Wirf einen Blick in die Empfehlungsecke
Mike Kuketz
22. Oktober 2015

Kommentar: Der Mythos vom anonymen VPN-Zugang

1. Gefährliche WerbeversprechenVPN Anonym

Spätestens seit bekannt werden der globalen Spionageaffäre sprießen VPN-Dienstleister wie Pilze aus dem Boden. Mit falschen Versprechen locken sie datenschutzbewusste Anwender in überteuerte Tarife, die den angepriesenen Leistungsumfang nicht annähernd erfüllen. Glaubt man den plakativen Marketingsprüchen, so schützt ein VPN-Zugang angeblich vor Hackern, die bspw. Online-Konten durch Phishing-Angriffe kapern. Weitaus irreführender und gleichzeitig auch gefährlich sind allerdings jene Werbeversprechen, die dem Anwender zusichern, »vollkommen anonym« im Internet surfen zu können. Mit Verlaub, aber das ist vollkommener Blödsinn.

2. Anonymität im Internet

Du kannst den Blog aktiv unterstützen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Definition Anonymität

Der Begriff Anonymität stammt aus dem Griechischen und bedeutet so viel wie »namenlos«. Im Duden werden ferner folgende Bedeutungen genannt:

  • Nichtbekanntsein
  • Nichtgenanntsein
  • Namenlosigkeit

In Wikipedia wird Anonymität folgendermaßen beschrieben:

Anonymität (von altgriechisch ἀνώνυμος anónymos ,ohne Namen‘) bezeichnet das Fehlen der Zuordnung der handelnden Person zu einer Handlung bis hin zur absichtlichen Geheimhaltung. Sie kann zum Schutz der Freiheit des Einzelnen dienen. Der Gesetzgeber hat sie deswegen in verschiedenen Bereichen vorgesehen. So werden beispielsweise das Wahlgeheimnis verpflichtend, die anonyme Information, Meinungsäußerung und Versammlung als Rechte verfassungsrechtlich garantiert.

2.2 Fallstricke im Internet

Übertragen wir die Definition der Anonymität auf das Internet, so stoßen wir schnell auf mögliche Grenzen:

  • Die IP-Adresse eines Anschlusses kann bspw. zur Identifikation einer Person herangezogen werden
  • Werden Informationen bzw. Anfragen unverschlüsselt übertragen, lassen sich daraus Erkenntnisse ableiten, die die Anonymität untergraben

VPN-Anbieter sind sich dieser Problematik bewusst und adressieren diese geschickt über ihre Angebote. Und tatsächlich schlagen sie mit der VPN-Technik zwei Fliegen mit einer Klappe – zumindest auf den ersten Blick:

  • Ist der VPN-Tunnel zum Anbieter aufgebaut, werden im Idealfall alle Datenpakete über das VPN-Gateway beim Anbieter geschleust. Beim Aufruf einer Webseite ist demnach nicht mehr die eigene IP-Adresse sichtbar, sondern aufgrund der Zwischenstation, die des VPN-Anbieters.
  • Abhängig vom verwendeten VPN-Protokoll ist die Verbindung zwischen VPN-Anbieter und Client abhör- bzw. manipulationssicher. Durch den Aufbau einer verschlüsselten Verbindung können Informationen, die zwischen dem VPN-Dienstleister und bspw. dem Rechner zu Hause ausgetauscht werden, nicht einfach mal so eingesehen werden.

VPN

Das klingt zunächst plausibel und lässt viele Anwender glauben, dass sie aufgrund dieser Tatsachen »anonym« und »sicher« im Internet surfen. Doch die Realität sieht anders aus und entlarvt das Werbesprechen der Anonymität als billigen Marketingtrick, dem Anwender reihenweise auf den Leim gehen.

2.3 Das Märchen vom anonymen Surfen

Trotz der Werbeversprechen ist das anonyme Surfen über VPN im Netz nicht möglich. Drei Gründe warum es nicht funktionieren kann:

  1. Technik: Heute sind die Tracking-Methoden so fortgeschritten, dass die IP-Adresse als entscheidendes Merkmal zunehmend an Bedeutung verliert. Anhand bestimmter Merkmale, wie bspw. den Cookies, installierten Browser-Addons, Bildschirmauflösung, Standardsprache und dergleichen, lassen sich Anwender nahezu eindeutig identifizieren. Diese Merkmale machen den Anwender zunächst nicht namentlich erkennbar. Verknüpfen wir die gesammelten Informationen allerdings mit dem Faktor »Mensch« (nächster Punkt), sieht das gleich ganz anders aus.
  2. Mensch: Der durchschnittliche Anwender nutzt mindestens ein soziales Netzwerk, kauft in Online-Shops ein, ist in mindestens 3 Foren angemeldet und surft fleißig im Web. Aus Bequemlichkeit wird für all jene Zwecke immer der gleiche Browser, mit den identischen Merkmalen, verwendet. Obendrein geschieht dies immer über den angemieteten VPN-Zugang, denn sicher ist sicher… Diese Bequemlichkeit und Unwissenheit macht praktisch jeden Anwender eines VPN-Zugangs identifizierbar. Denn bei der Anmeldung im sozialen Netzwerk, dem Einloggen in den privaten E-Mail Account oder beim Online-Shopping werden häufig Realnamen verwendet bzw. sind dort hinterlegt. Mit Hilfe der Tracking-Methoden lassen sich diese dann nicht nur für Geheimdienste spielend leicht in Relation setzen, sondern auch für Werbenetzwerke und Co.
  3. Recht: Ein Blick in die Datenschutzbestimmungen eines VPN-Anbieters ist oftmals äußert aufschlussreich. Entgegen der eigenen Versprechen lassen sich dort oftmals folgende Aussagen finden:

    Zusätzlich zu den Informationen, die Sie über unser Bestellformular übermitteln, speichern wir die folgenden Daten: IP-Adresse, die Uhrzeiten, wann Sie unsere Dienste nutzen und das Gesamtvolumen an Daten, das pro Tag übertragen wird.

    oder

    … wir werden Informationen über Sie oder Ihr Konto nie an jemanden weiterleiten, außer an Mitarbeiter einer Strafverfolgungsbehörde mit den notwendigen Dokumenten und Papieren.

    Jedem sollte klar sein: Das widerspricht der Idee von Anonymität. Eine große Rolle in Sachen Datenschutz spielt in diesem Zusammenhang nämlich der Standort des VPN-Anbieters, aus diesem sich wiederum die rechtlichen Verpflichtungen ableiten lassen. Viele Anbieter sind schlichtweg dazu gezwungen Serverlogs für einen gewissen Zeitraum vorzuhalten oder bspw. Informationen an Ermittlungsbehörden weiterzuleiten.

    Wirbt der Anbieter hingegen bspw. mit einem Standort auf den Cayman Islands kann man von laxeren Datenschutzbestimmungen bzw. rechtlichen Pflichten ausgehen. Doch auch wenn ein Anbieter verspricht keine Serverlogs zu speichern, so kann das letztendlich niemand kontrollieren. Somit steht und fällt das VPN-Konzept mit dem Vertrauen in den Betreiber.

2.4 Haarsträubende Werbeversprechen

Wir wissen nun: Über ein VPN lässt sich weder »anonym« im Internet surfen, noch den Daten-Trackern entkommen. Werfen wir doch mal einen Blick auf die Werbeversprechen der diversen VPN-Dienstleister:

[Name zensiert] schützt dich vor Hacker, Massenüberwachung, Internetspionage und Verhaltensanalyse.

Absolute Privatsphäre und Schutz mit unserem erstklassigen VPN-Service.

[Name zensiert] will make sure that your online presence cannot be intercepted, monitored and recorded by your internet service provider, company, school or government.

Ein VPN-Dienst unterstützt Sie dabei, Ihre Datenspur im Internet anonym zu halten.

[Name zensiert] verschlüsselt Ihre Internetverbindung, damit Ihr Standort geheim bleibt, und hindert Ihren Internetservice Provider daran, Ihre Online-Kommunikation und Ihre Internet-Nutzung zu überwachen.

Verschlüsseln Sie Ihren Internet-Traffic und verstecken Sie Ihre IP-Adresse vor Hackern und Internetspionen

100% Anonymität • Keine Logs • Super schnell

Erleben Sie das Internet ohne Hacker, Tracking und Zensur. [Name zensiert] sichert Ihre WLAN-Verbindungen, lässt Sie anonym surfen und ermöglicht globalen Zugang zu Ihren liebsten Inhalten.

Diese Werbeversprechen sind natürlich Quatsch und fallen im Prinzip unter die Kategorie irreführende Werbung.

3. Fazit

VPNs sind also keinesfalls dafür konzipiert bzw. geeignet, um anonym im Internet zu surfen oder dem Tracking zu entkommen. Für andere Zwecke mag ein VPN durchaus sinnvoll sein. Man denke da bspw. an die Umgehung von Geo-Sperren auf Basis von IP-Adressen, die den Zugriff auf Videos, Musik oder zensierte Webseiten verhindern. Wer sich den VPN-Zugang ausschließlich für das anonyme Surfen im Web zugelegt hat, der sollte wissen: Du bist dem Werbeversprechen eines VPN-Anbieters auf den Leim gegangen.

Anonymität kennt weder im realen Leben, noch im Internet eine Abstufung. Niemand kann »weitgehend« anonym sein oder einen »gewissen Grad« an Anonymität erreichen. Anonymität existiert nur ganz – oder eben gar nicht. Und obwohl der Wunsch nach Anonymität im Internet berechtigt ist, lässt sich dies in der Praxis kaum umsetzen. Dazu sind jedenfalls weitaus mehr Maßnahmen notwendig, als sich eben mal mit seinem VPN-Dienstleister zu verbinden.

Wer tatsächlich das Interesse hat seine Privatsphäre während dem Surfen im Netz besser zu schützen, bzw. weniger Datenspuren zu hinterlassen, dem sei die Artikelserie »Not my data« empfohlen.

Hinweis

Übrigens: Lasst die Finger von VPN-Vergleichsportalen. Das sind meist dubiose Anbieter, die gutgläubige Nutzer mit Affiliate-Links abzocken. Mehr dazu im Beitrag: VPN-Vergleichsportale: Finger weg von diesen Seiten.

Bildquellen:

Vendetta: OpenClipart-Vectors, Creative Commons CC0

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge
VPN anonym
30. November 2016

Anonymität: Die haltlosen Werbeversprechen der VPN-Anbieter

Ein VPN wird oft als Allheilmittel angepriesen: Unter anderem versprechen viele Anbieter 100% Anonymität. Was ist dran an diesen Werbeversprechen?
Internet-Zensur
2. April 2022

HowTo: Internet-Zensur umgehen und anonym bleiben

Gegen Netzsperren: Mit VPN, Psiphon und Tor ist es möglich, die Internet-Zensur zu umgehen. Dank Snowflake kann jeder mithelfen!
Internet-Zensur
13. Februar 2013

Internet-Zensur umgehen – Internet-Zensur Teil3

Internet-Zensur umgehen - dazu eignen sich diverse Tools, wie zum Beispiel Tor oder JonDonym. Eine Übersicht verbreiteter Maßnahmen.
PiVPN
8. Mai 2017

PiVPN: Raspberry Pi mit OpenVPN – Raspberry Pi Teil3

Mit PiVPN lässt sich ein VPN auf Basis von OpenVPN einfach auf einem Raspberry Pi realisieren.
Tracking in Apps
3. März 2021

Wie Tracking in Apps die Sicherheit und den Datenschutz unnötig gefährdet

Die Integration von App-Tracking wird von Entwicklern bzw. Verantwortlichen vehement verteidigt, obwohl es ein Risiko für die Daten der Nutzer darstellt.
Weitere Themen
AndroidAuditAutonomieBackupBezahlenBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOE-MailFirewallHackingHärteniOSKuketz-BlogLinuxmacOSMessengerOpenWrtPasswortPentestRaspberryPiRechtSicherheitslückeSicherheitsmaßnahmeTorTrackingTTDSGÜberwachungVerschlüsselungWindowsWordPressXMPP
Diskussion

5 Ergänzungen zu “Kommentar: Der Mythos vom anonymen VPN-Zugang”

  1. Comment Avatar Thomas Gamisch sagt:
    22. Oktober 2015 um 15:53 Uhr

    Ich meine, es gibt sehr wohl so etwas wie eine „relative Anonymität“, denn die Identifizierung erfolgt ja anhand bestimmter individueller Merkmale. Je mehr Informationen ein potentieller Beobachter über sein Zielobjekt sammeln kann, desto eher gelingt die Identifikation. Damit hängt Anonymität stark von den Möglichkeiten des Beobachters ab. Ein wesentliches Merkmal im Internet ist nun mal die IP-Adresse. Ein VPN kann somit als Grundlage für Anonymität durchaus sinnvoll sein. Zum Beispiel sieht die Vorratsdatenspeicherung des deutschen Providers nur eine permanente VPN-Verbindung ins Ausland und nicht die Ziel-IPs oder Inhalte. Klar, je mehr Identifizierungsaufwand betrieben wird, desto mehr zusätzliche Maßnahmen muss ein Surfer treffen, um anonym zu bleiben (3-Browser-Konzept, TOR, …). Ein VPN allein reicht dann nicht mehr. Klar ist auch, dass die Wahl des VPN-Providers Vertrauenssache ist.

    • Comment Avatar Mike Kuketz sagt:
      22. Oktober 2015 um 16:32 Uhr

      Für mich bedeutet Anonymität, dass nicht einmal die theoretische Möglichkeit besteht, dass Informationen auf eine Person zurückzuführen sind. Aber klar, da hat wieder jeder seine eigene Meinung und es werden auch oftmals Abstufungen vorgenommen. Dennoch: Von Anonymität sind wir nach meiner Ansicht weit entfernt, wenn wir dies auf einen einfachen VPN-Dienstleister beziehen.

      Das Wort Anonymität ist in dem Zusammenhang auch irgendwie deplatziert. Im Grunde wollen wir unsere Privatsphäre schützen. Und nach meiner Erfahrung gelingt dies bspw. mit dem 3-Browser-Konzept weitaus besser, als mit Verschleierung der IP-Adresse über einen VPN-Dienstleister. Das Dilemma ist allerdings, dass viele Menschen die Werbeversprechen glauben. Aussagen wie »[ … ] schützt dich vor Hacker, Massenüberwachung, Internetspionage und Verhaltensanalyse« sind einfach Blödsinn und dennoch fallen die Leute drauf rein.

  2. Comment Avatar woodchuck sagt:
    29. Oktober 2015 um 08:49 Uhr

    Abgesehen von eventuellen Schwachstellen in den eingesetzten Protokollen und Verfahren (zuletzt beim Diffie-Hellman-Schlüsselaustausch, der bei schwacher Implementierung VPN-Verbindungen unsicher machen kann) bleibt ein grundsätzliches Problem: Man muss den VPN-Anbietern vertrauen.

    Warum ich trotzdem auch ein VPN einsetze:

    1. „Mein“ Anbieter hat die schönste (und kürzeste) Datenschutzerklärung, die ich kenne:

    „Privacy is a universal right.

    We don’t tell anyone anything.

    We don’t log our users‘ activities.

    When Swedish law requires us to divulge information about our customers we make sure not to have that information stored, so that we have nothing to give out.

    However, credit card payments and bank transfers leave records. These are kept by the banks and card companies and can’t be erased by us. To pay anonymously, use cash or Bitcoin with proper anonymisation.“

    2. Wenn ich mich mit einem Mobilgerät in ein offenes WLAN hänge, kann nicht jeder Kreti und Pleti am Nebentisch mit Wireshark mitschneiden, was ich im Web so treibe.

    3. Vor dem Hintergrund der wieder auferstandenen Vorratsdatenspeicherung kann mein ISP zwar protokolieren, dass ich mich mit einem VPN verbinde und wo der Server des Anbieters lokalisiert ist, aber nicht, welche Websiten ich durch diesen Tunnel besuche.

    … aber natürlich bleibt als größter Kritikpunkt bestehen, dass das Versprechen echter Anonymität, das VPN-Anbieter so gern abgeben, nicht eingelöst werden kann. Und „gefühlte Sicherheit“ ist immer der Feind echter Sicherheit.

  3. Comment Avatar Jakub sagt:
    20. Mai 2016 um 11:21 Uhr

    Kleiner Nachtrag, habe den Beitrag erst jetzt zum ersten Mal gelesen.^^

    Gerade bei streaming Seiten (FSK18), wird ein Canvas-Fingerprint verwendet. Ob du über VPN oder nicht drauf gehst, ist denen zum Identifizieren/Zuweisen also egal.

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.