E-mail senden E-Mail Adresse kopieren

2021-07-30
Annabelle Theobald

Kein Mehr an Cybersecurity durch Double-VPN-Dienste

CISPA-Forscher Matthias Fassl über falsche Sicherheitsversprechen von VPN-Anbieter:innen
Forschung

“Verbesserte Sicherheit“ und “absolute Privatsphäre“ beim Surfen im Netz – mit diesen und weiteren Versprechungen bewerben Anbieter:innen seit einiger Zeit ihre sogenannten Doppel-, Multi-Hop-, Kaskaden- oder Ketten-VPN-Dienste. Diese leiten den Datenverkehr von Nutzer:innen verschlüsselt über mehrere Server zum eigentlichen Zielort. „Viele der angeblichen Vorteile von Double- oder Multihop-VPNs gibt es aber nicht oder zumindest nicht im von den Anbieter:innen suggerierten Maß“, sagt Matthias Fassl. Der gebürtige Wiener forscht im Bereich Usable Security am CISPA und ärgert sich über diese Täuschung der Konsument:innen. Er erklärt, was Double VPN wirklich bringt, und wer davon profitieren kann.

 Die Technologie hinter VPN (Virtual Private Network) wurde bereits in den 90er-Jahren entwickelt. Ein VPN nutzt meist die Verbindungswege im Internet, leitet aber die übertragenen Daten verschlüsselt vom Endgerät der Nutzer:innen durch eine Art Tunnel zum VPN-Server und erst von dort in ihrer ursprünglichen Form weiter ans eigentliche Ziel. Für Unternehmen ist VPN interessant, da Mitarbeiter:innen damit auch von zu Hause oder unterwegs sicher auf das lokale Firmennetzwerk zugreifen und Dienste nutzen können, die normal nur vor Ort erreichbar sind. Dasselbe gilt für Privatnutzer:innen, wenn sie zum Beispiel aus Deutschland auf Streaming-Dienste im Ausland zugreifen wollen, die hierzulande gesperrt sind. VPNs bringen aber noch einen weiteren Vorteil: Webdiensten wird nicht mehr die IP-Adresse der Nutzer:innen angezeigt. Stattdessen erscheint der VPN-Server als Ursprungsort der Anfrage. 

Seit einiger Zeit preisen VPN-Anbieter:innen sogenannte Double VPNs an, die die Daten nicht nur über einen VPN-Server, sondern über zwei leiten. Sie bewerben die Dienste unter anderem mit Slogans wie: „doppelte Verschlüsselung, doppelte Sicherheit“. Matthias Fassl sagt: „Das stimmt in der Form nicht. Eine doppelte Verschlüsselung bietet – wenn überhaupt – nur geringfügig mehr Sicherheit. Eine einmalige Verschlüsselung ist ausreichend.“ Zudem versprechen Double VPNs –oder gar Triple oder Quadruple VPNs, mit denen sich die Anbieter:innen gegenseitig überbieten – oftmals mehr oder gar absolute Anonymität. Auc dieses Versprechen ist nicht haltbar. „Mehr Hops desselben Anbieters bringen nicht mehr Anonymität.“ 

Als Zielgruppen ihrer Dienste nennen die Anbieter:innen häufig Journalist:innen und politischen Aktivist:innen, da sie je nach Brisanz ihrer Themen besonders auf Anonymität und Datenschutz angewiesen sind. Diese Gruppen haben es allerdings häufig mit staatlichen Akteur:innen und damit mit starken Angreifer:innen zu tun. Diese lassen sich nicht mit Mehrfach-VPNs täuschen, egal wie viele Server desselben Anbieters dazwischengeschaltet werden. Starke Angreifer:innen können zum Teil auch bei mehrfacher Weiterleitung noch die bei den VPN-Diensten rein- und rausgehenden Datenpakete miteinander in Verbindung bringen und so die Datenströme bis zu den Nutzer:innen zurückverfolgen.

Außerdem erscheint zwar bei allen VPN-Verbindungen – also auch in der einfachen Variante – der VPN-Server als Ursprungsort der Daten und die IP-Adresse der Nutzer:innen bleibt unsichtbar. „Die IP ist aber bei Weitem nicht das einzige Identitätsmerkmal“, erklärt Fassl. So könne zum Beispiel mit sogenannten Browser-Fingerprint-Techniken die genaue Konfiguration des Browsers ausgelesen werden. „Installierte Plug-Ins, Zeitzone, Betriebssystem, Bildschirmgröße, die gewählte Sprache und alle möglichen anderen Infos machen Nutzer:innen einzigartig und identifizierbar. Da nützt auch die Verwendung eines VPNs nichts.“

In puncto staatliche Verfolgung gibt es laut Fassl noch ein weiteres Problem. Am Ende müssten VPN-Anbieter:innen auf gerichtliche Anordnung hin Daten ebenso protokollieren und an die Behörden weitergeben wie Internetprovider. Es werde also nur eine Bedrohung durch eine andere ersetzt, sagt Fassl. Einzig den Tor-Browser zu verwenden, könne unter Umständen helfen, Daten vor dem Zugriff staatlicher Behörden zu schützen.

Sinnlos seien Double-VPN-Dienste aber dennoch nicht, räumt der der Doktorand ein. Unter Umständen lasse sich damit die Internetzensur in repressiven Staaten umgehen. Autoritäre Regime kennen natürlich alle Tricks und kappen häufig schnell einfache VPN-Verbindungen zu ausländischen Servern. Wenn die VPN-Anbieter:innen allerdings einen Weg finden, die Daten intern von einem lokalen VPN-Server zu einem VPN-Server im Ausland zu leiten, können Nutzer:innen so staatliche Firewalls umgehen.  „Ein Mehr an Freiheit ist durch die Dienste also durchaus möglich.“