Was man bei VPN Diensten beachten sollte. Ein Ratgeber

VPN, auch Virtual Private Network zieht die Allgemeinheit gerade in die „anonym im Netz“-Gegend weg. Dabei ist die Verschleierung der IP-Adresse eigentlich nur ein Nebenprodukt, anonym ist man dabei noch lange nicht.
Im Gegensatz zu Proxies sind VPNs dazu gedacht Firmennetzwerke an andere Standorte anzubinden. So kann z.B. ein Service-Mitarbeiter der auf Reisen ist zwar beim Kunden sein, technisch gesehen aber weiterhin im Firmennetz bleiben und sämtliche internen Services benutzen.

Ein Proxy ist wie ein aufgezwungener Wegpunkt für jedes Paket welches man ins Internet sendet und daraufhin andere wieder empfängt, weder verschlüsselt noch anonym, da der Proxy ganz einfach dem Webserver sagt: „Hey, Nutzer XY hat mich beauftragt die Seite für ihn aufzurufen.“ – also sind Proxies etwas völlig verschiedenes.

VPNs sind verschlüsselt, z.B. um die Unternehmenskommunikation privat zu halten. Der IT-Beauftragte in der Kunden-Firma soll ja nicht unbedingt mitbekommen welchen Einkaufspreis man tatsächlich für ein Ersatzteil bezahlt, sofern man es direkt beim Kunden im VPN-Netzwerk bestellt.

Die "Enigma Crypto Machine" - ein Vorläufer aktueller VPN Verschlüsselungen
Enigma Crypto Machine

Genau diese Verschlüsselungs-Schiene machen sich Unternehmen zu Nutze und verkaufen VPN-Dienstleistungen weil sie eben verschlüsselt sind. Damit betretet ihr das Firmennetzwerk eines Unternehmens, die euch nur versprochen haben euch so aussehen zu lassen als seit ihr gerade im Ausland unterwegs.
Vielen ist nicht bewusst dass alleine dadurch schon Risiken entstehen.

Ihr seid in einem Firmennetzwerk mit anderen Kunden und Mitarbeitern des Anbieters. Der Anbieter hat dafür zu sorgen dass diese nicht wie in einem klassischen Firmennetzwerk untereinander kommunizieren können, das tun einige günstige Anbieter schon einmal nicht. Ihr seid dann mit eurem Rechner in einem Netzwerk und jeder Kunde und jeder Mitarbeiter sieht dass ihr da seit und u.U. auch welche Freigaben ihr bei Windows habt. Ist dann z.B. ein Drucker in eurem lokalen Netzwerk freigegeben ist dieser nun für jeden Kunden an diesem VPN-Server ansteuerbar.
Es wirkt dann grundsätzlich so, dass euer Rechner Teil eines Firmennetzwerks ist und die eigentlichen Schutzmechanismen die ein Router bietet sind nicht mehr vorhanden.

Viele Dienste achten darauf aber und lassen das nicht zu, aber auch dann gibt es einige Sachen zu bedenken. Es kommt immer auf den Sinn und Zweck an, wofür ihr den VPN nutzen wollt. Reist ihr z.B. nach China und wollt weiterhin wie gewohnt im Internet surfen muss man z.B. etwas ganz anderes beachten als beim Ansehen der Videos für die YouTube die GEMA-Gebühren nicht zahlen will um diese Videos auch in Deutschland verfügbar zu machen.

Der GEMA-Youtuber

Der Fall ist recht einfach, euer VPN muss überhaupt gar keinen Wert auf irgendwelchen Datenschutz legen. Er sollte nur schnell genug sein um auch mal ein 1080p Video flüssig durchzulassen, was nun mal eben in Deutschland gesperrt ist. Die Schweiz, die Niederlande oder das Umland von Deutschland generell eignet sich gut als Standort, aber so ziemlich jeder Dienst dürfte da einen Standort stehen haben. Nebenbei funktionieren dann auch noch Hulu, Wilmaa und sonstige Dienste die grundsätzlich in Deutschland wegen Lizenzchaos nicht erlaubt oder aktiv sind.

Verschlüsselung ist hier also Nebensächlich und auch unsichere Verbindungsverfahren wie PPTP oder OpenVPN ohne aktivierte Verschlüsselung führen schon zum gewünschten Ergebnis. Die freie Wahl steht euch also zur Verfügung, auch wenn ihr einige Dienste vorher auf Geschwindigkeit testen solltet.

Die Suche nach Privatsphäre…

Euer Arbeitgeber hat z.B. das Recht nachzusehen was ihr im Firmennetzwerk macht. Auch in der Mittagspause, in der viele Arbeitgeber es erlauben private Dinge im Internet nachzusehen, darf er nachsehen. Wollt ihr dies erschweren braucht ihr einen VPN der stark verschlüsselt und im Idealfall nicht protokolliert. Auch dann darf der Arbeitgeber nachfragen was ihr während ihr verbunden seit macht und verlangen den VPN auszuschalten, aber in diesem Fall muss er fragen und kann nicht einfach so mitprotokollieren, da ihr spezielle Schutzvorkehrungen getroffen habt. Der Arbeitgeber darf aber auch verlangen den Dienst ab sofort nicht mehr im Firmennetzwerk zu nutzen.

Hier entsteht dann ein weiterer Schutzmechanismus. Ohne Verschlüsselung kann ein Arbeitgeber unter Umständen mitprotokollieren, mit Verschlüsselung nicht – allerdings sind die Firmenprogramme und -Services meistens bei der Nutzung von verschlüsselten VPNs nicht möglich und euer Arbeitgeber könnte bereits Vorkehrungen getroffen haben dies zu verhindern. Hier dann am besten einfach euren Arbeitgeber fragen, oder ausprobieren. Könnt ihr euch zu Hause mit dem VPN-Dienst verbinden, in der Firma allerdings nicht – dann scheint dieser in der Firma bereits gesperrt worden zu sein.

Eine vielleicht praktischere Anwendung sind hier öffentliche Hotspots, die wie in New York zuletzt häufig durch den Verkauf sämtlicher Daten die ihr so produziert refinanziert werden. Ein VPN ist in Hotspots in den seltensten Fällen geblockt – somit ist es in der Regel möglich hier für mehr Sicherheit zu sorgen. Nebenbei sichert ihr euch damit ein bisschen besser gegen Angreifer ab, die versuchen im gleichen Netzwerk die Daten der weiteren Besucher mitzuschneiden.

Der Netzwerkausbrecher…

Einige Netzwerke sind gesperrt, meist in Schulen und Universitäten. Aber auch einige Arbeitgeber bauen gerne zensierende Firewalls ein, damit die Kollegen eben Arbeiten und nicht Spaß im Internet haben. Anstatt gleich den TOR-Browser zu verwenden kann man auch einen VPN nutzen der z.B. OpenVPN über den TCP-Port 443 unterstützt. Solche Kommunikation ist grundsätzlich nicht von normalem Netzwerkverkehr via HTTPS unterscheidbar, nur gehen sie halt alle zu einem einzelnen Server. Es erfordert eine relativ umfassende Firewall um solchen Traffic von normalem Websurfing zu unterscheiden. Diese Investition machen allerdings die wenigsten Institute.
SSH-Tunnel ist der nächste Punkt. Viele Sperren kann man einfach umgehen in dem man eine SSH-Verbindung aufbaut und dadurch jeglichen Internet-Traffic leitet den man eben so verursacht. Etwas weiter gegangen und wir sind schon bei obfsproxy, eines der Programme die dank der chinesischen Internetüberwachung entstanden sind.

Der Verfolgte (oder, derjenige der unter Internetzensur leidet)…

Viel ernster wird die Lage wenn ihr z.B. wisst, dass ihr durch staatliche Organisationen überwacht werdet. Meist wird das den betreffenden Personen auch durch die Blume gedrückt gesagt, daher wissen diese meist bescheid dass der Staat bemüht ist alles über einen herauszufinden. Hier ist der Standort des VPN-Dienstleisters wieder kritisch. Deutschland, halb Europa, Großbritannien und die USA fallen damit schon einmal weg. Geheimdienste funktionieren hier auch über die Grenzen hinweg besonders gut. Hier spielt „Fourteen Eyes“ eine Rolle. Der Dienstleister darf  nicht in einem der gelisteten Länder ansässig sein, da die Geheimdienste dort aus freier Entscheidung zu umfassend in Firmentätigkeiten eingreifen könnten.

Im Idealfall schaut man sich das Land in dem ein VPN-Dienst gemeldet ist einmal etwas genauer an. „Wie gut organisiert ist das rechtliche System dort?“ „Wie viel wird bereits durch Gesetze geregelt und wie schnell werden neue durchgesetzt?“, ein gewisses Maß an Unorganisation ist okay, man sollte es aber nicht übertreiben. Wenn ein Staatssystem nicht so effizient ist wie z.B. EU-Länder, dann haben es die Geheimdienste schwerer Informationen auf dem „offiziellen Weg“ zu erbeuten. Hier liegt dann wieder mehr Entscheidungsgewalt beim VPN-Dienstleister. Sorgt dieser dafür dass auf seinen Servern möglichst wenig Rückverfolgung möglich ist, ist das halbe Spiel schon einmal gewonnen. Geheimdienste haben hier deutlich mehr Aufwand zu tätigen weil sie sich aktiv in die Firmenserver hacken müssen um überhaupt weiter zu kommen. Ein VPN-Dienstleister der viel Wert auf Sicherheit legt ist hier Gold wert.

Ein wichtiger Punkt hier ist auch, dass der Support des Anbieters verschlüsselt kontaktiert werden kann. Damit meine ich nicht ein Kontaktformular auf einer HTTPS-Website, sondern eine E-Mail Adresse mit idealerweise verlinktem PGP Public Key. Das ist zwar etwas umständlich, da auch die Kunden PGP haben müssen, aber allemal besser als HTTPS.

Die „Great Firewall of China“

Ein Qualitätsmerkmal ist auch obfsproxy. Dieses Programm wurde ursprünglich vom Tor-Projekt entwickelt. Es dient dazu Bürger Chinas zu ermöglichen ohne den Staat als Mittelsmann im Internet zu surfen. Dazu wird der Netzwerkverkehr in anderen harmlos aussehenden Daten „versteckt“ und wie der Name schon sagt, an einen Proxy-Server gesendet, der diese versteckten Daten wiederum findet und diese ohne Probleme weiter senden kann. Gleiches wäre mit einem VPN ohne obfsproxy möglich. Reine VPN-Verbindungen lassen sich aber erkennen und nachverfolgen.

Das TOR-Projekt ist in China zwar technisch möglich, allerdings kommt jeder ins Visier des Staats der dieses Netzwerk nutzt. Obfsproxy schaltet sich also vor Tor, sendet all den Datenverkehr an den Proxy-Server und danach geht es im TOR-Netzwerk weiter. Der Proxy lässt sich aber nicht nur mit dem TOR-Netzwerk nutzen, dieser lässt sich auch vor VPN schalten. Ein Dienst dessen Software diese Funktion gleich mitbringt ist ein gutes Stück besser – zumindest in Hinsicht des Konfigurationsaufwands.
In China selbst ist obfsproxy ein ganz anderes Kaliber, dort werden inzwischen Weiterentwicklungen empfohlen, da dort Sicherheitsexperten für den Staat laufend tätig sind solche Proxy-Server ausfindig zu machen und zu sperren.
Für Deutschland und den Rest der Welt ist Obfsproxy alleine schon Overkill. Die deutschen Politiker und ihre Gedanken bzgl. der Vorratsdatenspeicherung gehen gar nicht mal soweit, dass es Programme bzw. Nutzer gibt die Netzwerkverkehr absichtlich verstecken wollen.

Sucht man Dienstleister mit den oben genannten Kriterien fallen viele schon raus, und diejenigen die übrig bleiben sind nicht günstig. Kosten in Höhe von 5-10€ im Monat zeugen mehr davon, dass der Anbieter auch das Geld dafür bekommt für Sicherheit zu sorgen. Billig-Anbieter für 2-3€ im Monat brauchen zwingend andere Gewinnmöglichkeiten. Damit ist die Konzentration der Firma nicht mehr voll auf VPN-Dienstleistung und deren Sicherheit. Sie lebt also aktiv von Werbung auf den Webistes oder greifen sogar in die Verbindungen der Kunden ein um eigene Werbung unterzujubeln. Beliebt ist auch der Verkauf der Nutzerdaten. Bei VPNs ist das dann der gesamte Netzwerkverkehr eines Geräts.

Ein Beispiel

Als Beispiel nehme ich hier gerne mal ivpn.net. Mit 15 USD pro Monat im Einzelmonat und nicht viel günstiger (ca. 7,50 EUR) im (Halb-)Jahresangebot einer der teuersten Anbieter. Allerdings ist hier Obfsproxy in die Client-Software integriert und es funktionieren auch Routen die über zwei IVPN-Server hintereinander. Außerdem ist der Dienstleister sehr darauf bedacht Zwischenfälle öffentlich darzustellen. Es gibt ein öffentliches Versprechen dass den Mitarbeitern von IVPN kein Zwischenfall passiert ist, jeder kontaktierbar ist und nicht wissentlich verfolgt wird. Dies wird mit dem PGP-Key von IVPN signiert. So kann man sicherstellen, dass der Text vom Administrator hinter IVPN stammt. (oder zumindest von jemandem der in Besitz seines Private Key ist).

Das ist dann zwar reine Vertrauenssache, aber immer noch besser als ein Dienst der vollkommen Still hält.
Die Server sind grundsätzlich schnell genug. Ich nutze den Dienst seit einigen Monaten und bekomme durch die nächstgelegenen Server an Datendurchsatz locker das durch was mir der Internetprovider zur Verfügung stellt. Außerdem gehen sie auf eingehende PGP verschlüsselte E-Mails schnell ein und beantworten diese zügig.
Auf seiten der Verschlüsselung sind sie sehr bemüht diese sehr hoch zu schrauben.

Als Alternative zu IVPN kann NordVPN angesehen werden. Technisch identisch mit IVPN, allerdings nicht so sehr darauf aus zu garantieren dass mit NordVPN noch nichts passiert ist. Das Versprechen das IVPN gibt sucht man bei NordVPN vergebens und auch obfsproxy muss vorher eingerichtet werden (Archivlink – NordVPN hat inzwischen Obfsproxy – oder ähnliches – direkt in die Software integriert). NordVPN macht außerdem viel mehr plemplem und Werbung um ihren eigenen Dienst, was man auch negativ auffassen könnte.

Den idealen VPN-Dienst finden

Die beiden Dienste oben sind eher für China-Verreiser gedacht und für solche die unter Umständen wirklich Paranoid sind oder Angst vor dem Verlust ihrer Privatsphäre haben. Alle möglichen Dienste gibt es auch in einer englischsprachigen Tabelle, die aber einige Zeit zum Laden braucht. Das ganze Prozedere zur Auswahl eines geeigneten VPN-Dienstleisters kann man auch etwas ausführlicher als hier beschrieben machen. All diese Dinge sind dann auch hier in dem englischen How-To erklärt.