Lesezeit ca. 13 Min.
arrow_back

Wenig Wahl, viel Qual


Logo von LinuxUser
LinuxUser - epaper ⋅ Ausgabe 2/2023 vom 19.01.2023

VPN-Vergleich

Artikelbild für den Artikel "Wenig Wahl, viel Qual" aus der Ausgabe 2/2023 von LinuxUser. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: LinuxUser, Ausgabe 2/2023

README

Anbieter, die VPN als die Wunderwaffe für Anonymität im Internet und das Wahren der Privatsphäre verkaufen, gibt es inzwischen wie Sand am Meer. Doch das kann die Technik allein gar nicht leisten. Mehr noch: Viele der Anbieter tracken ihre Kunden selbst und führen damit das ganze System ad absurdum.

Mit wenigen Klicks das Internet sicher, anonym und vor Hackern geschützt nutzen: Das versprechen viele VPN-Anbieter auf ihren Webseiten. Alle Daten würden durch eine moderne Verschlüsselung geschützt, wirbt etwa NordVPN. Dabei sind die Versprechen aber meist die Pixel nicht wert, mit denen sie auf unseren Bildschirmen erscheinen: Viele der Werbeversprechen kann ein Virtual Private Network (VPN) per se gar nicht einlösen. Nicht etwa das Internet wird auf magische Weise komplett verschlüsselt, wie es mancher Werbespruch suggeriert, sondern nur der Tunnel zwischen dem eigenen Rechner ...

Weiterlesen
epaper-Einzelheft 7,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von LinuxUser. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 2/2023 von Leute, lasst uns gehen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Leute, lasst uns gehen
Titelbild der Ausgabe 2/2023 von Wiederbelebung. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Wiederbelebung
Titelbild der Ausgabe 2/2023 von Bilderwand. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Bilderwand
Titelbild der Ausgabe 2/2023 von Formwandler. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Formwandler
Mehr Lesetipps
Blättern im Magazin
Tunnelbauer
Vorheriger Artikel
Tunnelbauer
Sichere Brücke
Nächster Artikel
Sichere Brücke
Mehr Lesetipps

... oder Smartphone und dem Server des VPN-Anbieters – und dem gibt man seinen gesamten Internet-Traffic vertrauensvoll in die Hand.

Dabei tummeln sich gerade unter den VPN-Anbietern etliche sinistre Gestalten, denen man spätestens auf den zweiten Blick seine Privatsphäre vielleicht lieber nicht anvertraut. Wir zeigen, warum für uns viele VPN-Anbieter gar nicht erst infrage kommen und wie wir dann doch empfehlenswerte Anbieter fanden, obwohl auch sie nur einen kleinen Baustein zu mehr Privatsphäre im Netz beitragen.

Sicherer durch VPN?

Die erste und wichtigste Frage, die sich bei der Wahl eines VPN-Anbieters stellt: Wofür brauche ich das überhaupt? Die häufig beworbene zusätzliche Sicherheit durch den verschlüsselten VPN-Tunnel dürfte den meisten Nutzern jedenfalls keinen Sicherheitsvorteil bringen. Sie schützt ja nur den Übertragungsweg zwischen dem eigenen Gerät und dem VPN-Anbieter. Danach laufen die Inhalte ganz normal durchs Internet.

Eine vollständige Verschlüsselung zwischen dem Absender und dem Ziel einer Internet-Verbindung lässt sich nur realisieren, wenn diese Client und Server untereinander aushandeln. Genau das pas-siert heute auch meist: Die Mehrzahl der Webseiten wird über HTTPS mit einer TLS-Verschlüsselung ausgeliefert und ist damit vor mitlesenden Dritten und auch vor Manipulation der Daten geschützt. Verbleibenden Risiken kann man beispielsweise mit dem HTTPS-Only-Mode von Browsern wie Firefox oder Chrome begegnen, die vor unverschlüsselten Verbindungen warnen.

Bei der Kommunikation via Messenger oder bei Videokonferenzen sollten die Daten zudem nicht nur mit der oben genannten Transportverschlüsselung gesichert werden, sondern zusätzlich mit einer Ende-zu-Ende-Verschlüsselung. Letztere sorgt dafür, dass sich die Inhalte auf den Servern der Anbieter nicht mitlesen lassen, sondern nur von den Sendern und Empfängern gesehen werden. Auf eine solche Ende-zu-Ende-Verschlüsselung setzen beispielsweise Signal, Threema, Whatsapp, Wire oder Matrix mit Clients wie Element oder Fluffychat.

Verschlüsselungsebenen

VPNs bieten hier nur eine weitere Verschlüsselungsebene, die zwar nicht schadet, aber nur vor sehr speziellen Angriffen schützt – beispielsweise, wenn andere Nutzer geteilter WLANs die aufgerufenen Domains mitschneiden, denn die werden bis dato trotz Transportverschlüsselung weiterhin übertragen. Dasselbe gilt für Provider. Sie können obendrein dazu gezwungen werden, unverschlüsselte Verbindungen zu kapern und Staatstrojaner auszuliefern, um das Gerät eines Betroffenen zu infizieren.

Das ist schon passiert , und auch im Verfassungsschutzgesetz steht eine entsprechende Regelung. Es dürfte aber für normale Internet-Nutzer ein eher unwahrscheinliches Szenario sein, gegen das zudem besagter HTTPS-Only-Mode schützt. Gegen ausgefeiltere Techniken, die auf eine interaktionslose Infektion über gesendete Nachrichten setzen, hilft das alles jedoch nichts.

Die durch ein VPN hinzugewonnene Sicherheit ist also eher homöopathisch. Gegen Hacker, als E-Mail-Anhang oder Messenger-Nachricht bei uns eintrudelnde Schadsoftware sowie weitere mögliche Internet-Gefahren hilft ein VPN trotz aller Versprechen schlicht nicht.

Etwas besser sieht es beim Datenschutz aus, auch wenn hier die Werbeversprechen der VPN-Anbieter genauso großspurig wie falsch ausfallen.

Wenn der Anbieter trackt

Neben der Sicherheit ist ein zentraler Slogan die Privatsphäre. So verspricht der VPN-Dienst Private Internet Access etwa: „Nie war Datenschutz so schnell.“ Cyberghost geht noch eine Stufe weiter und wirbt mit„absoluter Privatsphäre auf allen Geräten“ . Diese Versprechen kann ein VPN jedoch nicht einlösen, denn technisch lässt sich der Datenschutz durch den VPN-Anbieter auf eine Funktion reduzieren: die eigene IP-Adresse hinter der des VPN-Diensts zu verbergen.

Damit können die Nutzer ihre IP-Adresse und den ungefähren Standort verstecken, der sich aus ihr ableiten lässt (Location Privacy) – das war es dann aber eigentlich auch schon. Denn die unzähligen Tracking-Unternehmen wie Google, Facebook, Admob und viele andere, die uns durch das Internet und die Apps auf unseren Rechnern und Smartphones verfolgen, nutzen dafür kaum unsere IP-Adresse. Vielmehr setzen sie auf Cookies, Fingerprinting und Logins, um uns wiederzuerkennen. Hinzu kommen Tracking- Skripte in Webseiten, um unsere Interessen und unser Verhalten zu analysieren.

Das ist übrigens der Grund, warum der Anonymisierungsdienst Tor einen eigenen Browser zur Verfügung stellt und nicht nur eine Software, mit der man sich mit dem Netzwerk verbindet. Der Tor Browser1 1versucht, auf allen Systemen möglichst gleich auszusehen, damit Datenkraken die Nutzer nicht unterscheiden können. Das sorgt im Zusammenspiel mit ausgefeilter Technik letztlich auch für die Anonymität.

Entsprechend dient ein VPN nur als ein Baustein für mehr Privatsphäre im Internet. Daneben gilt es noch viele andere Dinge zu beachten. Das beginnt bei den verwendeten Diensten (und damit einem Verzicht auf Google), setzt sich in Form diverser Datenschutzeinstellungen im Browser fort und reicht bis hin zu Tracking- Blockern und werbefreien Pur-Abos.

Google Analytics

Die Installation eines VPNs allein sorgt also keineswegs für absolute Privatsphäre, mit der sich einfach weiter Google und Facebook nutzen lassen. Im Gegenteil: Viele VPN-Anbieter integrieren sogar eben jene Tracking-Unternehmen in ihre Webseiten und Apps, vor denen man die Privatsphäre doch schützen will.

Laut der Datenschutzerklärung von Cyberghost gibt das Unternehmen Daten für„Kundenanalysen und Betrugsprävention“ an Drittanbieter weiter, darunter Google Analytics und Appsflyer. Beide Tracker finden wir auch in einer Analyse der App mit dem Exodus-Privacy-Projekt, das Android-Apps auf Tracking-Bibliotheken hin untersucht . Wir erinnern uns: Cyberghost bewirbt seine Dienste mit „absoluter Privatsphäre“, auf der Webseite heißt es markig:„Privatsphäre ist in allem drin, was wir tun – nicht nur in unserer VPN-App für Android.“

Auch die Webseite sowie die Android- App von NordVPN enthalten etliche Tracker. Eine Kurzanalyse 2019 ergab, dass die App sowohl eine eindeutige Werbe-ID für App-übergreifendes Tracking an eine Tracking-Firma übermittelte als auch die E-Mail-Adresse der Nutzer. An Drittunternehmen gab NordVPN un- ter anderem auch detaillierte Informationen zum Gerät weiter, darunter etwa Akkustand und Mobilfunkanbieter.

Auch viele andere Webseiten sowie die Android-Apps von VPN-Anbietern verwenden Tracking-Dienste, darunter fast immer Google Analytics. Das gilt nicht nur für Cyberghost und NordVPN, sondern auch für die häufig von VPN- Testseiten empfohlenen Anbieter ExpressVPN, Surfshark 2, IPVanish und Hide My Ass (HMA). Beim VPN-Anbieter Private Internet Access (PIA) fanden wir zwar Tracker auf der Webseite, die App hält der Anbieter jedoch frei davon. Nicht selten enthalten auch die Bezahlseiten, wo man meist eine E-Mail-Adresse und Zahlungsdaten angeben muss, solche Tracker.

Es verwundert durchaus, wenn Dienste und Anwendungen, die eigentlich die Privatsphäre schützen sollen und damit sogar offensiv hausieren gehen, gleichzeitig Tracking-Dienste von Google und Co. in ihren Webseiten und Apps einsetzen. Damit haben sich die genannten Anbieter für uns erledigt, für mehr Privatsphäre und Sicherheit sind sie dementsprechend einfach nicht zu gebrauchen. Dabei sind teilweise nicht nur die Dienste mit Vorsicht zu genießen, sondern auch die Betreiber selbst.

VPN mit Gruselfaktor

Innerhalb der letzten Jahren wechselten manche VPN-Anbieter immer wieder ihre Besitzer. So legte sich beispielsweise die Firma Kape zahlreiche VPN-Anbieter zu: 2017 Cyberghost für 10 Millionen US- Dollar, ein Jahr später Zenmate für 5 Millionen US-Dollar und ein Jahr später Private Internet Access für 127 Millionen US-Dollar. 2021 folgte dann schließlich der Kauf von ExpressVPN für ungefähr eine Milliarde US-Dollar.

Dabei hatte Kape, das bis 2018 Crossrider hieß, ursprünglich nicht viel mit Privatsphäre am Hut. Während Cyberghost sich vom ersten Tag an auf Datenschutz und Sicherheit konzentrierte, begann Crossrider als ein Unternehmen, das Browser-Erweiterungen vertrieb und Ad- Tech-Produkte entwickelte.„Genau das Gegenteil von dem, was wir gemacht haben“, schrieb Cyberghost in einem Blog- Eintrag anlässlich der Übernahme im Jahr 2017. Einer der Crossrider-Gründer hatte zudem gute Beziehungen zum Geheimdienst Unit 8200 , dem israelischen Äquivalent zu NSA und GCHQ. Die Namensänderung in Kape war laut CEO Ido Erlichman ein Versuch, sich von den kontroversen„vergangenen Aktivitäten“ zu distanzieren.

Auch der Anbieter Perfect Privacy wartet mit einer recht kruden Vergangenheit auf. Die zwei Gründer, die den VPN-Dienst jahrelang betrieben, gehörten der rechtsextremen Szene an, wie ein Gerichtsprozess in Österreich im Jahr 2012 ergab. Außer dem VPN-Anbieter sollen sie auch zahlreiche Neonazi- Webseiten betrieben haben.

Gekaufte VPN-Tests

Interessanterweise werden die VPN-Anbieter, die wir bisher genannt und für uns ausgeschlossen haben, häufig auf VPN-Bewertungsseiten empfohlen. Wie neutral diese Berichte und Tests sind, bleibt allerdings unklar. Immerhin finanzieren sich die Seiten häufig durch Partnerprogramme mit eben jenen VPN- Anbietern. Die VPN-Review-Webseiten VPNmentor und Wizcase gehören sogar Kape, dem oben genannten Eigentümer etlicher VPN-Anbieter. Die Top drei der empfohlenen VPN-Dienste auf den bei-den Webseiten sind ExpressVPN, Cyberghost und Private Internet Access. Alle drei gehören Kape – ein Schelm, wer Böses dabei denkt.

Wie sinnvoll solche VPN-Tests sind, die beispielsweise die Geschwindigkeit, die Anzahl der Server und die verfügbaren Länder vergleichen, ist ohnehin fraglich. Das viel gewichtigere Argument für einen VPN-Anbieter ist, ob man ihm wirklich seinen Netzwerkverkehr anvertrauen möchte und ob er diesen auch wie versprochen nicht mitloggt. Doch das lässt sich schwer oder gar nicht in einem Test abbilden.

In den vergangenen Jahren gab es jedenfalls immer wieder Fälle, in denen Logs von VPN-Anbietern, die angeblich keine Daten loggen, in Ermittlungsverfahren genutzt wurden. 2011 wurde ein Mitglied der Hackergruppe Lulzsec mithilfe von Logs des VPN-Anbieters Hide My Ass für einen Hack bei Sony überführt . 2016 nutzten US-Ermittler Daten des Anbieters IPVanish in einem Fall von Kindesmissbrauch , 2017 überführte das FBI einen Cyberstalker mithilfe von Logs des Anbieters PureVPN. Der versuchte, den Vorfall damit zu erklären, dass es verschiedene Arten von Logs gebe und sein Privacy-Versprechen sich nur auf einen Teil davon bezogen habe.

Transparenz durch Audits

Doch woher soll man wissen, ob ein Anbieter mitloggt oder nicht? Schließlich kann man als Nutzer nicht in die Server hineinschauen. Manche VPN-Anbieter lassen daher ihre Systeme und Apps auditieren, um Sicherheitslücken zu finden und zu schließen und sich zudem bestätigen zu lassen, dass die Systeme privatsphärefreundlich arbeiten und eben keine Daten loggen. Mullvad 3 und IVPN beauftragen hierfür regelmäßig das Berliner Pentesting-Unternehmen Cure53 und veröffentlichen dessen Ergebnisse.

So bestätigte Cure53 Mullvad bei einem Infrastruktur-Audit , dass auf den VPN-Servern keinerlei personenbezogenen Daten oder anderweitige Probleme für die Privatsphäre der Nutzer gefunden wurden. Auch IVPN attestieren die Prüfer in einem Audit seine No-Log- Policy. Beide Anbieter ließen auch ihre Apps auditieren.

Auch ProtonVPN, der VPN-Dienst von Protonmail, hat sowohl seine Apps als auch das Versprechen keine Logs zu speichern auditieren lassen. Der Anbieter aus der Schweiz wirbt mit einer strikten No- Log-Policy. Allerdings loggte auch die Mutter Protonmail die IP-Adressen nicht mit, bis das Unternehmen im Fall eines französischen Klimaaktivisten dazu gezwungen wurde, sie zu erfassen und an die Behörden zu übergeben .

„Nach geltendem Schweizer Recht werden E-Mail und VPN unterschiedlich behandelt, und ProtonVPN kann nicht gezwungen werden, Benutzerdaten zu protokollieren“, betont das Unternehmen jedoch in einem Blog-Eintrag . Laut eines Transparenzberichts der Firma mussten bisher auch bei gerichtlichen Anfragen keine IP-Adressen herausgegeben werden. Der Report wurde allerdings seit zwei Jahren nicht mehr aktualisiert.

Sparsame VPN-Anbieter

Bei den meisten VPN-Anbietern muss man sich mit einer E-Mail-Adresse registrieren, so auch bei ProtonVPN. Einen völlig anderen und deutlich datensparsameren Weg schlagen Mullvad und IVPN ein: Sie generieren ohne die Abfrage weiterer Daten lediglich eine Account-ID.

Um auch beim Bezahlen möglichst keine Daten zu hinterlassen, nehmen beide Anbieter Bargeld an. Hierzu gilt es, einen Barcode auszudrucken und gemeinsam mit dem Geld per Brief nach Berlin (IVPN) oder Schweden (Mullvad) zu senden. Das Porto hält sich in beiden Fällen mit 0,85 respektive 1,10 Euro in Grenzen, das Zustellen dauert nur wenige Tage. Auch ProtonVPN bietet eine Barzahlung an. Die lässt sich allerdings nicht einfach beim Bezahlvorgang auswählen, sondern erfordert eine gesonderte Support-Anfrage. Neben Bargeld nehmen alle drei Anbieter auch Zahlungen mittels Kryptowährungen, Kreditkarten oder Paypal an.

Die Werbeversprechen fallen bei diesen drei Anbietern deutlich weniger großspurig aus, obgleich ProtonVPN mit einem privaten Browser-Verlauf wirbt und damit, dass„Passwörter und vertrauliche Daten sogar bei öffentlichen oder nicht vertrauenswürdigen Internet-Verbindungen sicher bleiben“. Auch Mullvad behauptet, dass„Hacker und Tracker […] keine Chance“ hätten. Abgesehen von diesen überzogenen Aussagen fallen die Erklärungen auf den Webseiten sonst jedoch weitgehend sachlich aus.

Noch besser macht das IVPN: Der Anbieter problematisiert zwar die Überwachung im Internet, hält aber schon im zweiten Satz fest, dass„ein VPN dieses Problem nicht allein lösen kann“. Ebenfalls auf der Startseite wirft er sogar die Frage auf, ob der Kunde wirklich ein VPN braucht und erklärt, dass VPNs nutzlos oder bestenfalls ineffektiv sind, um Privatsphäre online zu sichern oder sich vor Tracking von Google oder Facebook zu schützen. Diese Ehrlichkeit ist im kommerziellen VPN-Markt, in dem selbst seriöse Anbieter mit überzogener Werbung arbeiten, wahrscheinlich einmalig.

Server in der Cloud?

Ein weiterer wichtiger Punkt, den Sie bei der Auswahl eines VPN-Anbieters be- rücksichtigen sollten, sind die Server. Verwendet ein Anbieter virtuelle Server in der Cloud eines anderen Anbieters, erhält der letztlich auch die Kontrolle über die Daten der Nutzer. Entsprechend sollten VPN-Anbieter immer mindestens auf dedizierte Server setzen, die sie bei einem Rechenzentrum gemietet haben. Noch besser ist Co-Location, also eigene Hardware, die in ein Rechenzentrum gebracht wird, oder gleich ein eigenes Rechenzentrum. Die beiden letzten Optionen gibt es jedoch eher selten.

Mullvad, ProtonVPN und IVPN setzen keine virtuellen Server ein. ProtonVPN gibt an, vornehmlich gemietete Server zu verwenden, an drei Standorten kommen jedoch für die Secure-Core-Server eigene Geräte zum Einsatz. Auch Mullvad verwendet sowohl eigene als auch gemietete Server und gibt das jeweilige Eigentumsverhältnis in seiner Server-Liste auf der Webseite an. IVPN wiederum setzt nur auf gemietete, dedizierte Server.

Wireguard statt OpenVPN

Mit Wireguard kam ein neues, schlankes VPN-Protokoll auf, das mittlerweile auch in den Linux-Kernel Einzug hielt. Im Unterschied zu dem in die Jahre gekommenen OpenVPN kommt Wireguard mit einem Bruchteil des Codeumfangs und deutlich weniger, dafür aber sehr sicheren Optionen aus. So lässt sich beispielsweise nicht zwischen etlichen Verschlüsselungsverfahren wählen, sondern es gibt schlicht einen einzigen Standard mit sicheren modernen Algorithmen wie Curve25519 und Chacha20-Poly1305. Kurz: Wireguard arbeitet deutlich schneller und sicherer als OpenVPN.

Allerdings wurde Wireguard für klassische VPN-Szenarien wie die Verbindung in ein Firmennetz oder auf Server entwickelt und nicht für einen Tunnel ins Internet, wie ihn die hier betrachteten VPN- Anbieter offerieren. So verlangt Wireguard einen initialen Schlüsselaustausch und weist passend zum Schlüssel immer dieselbe interne/?lokale IP-Adresse zu. Zudem behält Wireguard die IP-Adressen der verbundenen Geräte bis zum Neustart der Software im Arbeitsspeicher.

Entsprechend müssen VPN-Anbieter Anpassungen vornehmen. So löschen Mullvad und IVPN die IP-Adressen nicht mehr verbundener Geräte aus dem Arbeitsspeicher und rotieren über ihre Apps regelmäßig die Wireguard-Schlüssel, wodurch auch die interne IP-Adresse wechselt. ProtonVPN hingegen setzt das sogenannte Double-NAT-Verfahren ein, das die IP-Adresse der Nutzer zu einer Session-IP umschreibt.

Die IP-Adressen der Nutzer können beispielsweise per WebRTC geleakt werden. Entsprechend sollte man es im Browser deaktivieren oder auf privatsphärefreundliche Einstellungen abändern. Entsprechende Tests bieten Mullvad und IVPN auf ihren Webseiten an.

Open-Source-Apps

Im Unterschied zu vielen anderen VPN- Anbietern verzichten Mullvad, IVPN und ProtonVPN nicht nur auf Tracker in ihren Apps, sondern stellen diese auch als quelloffene Software bereit. Neben Windows, MacOS und Linux unterstützen die drei VPN-Anbieter auch iOS und Android.

Bei Letzterem finden sich die Apps nicht nur in Googles Play Store, sondern auch im alternativen App Store F-Droid.

Bei Mullvad handelt es sich um ein inhabergeführtes Unternehmen aus Schweden, das sich der Privatsphäre im Internet verschrieben hat. Gegründet wurde es 2009 und gehört zu den Early Adopters in Sachen Wireguard, das es bereits mehrfach finanziell unterstützt hat. Die beiden Eigentümer geben an, das Unternehmen weiterführen und nicht verkaufen zu wollen. Unter Datenschützern hat sich Mullvad in den vergangenen Jahren einen Namen als Privacy-VPN gemacht. Auch der von Mozilla angebotene VPN-Dienst setzt auf Mullvad und dessen Server-Netz.

Das Unternehmen IVPN gründeten 2009 einige ehemalige IT-Security- Studenten der Universität London. Es sitzt in Gibraltar, das zu Großbritannien gehört, aber unterhält darüber hinaus Räumlichkeiten in Berlin und ist ebenfalls inhabergeführt. Bei IVPN wie bei Mullvad findet die Softwareentwicklung öffentlich auf Github statt, und das Team wird auf der Webseite genannt. Bei IVPN stellen sich die Angestellten sogar vor. IVPN und Mullvad geben an, nicht für Reviews zu bezahlen, und lehnen Werbung und Überwachung über Google und ähnliche Firmen ab.

ProtonVPN sitzt in der Schweiz und gehört zu Protonmail. Letzteres wurde im Zuge der Snowden-Leaks 2013 von Angestellten des Forschungsinstituts CERN gegründet. Anfangs finanzierte sich das Unternehmen unter anderem über eine Crowdfunding-Kampagne, später auch über Venture-Kapital. Zur Kommunikation mit seinen Kunden setzt ProtonVPN auf die externe Plattform Zendesk.

Lediglich IVPN gibt an, seine komplette Infrastruktur inklusive des E-Mail-Servers selbst zu betreiben, während Mullvad in Sachen Mailserver ausgerechnet auf Google-Dienste zurückgreift. Mullvad und IVPN betreiben neben Twitter- auch Mastodon-Konten. Preislich schlagen alle drei mit ungefähr 5 Euro pro Monat zu Buche.

Fazit

Eines haben fast alle VPN-Anbieter gemeinsam: Sie wollen dem Nutzer einreden, dass er sie unbedingt braucht. Dabei scheuen sie nicht davor zurück, unhaltbare Versprechen in die Welt zu setzen, die auch jenseits von Privatsphäre und Sicherheit haarsträubend sind. So wirbt ExpressVPN beispielsweise mit 160 VPN-Server-Standorten in 94 Ländern, hat jedoch in etlichen der angegebenen Länder gar keine Server, sondern nur eine IP-Adresse. So wird etwa der Traffic für den Server-Standort Argentinien über die Niederlande abgewickelt, mit einer argentinischen IP-Adresse.

Den überwiegenden Teil der zahlreichen bunten VPN-Angebote mit ihren wilden Versprechen können Sie von vorneherein ausschließen, zumindest dann, wenn Sie Ihrer Privatsphäre nicht mehr schaden als nützen möchten. Zum Glück gibt es mit Mullvad, IVPN und Proton- VPN auch mehrere seriöse Anbieter, deren Werbeaussagen zwar mitunter ebenfalls grenzwertig ausfallen, bei denen aber immerhin die Technik stimmt. Sie setzen auf das moderne Wireguard-Protokoll und bieten Open-Source-Apps an, die wie ihre Webseiten keine Tracker enthalten. Ihre Apps und Infrastruktur haben sie einem externen Audit unterzogen und gehören keinen Firmen mit seltsamem Hintergrund.

Allerdings spiegeln sich diese Kriterien kaum in den Vergleichstests von VPN-Anbietern wider, bei denen häufig die Eigentümer oder Affiliate-Partner auf die ersten Plätze gelangen. Das mag aber auch daran liegen, dass lieber Geschwindigkeiten gemessen sowie die Serverund Länderanzahl verglichen werden als echter Datenschutz. Der lässt sich ohnehin meist nur falsifizieren und nicht verifizieren, denn am Ende müssen wir auch mit einem Audit auf das Einhalten einer No-Log-Policy vertrauen.

Eine Frage sollte man sich auf jeden Fall vor dem Kauf noch einmal stellen: Brauche ich das wirklich, und wenn ja, wofür? Sicher gibt es gerechtfertigte Anwendungsfälle für ein VPN, zum Beispiel kann es im Zusammenspiel mit anderen Maßnahmen einen Baustein für mehr Sicherheit und Privatsphäre im Netz darstellen. Es lässt sich allerdings ebenfalls zum Umgehen von Zensur oder Geoblocking nutzen oder zum Schutz vor staatlicher Repression. Das klappt jedoch teilweise mit dem spendenfinanzierten Tor-Netzwerk besser. (tle)

Weitere Infos und interessante Links

Der Autor

Moritz Tremmel arbeitet seit 2018 als Redakteur im Fachbereich IT-Security bei . Er beschäftigt sich auch mit Datenschutz, Überwachung, digitaler Selbstverteidigung und Netzpolitik. Im Rahmen seines Studiums der Politikwissenschaften, Soziologie und Rechtswissenschaften forschte er zu den Auswirkungen von Technik auf das menschliche Zusammenleben. Er ist Mitglied der Digitalen Gesellschaft e.V. und des Chaos Computer Clubs. Früher schrieb er für Netzpolitik.org.