Nutzungsempfehlungen für VPNs

Sophos kommentiert Sicherheit von VPN-Diensten

23. Juli 2020, 12:30 Uhr   |  Anna Molder

Sophos kommentiert Sicherheit von VPN-Diensten
© Wolfgang Traub

VPNs (Virtual Private Network) sind heute oft Mittel der Wahl, sorgen sie doch für sicheren Datenverkehr und dafür, dass Spuren im Internet schwerer nachzuverfolgen sind. Der Sicherheitsanbieter Sophos gibt im nachfolgenden Text einen Einblick in die manchmal trügerische Sicherheit und scheinbare Anonymität von VPNs.

Die VPN-Apps verschlüsseln den gesamten Netzwerkverkehr zwischen einem externen Gerät und den Servern eines Unternehmens. Consumer-VPNs sorgen auch dafür, dass die Verschlüsselung des Datenverkehrs zwischen dem eigenen Gerät und einem VPN-Anbieter und die Übertragung weit entfernt vom Standort des Nutzers ins öffentliche Internet erfolgt. Dies verschleiert die wahre Quelle der Datenpakete und der Nutzer ist tatsächlich schwerer zu verfolgen. Ein zusätzliches Gefühl der Privatsphäre und damit der Anonymität ergibt sich außerdem aufgrund der Tatsache, dass VPN die Abkürzung für Virtual Private Network ist, also sich das Wort „privat“ geradezu aufdrängt. In Wahrheit geht es im "privaten" Teil eines VPN aber nicht wirklich darum, dass Nutzer anonym sind. Das P in VPN bezieht sich prinzipiell nur auf die Idee, so Sophos, ein öffentliches Netzwerk zur Übertragung von Datenverkehr zu verwenden, der früher über eine private Schaltung beziehungsweise Mietleitung erfolgte.

Die scheinbare Anonymität ist allerdings trügerisch. Alle, die schon einmal ein Unternehmens-VPN verwendet haben, was in der Corona-Zeit sehr wahrscheinlich ist, wissen, dass eine genaue Identifizierung vor dem Eintritt ins VPN nötig ist, zum Beispiel mit einem Kennwort oder einem 2FA-Token. Das Unternehmen weiß also, wer sie sind, bevor sie eine Verbindung herstellen. Die Schlussfolgerung ist, dass der Datenverkehr zwar vor Überwachung durch öffentliches Abhören geschützt ist, es besteht allerdings keine Anonymität, nur weil ein Nutzer sich im virtuellen Schloss des Unternehmensnetzwerks befindet. Kurz gesagt, das VPN selbst weiß, wer der Nutzer ist und sieht, was er tut. Auch wenn die Router, über die eine Übertragung verschlüsselter VPN-Pakete erfolgt, dies nicht tun. Und das ist gut so, denn es bedeutet, dass Nutzer ein Unternehmensnetzwerk nur mit anderen Personen teilen, die (hoffentlich) dort sein sollen und dadurch auch für ihr Verhalten haften.

VPNs verschleiern den physischen Standort und damit das Land, in dem der Nutzer lebt. Für viele Menschen ist dies der wichtigste Mehrwert eines persönlichen VPN-Dienstes. Dadurch können sie Zensuren umgehen, die Internet-Service-Provider (ISPs) im jeweiligen Land anwenden. Es bedeutet aber auch, dass die Nutzer dem VPN-Anbieter sehr viel Vertrauen schenken, da er letztendlich zum neuen ISP wird, bei dem auch nicht klar ist, inwieweit er eine Überwachung durchführt oder nicht. Viele VPN-Anbieter betonten, dass "sie überhaupt keine Protokolle führen" und dass sie daher nichts an staatliche Stellen übergeben könnten, selbst wenn sie dies wollten. Der Haken an der Sache ist allerdings, dass es in vielen Ländern rechtliche Mechanismen gibt, die einen Dienstleister dazu zwingen können, nicht nur Protokolle für bestimmte Personen zu führen, sondern auch darüber zu schweigen, dass sie es tun.

Dass diese VPN-Überwachung eventuell häufiger stattfindet als angenommen, macht ein aktueller Fall deutlich, veröffentlicht in einem VPN-Mentor-Bericht, und bei dem die Forscher der Seite auf zahlreiche Benutzerprotokolle von sieben Consumer-VPNs stießen, die von Hongkong aus operieren und alle zu einem Hauptanbieter gehören. (Hinweis: VPN-Mentor erzielt Affiliate-Einnahmen aus Links zu und Gutscheinen für ausgewählte VPN-Unternehmen, die es empfiehlt). Michael Veit, IT-Security-Spezialist bei Sophos, ergänzte: „Laut der Plattform wurden durch eine falsche konfigurierte Cloud-Datenbank rund eine Milliarde Datenbankeinträge mit ungefähr 20 Millionen Benutzern offengelegt, darunter Aktivitätsprotokolle, Klartextkennwörter, Bitcoin-Zahlungsinformationen, Supportnachrichten, Informationen zu persönlichen Geräten, technische Daten oder Kontoinformationen. Und das, obwohl die betroffenen VPN-Anbieter laut VPN-Mentor auf ihren Websites damit werben, die Null-Protokoll-Richtlinie zu beachten, also keinerlei Logs zu erstellen.“

Seite 1 von 2

1. Sophos kommentiert Sicherheit von VPN-Diensten
2. Nutzungsempfehlungen

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Sophos GmbH

Sophos

VPN