1. Zum Inhalt springen
  2. Zur Hauptnavigation springen
  3. Zu weiteren Angeboten der DW springen

Zensurumgehung mit VPN - ist das sicher?

Oliver Linow mit Fabian Schmidt
10. März 2021

Virtual Private Networks sind eine schnelle Notlösung, wenn Regimes kritische Webseiten sperren. Mit VPN kommt man zwar durch einen Tunnel weiterhin ins freie Internet, aber kann man dem Anbieter auch vertrauen?

DW-Karikatur von Sergey Elkin Häftling mit einem Facebook-Like als Fußfesel

Immer mehr Länder sperren in ihren Netzen missliebige Webseiten oder durchsuchen den Internetverkehr gezielt nach kritischen und oppositionellen Stimmen.

Wenn so das Internet zum staatlich kontrollierten Intranet wird, bekommen immer mehr Menschen, die es nutzen Probleme: Zum Beispiel können sie dann die Webseite der Deutschen Welle oder anderer freier Medien nicht mehr erreichen. Plattformen für Soziale Medien, auf denen sich Oppositionelle noch kurz zuvor zu Protesten verabredet haben, sind plötzlich offline.

Schnelle Lösung: VPN

Immer wenn ein Regime in einer Krise das Internet zensiert, greifen Viele in ihrer Hilfslosigkeit zu den einfachsten Lösungen. Das sind dann oft Virtual Private Networks (VPN).

Eigentlich wurden VPNs entwickelt, damit Firmen an verschiedenen Standorten ihre internen Netzwerke (Intranets) über verschlüsselte Kanäle im Internet miteinander verbinden können. Aber mit VPN lässt sich genau nach demselben Prinzip auch ein privater Computer in einem unfreien staatlichen Netz mit einem Server im freien Internet verbinden. 

Mehr dazu: Tor, Psiphon, Signal und Co: So bewege ich mich anonym im Internet

Nicht nur die Webseite von Reporter ohne Grenzen ist in China geblocktBild: Getty Images

Große Versprechen der vielen Anbieter

Mittlerweile sind VPNs leicht für jeden verfügbar. Entsprechende Programme gibt es kostenlos. VPN-Apps liegen in den Charts sogar auf den ersten Plätzen. Doch über die Risiken machen sich die Nutzenden in dieser Situation meist keine Gedanken.

VPN-Apps gibt es reichlich, und die Versprechungen der Anbieter sind groß. Wenn man ihre Software auf dem Handy installiert, könne man besonders sicher surfen. Persönliche Daten könnten nicht mehr ausgespäht werden. Man könne Streamingdienste aus anderen Ländern nutzen, könne die staatliche Zensur umgehen und blockierte Webseiten aufrufen.

Wie funktioniert VPN?

Ein VPN baut einen verschlüsselten Tunnel von meinem Endgerät zu einem entfernten VPN-Server auf. Von diesem Endpunkt trete ich dann in das öffentliche Internet ein. Bewege ich mich im Internet, sieht es für die Betreiber der Webseite, die ich besuche - genauer gesagt: für den Webserver, von dem ich Daten abrufe - so aus, als wäre ich der VPN-Server.

Befinde ich mich zum Beispiel an meinem Rechner oder Smartphone in Deutschland, und befindet sich der Endpunkt - also der VPN-Server - in Japan, dann denkt der Betreiber einer besuchten Webseite, ich würde mich in Japan aufhalten. Dieses Versteckspiel basiert lediglich darauf, dass ich nicht mit meiner eigenen IP-Adresse, sondern mit der IP-Adresse des VPN-Servers in Erscheinung trete. 

China Internetzensur trifft Unternehmen

02:38

This browser does not support the video element.

Kann ich bei der Nutzung von VPN erkannt werden?

Grundsätzlich können diejenigen, die das Internet kontrollieren, erkennen, wenn jemand ein VPN nutzt. Sie können aber zunächst nicht erkennen, was jemand damit tut, also welche Daten in dem Tunnel hin- und her fließen.

Einige Diktaturen haben die VPN-Nutzung deshalb verboten. Solche Regime sperren dann den Zugang zu VPN-Servern im Ausland oder verfolgen in seltenen Fällen auch die Nutzenden ganz gezielt. Aber Regierungen können meist nicht pauschal gegen jedes VPN vorgehen, weil auch viele ausländische Unternehmen für ihre firmeninterne Kommunikation auf VPN angewiesen sind.

So lange also Regime die IP-Adressen ausländischer VPN-Server nicht in ihren Firewalls aufführen und dadurch sperren, ist es auch möglich, damit die Zensur zu umgehen.

Wie sicher sind meine Daten im VPN?

Hier liegt die zweite Schwachstelle: Meine gesamten Daten machen einen Umweg über den VPN-Anbieter. Doch die Firma kenne ich möglicherweise überhaupt nicht. Ich muss ihr aber vertrauen können, dass sie meinen Datenschutz wahrt. Weil sie den Tunnel betreibt, kann sie auch sehen, welche Webseiten ich wann und wie häufig abrufe. Möglicherweise kann sie auch den nicht-verschlüsselten Inhalt meiner Kommunikation einsehen, etwa einfache E.Mails.

Diese Daten können gespeichert und insbesondere jene Daten über mein Surfverhalten auch verkauft werden. Für VPN-Anbieter kann das ein erfolgreiches Geschäftsmodell sein. Vom Endkunden nehmen sie Geld für die VPN-Nutzung im Abo-Modell ein. Zugleich verkaufen sie Daten über die Webnutzung an die Werbewirtschaft.

Im schlimmsten Fall verkaufen oder liefern sie Daten aber auch an staatliche Behörden. Selbst wenn der Anbieter verspricht, die Daten nicht zu verkaufen, so ist es bereits ein Risiko, dass die Daten überhaupt gespeichert werden. Kein Tag vergeht, an dem nicht über ein neues Datenleck berichtet wird, sei es durch mangelhafte Absicherung oder durch digitale Angriffe seitens Krimineller.

Wie funktioniert die chinesische Firewall?

01:44

This browser does not support the video element.

Die bessere Lösung: Tor - Privacy by Design

Besser ist es, wenn erst gar keine Daten gesammelt werden. Verspricht mir ein VPN-Anbieter dies, dann muss ich ihm vertrauen. Noch sicherer ist allerdings ein System, welches erst gar keine Daten sammeln kann. 

Das kann Tor leisten. Tor baut über den Tor Browser direkt einen dreifachen Tunnel auf. Bei Tor spricht man nicht von Tunneln, sondern von Zwiebelschichten, deshalb der Name: Tor = The Onion Routing.

Das Gute daran ist, dass keine dieser Zwiebelschichten gleichzeitig meine Identität und mein Ziel kennt. Welche Webseiten ich wann und wie häufig abrufe, kann nirgendwo gespeichert werden, weil diese Informationen gar nicht vorliegen. Das Ganze nennt sich dann "Privacy by Design".

Tor ist ein gemeinnütziges Projekt, das vor allem von vielen Freiwilligen betrieben wird. Für Nutzende ist es kostenlos. Doch ein kleiner Nachteil bleibt: Die Internetverbindung ruckelt manchmal schon mal. So viel Privatsphäre hat leider ihren Preis, was Schnelligkeit und Komfort angeht.

Wer mit seinem Browser schnell im Internet, mit ausländischer IP-Adresse unterwegs sein möchte, und nicht den allergrößten Schutz seiner Privatsphäre benötigt, der sollte einen VPN-Anbieter nutzen, dem er möglichst viel Vertrauen entgegenbringen kann. Man sollte sich also besser nicht auf VPN-Vergleichsportale verlassen, die irgendwelche Anbieter in ihren Top-Suchergebnissen gut bewerten.

Diese sind nämlich oft nicht unabhängig, weil sie gesponsorte Links der VPN Anbieter enthalten. Stattdessen ist es besser, vertrauenswürdige digitale Sicherheitsexperten zu befragen. oder aktuelle VPN-Bewertungen seriöser Fachzeitschriften zu lesen. 

Diese Spuren hinterlassen wir im Netz

Wenn Computer im Internet miteinander kommunizieren, dann werden immer IP-Adressen ausgetauscht. Ohne IP-Adresse - kein WWW. Die Möglichkeiten Individuen anhand von IP-Adressen zu identifizieren, werden aber oft überbewertet, weil IP-Adressen selten fest an Personen gebunden sind.

Ähnlich ist es mit Cookies. Diese kann der Nutzende abschalten und sie sind für die großen Internetkonzerne wie Facebook und Google schon lange nicht mehr von großer Bedeutung. Das spiegelt sich auch in der Mitteilung von Google wieder, in der sie jüngst angekündigt haben, in ihrem Chrome Browser keine 3rd Party Cookies mehr sammeln zu wollen.

Über sogenannte "Fingerprinting"-Verfahren lassen sich Internetuser zudem mittlerweile ohnehin sehr viel genauer identifizieren. Dabei sammeln Browser relevante Informationen wie zum Beispiel über die Zeitzone, das Keyboardlayout, installierte Plugins und Eigenschaften über die Erstellung von Grafikelementen.

Diese Fingerprints können Nutzende meist zu über 99 Prozent wiedererkennen und erfreuen sich gerade bei den großen Internetkonzernen großer Beliebtheit. Verbunden mit einem Login, zum Beispiel bei Amazon oder Google, ist ein Fingerprint auch direkt mit einer wahren Identität verknüpft.

Übrigens werden diese Fingerabdrücke nicht nur auf den Seiten der Internetriesen direkt gesammelt, sondern auch auf den Webseiten Dritter. Besuche ich zum Beispiel die Webseite www.xyz.com und befinden sich darauf Elemente wie Bilder oder Javascript von einem dritten Server, dann bin ich für diesen Server genauso sichtbar wie für www.xyz.com, obwohl ich davon gar nicht weiß.

Den nächsten Abschnitt Mehr zum Thema überspringen