Warum VPN keine absolute Lösung zur Abschirmung ist

Andre Fritsche
May 9 · 4 min read

Ich pflege in meinem Blog oft Ratschläge zu geben, darunter auch die Verwendung eines VPN Dienstes, wie ich es im Moment auch mache. Das von mir aktuell genutzte WiFi Netzwerk ist passwortlos und der gesamte Verkehr ist “nur” über HTTPS geschützt. Mir ist das mittlerweile zu heikel, denn ich kann dadurch nur den Browser “überwachen”.

Alle anderen Applikationen, die im Hintergrund ihre Verbindungen aufbauen, machen das irgendwie, ohne mir zu sagen wie. Vor allem am Smartphone finde ich es schrecklich. Ich hoffe, dass alle Apps mit ihren APIs über HTTPS kommunizieren, aber nur weil die DSGVO dies vorschreibt, heißt das nicht, dass sich jeder daran hält.

Vertrauen ist gut, Kontrolle ist besser

Ob das oben genannte Zitat nun von Lenin, Stalin oder sonst wem stammt ist gleichgültig. In technischen Zusammenhängen kann ich bestätigen, dass Gültigkeit besitzt. Wie genau wird in Kürze geklärt. Kurzer Schwenk ins Zwischenmenschliche: Dort ist Vertrauen besser als Kontrolle!

VPN — Wie werde ich geschützt?

VPN steht für “Virtual Private Network”. Dadurch lassen sich beispielsweise weit entfernte Netzwerke über das Internet zu einem verbinden. Computer sehen plötzlich angeblich “lokale” Ressourcen wie Server so, als wären sie im gleichen Gebäude. Die Verbindung der Netzwerke ist zusätzlich verschlüsselt.

Aktuell werden VPN Dienste meistens für drei Zwecke verwendet:

  • Anonymisierung
  • Vertraulichkeit (Verschlüsselung)
  • Freischaltung von Inhalten

Die Anonymisierung wird dadurch erreicht, dass der VPN Dienst die Internetverbindung über eine neue Route festlegt. Dadurch meldet sich unser Rechner nicht mehr direkt bei Diensten, sondern stellt die Anfrage in das VPN Netzwerk des Dienstes. Dieser kümmert sich dann um die Anfrage und unser Besuch erscheint aus einem anderen Land, falls wir das wünschen.

Die Vertraulichkeit wird über eine entsprechende Verschlüsselung sichergestellt. Da gibt es unterschiedliche Herangehensweisen. Eine davon ist IPSec und hat sich im Laufe der Zeit aus vielen RFCs entwickelt, wie Wikipedia dies eindrucksvoll darstellt.

Ein Teil der relevanten RFCs für IPSec

Die Freischaltung von Inhalten geht fast ein her mit der Anonymisierung. Viele Dienste im Internet blockieren sich selbst für bestimmte Benutzergruppen. Kurz nach dem die DSGVO innerhalb der EU um sich schlug haben einige Dienste mitgeteilt, dass sie sich für EU Nutze sperren wollen. Ihnen ist die DSGVO zu kompliziert und der Aufwand der Anpassung sei zu hoch. Das wird über Geo IP Dienste erledigt, die wissen aus welchen Ländern, bestimmte IP Adressen sind.

Ein VPN Zugang mit Ausgangsserver in einem Land, dass den Zugang erlaubt, erlaubt einem EU Nutzer das Nutzen dieser Services wie beispielsweise der Chicago Tribune:

Das bekomme ich mit einer niederländischen und deutschen IP zu sehen

Schalte ich bei meinem VPN Provider um auf ein Land außerhalb der EU ist die Webseite für mich wieder sichtbar.

VPN — Wie werde ich nicht geschützt?

Es sollte jetzt einleuchtend sein, in welcher Art und Weise man als User durch einen VPN Dienst geschützt wird. Aber was ist das Risiko, welches man stattdessen eingeht?

Dabei steht lediglich eine Frage offen im Raum:

  • Kann ich meinem VPN Dienst vertrauen?

Wie so oft geht es wieder um Vertrauen und das ist etwas sehr zwischenmenschliches. Grundsätzlich vertraue ich dem VPN Dienst eher nicht, denn ich sehe keinen Menschen, der den Dienst betreibt. Mein VPN Dienst beispielsweise hat seinen Sitz im asiatischen Raum. Es gibt AGBs und Bestätigungen zu Themen wie Logs, Verschlüsselung und Datenweitergabe, aber das sind nur “Regeln”. Was soll ich als Privatperson schon unternehmen können gegen eine Firma in Asien?

Letztlich bleibt uns nicht viel übrig als auf Rezessionen und Berichte zu achten. Ich sehe das ganze zusätzlich noch etwas realistischer, denn ich erwarte Schutz vor:

  • Identitätsdiebstahl
  • Einsicht in meine versendeten und empfangenen Daten in öffentlichen WLANs

Was ich zusätzlich erwarte ist die Spionage durch Geheimdienste. Wieso? Legitimierte Spionage ist etwas, gegen das wir uns nur wenig wehren können. Und wer sein Smartphone ständig dabei hat, kann durchaus stille SMS empfangen. Wwer weiß welche Hintertürchen verfügbar sind, um Mikrofone und Kameras zu aktiveren, von denen wir nichts sehen und wissen.

Bleiben wir also realistisch. Der VPN Dienst schützt uns vor bestimmten Akteuren, aber leider auch nicht vor allen. Was wir tun können ist, uns einen VPN Dienst auszusuchen, von dem wir nicht erwarten, dass er ein Subunternehmen eines Geheimdienstes oder Staates ist.

Am Ende ist auch noch das Vertrauen auf die Policies des Dienstes:

  • No Logs?
  • End-to-End Encryption?

Letztlich bezahlen wir dafür monatlich eine Gebühr. Aber was garantiert uns das schon?

Beitragsbild von Christiaan Colen — Lizemz CC-BY-SA 2.0 — verwendetes Bild ist eine Modifikation des Originals

Andre Fritsche — IT Sicherheit

Andre Fritsche

Written by

Software Developer & Security Specialist

Andre Fritsche — IT Sicherheit

Ein Blog und eine Meinung zu vielen Themen der IT Sicherheit

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade