Jörn's space

Als Netzwerke in den Firmen sich etablierten, kam auch bald der Wunsch auf, sich von außerhalb mit dem firmeninternen Netzwerk zu verbinden. Der Hauptgrund war, dass man so auf dessen Ressourcen zugreifen zu konnte. So wollten Mitarbeiter im Außendienst zum Beispiel auf Dateien zugreifen, die auf dem internen Fileserver gespeichert war. Natürlich wäre es eine Möglichkeit gewesen, den Server auch von außerhalb zugänglich zu machen. Es liegt aber auf der Hand, dass das sicherheitstechnisch vielleicht nicht die optimale Lösung ist (nicht, dass das nicht trotzdem gemacht wurde und wahrscheinlich auch noch wird). Besser ist es, wenn man sich von außen mit dem internen Netz verbindet und dann quasi ein Teil dessen wird. Dazu wurden VPNs (Virtuell Private Networks) eingeführt. Dabei meldet sich dann der Mitarbeiter bei einem von außen zugänglichen Server mit einem bestimmten Protokoll an. Anschließend kann er dann darüber so arbeiten, als sei er direkt mit dem Netzwerk vor Ort verbunden. Damit diese Verbindung über das VPN darüber hinaus auch noch abhörsicher ist, wird sie verschlüsselt. Somit werden Firmengeheimnisse gewahrt.

Gründe für ein VPN im privaten Umfeld

Mit der Zeit haben sich VPNs immer weiterverbreitet. So sind sie zum Beispiel auch bei Universitäten sehr beliebt, damit die Studenten sich mit dem Uni-Netz verbinden können. Aber auch im privaten Bereich werden VPNs immer häufiger benutzt. Dabei geht es nicht mehr unbedingt darum, sich in ein anderes Netz einzuloggen. Vielmehr möchte man von woanders auf das Internet zugreifen und dabei verschleiern, woher man eigentlich kommt. Dafür gibt es eigentlich drei Hauptgründe:

1. Geoblocking unblocken
   Das ist sicher der Grund, den die meisten Menschen hierzulande kennen, wenn es um VPNs geht. Normalerweise geht es dann darum, sich Inhalte aus anderen Ländern zu holen, die in dem eigenen Land meist aus lizenzrechtlichen Gründen nicht erhältlich sind. Bestimmte Inhalte von Netflix und YouTube sind meist auf bestimmte Länder begrenzt. Das gilt auch für die Mediatheken der großen Fernseh- und Rundfunkanstalten und vor allem für Sportstreaming. Verbindet man sich nun mit einem VPN und einem Server in dem jeweiligen Land, wird der Inhalteanbieter annehmen, dass der Nutzer aus diesem Land kommt und ihm die Inhalte anbieten.
   Natürlich ist dieses Vorgehen mittlerweile auch bei Netflix und Co. bekannt und auf Druck der Rechteinhaber versuchen sie auch, dagegen vorzugehen. Es ist ein Katz-und-Maus-Spiel, wo sich mittlerweile auch einige Anbieter drauf spezialisiert haben.
2. Auf geblockte Inhalte zugreifen
   Dieser Usecase ist dem vorherigen ziemlich ähnlich. Allerdings geht es hier darum, auf Inhalte zuzugreifen, die von der Regierung beziehungsweise den Internetprovidern geblockt werden. Das betrifft vor allem Länder, in denen zum Beispiel Facebook, Twitter oder sogar Wikipedia geblockt sind. Auch hier greift dann der Nutzer auf einen Server durch das VPN in einem anderen Land zu, wo diese Inhalte nicht geblockt sind. Solche Länder sind zum Beispiel Türkei, Russland oder natürlich China. Gerade bei letzterem zeigt sich, dass auch die Regierungen sich dieses Schlupfloches sehr wohl bewusst sind und die „Great Firewall“ ist damit nicht auszutricksen. In anderen Ländern, wo vor allem die privaten Internetprovider gezwungen werden, entsprechende Inhalte zu filtern, wird weniger rigoros gegen VPNs vorgegangen und wenn, sind die technischen Hürden deutlich niedriger. Aber auch das wird immer mehr zu einem Katz-und-Maus-Spiel.
3. Privatsphäre
   Das sollte der Grund sein, warum eigentlich jeder ein VPN nutzen würde. Und das ist wahrscheinlich der seltenste Grund, warum die Leute VPNs wirklich nutzen. Dabei liegt der Vorteil auf der Hand: Der Nutzer verbindet sich mit dem Server des VPN-Anbieters. Selbst bei einer Vorratsdatenspeicherung sieht man dann in den Logfiles nur, dass man eben dieses VPN nutzt, aber nicht, was darüber gemacht wird. Umgekehrt wird man in den Logfiles zum Beispiel des Webservers nur sehen, dass der VPN-Server auf die Website zugegriffen hat, aber nicht, woher der eigentliche Nutzer kommt. Dessen IP-Adresse kennt dann nur der VPN-Anbieter. Das ist auch ein Grund, warum VPNs von einigen Regierungen mit Argwohn betrachtet, von anderen direkt verboten werden. Denn dann ist nicht mehr nachvollziehbar, wer wann worauf zugegriffen hat und eine Vorratsdatenspeicherung zum Beispiel läuft ins Leere.
   Aber der Grund muss ja noch nicht einmal sein, dass man wirklich etwas zu verbergen hat. Verbindet man sich mit einem öffentlichen WLAN, weiß man nie genau, ob man dem Bereitsteller wirklich vertrauen kann und ob dieser das WLAN auch wirklich abgesichert hat. So sind zum Beispiel bei dem WLAN in den Zügen der Deutschen Bahn einige Sicherheitsmängel festgestellt worden. Hier ist eine zusätzliche Absicherung  durch ein VPN sinnvoll.

Die Grenzen von VPNs

Was ein VPN nicht kann, ist Tracking beim Browsen zu verhindern. Wenn die Werbeindustrie jemanden tracken will, dann geschieht das normalerweise durch Cookies. Diese werden aber auch gesetzt und gespeichert, wenn man ein VPN benutzt. Will man das verhindern, muss man entsprechende Browsertechniken wie den anonymen Modus oder spezielle Plugins benutzen. Und selbst dann können Geräte noch recht zuverlässig durch Fingerprinting identifiziert werden. Bei dieser Technik werden verschiedene Parameter genommen (Gerätehersteller, -art, Browserauflösung, Sprache, usw.) und somit eine mehr oder weniger eindeutige Identifizierung ermöglicht.

Nicht jedes VPN ist auch sicher

Nun ist natürlich die Frage, welches VPN man benutzen sollte. Die Antwort ist durchaus schwieriger als gedacht. Denn zum einen kommt es auf den Anwendungsfall an, zum anderen aber nicht unbedingt als erstes auf Features oder Geschwindigkeit. Vielmehr sollte man auf den Preis achten. Genauer gesagt darauf, dass das VPN überhaupt Geld kostet. Denn die Frage, die sich ein Nutzer stellen sollte, ist, womit der VPN-Anbieter denn überhaupt Geld verdient. Denn die VPN-Infrastruktur kostet und da damit in der Regel noch Geld verdient werden soll, braucht man auch eine Einnahmequelle. Wenn das Geld nun nicht von den Nutzern kommt, ist es sehr wahrscheinlich, dass die Nutzerdaten zu Geld gemacht werden. Das heißt, der Anbieter loggt alles mit, was der Nutzer macht und verkauft es später an andere Firmen. Und da er die Daten irgendwo speichern muss, können auch dann auch Regierungsbehörden darauf zugreifen, was den Einsatz in bestimmten Ländern gefährlich macht. Deshalb sollte ein VPN Geld kosten und zusätzlich eine „No-logging-policy“ haben. Erst dann sollten Kriterien wie welche Länder angeboten werden oder zusätzliche Features in Betracht gezogen werden. Auf die einschlägigen Vergleichsportale kann man sich im Allgemeinen jedenfalls nicht verlassen, da hier nur zählt, welcher Anbieter am meisten an das Portal zahlt (Stichwort Affiliate).

Sind VPNs böse?

Eine Anmerkung noch zur ethischen Seite: Natürlich können VPNs auch dazu genutzt werden, illegale Dinge zu treiben. Sei es Bittorrent, Terrorismus oder anderes, mit einem VPN können sich Kriminelle gut verstecken. Aber das trifft auf fast alles zu, was in diesem Bereich zu finden ist. Dazu gehören verschlüsseltes Messaging, die Verschlüsselungen von Dateien oder andere Techniken, die die Privatsphäre schützen. All das kann immer auch zum Bösen eingesetzt werden. Ich denke, man kann nicht diese Technologien für alle verbieten, weil sie einige missbrauchen. Aber diese Diskussion wird auf vielen Ebenen geführt.