Anbieter von VPN Diensten werben mit dem Versprechen das Surfen im Internet sicherer zu machen und die Privatsphäre zu schützen. Auch ermöglichen sie es Streaming Dienste aus anderen Ländern zu nutzen. Aber das ist nicht genug, sie sollen sogar bares Geld beim Online-Shopping sparen. Beeindruckend. Aber stimmt es – sind VPN Dienste sinnvoll? Ich wurde als Experte für eine Sendung im öffentlich-rechtlichen Fernsehen dazu angefragt, musste aber leider absagen. Ich möchte dennoch einmal meinen Blick auf die Werbeversprechen von VPN Anbietern wie NordVPN, ExpressVPN, ProtonVPN usw erläutern. Lohnen sich VPN – sind sie sinnvoll oder Abzocke?
Grundlagen IP-Adresse und VPN
Um zwei grundlegende IT-Begriffe kommen wir nicht herum. Was ist eine IP und was ist überhaupt ein VPN? Sehr vereinfacht ausgedrückt identifiziert eine IP-Adresse in unserem Beispiel einen Internet-Anschluss. Bei mir ist das zum Beispiel aktuell die 91.63.111.254 aus dem Netz der deutschen Telekom. Durch die technische Funktionsweise dahinter senden wir diese IP jedem automatisch mit, auch Netflix, Amazon, booking.com, Google und auch alle anderen Anbieter erhalten diese IP-Adresse, sobald wir Dienste im Internet nutzen oder eine Webseite aufrufen. Das hat sich nicht die Werbe-Industrie oder der Staat zur Überwachung einfallen lassen, das ist Stand der Technik seit einigen Jahrzehnten und wird sich auch nicht mehr ändern. Es ist ähnlich einer Absender-Adresse auf einem Brief. Ohne diese kann man keine Rückantwort zustellen.
Ein VPN ist ein virtuelles privates Netzwerk – privat im Sinne von nicht-öffentlich, nicht im Sinne von Privatsphäre – und dient dazu private Netze miteinander zu verbinden oder Zugriff auf ein privates Netz zu ermöglichen. Der darin übertragene Datenverkehr kann verschlüsselt übertragen werden. Firmen nutzen VPN-Lösungen um z.B. Mitarbeitern Zugriff von zuhause über das Internet in das (private) Firmen-Netzwerk zu ermöglichen. Ein VPN wird auch oft dazu eingesetzt mehrere (private, nicht-öffentliche) Firmen-Netzwerke miteinander zu verbinden. Mit dem Einsatz moderner Verschlüsselungstechniken innerhalb des VPN ist auch die Vertraulichkeit und Integrität der übertragenen Daten sichergestellt. Unternehmen nutzen dazu Lösungen von Hardware-Herstellern wie Cisco und Juniper – oder setzen kostenlose Open Source Software wie OpenVPN ein. Die am Anfang genannten VPN Anbieter fehlen nicht aus Versehen in dieser Auflistung.
Technisch gesehen kann die Nutzung eines VPN Anbieters dafür sorgen, dass die geöffnete Website oder der aufgerufene Streaming-Dienst die eigentliche IP-Adresse des eigenen Internetanschlusses nicht mehr „sieht“. Sondern als Gegenstelle bzw. Absender-IP-Adresse nur eine IP des VPN Anbieters erhält. Ohne das als Vor- oder Nachteil zu bewerten, bringt die Nutzung eines solchen VPN nun folgende technische Eigenschaften mit sich:
- die übertragenen Daten werden verschlüsselt übertragen, zumindest vom eigenen Computer bis hin zum VPN Anbieter
- die eigene IP wird an den aufgerufenen Dienst nicht weitergegeben
Aus den beiden Punkten, leiten die VPN Anbieter nun folgende Marketing-Versprechen ab.
Marketing-Versprechen #1: Sicheres Internet
Wie zuvor beschrieben verschlüsselt ein VPN Daten – und zwar vom verwendeten Endgerät bis hin zum Endpunkt des VPN Anbieter. Danach werden die Daten weiterhin zum eigentlichen verwendeten Dienst übertragen, wie es auch ohne VPN gewesen wäre.
Nutzt man sein Online Banking, googelt bei Google, kauft bei Amazon ein, surft bei der Tagesschau vorbei oder liest hier auf dem Blog mit, werden die Daten über das Internet bereits verschlüsselt – und damit sicher – übertragen. Der gesamte Übertragungsweg vom Browser bis hin zu den verwendeten Servern zur Bereitstellung des Internet-Angebots wird bereits verschlüsselt. Während früher der Einsatz von SSL/TLS (https:// oben in der Browserzeile) zur Verschlüsselung eher selten war, ist es heute Standard. Auch wenn es Ausnahmen gibt, verschlüsselt ein VPN Anbieter auch nicht den gesamten Datenverkehr, sondern nur bis zu seinem Endpunkt. Liegt der Endpunkt in Russland und das Ziel in den USA, wird auch der Datenverkehr unverschlüsselt über den Globus übertragen.
Der einzige Vorteil kommt ins Spiel, wenn schon die Nutzung des Endgeräts in einem öffentlichen und unsicheren WIFI bzw WLAN stattfindet. Surft man nun in einem öffentlichen Internet Cafe auf eine 0815 unsichere weil unverschlüsselte Webseite, dann können andere dort eventuell den Datenverkehr mitlesen. Man könnte aber hier auch einfach den kostenlosen Tor Browser nutzen, anstelle für einen VPN Dienst zu zahlen. Löst das Problem auch – sofern es wirklich ein „Problem“ in der Situation ist – und Tor kostet kein Geld.
Marketing-Versprechen #2: Privatsphäre gegen Tracking
Werbeanbieter nutzen Tracking über Cookies, IP-Adressen, Browser-Informationen usw zur Auslieferung personalisierter Werbung. Auch die IP-Adresse des verwendeten Internet-Anschlusses, aber nicht nur. In der Regel wechselt die genutzte IP auch am eigenen Anschluss regelmäßig, oder man geht vom heimischen WIFI mit dem Handy zum Zug (IP von Zuhause), nutzt dort mobile Daten (IP vom Handy-Provider), geht in das Firmen-Besucher-WLAN (IP von der Firma) usw.
Die Verwendung der IP zum Tracken eines Nutzers ist.. eine schlechte technische Idee. Es gibt Ausnahmefälle, bei denen das eine Rolle spielen kann. Nehmen wir einmal an man verfügt zuhause über eine Glasfaserleitung mit statischer IP (und zahlt die 400€ im Monat z.B. bei Colt) und möchte dann Video-Portale zur Anzeige sexueller Handlungen nutzen. Ja, da würde ich vielleicht auch einen VPN Anbieter nutzen. Es stellt sich zwar die Frage, in wie Weit es relevant ist, dass ein zyprisches Unternehmen zur Anzeige von Erwachsenenunterhaltung die eigenen sexuellen Vorlieben kennt, aber das würde mich auch stören. Nur werben die VPN Anbieter damit leider gar nicht: Privatsphäre bei xHamster – halten Sie geheim, dass Sie gerne Füße lecken. Verraten Sie es nur uns!
Marketing-Versprechen #3: Schutz vor Geo-Fencing
Es gibt einen begrenzten Pool an IP-Adressen und diese sind an Unternehmen oder Organisationen vergeben. Unternehmen haben einen Standort und sitzen damit in einem Land. Manchmal kann man die verwendeten IP-Adressen nicht nur dem Land, sondern auch einem groben Standort zurechnen. Manchmal, eher selten. Aktuell wird meiner IP-Adresse die Stadt München zugeordnet, das ist ca 400km entfernt von mir. Aber die Identifizierung des Lands funktioniert recht zuverlässig. Deutschland, passt.
So kann man als Netflix zum Beispiel dafür sorgen, dass deutsche Kunden keine us-amerikanischen Filme auf dem amerikanischen Netflix sehen können. Diese IP-Beschränkung kann man nun mit einem VPN Anbieter umgehen, früher nutzte man dafür kostenlose Proxy im Web. Man wählt einfach einen Endpunkt des VPN aus, der zum Beispiel in Amerika liegt. Schon denkt Netflix, dass man amerikanischer Kunde ist. Wenn man jetzt noch eine amerikanische Kreditkarte, Wohnsitz o.ä. angeben kann, dann wird das funktionieren. Oder man besorgt sich im Darknet geklaute Netflix-Zugangsdaten aus Amerika und nutzt einen VPN Anbieter, der irgendwo in der Welt sitzt, wo amerikanische 3-Letter-Agencies keinen Zugriff haben. Das ist keine Aufforderung dazu! Aber es ist ein Use Case. Nur wirbt hier auch kein VPN Anbieter damit: Nutzen Sie ihre geklauten US-Netflix-Zugangsdaten mit DubiusVPN – 100% FBI Schutz!
Marketing-Versprechen #4: billiger Einkaufen
Andere Länder, andere Preise. Flüge und Hotels können zum Beispiel in Griechenland vermarktet weniger kosten als in Deutschland. Das ist auch gar keine Abzocke, das ist ein realistisches Preismodell und hängt auch von den Kosten im jeweiligen Land und von den dortigen Steuersätzen und Gesetzen ab.
Soweit so gut, will man also einen Urlaub in Spanien über ein Buchungsportal in Griechenland buchen, wird dort ein anderer Preis als in Deutschland angezeigt werden – alleine wegen den Steuersätzen. Ein VPN kann dafür sorgen, dass man sich als griechischer Nutzer ausgeben und buchen kann. Eventuell hat man wieder das Problem mit der Angabe des Wohnsitzes und des Zahlungsmittels. Hat man Erfolg, hat man hat dann allerdings auch das Rechtsgeschäft in Griechenland getätigt und nicht in Deutschland. Sobald irgendetwas schief geht, wird es kompliziert. In Urlauben geht nie etwas schief. Flüge fallen nie aus. Hotelbewertungen sind nie Fake.
Für normales Online Shopping innerhalb Deutschlands spielt das ohnehin keine Rolle. Man kann potentiellen Kunden aus Kronberg am Taunus keinen höheren Preis anzeigen, als Kunden aus Frankfurt an der Oder. Das geht technisch nicht, dafür ist GEO-IP zu ungenau. Was allerdings technisch geht ist, Kunden mit einem iPhone einen höheren Preis anzuzeigen als Kunden mit einem Google Handy. Allerdings würde da auch kein VPN Anbieter helfen können.
Marketing-Versprechen #5: Schutz vor DNS Leaks
Okay, ich lasse die VPN Anbieter gewinnen: Wer im Internet Cafe sitzt (unsicheres WIFI) und die Webseite seiner Hausbank verschlüsselt aufruft, hat vorher etwas geleaked. Sein Browser fragt im Hintergrund über das DNS-Protokoll nach, welche IP-Adresse die Server der Hausbank haben. In dem Moment, wenn man die Adresse im Browser aufruft. Danach ist die gesamte Kommunikation sicher und verschlüsselt.. aber diese Information, dass man jetzt wissen wollte, welche IP-Adressen die Server der Hausbank für das Online-Banking nutzen – das kann jeder dort sehen. Also jeder, mit genug technischem Know-How und Interesse. Wenn das einen stört, könnte man einen VPN Anbieter nutzen – oder Online Banking einfach zuhause oder von der Firma aus machen.
Fazit
Als Abzocke würde ich die Dienstleistung der VPN Anbieter nicht bezeichnen, aber Ihre Marketing- bzw Werbe-Versprechungen finde ich irreführend. Die eigenen Darstellungen der Vorteile von VPN Diensten bezüglich Sicherheit und Privatsphäre sind nicht wirklich falsch, aber im Kontext gesehen oftmals ohne weiteren wirklichen Nutzen.
Für die meisten normalen Nutzer sind VPN Dienste unnötig, damit nicht sinnvoll und lohnen sich nicht. Wer wirklich Privatsphäre wünscht oder gar benötigt, sollte sich den Tor Browser ansehen.
Wer im Netz VPN Dienste nutzt um primär illegale Aktionen vorzubereiten oder durchzuführen (geklaute Netflix Accounts schauen, Script Kiddie Hacking) sollte sich auf die Pseudo-Anonymität der VPN Dienste nicht verlassen. Dafür gibt es zuverlässigere Wege der Verschleierung, auf die ich hier öffentlich nicht tiefer eingehen kann. Aber der böse Hacker (wenn er gut ist) nutzt auch keine VPN Dienste und der gute Hacker (im Sinne von Penetration Testing) hat es nicht nötig.