c't 3003: Sind VPNs unnötig?
Sind VPNs heute noch sinnvoll? Und: Wer braucht sowas? Und wer nicht? c't 3003 hat sich in den Tunnel begeben und nachgeschaut.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
- Jan-Keno Janssen
Wozu sind VPNs heutzutage gut? c't 3003 guckt sich das mal genauer an.
Transkript des Videos
Guckt mal hier, Keno ist in Kenia.
Also zumindest sagt das Google Maps. In Wirklichkeit sitze ich in meinem Studio in Hannover. Ja, also bin ich ein Zauberer? Hab ich das Beamen erfunden? Nein, ich habe einfach ein VPN benutzt. Eine Technik, über die ganz schön viel Unsinn erzählt wird.
Und es kommt mir auch ein bisschen so vor, als wäre vielen Menschen unklar, wozu das eigentlich gut ist, so ein VPN. In diesem Video klären wir das alles mal auf. Und ich verspreche euch, ich gebe mir wirklich Mühe, dass man das auch ganz ohne Vorwissen versteht. Und ich hoffe, dass auch die Profis unter euch noch eine Info mitnehmen, die sie noch nicht kannten. Bleibt dran.
Liebe Hackerinnen, liebe Internetsurfer, herzlich willkommen hier bei ...
So, und als allererstes will ich mal direkt den Elefanten im Raum ansprechen. Ja, ich weiß, dass wir bei c't 3003 schon häufiger von kommerziellen VPN-Anbietern gesponsert wurden. Deshalb werde ich in diesem Video auch keine konkreten Anbieter empfehlen, weil damit würde ich mich unglaubwürdig machen. Da kann ich ja nur verlieren. Wenn ich XY empfehlen würde, würdet ihr zu Recht sagen: "Ja, macht er bestimmt nur, weil XY ihn gesponsert hat." Und würde ich YX empfehlen, würdet ihr sagen: "Hä, warum habt ihr dann vorher Werbung für XY gemacht, wenn ihr YX besser findet?" Also keine Empfehlung. Aber um VPN-Tests geht es hier eh nicht, sondern erst mal nur darum: Wie sinnvoll sind VPNs eigentlich? Wer braucht die? Oder ist das alles sowieso Quatsch?
Kapitel 1: Die Geschichte der VPNs
Aber fangen wir mal mit den Basics an. VPN heißt Virtual Private Network und die Technik gräbt quasi einen Tunnel zwischen zwei Netzwerken. Stellt euch vor, ihr seid im Internet unterwegs und geht auf heise.de. Euer Gerät verbindet sich mit dem heise-Server und eure IP-Adresse taucht dann natürlich auch in dessen Log-Dateien auf. So, macht ihr das Ganze aber nun, wenn ihr mit einem VPN verbunden seid, dann verbindet sich euer Gerät nicht direkt mit heise.de, sondern es verbindet sich mit dem Gerät, mit dem ihr über VPN verbunden seid. Das heißt, die heise-Server sehen nicht eure IP-Adresse, sondern nur die des VPN-Servers.
Und ganz wichtig: Dieser Tunnel zwischen euch und dem VPN-Server, der ist sehr dunkel. Also konkreter: Alles, was durch diesen Tunnel geht, wird verschlüsselt. Das bedeutet: Auch wenn ihr dem eigenen Netzwerk nicht vertraut, zum Beispiel wenn ihr in einem nicht sonderlich vertrauenswürdigen öffentlichen WLAN seid, kann trotzdem niemand irgendwas mitlesen. Es ist ja alles verschlüsselt. Das war übrigens auch der ursprüngliche Sinn von VPNs, dass Unternehmen weltweit vertrauliche Netze miteinander verbinden konnten. Also so, dass keine Passwörter oder Firmengeheimnisse durch unsichere Netze nach außen dringen können. Später kamen dann Außendienst-Mitarbeiterinnen und -Mitarbeiter dazu, die sich sicher ins Firmennetz tunneln wollten. Und dann irgendwann Leute im Homeoffice.
Also nochmal ganz deutlich: VPNs waren lange Zeit ein Ding für Firmen und deren Mitarbeiter. Dass es kommerzielle VPN-Anbieter für Privatleute gibt, das ist ein einigermaßen neues Phänomen. Und dazu gleich mehr.
Um auf jeden Fall ein VPN aufzubauen, gab es in der Vergangenheit etliche unterschiedliche Techniken bzw. Protokolle. Zum Beispiel PPTP, das schon standardmäßig in Windows NT 4 und Windows 95 steckte. Aber ein paar Jahre später war das Protokoll mausetot, denn die Verschlüsselung war geknackt. Da haben wir 2012 bei c't auch konkret ausprobiert. Was ihr euch merken könnt: Die zurzeit relevanten Protokolle sind das ältere OpenVPN und das neuere WireGuard. Damit könnt ihr euch auch auf die Webseite der VPN-Anbieter einstellen. Oder ihr könnt auch selbst ein VPN basteln. Das geht zum Beispiel mit vielen Routern, auch der Fritzbox. Einfach in der Routeroberfläche einrichten und dann könnt ihr euch von außerhalb in euer Heimnetz einwählen und von dort aufs Internet zugreifen. Wie das geht, Artikel habe ich euch verlinkt.
Kapitel 2: Was hat mein FirmenVPN mit denen zu tun, die auf YouTube beworben werden?
Also nochmal ganz klar: VPNs sind aus dem Business-Alltag im Internet nicht wegzudenken. Schließlich ist das eine ziemlich schlechte Idee für Unternehmen, ihr Intranet einfach fürs gesamte Internet zu öffnen. Deshalb nutzen viele von euch sehr wahrscheinlich ein VPN, um die internen Dienste eurer Arbeitgeber zu nutzen. Eine ganz andere Sache sind die in den letzten Jahren aus dem Boden geschossenen kommerziellen VPN-Anbieter. Vielleicht habt ihr auf YouTube schon mal die ein oder andere Werbung dazu gesehen. Für ein paar Euro im Monat könnt ihr bei solchen Anbietern Zugang kaufen und euch da dann in unterschiedliche VPN-Server auf der ganzen Welt reintunneln.
Und ja, da gab es dann vor allem Anfang der Zehnerjahre sehr viele Versprechen, so nach dem Motto: Alle brauchen VPN. Weil sonst ist das Internet nicht sicher. Auch damals konnte man das sicherlich nicht so pauschal sagen, aber ja, damals reichte es aus, eine einzelne böse Person im eigenen Netzwerk zu haben. Ja, und die konnte dann diverse Dinge mitlesen, im schlimmsten Fall Passwörter. Stichwort heißt "Man in the Middle-Attacke". Doch nun ist es seit einigen Jahren so, dass quasi wirklich alles im Netz verschlüsselt ist. Also wenn ihr dieses Video gerade auf dem Desktop-Rechner guckt, dann steht in eurer Browser-Adresszeile da oben garantiert ein HTTPS vor der URL. Das "S" steht für "Secure", also verschlüsselt. Ich weiß echt nicht, wann ich das letzte Mal auf einer reinen HTTP-Website war. Das heißt also, dank standardmäßiger Verschlüsselung, euren Daten passiert so schnell nichts. Auch wenn ihr einen Hacker im eigenen Netz habt, auch ohne VPN nicht. Der Vollständigkeit halber, also man kann auch verschlüsselte Internetverbindungen mit Man-in-the-Middle-Attacken kompromittieren. Das ist allerdings deutlich schwieriger. Das geht über so Fake-Zertifikate, aber das nur der Vollständigkeit halber.
Beispiel 3: Wer braucht VPN?
So, und jetzt wird's interessant. Denn ich habe ja gerade gesagt, dass für die Sicherheit VPNs in den meisten Fällen eher nicht so relevant sind. Also vielleicht in Extremfällen. Also wenn ich in einem wahrscheinlich sehr unsicheren WLAN unterwegs bin, würde ich mich mit VPN wohler fühlen. Weil, wer weiß, vielleicht habe ich noch irgendeine alte Software oder App laufen, die Passwörter im Klartext verschickt. Aber auch mit safe, funktionierendem HTTPS, sicheren Anwendungen und so weiter, könnte VPN sinnvoll sein. Denn eure IP-Adresse hinterlasst ihr auch mit Transportverschlüsselung, also mit HTTPS. Und die IP-Adresse ist nur auf den ersten Blick unproblematisch. Denn wenn ich eure IP-Adresse kenne, also zum Beispiel 193.99.144.80, dann kann ich darüber erstmal nur herausfinden, wer euer Provider ist und wo ihr euch ungefähr befindet. In Städten ist das auf wenige Kilometer genau, in ländlichen Gebieten auf viele Kilometer genau. Also definitiv reicht das nicht aus, um euer Haus oder eure Wohnung zu identifizieren. Euer Provider vergibt euch auch regelmäßig neue IP-Adressen. Also falls ihr nicht einen speziellen Vertrag habt, ändern die sich. Und nur euer Provider weiß, wem er zu welchem Zeitpunkt welche IP-Adresse gegeben hat.
Das heißt aber jetzt, wenn es einen richterlichen Beschluss zur Herausgabe eurer IP-Adresse gibt, dann wird euer Provider ziemlich sicher eure Namen herausgeben. Das passiert bei Straftaten, das passiert aber auch, wenn eine Anwaltskanzlei guckt, welche IP-Adresse ihr habt. Und wenn ihr eure IP-Adresse, womöglich urheberrechtlich geschützte Torrents verteilt und, und, und. Das Ding ist nun: Wenn ihr über ein VPN im Internet unterwegs seid, sieht die Gegenstelle eben nur die IP-Adresse des VPN-Servers. Aber der VPN-Anbieter wiederum, der kennt ja eure Namen bzw. zumindest eure Mail-Adresse, weil ihr da ja einen Account habt. Und den bezahlt habt in den meisten Fällen. Und dann könnte man mit dem richterlichen Beschluss ja auch beim VPN-Anbieter anfragen, um eure Identität festzustellen. Die Ausnahme sind VPN-Anbieter, bei denen ihr anonym bleiben könnt, als Beispiel Mullvad. Mullvad unterstützt vor allem explizit kein Streaming. Das ist ziemlich unglücklich, dazu später mehr.
Worauf das alles hinausläuft: Vertraut ihr eurem Internet-Provider mehr oder eurem VPN-Anbieter? Ihr könnt auf jeden Fall davon ausgehen, dass die Internet-Provider in Deutschland eure Identität preisgeben, wenn es einen richterlichen Beschluss gibt. Schließlich wollen die weiter in Deutschland Geschäfte machen und keinen Stress kriegen. VPN-Anbieter sind dagegen darauf optimiert. Das heißt, sie haben keine Anfragen abzuschmettern. Ja, weil sie ihren Firmensitz in Ländern haben, in denen, sagen wir es mal freundlich, Anonymität einen großen Stellenwert hat. Das sind die gleichen Länder, in denen sich auch gerne Briefkastenfirmen ansiedeln. Also zum Beispiel Panama. Außerdem versprechen die großen VPN-Anbieter alle, dass sie keinerlei Log-Dateien anlegen. Das heißt, auch wenn sie zur Herausgabe von Daten gezwungen werden, dann haben sie halt einfach keine. Also das sagen die zumindest. Und veröffentlichen zum Teil auch sogenannte Audits. Also unabhängige Untersuchungen, die das beweisen sollen. Aber selbst überprüfen kann man das natürlich nicht. Man muss also Vertrauen haben.
Ein Beispiel aus der Praxis: Ich persönlich würde natürlich nie eine Urheberrechtsverletzung begehen. Aber angenommen, ich lade einen aktuellen Film als Torrent herunter, dann ist die Wahrscheinlichkeit ziemlich hoch, dass ich eine Abmahnung von einer Anwaltskanzlei bekomme, die von den Urheberrechtsinhabern beauftragt wurde. Denn wenn man einen Torrent herunterlädt, dann seedet man das gleichzeitig auch. Und wenn Download auch nicht illegal ist, ist das natürlich die Verbreitung. Und weil meine IP-Adresse beim Seeden öffentlich sichtbar ist, kann die Kanzlei einen richterlichen Beschluss erwirken, zur Herausgabe meiner Daten bei meinem Provider. Ja, zack. Wenn ich nun ein VPN nutze, fragt die Kanzlei da an. Und die Anfrage läuft wahrscheinlich ins Leere. Also urheberrechtlich geschützte Filme herunterladen beziehungsweise seeden über Torrent ist nahezu überall auf der Welt illegal.
Aber was ist, wenn ihr nur einen Torrent nutzt? Wenn ihr in einem Land wohnt, in dem freie Meinungsäußerung nicht möglich ist bzw. leiseste Kritik am Status Quo zu einer Festnahme führen kann und/oder große Teile des Netzes blockiert sind. Ja, auch da hilft ein VPN. Wenn man zum Beispiel mal in China zu tun hat, kann man ganz gut ein VPN verwenden. Also ich zum Beispiel hätte in China gar keinen Zugriff auf meine Standard-Arbeitsmittel, weil die alle blockiert sind. Google, YouTube, Wikipedia, Reddit - geblockt in China. Aber beim China-Beispiel kann man sich natürlich auch einfach ins eigene Netzwerk über VPN tunneln. Wenn man sowas eingerichtet hat, muss man dann also kein kommerzielles bezahlen. Aber wenn man sich in ein anderes Land tunneln will, in dem man keinen eigenen Router oder Rechner stehen hat, dann helfen natürlich kommerzielle VPNs.
Als zum Beispiel Google sein KI-Tool BART, das heißt jetzt Gemini, gestartet hat, kam man da von Deutschland nicht rein. Da musste man sich nach UK oder USA tunneln und dann klappte das. Und der Klassiker natürlich: Die ganzen Streaming-Anbieter, also Netflix und Co., haben ja auch ein anderes Angebot. Manche Filme und Serien kann man nur aus bestimmten Ländern gucken. Da kann also auch ein VPN-Anbieter sehr praktisch sein. Die meisten VPN-Anbieter haben ja Server in dutzenden Ländern zur Auswahl. Die sollten dann halt nur schnell genug sein für Streaming.
Kapitel 4: Nachteile von VPNs
Ja, VPNs sind für vieles praktisch, aber sie haben halt auch Nachteile. Einer ist ganz klar die verringerte Geschwindigkeit. Die Nutzung eines VPNs bedeutet immer, dass ihr mehr Verzögerung habt als ohne und meist auch weniger Durchsatz. Denn ich teile mir ja den VPN-Server mit mehreren Leuten. Je nachdem, wie groß die Auslastung ist, kann das bremsen. Hinzu kommen halt noch zusätzliche Hops, also Router auf dem Weg von meinem PC zum angesprochenen Server. Der kann im Raum nebenan stehen, aber durch ein VPN läuft der Verkehr ja erst mal über mehr Hops. Und das führt dann zu mehr Latenz, also Verzögerung.
Obendrein, das habe ich ja schon gesagt, müsst ihr eurem VPN-Anbieter vertrauen. Denn es gab ja in der Vergangenheit auf jeden Fall nicht vertrauenswürdige Anbieter, also sogar welche, die als Geschäftsmodell hatten, eure Daten zu verkaufen. Nicht nur wegen intime Details oder Passwörter, sondern halt wer was wann abruft. Allein diese Daten sind schon Geld wert. Aber klar, der VPN-Anbieter kann auch noch mehr abschnorcheln, wenn er beispielsweise eine Man-in-the-Middle-Attacke fährt. Dass das tatsächlich vorkommt, zeigt der gerade wegen neuer Dokumente aufgepoppte Ghostbusters-Skandal, bei dem Facebook Snapchat ausspioniert haben soll. Operation Ghostbusters übrigens, weil Snapchat ja ein Geist als Logo hat. Okay, ja, lustig. Da wurde jedenfalls auch eine VPN-App, nämlich Onavo, eingesetzt, um die Daten via Man-in-the-Middle-Attacke abzugreifen.
Und wenn ihr Tor nutzt oder umgangssprachlich das Darknet, dann solltet ihr auf jeden Fall kein zusätzliches VPN nutzen. Warum das so ist, würde hier den Rahmen sprengen, aber ich habe hier die entsprechenden Erklärungen auf der Tor-Entwickler-Seite verlinkt.
Fazit
Also, VPN doof, VPN gut, so eine einfache Schwarz-Weiß-Antwort gibt es leider nicht. Also, was man natürlich sagen kann: Die eigenen VPNs, die ihr selbst unter Kontrolle habt, die sind auf jeden Fall sinnvoll, wenn ihr zum Beispiel Angst habt, in offenen Netzwerken, im Café oder Flughafen oder sonst wo ausspioniert zu werden. Dann ist es definitiv eine gute Idee, euch in ein vertrauenswürdiges Netzwerk zu tunneln, zum Beispiel eins, das bei euch zu Hause auf dem Router läuft. Aber klar, euer Provider weiß dann natürlich über eure Verbindung und eure IP-Adresse Bescheid und würde die im Zweifel auch weitergeben.
Geht es euch darum, das Internet aus einem anderen Land zu verwenden, in dem ihr euch physisch befindet, dann kann ein kommerzieller VPN-Anbieter sinnvoll sein, weil ihr euch da bei den meisten Anbietern ja einfach das Land aussuchen könnt. Ja, und halt auch, wenn ihr Repressionen fürchtet, wenn ihr bei dem, was ihr tut, eure Identität verschleiern wollt. Also vor eurem Provider, denn euer VPN-Anbieter weiß ja in den meisten Fällen, wer ihr seid. Wenn es euch um Anonymität geht, dann seid ihr mit dem kostenlosen Tor-Netzwerk auch gut bedient. Auch Disclaimer, wenn es natürlich 100 Prozent sichere Anonymität nie gibt. Aber Tor ist auf jeden Fall in den allermeisten Fällen deutlich langsamer als kommerzielle VPN-Anbieter.
Wovon ich auf jeden Fall ganz klar abrate: vermeintlich kostenlose VPN-Anbieter. Die müssen ja irgendein Geschäftsmodell haben, um ihre Server zu bezahlen. Ja, und das sind dann womöglich eure Daten. Ja, wie ist das bei euch? Wie ist eure Meinung zu VPNs? Benutzt ihr das? Und schreibt es gerne in die Kommentare. Abonniert uns, abonniert vielleicht auch unser Newsletter. Links sind in der Beschreibung. Ja, tschüss.
c't 3003 ist der YouTube-Channel von c't. Die Videos auf c’t 3003 sind eigenständige Inhalte und unabhängig von den Artikeln im c’t Magazin. Die Redakteure Jan-Keno Janssen und Lukas Rumpler sowie die Video-Producer Şahin Erengil und Pascal Schewe veröffentlichen jede Woche ein Video.
(jkj)
