vpn-anbieter sind einer der profitabelsten sektoren der privacy-industrie. sie versprechen anonymität, sicherheit, freiheit. ein teil dieser versprechen ist berechtigt. ein großer teil ist marketing. wer den unterschied nicht kennt, kauft sicherheitsgefühl statt sicherheit.
was ein vpn technisch tut
ein virtual private network leitet den internetverkehr durch einen zwischenserver. statt: gerät → webseite, lautet der weg: gerät → vpn-server → webseite.
das hat konkrete folgen:
die webseite sieht die ip-adresse des vpn-servers, nicht die des nutzers. standortbasierte geolokalisierung wird auf den serverstandort umgeleitet.
der internetanbieter (isp) sieht, dass eine verbindung zum vpn-server besteht — und danach nichts mehr. welche seiten besucht werden, welche daten übertragen werden, ist für den isp nicht lesbar.
der traffic zwischen gerät und vpn-server ist verschlüsselt. in öffentlichen netzwerken — flughäfen, cafés, hotels — verhindert das, dass dritte den verkehr mitlesen.
das ist was ein vpn tut. nicht mehr.
was ein vpn nicht tut
ein vpn macht nicht anonym. anonymität bedeutet: keine identifizierbarkeit. ein vpn verschiebt nur, wer die ip-adresse kennt — vom isp zum vpn-anbieter. wenn der vpn-anbieter logs führt und diese herausgibt, ist die ip-adresse rekonstruierbar.
ein vpn verhindert kein tracking durch cookies, fingerprinting oder account-login. wer bei google eingeloggt ist und gleichzeitig ein vpn nutzt, wird von google trotzdem identifiziert. das vpn ändert daran nichts.
ein vpn schützt nicht vor malware. es ist kein antivirenprogramm, kein firewall, kein vollständiger schutz. wer schadsoftware installiert hat, wird durch ein vpn nicht geschützt.
ein vpn verschlüsselt nicht den gesamten datenverkehr automatisch vollständig. dns-anfragen — die abfragen, die hostnamen in ip-adressen auflösen — laufen bei schlecht konfigurierten setups am vpn vorbei. das nennt sich dns-leak. gute anbieter verhindern das. schlechte nicht.
der vpn-markt und seine probleme
der vpn-markt hat ein grundlegendes vertrauensproblem: nutzer wählen anbieter, weil sie ihrem isp nicht vertrauen. sie übertragen dieses vertrauen auf den vpn-anbieter. oft ohne zu prüfen, ob dieses vertrauen berechtigt ist.
2021 wurde bekannt, dass mehrere vpn-anbieter, die "no-log"-policies versprachen, tatsächlich nutzeraktivitäten protokollierten — und diese daten an behörden weitergaben. ipvanish übergab in einem strafrechtsfall nutzerdaten an das fbi, obwohl no-log behauptet wurde. purevpn tat dasselbe.
"no-log" ist keine technische eigenschaft. es ist eine policy. eine policy kann gebrochen werden, kann durch behörden erzwungen werden, kann sich ändern.
echte no-log-überprüfung erfordert externe audits durch unabhängige sicherheitsfirmen. einige anbieter lassen das zu. die meisten nicht.
ein weiteres problem: eigentümerschaft. der vpn-markt ist stark konsolidiert. kape technologies — früher crossrider, bekannt für adware-distribution — besitzt expressvpn, cyberghost, private internet access und pia. ein unternehmen mit adware-vergangenheit besitzt vier der bekanntesten vpn-marken.
nutzern ist das oft nicht bekannt, weil die marken eigenständig vermarktet werden.
welche anbieter überprüfbar besser sind
drei anbieter stehen in der analyse deutlich besser da:
mullvad ist ein schwedischer anbieter ohne konzernangehörigkeit. mullvad speichert keine verbindungslogfiles und ermöglicht anonyme kontoerstellung — kein name, keine e-mail. bezahlung ist in bar möglich, per briefpost. externe audits bestätigen die no-log-policy. mullvad ist open source. der preis ist fix: 5 euro pro monat, keine rabatte, kein affiliate-programm.
das affiliate-programm ist relevant: die meisten vpn-rezensionen im internet sind bezahlt. anbieter zahlen influencern und review-seiten für empfehlungen. mullvad hat dieses programm bewusst abgeschafft, weil es anreize für unehrliche empfehlungen schafft.
protonvpn gehört zu proton technologies, einem schweizer unternehmen, das auch protonmail betreibt. die schweizer rechtslage bietet mehr schutz vor ausländischen behördenanfragen als us- oder uk-recht. protonvpn ist open source, regelmäßig auditiert. eine kostenlose version mit eingeschränkter serverwahl ist verfügbar.
wireguard ist kein anbieter, sondern ein protokoll. modernes vpn-protokoll, schnell, klein (wenige tausend zeilen code im vergleich zu hunderttausenden bei openvpn), leichter auditierbar. anbieter, die wireguard unterstützen, sind technisch moderner aufgestellt.
wann ein vpn sinnvoll ist
öffentliche netzwerke: flughäfen, bahnhöfe, hotels, cafés. unverschlüsselte oder schlecht gesicherte netzwerke ermöglichen man-in-the-middle-angriffe. ein vpn verschlüsselt den traffic und verhindert das.
geoblocking: inhalte, die in bestimmten ländern nicht verfügbar sind, werden über einen server im richtigen land zugänglich.
isp-überwachung verringern: in ländern, in denen internetanbieter traffic-daten verkaufen oder mit behörden teilen, reduziert ein vpn die sichtbarkeit.
wann ein vpn weniger sinnvoll ist: als einzige sicherheitsmaßnahme. als schutz vor konten-tracking. als ersatz für verschlüsselte kommunikation. als lösung für geräte, die bereits kompromittiert sind.
die ehrliche einschätzung
ein vpn ist ein werkzeug mit spezifischem nutzen. es verkleinert die angriffsfläche in bestimmten szenarien. es löst nicht das grundproblem: ein smartphone mit google-account, standard-apps und aktiver werbeverfolgung bleibt überwacht — mit oder ohne vpn.
wer echte privatsphäre will, braucht mehrere schichten. das gerät. das betriebssystem. die apps. das netzwerk. das verhalten.
ein vpn ist eine dieser schichten. es ist nicht die wichtigste.