VPN oder Nicht-VPN, das ist hier die Frage: Experten-Interview mit Prof. Dennis-Kenji Kipker

Warum sind eigentlich manche VPNs kostenlos und manche kostenpflichtig? Wie unterscheidet sich der Service-Umfang?

Definitiv ist VPN nicht gleich VPN. Wenn man als User einen Einstieg sucht oder VPN nur für wirklich grundlegende Aufgaben selten benötigt, kann ein kostenloses VPN attraktiv sein. Auf Dauer ist das aber keine gute und damit empfehlenswerte Lösung. Das fängt schon damit an, dass kostenlose VPNs in der Regel nur eine eingeschränkte Bandbreite liefern. Wir alle wissen, wie wichtig uns Geschwindigkeit im Netz ist, und kostenlose VPNs verwenden in der Regel weniger leistungsstarke Server, was wiederum zu Geschwindigkeitseinbußen führt.

Doch nicht nur das Tempo ist im Netz entscheidend, sondern auch die Zugriffsmöglichkeiten auf möglichst viele Server. Kostenlose VPNs bieten hier in der Regel eben nur den Zugriff auf eine begrenzte Anzahl an Servern in bestimmten Ländern, das kann zum Beispiel beim Besuch von Webseiten aus verschiedenen Staaten heraus eine Rolle spielen, wenn man auf Reisen geht.

Außerdem haben die allermeisten kostenlosen VPNs einen deutlich geringeren technischen Funktionsumfang und bieten nur grundlegende Funktionen wie Datenverschlüsselung und IP-Maskierung. Zusätzliche Funktionen, also beispielsweise ein Kill Switch, Ad-Blocker oder Split-Tunneling gibt es hier im Regelfall nicht. Last but not least werden kostenlose VPNs natürlich auch gerne für zwielichtige Aktivitäten im Netz missbraucht und können deshalb unter Umständen auch mit einem in der Vergangenheit liegenden Datenmissbräuchen in Verbindung gebracht werden.

Sind kostenlose VPNs wirklich kostenlos?

(Fast) nichts ist kostenlos – auch nicht im Internet. Natürlich kann es sein, dass man bei kostenlosen VPNs erst einmal nicht mit monetären Werten zahlen muss. Aber irgendwer muss letztlich auch bei kostenlosen VPNs die dahinterliegende IT-Infrastruktur finanzieren und warten. Deshalb generieren kostenfreie Produkte ihre Einnahmen im Regelfall durch andere Mittel wie zum Beispiel Werbung, Datenverkauf oder die Anforderung von persönlichen Daten bei Nutzung.

In der Regel nutzt man ein VPN neben der zusätzlichen Sicherheit auch zum Schutz der Privatsphäre – und dieser Schutz wird mit Geschäftsmodellen, die personenbezogene Daten zur Finanzierung ihrer Dienste verwenden, letztlich konterkariert.

Können Sie die potenziellen Sicherheits- und Privatsphäre-Risiken erklären, die mit der Nutzung kostenloser VPN-Dienste im Vergleich zu kostenpflichtigen Diensten verbunden sind?

Man kann die Sicherheits- und Privatsphäre-Risiken bei einem technischen Vergleich der Angebote durchaus für vielfältig erklären. Eines dieser Risiken ist der (Weiter)verkauf von Daten an Werbepartner oder teils sogar an Regierungsbehörden. Und das können durchaus sensible Daten sein, wie IP-Adressen, der Surf-Verlauf oder Zahlungsinformationen wie Kreditkartendaten.

Ein weiteres Risiko betrifft User-Tracking. So gibt es kostenlose VPN-Apps, die das Verhalten ihrer Nutzerinnen und Nutzer überwachen, um gezielt Werbung auszuspielen. Aber es gibt nicht nur gravierende Privatsphäre-Risiken, sondern auch Risiken für die Cybersicherheit: So verwendet manch kostenloser VPN-Dienst keine hinreichend sicheren Verschlüsselungsprotokolle. Dadurch kann es Angreifern ermöglicht werden, den Datenverkehr der Nutzer abzufangen. Das nennt man auch „Man-in-the-Middle-Angriff“.

Zu guter Letzt können kostenlose VPNs weniger sicher sein, wenn es zu sogenannten „DNS-Leaks“ kommt. Das ist dann der Fall, wenn die DNS-Anfragen nicht richtig über den VPN-Server geroutet werden. Und das führt dann im Zweifelsfall zum Aufheben der Privatsphäre und Anonymität im Netz, wenn am Ende die tatsächliche User-IP-Adresse auch für Dritte sichtbar wird.

Welche rechtlichen Sicherheitsvorkehrungen und Compliance-Standards werden im Allgemeinen mit etablierten, kostenpflichtigen VPN-Anbietern in Verbindung gebracht und wie könnten sich diese von denen kostenloser VPN-Dienste unterscheiden?

Kostenpflichtige VPN-Anbieter haben in der Regel eine ganze Reihe von Quality Commitments, treffen aber auch vertragliche Vorkehrungen oder sind von unabhängigen Anbietern geprüft und zertifiziert, mit denen sie ein höheres Maß an Cybersicherheit und Privatsphäre garantieren und auch transparent darstellen können. Außerdem kann man bei etablierten Anbietern im Falle von Problemen im Zweifelsfall einen User Support ohne größere Probleme erreichen, wo einem geholfen wird.

Verschiedene kostenpflichtige VPN-Anbieter haben sich auch einige eigene Sicherheitsrichtlinien gegeben, wie eine „No-Log-Policy“. Diese besagt nichts anderes, als dass der VPN-Anbieter keinerlei Daten über die Aktivitäten seiner Nutzerinnen und Nutzer speichert und so die Privatsphäre maximal respektiert.

Sie haben vor Kurzem in Ihrer Kolumne im Tagesspiegel über Windows eigenes VPN gesprochen und meinten, dass es sich dabei gar nicht um ein „vollwertiges VPN“ handle. Könnten Sie das näher erläutern?

Seit 2022 bietet auch Microsoft ein eigenes „VPN“ als Bestandteil seines Standard-Windows-Systembrowsers „Edge“ an. Obwohl hier der Begriff „VPN“ irreführend auftaucht, handelt es sich nicht um ein vollwertiges VPN, weil es eben nur im Browser funktioniert. Ein VPN jedoch arbeitet eigentlich systemweit und schützt damit automatisch auch den Datenverkehr anderer Apps. Das ist nicht nur irreführend, sondern auch ein Risiko für die Cybersicherheit, wenn unerfahrene Nutzer annehmen, dass sie damit automatisch einen vollständigen und zugleich kostenlosen Schutz genießen.

Außerdem ist das Microsoft „VPN“ in der Bandbreite und damit in seinen Einsatzszenarien limitiert. Um eine VPN-Lösung im eigentlichen Sinne handelt es sich deshalb nicht, auch wenn etwas anderes draufsteht, sondern vielmehr nur um ein verschlüsseltes Surf-Proxy. Zudem ist es so, dass der Dienst von Microsoft wohl keine No-Log-Policy verfolgt, sondern nutzerspezifische Daten sammelt.

Bestimmte gesetzlich geschützte Begriffe, wie „Bank“ und „Versicherung“ dürfen nur von Firmen geführt werden, die dazu berechtigt sind. Stichwort: Bezeichnungsschutz. Wäre es nicht auch sinnvoll, dies für VPN-Dienstleister zu tun, gerade weil es hier um so etwas Wichtiges wie Cybersicherheit geht?

Ja klar, das wäre mehr als sinnvoll, um Verbraucherinnen und Verbraucher nicht mehr bewusst in die Irre zu führen – gerade, auch wenn das technische Verständnis nicht so tiefgreifend ist und man sich gerade noch in das Thema VPN „einliest“. Zurzeit ist es theoretisch für jeden möglich, sich als VPN-Dienstleister zu bezeichnen. Das führt eben auch dazu, dass viele unzuverlässige Dienste auf dem Markt sind. Das kann sogar so weit gehen, dass mir eine VPN-App nicht nützt, sondern mir schadet, indem sie meine Geräte in ein weltweites Botnetz integriert. Auch solche Fälle hat es schon gegeben.

Ein Bezeichnungsschutz würde sicherstellen, dass nur solche Unternehmen, die technisch bestimmte Sicherheitsstandards erfüllen und deren Software einen hinreichenden Funktionsumfang hat, sich als VPN-Dienstleister bezeichnen dürfen.