist in Summe trotzdem – schon wieder – keine erfreuliche. Entsprechend riet denn auch NSA-Whistleblower Edward Snowden nach den ersten Berichten zu diesen Vorgängen dringend davon ab, ExpressVPN weiter zu benutzen.

Doch selbst wenn man einmal einen Anbieter gefunden hat, dem man vertraut, bleibt noch immer die Frage, ob der VPN-Einsatz tatsächlich das finanzielle Investment wert ist. Da – wie weiter oben schon ausgeführt – eben die meisten Einsatzszenarien mittlerweile wegfallen. Genau genommen bleiben vor allem zwei Bereich über: das Verschleiern der eigenen IP, um das sogenannte Geoblocking vieler Onlinedienste zu umgehen – also um auf Inhalte zugreifen zu können, die auf einzelne Länder beschränkt sind; oder aber der Einsatz eines VPNs als eine Art Pseudonymisierungsebene, um die eigenen Bittorrent-Aktivitäten zu verschleiern. Dass genau dies von vielen Anbietern mehr oder weniger offen beworben wird, ist insofern auch keine große Überraschung.

Alternativen

Für die "normale" Nutzung des Internets ist der Einsatz eines VPNs heutzutage aber eben weitgehend sinnfrei. Wer etwa sicherstellen will, dass der eigene Browser keinerlei unverschlüsselte Daten überträgt, der kann sowohl bei Firefox als auch Chrome mittlerweile HTTPS-only-Modi einstellen, die von Haus aus jegliche unverschlüsselte Übertragung blockieren. Und zur Absicherung von Onlinekonten trägt eine vernünftige Zwei-Faktor-Authentifizierung erheblich mehr bei, als es jeder VPN vermag. Beides bringt in dieser Hinsicht mehr als ein VPN-Einsatz – und zwar nicht nur kostenlos, sondern auch ganz ohne unerfreuliche Nebeneffekte.

Zumal auch nicht vergessen werden darf: Der VPN-Tunnel schützt wie gesagt nur bis zu den Systemen des jeweiligen Anbieters. Das Stück von diesem bis zum eigentlich aufgerufenen Server ist dann wieder genauso gut verschlüsselt – oder eben nicht – wie die ursprüngliche Verbindung ohne VPN-Tunnel. Da ist eine ordentliche HTTPS-Verschlüsselung – oder bei Chats gar eine Ende-zu-Ende-Verschlüsselung – aus einer Sicherheitsperspektive ungleich sinnvoller.

Echter Schutz sieht anders aus

Wer hingegen einen ernsthaften Schutz seiner Anonymität sucht oder gar benötigt, der sollte generell die Finger von VPNs lassen, so etwas können diese schlicht nicht leisten. Da ist es dann besser, gleich zu einem Live-System wie Tails zu greifen, wo jeglicher Netzwerkverkehr ausschließlich über das anonymisierende Tor-Netzwerk abgewickelt wird. Das ist dann zwar erheblich langsamer, aber dafür gibt es dann auch einen Schutz, der sich mit gewissem Recht so nennen kann. (Andreas Proschofsky, 28.11.2021)