Das „Privat“ im Virtual-Private-Network bleibt oft auf der Strecke

Virtual-Private-Network sind heutzutage in aller Munde, sorgen sie doch für sicheren Datenverkehr und dafür, dass Spuren im Internet schwerer nachverfolgt werden können. Tatsächlich lässt sich schon fast sagen, dass „VPN“ eine eigene Marke geworden ist, um die sich zahlreiche Unternehmen drängen, die mit viel Werbung ihre Dienste anbieten.

Die VPN-Apps verschlüsseln den gesamten Netzwerkverkehr zwischen einem externen Gerät und den Servern eines Unternehmens, Consumer-VPNs sorgen auch dafür, dass der Datenverkehr zwischen dem eigenen Gerät und einem VPN-Anbieter verschlüsselt und weit entfernt vom Standort des Nutzers ins öffentliche Internet übertragen wird. Dadurch wird die wahre Quelle der Datenpakete verschleiert und der Nutzer ist tatsächlich schwerer zu verfolgen. Ein zusätzliches Gefühl der Privatsphäre und damit der Anonymität ergibt sich außerdem aufgrund der Tatsache, dass VPN die Abkürzung für Virtual-Private-Network ist, also sich das Wort „privat“ geradezu aufdrängt. In Wahrheit geht es im „privaten“ Teil eines VPN aber nicht wirklich darum, dass Nutzer anonym sind. Das P in VPN bezieht sich eigentlich nur auf die Idee, ein öffentliches Netzwerk zur Übertragung von Datenverkehr zu verwenden, der früher über eine private Schaltung bzw. Mietleitung erfolgte und daher als Teil des Unternehmens-LANs betrachtet wurde.

Die scheinbare Anonymität ist allerdings trügerisch: Alle, die schon einmal ein Unternehmens-VPN verwendet haben, was in der Corona-Zeit sehr wahrscheinlich ist, wissen, dass eine genaue Identifizierung vor dem Eintritt ins VPN nötig ist, beispielsweise mit einem Kennwort oder einem 2FA-Token. Das Unternehmen weiß also, wer sie sind, bevor sie eine Verbindung herstellen. Die Schlussfolgerung: Datenverkehr ist zwar vor Überwachung durch öffentliches Abhören geschützt, es besteht allerdings keine Anonymität, nur weil ein Nutzer sich im virtuellen Schloss des Unternehmensnetzwerks befindet. Kurz gesagt, das VPN selbst weiß, wer sie sind und sieht, was sie tun. Auch wenn die Router, über die verschlüsselte VPN-Pakete übertragen werden, dies nicht tun. Und das ist gut so, denn es bedeutet, dass Nutzer ein Unternehmensnetzwerk nur mit anderen Personen teilen, die (hoffentlich) dort sein sollen und dadurch auch für ihr Verhalten zur Rechenschaft gezogen werden können, anstatt in kritischen Situationen mit einer Gruppe Unbekannter in einen Topf geworfen zu werden.

 

Wo liegt nun das Problem mit den Protokollen?

Wie oben erwähnt, können Consumer-VPNs dafür sorgen, dass Daten lokal verschlüsselt und in einem völlig anderen Teil der Welt wieder unverschlüsselt ins öffentliche Internet übertragen werden. Sie verschleiern also den physischen Standort und damit das Land, in dem der Nutzer lebt. Für viele Menschen ist dies der wichtigste Mehrwert eines persönlichen VPN-Dienstes. Dadurch können sie Zensuren umgehen, die von ISPs in ihrem eigenen Land angewendet werden. Es bedeutet aber auch, dass die Nutzer dem VPN-Anbieter sehr viel Vertrauen schenken, da er letztendlich zum neuen ISP wird, bei dem auch nicht klar ist, inwieweit er eine Überwachung durchführt oder nicht. Viele VPN-Anbieter betonten, dass „sie überhaupt keine Protokolle führen“ und dass sie daher nichts an staatliche Stellen übergeben könnten, selbst wenn sie dies wollten. Der Haken an der Sache ist allerdings, dass es in vielen Ländern rechtliche Mechanismen gibt, die einen Dienstleister dazu zwingen können, nicht nur Protokolle für bestimmte Personen zu führen, sondern auch darüber zu schweigen, dass sie es tun.

Michael Veit, Security-Evangelist bei Sophos

Dass diese VPN-Überwachung eventuell häufiger stattfindet als angenommen, macht ein aktueller Fall deutlich, der in einem VPNMentor-Bericht veröffentlicht wurde, und bei dem die Forscher der Seite auf zahlreiche Benutzerprotokolle von sieben Consumer-VPNs stießen, die von Hongkong aus operieren und alle zu einem Hauptanbieter gehören. (Hinweis: VPNMentor erzielt Affiliate-Einnahmen aus Links zu und Gutscheinen für ausgewählte VPN-Unternehmen, die es empfiehlt). Michael Veit, IT-Security-Spezialist bei Sophos, ergänzt: „Laut der Plattform wurden durch eine falsche konfigurierte Cloud-Datenbank rund 1 Milliarde Datenbankeinträge mit ungefähr 20 Millionen Benutzern offengelegt, darunter Aktivitätsprotokolle, Klartextkennwörter, Bitcoin-Zahlungsinformationen, Supportnachrichten, Informationen zu persönlichen Geräten, technische Daten oder Kontoinformationen. Und das, obwohl die betroffenen VPN-Anbieter laut VPNMentor auf ihren Websites damit werben, die Null-Protokoll-Richtlinie zu beachten, also keinerlei Logs zu erstellen.“

Natürlich sind VPNs eine gute Sache, aber wie fast überall gilt die Devise, das blindes Vertrauen nicht zielführend ist. Nutzer sollten folgende Dinge im Hinterkopf behalten:

  1. Kein Virtual-Private-Network macht sie anonym oder ändert ihre Identität auf magische Weise, nur weil sie die Technologie verwenden. Zwar wird auf via VPN besuchten Websites ihr wahrer Netzwerkstandort nicht angezeigt, es gilt allerdings zu beachten, dass sie immer noch dieselbe Person hinter dem Browser ist.
  2. Das Zwischenschalten eines VPN-Dienstes ist letztendlich nichts anderes als das Wechseln zu einem anderen Internet-Service-Provider. Stellen sie also hier die gleichen Ansprüche. Ihr VPN-Anbieter kann viele ihrer Daten loggen und sehen woher diese stammen, genau wie der reguläre ISP. Beachten sie jedoch, dass ein VPN-Unternehmen möglicherweise anderen Gesetzen unterliegt als ein regulärer ISP.
  3. Unabhängig von der VPN-Nutzung gilt: Wenn sie generell Daten in die Cloud hochladen, sollten sie diese niemals für alle öffentlich speichern, es sei denn, sie beabsichtigen dies ausdrücklich. Standardmäßig sollten Daten gesperrt sein. Laden sie nicht hoch, was absolut privat bleiben soll und sammeln sie in der Cloud auch keine Daten, die sie irgendwann potenziell dauerhaft löschen wollen.

#Sophos