Nördliche Tunnel

Ein Vorwort über Werbung

Es ist ja schon seit einer längeren Zeit der Trend, dass Werbungen zum Beispiel nicht nur neben einem Video angezeigt oder vor dem Video eingespielt werden, sondern Teil des eigentlichen Videoinhalts sind. Vor allem bei vielen Podcasts ist diese Technik beliebt, und die Werbeblöcke werden vom Podcast-Host mit eingesprochen. Es handelt sich dann um sogenannte „Host Read Ads“, eine Form des Native Advertising.

Besonders auf das Thema aufmerksam wurde ich durch Folge 471 von Logbuch:Netzpolitik (der Podcast ist sehr zu empfehlen!). Dort unterhalten sich Tim und Linus am Ende über die Finanzierungsmodelle von Podcasts und über verschiedene Werbeformen. Linus merkt an, dass er die Host Read Ads für die „ungefähr perfideste Form der Werbung“ hält, weil die Hörer:innen einen Bezug und ein Vertrauen zu der Stimme haben, die die Werbung vorliest. Dem kann ich mich nur anschließen: Auch wenn im Hintergrund gesagt wird, dass es sich um Werbung handelt und diese nicht unbedingt die persönliche Fürsprache des Podcasts darstellt, ist es bei dieser Werbeform schwierig, als Hörer:in eine Trennung aufzubauen.

Lange Rede, kurzer Sinn: Da mir vor allem bei Podcasts diese Form der fiesen Werbung aufgefallen ist, und SüdVPN ein gerne beworbener Dienst ist, möchte ich einen kleinen Teil zur Aufklärung hier beitragen.

Was ist ein VPN überhaupt?

Um zu erläutern, was eigentlich das Problem ist, möchte ich eben darlegen, was ein VPN überhaupt tut — und was nicht. Vereinfacht gesagt sorgt ein VPN dafür, dass mein Computer virtuell Teil eines anderen Netzwerks ist, indem der gesamte Internetverkehr über einen VPN-Server geleitet wird. Daher auch der Name Virtual Private Network. Diese Funktion ist also ähnlich zu der eines Proxy-Servers.

Die Konsequenz davon ist, dass man zum einen Zugriff auf die Dienste des Netzwerks hat, in welches man sich einwählt. Das ist zum Beispiel für Arbeit im Home-Office nützlich, da man auf Firmeninterne Dienste zugreifen kann, die sonst nicht im Internet verfügbar sind.

Zum anderen hat es die Konsequenz, dass man auch für externe Dienste nun „aus dem anderen Netz“ kommt, daher sehen Webseiten als IP-Adresse des Nutzers nur die IP des VPN-Servers. Das kann auch nützlich sein, zum Beispiel kann ich mich aus dem Ausland mit einem VPN-Server in Deutschland verbinden, um die Live-Streams von ARD anzuschauen.

Inwiefern hilft das, meine Privatsphäre zu schützen?

Die große Behauptung der VPN-Anbieter ist, dass man mit einem VPN „privat“ im Internet unterwegs ist. Das soll drei Gründe haben: Zum einen sieht die Webseite nicht, wer auf sie zugreift, aus dem eben genannten Grund, dass die eigene IP-Adresse versteckt wird. Zum anderen sieht der eigene Internet-Provider nicht mehr, auf welche Webseiten man zugreift, da der gesamte Datenverkehr über den VPN geht. Zum dritten ist man anonym unterwegs, da der Datenverkehr durch den VPN verschlüsselt übertragen wird.

Zum Verstecken der IP kann man sagen, dass das einen Sinn haben kann, aber nicht muss. Wie bereits erwähnt, kann man anhand der IP ein paar persönliche Informationen lernen (etwa das Herkunftsland oder den Internetanbieter). Außerdem kann die IP Adresse helfen, einen Nutzer wiederzuerkennen, und ihn so besser zu verfolgen. Aber: Die Informationen, die man aus der IP direkt gewinnen kann, sind sehr beschränkt. Und auch das Verfolgen von Nutzern geht ohne IP recht gut, etwa über Fingerprinting oder Third-Party-Cookies. Und wenn man einen VPN nutzt, um Webseiten zu besuchen, bei denen man sich einloggt, dann ist Hopfen und Malz verloren — dann kennt die Webseite gezwungenermaßen die Identität des Nutzers.

Zum Punkt, dass mein Internet-Provider nicht mehr sieht, was ich im Internet mache — das stimmt, jedoch sieht es dafür der VPN-Anbieter. Man tauscht also nur das Vertrauen in ein Unternehmen (mein Provider) gegen Vertrauen in ein anderes Unternehmen (den VPN Anbieter). Das kann einen Unterschied machen, hängt aber von einigen Faktoren ab, etwa der Gesetzeslage in den jeweiligen Ländern der Unternehmen und Server (bezüglich Datenspeicherung, Strafverfolgung, …).

In beiden Fällen sehen die Provider allerdings nur die Ziel-Adresse von Verbindungen, und im Normalfall (siehe nächster Punkt) nicht, welche Daten angefragt oder übetragen werden. Und auch bei der Ziel-IP ist es nicht immer möglich, diese direkt einer Webseite zuzuordnen — etwa, wenn mehrere Webseiten unter einer IP bereitgestellt werden.

Zur Verschlüsselung muss man sagen, dass es verschiedene Arten von Verschlüsselung an verschiedenen Stellen in der Datenübertragung gibt. So gibt es etwa die Ende-zu-Ende-Verschlüsselung, bei der Nachrichten (etwa E-Mail oder Messenger-Nachrichten) den kompletten Weg zwischen Absender und Empfänger verschlüsselt sind. Das ist wünschenswert und wird von einigen Anwendungen eingebaut (Signal, Matrix, WhatsApp), wird aber nicht von einem VPN geboten.

Ein VPN bietet nur Transportverschlüsselung, also nur ein Teil des Pfades wird geschützt — im Falle von VPNs eben die Verbindung von Nutzergerät zum VPN-Server. Danach sind die Daten allerdings wieder unverschlüsselt unterwegs (falls keine weitere Verschlüsselung eingesetzt wird). Man muss also davon ausgehen, dass ein potenzieller Lauscher auf genau diesem Stück der Verbindung sitzt, damit VPNs hier einen Mehrwert bringen.

Das ist allerdings noch nicht alles, denn viele Protokolle (HTTPS zum Webseitenaufruf, IMAPS zum E-Mail-Abruf) setzen selbst Transportverschlüsselung zwischen dem Server und dem Nutzergerät ein, und das ist auch wichtig: Da über diese Protokolle oft Passwörter und andere sensible Daten übertragen werden, wäre es fahrlässig, an irgendeiner Stelle vor dem endgültigen Server die Daten unverschlüsselt vorliegen zu haben. Für sehr viele moderene Webseiten muss man also sowieso keine Angst davor haben, dass Daten unverschlüsselt übetragen werden, da HTTPS hier einen ausreichenden Schutz bereitstellt.

Das fehlende Angreifermodell

Um zu bewerten, ob ein Programm oder Protokoll tatsächlich Schutz bietet, muss man modellieren, was überhaupt die Annahmen im System sind: Dabei muss man etwa die Fragen beantworten, wem vertraut wird, was die Fähigkeiten eines Angreifers sind, was das Ziel des Angreifers ist, und viele weitere.

Bei SüdVPN ist das meist nicht gegeben, sondern man spricht nur allgemein von Bedrohungen. Das macht es schwierig, definitive Aussagen zu treffen, denn man kann immer Szenarien konstruieren, in denen ein VPN Schutz geboten hätte — genauso aber auch Szenarien, in denen ein VPN überflüssig ist und keinen Mehrwert bietet.

Insbesondere haben alle Szenarien gemeinsam, dass man dem VPN-Anbieter vertrauen muss, da dieser quasi an Stelle des Internet-Providers allen Datenverkehr sieht.

Schadsoftware, Tracker, Cyberkriminelle

Die Werbung von SüdVPN besteht oft aus großen, vor allem bedrohlichen Worten — wer hat schon keine Angst vor den Cyberkriminellen? Dabei ist aber nicht genau klar, wieso ein VPN genau vor welcher Bedrohung schützen soll. Schadsoftware zum Beispiel ist der übliche Gegenspieler von Antivirenprogrammen, wie etwa dem in Windows eingebauten Windows-Defender. Wie genau hilft ein VPN hier? Wie schützt ein VPN gegen Cyberkriminelle?

Es bleibt der Eindruck, dass hier gezielt diffuse Ängste geschürt werden sollen, um Kunden anzulocken. Das soll nicht heißen, dass SüdVPN nicht tatsächlich Produkte anbietet, die vor Viren schützen sollen, jedoch hat das mit VPNs nichts mehr zu tun, sondern es handelt sich um Virenscanner, Browser-Erweiterungen, Passwortmanger, und viele andere. Das sind keine Produkte, die SüdVPN spezifisch sind.

Alternativen

Zumindest ein Teil der Versprechen von SüdVPN lassen sich auch gut mit frei verfügbaren, FLOSS-Alternativen erreichen. Beispielsweise sollen genannt sein:

• Firefox bietet eingebauten Tracking-Schutz und die möglichkeit, Webseiten nur über HTTPS anzusteuern.
• Privacy Badger von der Electronic Frontier Foundation (EFF) hilft, Tracker zu blockieren.
• uBlock Origin ist ein feier Werbe- und Trackingblocker.
• KeePassXC ist ein frei verfügbarer Passwortmanager mit Browser-Integration und Android-App.
• Tor bietet ein besseres Schutzmodell als VPNs, und lässt sich kostenlos nutzen.

Fazit

Es kann durchaus gute Gründe für die Nutzung eines VPNs geben:

• Ich möchte speziell meine IP gegenüber einer Webseite verstecken (etwa um Geoblocking zu umgehen).
• Ich möchte mich in mein Firmennetz einwählen, um Netzwerkinterne Dienste zu nutzen.
• Die Verbindung von mir über den VPN zu meinem Ziel ist besser, als direkt von meinem Internet-Provider zum Ziel (hallo Telekom!).
• Ich habe bewusst andere Gründe, warum ich bevorzuge, meinen Internetverkehr vor meinem Internet-Provider zu verstecken (etwa rechtliche Gründe).

Es gibt aber auch einige Gründe, die nicht gültig sind:

• Cyberkriminelle
• Schadsoftware
• Online-Schnüffler
• Die gut eingesprochene Werbung meines Lieblings-Podcast-Hosts

Privatsphäre im Netz ist ein wichtiges Thema, sowohl auf rechtlicher Seite, also durch Gesetze wie die DSGVO oder Rechtssprechungen wie die Gesetzeswidrigkeit der Vorratsdatenspeicherung, aber auch auf technischer Seite durch diverse PETS. Man sollte daher aufpassen, dass man auf tatsächlich nützliche Werkzeuge setzt, und nicht auf Schlangenöl.

Nachtrag, zwei Wochen später

Die Surveillance Self-Defense der EFF hat ebenfalls einen Beitrag über VPNs parat, der die Thematik neutral beleuchtet. Dort wird zum Beispiel auch der Fehlschluss beschrieben, dass ein VPN die Daten „automatisch“ sicher macht:

If you are using a commercial VPN, whoever runs the service will see your traffic.

Und eben auch, dass ein VPN kein „tool for anonymity“ ist, da viele andere Tracking-Werkzeuge hier deutlich mehr ins Gewicht fallen. In den Augen der EFF ist es wichtiger, sich zuerst um andere Baustellen zu kümmern, etwa dem Einrichten von sicheren Passwörtern, dem Aufsetzen von Zwei-Faktor-Authentifizierung, dem Erzwingen von HTTPS wo immer möglich, und vielen mehr, bevor man sich um ein VPN bemüht.

Ein weiterer Report, der bei der EFF verlinkt wird, spricht auch die übertriebenen Versprechen der VPN Anbieter an. Namentlich genannt wird hier auch SüdVPN, da es hier angeblich nicht trivial ist, den Dienst wieder abzubestellen.