Ihr VPN braucht ein Gütesiegel

Es ist an der Zeit, Ordnung auf dem Markt für VPNs zu schaffen – mit einem Gütesiegel. Ideal wäre es, wenn sich eines der renommierten, unabhängigen Testinstitute dieser Aufgabe annähme und einen Test sowie ein Standardwerk für VPNs konzipieren würde.

Je früher, desto besser. 

Denn das Angebot an VPN-Lösungen ist absolut unübersichtlich. Es gibt mehrere hundert Produkte auf dem Markt, wovon einige auf allen Geräten laufen, andere aber nur auf einem Betriebssystem. Zudem herrscht bei vielen Verbrauchern Unklarheit bezüglich des Unterschieds zwischen VPNs und Proxys. Und mit VPNFilter gibt es jetzt auch noch Malware, die Router angreift.

Der Markt für VPN-Clients hält ein üppiges, aber auch gleichermaßen unübersichtliches und verwirrendes Angebot an Produkten mit verschiedensten Funktionen bereit. Was das Ganze noch unübersichtlicher macht: Es gibt keinen anerkannten Standard dafür, was ein VPN tun und was es nicht tun sollte. Auch eine bestimmte Auszeichnung oder ein Zertifikat, das die Qualität des Produkts bescheinigt und dem Verbraucher so die Wahl vereinfacht, gibt es nicht.

Zertifikate und Auszeichnungen sind sinnvoll und hilfreich

Denken Sie einmal an alle Produkte, die Sie nutzen, aber nie selbst geprüft haben. Dazu gehören Elektrogeräte, Zement, Autos, Lebensmittel und, genau, Antivirensoftware. Für diese Produkte liegen gewisse Standards vor, deren Einhaltung durch einen Test oder ein Zertifikat bestätigt wird – und als Verbraucher verlassen wir uns darauf, dass wir den richtigen Sack Zement kaufen, unser Auto sicher ist und dass unser Schweizer Käse wirklich aus Emmental kommt.

Bei Antivirenprodukten sind unabhängige Tests von Institutionen wie AV-Test oder AV-Comparatives von großer Bedeutung, da der Anwender die Fähigkeit der Software, Malware abzublocken, selbst nicht prüfen kann. Der Verbraucher ist somit darauf angewiesen, dass die Testinstitution alle Antivirenprodukte unter denselben Kriterien und Voraussetzungen prüft und in ihrem Urteil nicht bestechlich ist.

Warum gibt es also noch keinen Test oder ein Zertifikat für VPNs?

Die Geschichte des VPNs

Bereits in den 1960er Jahren wurden VPNs in Unternehmen eingesetzt. Wie der Name „Virtual Private Network“ vermuten lässt, ließ sich mit einem VPN eine sichere, verschlüsselte Verbindung zwischen zwei räumlich getrennten Computern oder Netzwerken aufbauen. Mit der Einführung von Laptops und Mobilgeräten wurden VPNs benutzerfreundlicher. Aber nicht nur Geschäftsleute brauchen VPNs, um sich von unterwegs mit dem Homeoffice zu verbinden, auch Privatpersonen nutzen sie, um in öffentlichen Netzwerken anonym zu bleiben und auf ihre Lieblingsinhalte zugreifen zu können, indem sie einen anderen virtuellen Standort vorgeben.

So weit, so klar?

VPNs haben eine Reihe Vorteile, unterscheiden sich jedoch in Aufbau und Funktionsweise und arbeiten mit verschiedenen Kombinationen aus Protokollen und Verschlüsselungsmethoden. Auch Unterschiede bei den VPN-Netzwerkservern kann sich auf die Leistung auswirken. Zusätzlich gibt es sogenannte Proxys, die den virtuellen Standort des Nutzers für einige Anwendungen ändern, aber wenig bis gar keine Verschlüsselung bieten.

Für die meisten Menschen ist der Unterschied zwischen einem Point-to-Point Tunneling Protocol, einem Layer 2 Tunneling Protocol (L2TP) und Internet Protocol Security (IPsec) nicht nachvollziehbar.  Zur Veranschaulichung der komplexen Funktionsweise eines VPNs wird daher bildhaft oft von einem Tunnel gesprochen. Bei Avira beschreiben wir ein VPN oft als Einschreiben, das der Empfänger unterschreiben muss, und einen Proxy als Nachsendevermerk der Post.

Wie sich Technologie auf die Sicherheit auswirkt

Die technischen Unterschiede sind bei VPNs aber durchaus von Bedeutung. Eine Untersuchung von 283 VPN-Apps für Android hat herausgefunden, dass eine beachtliche Anzahl dieser Apps die Sicherheit der Nutzer herabsetzt: Sage und schreibe 84 Prozent ließen Datenverkehr durchsickern, 38 Prozent schleusten Malware oder Adware auf das Gerät der Nutzer ein und 18 Prozent verschlüsselten den Internetverkehr nicht. Die schockierendste Feststellung der Untersuchung war jedoch, dass weniger als 1 Prozent der Nutzer Bedenken bezüglich der Sicherheit dieser Apps hatte. Autsch! Andere Studien haben nachgewiesen, dass VPNs Nutzerdaten verkauft haben.

Sechs wesentliche Kriterien für den VPN-Standard

Unternehmen wie Avira können hier mit anderen VPN-Entwicklern und unabhängigen Testinstituten zusammenarbeiten, um gemeinsame Standards aufzustellen, beispielsweise AES-256-Verschlüsselung, Prüfung auf DNS-Leaks und Vorschriften für das Erheben und Verkaufen von Nutzerdaten. Diese sechs wesentlichen Kriterien sollten mindestens erfüllt sein:

  1. Verschlüsselung – Werden die Daten verschlüsselt?
  2. DNS-Leaks – Werden die DNS-Adressen verschlüsselt?
  3. Benutzerfreundlichkeit – Wie einfach ist die Bedienung der App?
  4. Geschwindigkeit – Wie schnell kann der Nutzer eine Verbindung herstellen und Inhalte herunterladen?
  5. Serverstandorte – Welche geografische Reichweite haben die verfügbaren Server?
  6. Datenschutz und Logs – Speichert oder verkauft der VPN-Provider Nutzerdaten?

Nur einer dieser Punkte (nämlich Punkt 3, Bedienungsfreundlichkeit) ist subjektiv, ein weiterer ist eine Frage des Vertrauens (Punkt 6, Datenschutz und Logs). Alle anderen Punkte sind objektiv. Das Festlegen von grundlegenden Standards und einer Zertifizierung für VPN-Produkte sollte mehr als eine reine Marketingmaßnahme sein. Vielmehr sollten diese Standards/Zertfikate Vertrauen beim Verbraucher schaffen und bestätigen, dass der VPN-Client genau das macht, was er soll: die Privatsphäre schützen und Türen öffnen. Alles darüber hinaus sind technische Details.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.