Wer in einem autoritär regierten Staat lebt und sich trotzdem objektiv über die Zustände in seinem Land informieren will, hat es schwer. Oppositionelle Medien sind verboten, ausländische Webseiten oft blockiert.

Der Ausweg: Eine VPN-Verbindung, also ein Virtual Private Network. Es hat zwei Vorteile: Die IP-Adressen werden maskiert und die Inhalte verschlüsselt. Dadurch können auch blockierte Webseiten erreicht und das Menschenrecht auf Presse- und Informationsfreiheit eingelöst werden. Hunderte Millionen nutzen sie weltweit.

Wer VPN benutzt, gibt einen Vertrauensvorschuss

Deswegen sind solche Netzwerke in Ländern wie China, Russland, Belarus, Iran, Nordkorea illegal oder zumindest stark eingeschränkt. Wer sie dort nutzt, macht das diskret – und erwartet vom Anbieter, dass auch der diskret mit den entstehenden Daten umgeht. Doch ist dies überall der Fall?

Leider nein! Eine umfassende Studie des "Open Technology Fund", einer unabhängigen gemeinnützigen Organisation, die sich für die Förderung der globalen Internetfreiheit einsetzt, enthüllt alarmierende Defizite bei einigen VPN-Anbietern. Auswirkungen, die unbedarfte Nutzende im schlimmsten Fall ins Gefängnis bringen können.

Wenn China die Kontrolle übernimmt

Die Mängelliste beginnt mit intransparenten Eigentumsverhältnissen:  "Viele VPN-Dienste verschleiern ihre wahren Eigentümer durch komplexe Unternehmensstrukturen", heißt es in der Studie. Sprich: Wer wirklich Einfluss auf die Unternehmen hat, ist oft unklar.

So gäben etwa die Unternehmen Innovative Connecting PTE, Autumn Breeze PTE und Lemon Clove PTE vor, in Singapur registriert zu sein. In Wirklichkeit würden sie von chinesischen Staatsangehörigen aus China heraus kontrolliert und unterlägen daher chinesischen Gesetzen zur Informationskontrolle, schreiben die Autoren. Zu einem ganz ähnlichen Ergebnis kam auch ein anderer Report. Dort heißt es: "Viele VPNs gründen Briefkastenfirmen in Ländern mit laxen Gesetzen zur Vorratsdatenspeicherung."

Acht Anbieter, 16 VPNs als "hochproblematisch" angesehen

Darüber hinaus würden zahlreiche VPN-Dienste von ein und denselben Unternehmen entwickelt: "Eine kleine Anzahl von Unternehmen kontrolliert durch White-Label-Lösungen einen unverhältnismäßig großen Anteil des VPN-Marktes." Eine White-Label-Lösung ist ein Produkt, das von einem Drittanbieter entwickelt und dann von einem anderen Unternehmen unter seinem eigenen Markennamen verkauft wird.

Die Studie identifizierte acht hochproblematische VPN-Anbieter mit 16 VPN-Anwendungen und insgesamt über 700 Millionen Downloads im Google Play Store, die ihre Verbindungen zueinander verheimlichen. Wörtlich heißt es weiter: "Die von diesen Anbietern vertriebenen Anwendungen weisen zudem Datenschutz- und Sicherheitsprobleme auf, die Nutzer dem Risiko der Überwachung aussetzen."

Hunderte Millionen Nutzende sind potenziell gefährdet

Unter den Anwendungen, die als „äußerst besorgniserregend"  bezeichnet werden, sind Turbo VPN, VPN Proxy Master, XY VPN, und 3X VPN – Smooth Browsing, die jeweils 100 Millionen Mal im Google Play Store heruntergeladen wurden.

Somit wähnen sich Hunderte Millionen Internet-Nutzende in einer Sicherheit, die es nicht gibt. "Denn die Anbieter verwenden das sogenannte Shadowsocks-Tunneling-Protokoll (das nicht für die Vertraulichkeit ausgelegt ist), um den VPN-Tunnel aufzubauen, und behaupten, dass die Verbindungen ihrer Nutzer sicher sind."

Fest programmierte Passwörter als Sicherheitsrisiko

Doch damit nicht genug: Beide Anbietergruppen nutzen laut der Studie "Who owns, operates, and develops your VPN matters" das Shadowsocks-Protokoll mit fest einprogrammierten Passwörtern, die in den Apps gespeichert sind - ein gravierender Sicherheitsfehler. Angreifer können diese Passwörter auslesen und so die gesamte Kommunikation entschlüsseln und mitlesen.

Zudem nutzten viele Anbieter gemietete Server in Rechenzentren, ohne vollständige Kontrolle über die Hardware zu haben. Und: Manche VPN-Apps sammeln heimlich Standortdaten, obwohl ihre Datenschutzrichtlinien das Gegenteil behaupten.

Ist meine VPN-App auch betroffen?

Im Fazit der Studie heißt es: "Leider können VPNs bestenfalls ein falsches Sicherheitsgefühl vermitteln und schlimmstenfalls die Privatsphäre und Sicherheit vollständig gefährden. Im Fall von Innovative Connecting, Autumn Breeze, Lemon Clove, Matrix Mobile, ForeRaya Technologies, Wildlook Tech, Hong Kong Silence Technology und Yolo Mobile Technology Limited setzt sich jeder Benutzer dieser Anwendungen einem großen Risiko aus, da die Anwendungen ernsthafte Probleme mit der Privatsphäre und Sicherheit haben."  Stattdessen raten die Autoren zu kostenpflichtigen VPNs, die allgemein als zuverlässiger und sicherer angesehen werden. So habe man etwa keine ernsthaften Datenschutz- oder Sicherheitsprobleme mit Lantern, Psiphon, ProtonVPN oder Mullvad festgestellt.

"Katastrophal für die Sicherheit der Nutzenden"

Benjamin Mixon-Baca, einer der Autoren der Studie, findet aufgrund dieser Erkenntnisse drastische Worte: "Das ist katastrophal für die Privatsphäre und Sicherheit dieser Nutzer. Ganz abgesehen vom Land des Nutzers zeigen die von uns festgestellten Schwachstellen, dass die VPNs keinerlei Privatsphäre oder Sicherheit bieten, was im Widerspruch zu den Behauptungen dieser Anbieter auf ihren Websites steht. Die Nutzer haben ein falsches Gefühl der Sicherheit, da ein staatlicher Akteur alles sehen kann, was die Nutzer dieser Produkte tun." Wenn man weiter bedenke, wie weit die Anbieter gegangen sind, um ihre wahre Identität zu verbergen, und dass sie trotz ihrer gegenteiligen Behauptungen sehr wohl geografische Informationen sammelten, handele es sich "um schwerwiegende Verletzungen des Vertrauens der Nutzenden."

Appell an die App-Store-Betreiber

Das Fazit: "Nutzende sollten VPN-Anbieter bevorzugen, die vollständige Transparenz hinsichtlich Eigentumsverhältnissen, Infrastruktur und Gerichtsbarkeit bieten." Open-Source-Lösungen und unabhängige Audits seien entscheidende Qualitätsindikatoren.

Den Betreibern von App Stores empfehlen die Autoren dringend, bei der Auswahl mehr auf sicherheitsrelevante Mängel zu achten. Ansonsten rufe das VPN-Symbol, das im Google Play Store verfügbar ist, Nutzern ein Gefühl von Sicherheit hervor, das nicht durch Fakten gedeckt ist.

Letzter Ausweg Tor Browser

Für Mixon-Baca gibt es, was VPN-Lösungen angeht, einen Grundwiderspruch: "Datenschutz und Sicherheit, also das, was die Menschen von diesen Produkten erwarten oder glauben, dass sie davon profitieren, stehen in direktem Widerspruch zu Werbung und Geldverdienen. Wir und andere haben festgestellt, dass es nicht gut ausgeht, wenn man Datenschutz mit Werbung mischt, um Geld zu verdienen." Eine öffentlich finanzierte VPN-Lösung ähnlich wie die Messenger-App Signal wäre seiner Ansicht nach zwar großartig, aber das würde die grundlegenden Einschränkungen in Bezug auf Datenschutz und Sicherheit nicht beheben, die selbst mit öffentlichen Mitteln nicht zu lösen seien. Wer wirklich ganz auf Nummer Sicher gehen wolle, solle den Tor-Browser benutzen. "Tor hat wie alles andere auch seine Grenzen, aber wenn Datenschutz Ihr Hauptanliegen ist, ist Tor die erste Wahl."