SHIELD

Konnektivität

VPN: 95 % des Marketings sind gelogen

Was ein VPN wirklich schützt, was es nicht schützt und wie Sie das richtige für den richtigen Zweck wählen.

Veröffentlicht am 16 Min. Lesezeit Allgemein

Zuletzt überprüft:

An einen Switch angeschlossene Netzwerkkabel

Ein Journalist zeigt mir stolz das grüne Symbol in seiner Menüleiste: „Ich bin geschützt, ich habe NordVPN.” Ich frage ihn, wogegen. Schweigen. Er hat ein Abonnement für 3,50 € im Monat und die Überzeugung, unsichtbar zu sein. Während wir reden, ist sein Telefon mit seinem Google-Konto verbunden, mit WhatsApp, mit seinem beruflichen Gmail. Das VPN ändert an keiner dieser Sachen das Geringste. Er hat ein Gefühl gekauft, keinen Schutz.

Angle de lecture

Die übliche Falle

Das VPN-Marketing hat ein Kunststück vollbracht, das nur wenige Branchen erreichen: Es hat zig Millionen Menschen davon überzeugt, dass ein sehr genau definierter technischer Gegenstand ein universeller Schutzschild gegen sämtliche Gefahren des Internets sei. „Schützen Sie Ihre Privatsphäre. Werden Sie anonym. Sichern Sie Ihre Daten.” Diese Floskeln tapezieren die YouTube-Banner, die Podcast-Sponsorings, die Werbeflächen in Apps. Sie werden so oft wiederholt, dass sie das Verständnis durch einen Reflex ersetzt haben: ein Sicherheitsproblem, also ein VPNVerschlüsselter Tunnel zwischen Ihrem Gerät und einem Server, der Ihre IP und Ihren Datenverkehr vor Ihrem ISP verbirgt..

Das Problem ist nicht das Produkt. Ein VPNVerschlüsselter Tunnel zwischen Ihrem Gerät und einem Server, der Ihre IP und Ihren Datenverkehr vor Ihrem ISP verbirgt. ist ein vollkommen ehrliches Werkzeug, sofern man weiß, was es tut. Das Problem ist die Kluft zwischen dem, was man Ihnen verkauft hat, und dem, was der Gegenstand tatsächlich ausführt. Ein VPN ist ein verschlüsselter Tunnel zwischen Ihrem Gerät und einem Server. Punkt. Es verschiebt Ihren Vertrauenspunkt: Statt dass Ihr Internetanbieter Ihren Datenverkehr sieht, sieht ihn jetzt Ihr VPN-Anbieter. Manchmal ist diese Verschiebung nützlich. Oft berührt sie nicht das Problem, das Sie zu lösen glauben.

Die reale Gefahr besteht nicht darin, ein VPN zu nutzen. Sie besteht darin zu glauben, es decke Sie auf Feldern ab, die es nicht einmal streift — und damit ausgerechnet dort die Deckung herunterzufahren, wo es Sie nicht schützt. Der Journalist aus meinem Eingangszitat ist mit seinem VPN stärker exponiert, als er es ohne wäre, weil er eine monatliche Abbuchung an die Stelle einer operativen Hygiene gesetzt hat. Das ist das schlimmste Szenario: das falsche Vertrauen. Der gesamte Rest dieses Artikels dient dazu, die exakte Grenze zwischen dem, was die Sache tut, und dem, was sie nicht tut, wieder aufzubauen, damit Sie aufhören, für eine Illusion zu zahlen, und sie dort einsetzen, wo sie einen echten Wert hat.

Sezieren wir die Mechanik, denn das ist die einzige Möglichkeit, den Mythos zu erledigen. Wenn der Tunnel aktiv ist, geschehen drei Dinge und nur drei. Erstens: Der Datenverkehr zwischen Ihrem Gerät und dem Ausgangsserver ist verschlüsselt, also für jeden Beobachter dazwischen unsichtbar — lokales WLAN, Internetanbieter, Mobilfunkbetreiber. Zweitens: Ihre echte IP-Adresse wird aus Sicht der Zielserver durch die Adresse des VPN-Ausgangspunkts ersetzt. Drittens: Bei sauberer Konfiguration laufen auch Ihre DNS-Anfragen durch den Tunnel, was das lokale Netzwerk daran hindert, die von Ihnen besuchten Domains abzuleiten. Das ist der gesamte technische Vertrag. Alles, was das Marketing darüber hinaus draufpackt, ist missbräuchliche Extrapolation.

Und was das VPN niemals tut, verdient es, ebenso trocken benannt zu werden. Es verschlüsselt nicht den Inhalt Ihrer Kommunikation Ende-zu-Ende: Das ist die Aufgabe von HTTPSSichere HTTP-Version, die die Kommunikation zwischen Browser und Server über TLS verschlüsselt., das bereits auf der überwältigenden Mehrheit des Webs vorhanden ist, und das VPN fügt diesem Inhalt nichts hinzu. Es löscht weder Ihre Cookies, noch Ihre Sitzung, noch Ihren Browser-Fingerabdruck. Es schützt Sie weder vor einer im Tunnel heruntergeladenen Schadsoftware, noch vor einer Phishing-Mail, noch vor einem präparierten Anhang — eine bösartige Datei bleibt bösartig, ob sie verschlüsselt ankommt oder nicht. Und es macht Sie nicht anonym gegenüber den Diensten, mit denen Sie verbunden sind: Wenn Sie bei Google eingeloggt sind, weiß Google, wer Sie sind, ganz gleich, welche Ausgangs-IP. Das VPN wirkt auf eine einzige Schicht, den Transport. Für alles andere ist es blind.

Das reale Bedrohungsmodell: Wer sieht was

Die einzige Frage, die zählt, bevor man ein VPN einschaltet: gegen wen? Ein ernstzunehmendes Threat ModelKartierung der Akteure, Motivationen, Fähigkeiten und potenziellen Auswirkungen gegen ein Ziel. baut man nicht mit Adjektiven auf („sicherer”, „privat”), sondern mit benannten Akteuren und präzisen Fähigkeiten. Nehmen wir die Kette Ihres Datenverkehrs Glied für Glied durch und schauen, wer mit und ohne Tunnel was sieht.

Ohne VPN, in einem WLAN, das Sie nicht kontrollieren (Café, Hotel, Flughafen, Konferenzsaal), ist der bedrohende Akteur jemand im selben Netzwerk. Mit flächendeckendem HTTPSSichere HTTP-Version, die die Kommunikation zwischen Browser und Server über TLS verschlüsselt. liest er den Inhalt Ihrer Seiten bereits nicht mehr. Aber er sieht die Domainnamen, die Sie auflösen, falls Ihr DNSSystem, das Domainnamen in IP-Adressen auflöst. Ein stark unterschätzter Überwachungs- und Zensurvektor. nicht verschlüsselt ist, er kann einen MITMAngriff, bei dem ein Akteur sich in eine Kommunikation zwischen zwei Parteien einschaltet, die sich für direkt verbunden halten. auf einem Captive Portal versuchen, und er kennt die Ziel-IP-Adressen. Das VPN schließt diesen Vektor sauber: Alles läuft verschlüsselt zum VPN-Server, der lokale Beobachter sieht nur einen undurchsichtigen Datenstrom. Das ist der robusteste Anwendungsfall, und es ist auch der einzige, bei dem der Nutzen klar und messbar ist.

Ohne VPN, gegenüber den Seiten, die Sie besuchen, sieht die Seite Ihre echte IP. Mit VPN sieht sie die IP des Ausgangsservers. Das ist die zweite reale Funktion: Ihre IP gegenüber einem punktuellen Dritten zu verbergen. Nützlich für OSINTNachrichtengewinnung aus offenen (öffentlichen) Quellen: soziale Netzwerke, Register, Archive.-Recherchen, bei denen Sie nicht wollen, dass das Ziel Ihre Adresse protokolliert, nützlich, um eine Geo-Sperre zu umgehen. Aber das ist Pseudonymisierung, keine Anonymität — und diese Nuance entscheidet über alles Weitere.

Nun der Akteur, den das Marketing unter den Tisch fallen lässt: Ihr VPN-Anbieter selbst. Wenn Sie den Tunnel aktivieren, entfernen Sie den Beobachter nicht, Sie ersetzen ihn. Der Anbieter sieht Ihre echte IP im Moment der Verbindung, Ihre Uhrzeiten, Ihre Volumina und die Ziele, zu denen er Ihren Verkehr routet. Seine Richtlinie sagt „No-Log”? Das ist ein vertragliches Versprechen, kein physikalisches Gesetz. Es ist so viel wert wie das unabhängige Audit, das es überprüft hat, und die Rechtsordnung, die es zwingen kann. Wenn seine Infrastruktur beschlagnahmt oder kompromittiert wird, können diese Daten trotz des Versprechens existieren. Sie haben Ihr Vertrauen von einem regulierten Internetanbieter zu einer Firma verschoben, über die Sie oft nichts wissen.

Und die Akteure, die das VPN niemals berührt: die Dienste, mit denen Sie verbunden sind (Google, Facebook, Ihre Bank identifizieren Sie über Ihre Sitzung, nicht über Ihre IP), die Werbenetzwerke (die FingerprintingIdentifizierung eines Geräts anhand der einzigartigen Merkmale seines Browsers und Systems., Cookies, mobile Kennungen nutzen — die IP ist zweitrangig) und alles, was Ihren Rechner selbst betrifft (Schadsoftware, Phishing, präparierte Datei laufen ohne jede Behinderung durch den Tunnel). Das VPN schützt ein Segment des Transports. Es schützt weder den anderweitig verschlüsselten Inhalt, noch Ihre Anwendungsidentität, noch Ihr Endgerät.

Das Glied „Anbieter” entscheidet über alles

Da das Einschalten eines VPN darauf hinausläuft, einen Beobachter durch einen anderen zu ersetzen, ist das einzige Kriterium, das für die Vertraulichkeit zählt, weder die Geschwindigkeit, noch die Anzahl der Länder, noch der Preis: Es ist, wie sehr Sie demjenigen vertrauen können, der alles vorbeiziehen sieht. Drei Variablen erlauben es, das nüchtern zu bewerten.

Zuerst die Log-Richtlinie und ihr Audit. „No-Log” hat nur dann einen Wert, wenn es von einem unabhängigen Dritten überprüft wurde, idealerweise wiederholt, und mit der Realität konfrontiert: Wurde es schon einmal von einer Behörde zur Herausgabe verpflichtet, und was konnte es liefern? Ein Anbieter, der strukturell nichts herausgeben kann — weil er keinerlei Daten zur Verknüpfung zwischen einer Sitzung und einer Identität aufbewahrt — widersteht einer Herausgabeforderung, der ein Anbieter mit „No-Log auf Treu und Glauben” nicht standhalten wird. Dann die Rechtsordnung: Sitzland der Firma, Rechtshilfeabkommen, gesetzliche Vorratsdatenpflichten. Eine gute Richtlinie in einer schlechten Rechtsordnung bleibt fragil. Schließlich das Geschäftsmodell, das alles verrät: Ein kostenloses VPN muss sich finanzieren, und es finanziert sich fast immer durch den Weiterverkauf Ihrer Surfdaten oder durch das Einschleusen von Werbung in Ihren Datenverkehr — also genau dadurch, wovor Sie sich zu schützen glaubten. Hola VPN hat sogar die Bandbreite seiner Nutzer weiterverkauft, um daraus ein Ausgangs-Botnetz zu machen. Für eine heikle Nutzung ist das kostenlose VPN die schlechteste Option, nicht die billigste.

Die Anbieterlandschaft sortiert sich dann schnell. Mullvad und IVPN bilden das seriöse Ende: wiederholte Audits, Zahlung in bar oder Monero, keine E-Mail erforderlich, offener Code. Proton VPN folgt, in der Schweiz, auditiert, in ein kohärentes Ökosystem integriert. Am anderen Ende stehen die werbeüberfrachteten Marken — jene, deren Namen Sie kennen, weil sie die Hälfte von YouTube sponsern — die fast alle von Investmentgruppen aufgekauft wurden, mit Audits von begrenzter Reichweite und Interessenkonflikten beim Thema Daten. Sie helfen aus, um einen geo-gesperrten Katalog freizuschalten. Sie sind keine Wahl für Vertraulichkeit.

WireGuard, OpenVPN und das Self-Hosting

Auf der Protokollseite ist die Frage für den alltäglichen Gebrauch entschieden. WireGuardModernes, einfaches und leistungsfähiges VPN-Protokoll, im Linux-Kernel integriert. kommt mit rund 4.000 Codezeilen aus, wo OpenVPN nahezu 100.000 aufreiht: um eine Größenordnung reduzierte Angriffsfläche, also weit leichter auditierbar, deutlich überlegene Leistung, niedrige Latenz, nahezu sofortige Wiederverbindung beim Netzwerkwechsel. Das ist heute die vernünftige Voreinstellung. OpenVPN behält seine Berechtigung in präzisen Fällen: Kompatibilität mit bestimmten restriktiven Unternehmens-Firewalls, Konfigurationsflexibilität, längere Audit-Historie. Wenn Sie einen Unternehmens-Fernzugriff mit besonderen Netzwerkanforderungen administrieren, kann OpenVPN die richtige Wahl bleiben — aber für die private Nutzung gilt: zuerst WireGuard.

Bleibt die Option des selbstgehosteten WireGuard auf einem VPS, verlockend für jeden, der alles kontrollieren will. Sie ist für eine Sache hervorragend: Ihren Transit über ein feindliches Netzwerk zu einer Infrastruktur zu verschlüsseln, die Sie beherrschen. Sie ist schlecht für die Vertraulichkeit, und das muss man klar sagen: Wenn Sie der einzige Kunde dieses Servers sind, ist Ihr ausgehender Verkehr trivial Ihnen zuzuordnen — Sie haben keine Menge, in der Sie untertauchen können, anders als bei einem Anbieter, der Tausende von Nutzern hinter jeder Ausgangs-IP bündelt. Das Self-Hosting gibt Ihnen Kontrolle, keine Anonymität.

Zensurkontexte ändern die Regeln

In einem Land, das aktive Netzwerkfilterung betreibt — China, Russland, Iran — verschiebt sich die Rechnung. Ihr lokaler Internetanbieter ist faktisch ein staatliches Überwachungsinstrument: Er sieht Ihren gesamten DNS- und HTTP-Verkehr und blockiert ganze IP-Bereiche und Protokolle. Ein VPN zu einem ausländischen Server umgeht das, vorausgesetzt, das Protokoll wird nicht erkannt und gekappt. Die chinesische Great Firewall kann klassische VPN-Handshakes erkennen und blockieren; dann braucht es WireGuard auf einem nicht standardmäßigen Port oder gleich Verschleierungsprotokolle, die so konzipiert sind, dass sie wie banaler Verkehr aussehen (Shadowsocks, V2Ray). Und die operative Regel duldet keine Ausnahme: Das VPN muss vor der Abreise installiert, konfiguriert und getestet werden. Vor Ort sind die App-Stores und die Websites der Anbieter oft unerreichbar. Zu versuchen, den Client vom Flughafen am Zielort herunterzuladen, heißt, zu spät anzukommen.

Der richtige Ansatz: ein Werkzeug, ein Zweck, eine klare Grenze

Der pragmatische Wechsel hält in einem Satz: Ein VPN ist keine Sicherheitshaltung, es ist eine Transportfunktion, die man für einen präzisen Zweck aktiviert und an diesem Zweck bewertet. Hören Sie auf zu fragen „Was ist das beste VPN” und beginnen Sie mit „Was genau will ich verhindern”. Die Antwort diktiert die Wahl — oder das Fehlen einer Wahl.

Wenn Ihr Ziel ist, Ihren Transit über ein nicht beherrschtes Netzwerk zu verschlüsseln, taugt jedes seriöse VPN, und das Kriterium wird die technische Zuverlässigkeit: WireGuardModernes, einfaches und leistungsfähiges VPN-Protokoll, im Linux-Kernel integriert.-Protokoll standardmäßig (rund 4.000 Codezeilen gegenüber ~100.000 bei OpenVPN — reduzierte Angriffsfläche, sofortige Wiederverbindung, geringe Latenz), Kill-Switch, der alles kappt, falls der Tunnel ausfällt, und ins Tunnel erzwungenes DNS, damit nichts ausleckt. Wenn Ihr Ziel die Vertraulichkeit gegenüber Ihrem Anbieter ist, wird das Kriterium das Vertrauen in den Anbieter: Mullvad ist die Referenz — No-Log, wiederholt von Dritten auditiert, Zahlung in bar oder Krypto möglich, keine E-Mail erforderlich (nur eine zufällige Kontonummer), Open Source. ProtonSchweizer Suite datenschutzorientierter Tools (Mail, VPN, Drive, Pass, Calendar) mit Open-Source-Modell. VPN ist die andere seriöse Wahl, schweizerisch, auditiert, Open Source. IVPN im selben Geiste. Alles andere — die werbeüberfrachteten Marken, von Fonds aufgekauft, mit Audits begrenzter Reichweite — ist gut, um Netflix freizuschalten, und sonst nichts.

Wenn Ihr Ziel echte Anonymität ist — journalistische Quellen, Whistleblower, Kontexte, in denen Ihre Identität unmöglich mit Ihrer Aktivität verknüpfbar sein muss — dann genügt kein einziges kommerzielles VPN. Sie brauchen TorAnonymisierendes Netzwerk, das den Datenverkehr über 3 aufeinanderfolgende Relais leitet, um den Ursprung zu verbergen., das so konzipiert ist, dass kein einzelner Knoten gleichzeitig weiß, wer Sie sind und was Sie tun. Das VPN ersetzt niemals Tor; bestenfalls geht es ihm voraus. Die beiden zu verwechseln, ist die Art Fehler, die eine Quelle kostet, nicht ein Abonnement.

Und wenn Ihr Ziel keines der drei ist — Sie wollen „weniger Werbung” oder „nicht mehr verfolgt werden” — dann ist das VPN schlicht nicht das richtige Werkzeug. Die Maßnahme, die etwas ändert, ist ein ernstzunehmender Blocker (uBlock Origin), ein gehärteter Browser und verschlüsseltes DNSSystem, das Domainnamen in IP-Adressen auflöst. Ein stark unterschätzter Überwachungs- und Zensurvektor.. Dafür ein VPN zu kaufen, heißt, ein Vorhängeschloss an die falsche Tür zu hängen.

Sind Zweck und Anbieter einmal gewählt, trennen drei Einstellungen ein VPN, das wirklich schützt, von einem dekorativen VPN. Der Kill-Switch zuerst: Er kappt jede Netzwerkverbindung, falls der Tunnel ausfällt, was das häufigste Leck verhindert — den Moment, in dem das VPN sich nach einem Netzwerkwechsel neu verbindet und Ihr Verkehr ein paar Sekunden lang im Klartext läuft. Ohne Kill-Switch reichen diese Sekunden, um Ihre echte IP der gerade aufgerufenen Seite preiszugeben. Das DNS im Tunnel als Nächstes: Viele Konfigurationen lassen die DNS-Anfragen über den System-Resolver hinausgehen, also sichtbar für das lokale Netzwerk und den Internetanbieter, selbst bei aktivem VPN. Ein Test auf dnsleaktest.com nach der Verbindung sagt Ihnen in dreißig Sekunden, ob etwas ausleckt. Das Split-Tunneling schließlich, das nur einen Teil des Verkehrs durch das VPN leitet: praktisch, um den Zugang zu einem lokalen Drucker oder einem Bankdienst zu behalten, der VPN-IPs blockiert, aber eine Falle für eine heikle Sitzung — alles außerhalb des Tunnels ist exponiert. Für eine Sitzung, die zählt, schaltet man das Split-Tunneling ab und lässt alles durch den Tunnel laufen.

Der letzte Reflex ist eine Frage der Reihenfolge: Man aktiviert das VPN bevor man sich verbindet, niemals danach. Wenn Sie eine Seite öffnen und dann den Tunnel einschalten, hat die Seite Ihre echte IP bereits protokolliert und Ihr Gerät hat vielleicht schon Domains im Klartext aufgelöst. Die verspätete Geste ist kosmetisch. Die Disziplin hält in einem Satz: zuerst Tunnel, dann Surfen.

Was das konkret bedeutet

Für Sie als Privatperson

Ein VPN ist nützlich in einem unzuverlässigen öffentlichen WLAN und um Ihre IP gegenüber einer punktuellen Drittseite zu verbergen. Das ist keine Anonymität, das ist kein Identitätsschutz, und es ersetzt weder Ihren Virenschutz noch Ihre Wachsamkeit gegenüber Phishing. Drei Maßnahmen, diese Woche, alle unter 200 € — die meisten zu 0 €:

  1. Entscheiden Sie, ob Sie es wirklich brauchen — Stellen Sie sich eine einzige Frage: Verbinde ich mich regelmäßig mit WLANs, die ich nicht kontrolliere, oder muss ich meine IP gegenüber Seiten verbergen? Wenn ja, nehmen Sie Mullvad (5 € im Monat, ohne Bindung, in bar zahlbar, No-Log auditiert). Wenn nicht — wenn Sie zu Hause an Ihrem Router oder in 4G/5G sind — brauchen Sie kein VPN. Sparen Sie sich das Abonnement.

  2. Konfigurieren Sie es korrekt, ein für alle Mal — Aktivieren Sie das WireGuardModernes, einfaches und leistungsfähiges VPN-Protokoll, im Linux-Kernel integriert.-Protokoll, aktivieren Sie den Kill-Switch und prüfen Sie nach der Verbindung auf dnsleaktest.com, dass kein DNS-Leck vorliegt. Kosten: 0 €, zehn Minuten. Ein schlecht konfiguriertes VPN, das DNS leckt, schützt nur Ihren Seelenfrieden.

  3. Verlassen Sie sich nicht auf es für das, was es nicht tut — Um dem Werbe-Tracking zu entgehen: Installieren Sie uBlock Origin (kostenlos). Um auf den von Ihnen genutzten Diensten nicht identifiziert zu werden: Loggen Sie sich aus den Konten aus, wenn Sie „getrennt” surfen wollen, oder nutzen Sie ein dediziertes Browser-Profil. Das VPN tut weder das eine noch das andere.

Für Sie als CISO / IT-Leitung / Geschäftsführung

Der zentrale Aufmerksamkeitspunkt: Consumer-VPN ≠ Unternehmens-VPN. Das sind zwei Gegenstände, die alles trennt außer dem Namen, und sie in Ihren Sensibilisierungskommunikationen zu verwechseln, erzeugt falsche Sicherheit bei Ihren Mitarbeitenden.

1. Das Unternehmens-VPN ist ein Zugangsbaustein, kein Vertraulichkeitswerkzeug. Zscaler, Cloudflare Access, Tailscale, selbstgehostetes OpenVPN: Diese Produkte existieren, um Ihren Mitarbeitenden einen kontrollierten Zugang zur internen Infrastruktur zu geben und zentrale Richtlinien durchzusetzen. Sie „machen nicht anonym”, sie „schützen nicht die Privatsphäre” — das ist nicht ihre Aufgabe. Direkte Konsequenz: Übernehmen Sie niemals das Consumer-Marketing-Vokabular in Ihren internen Leitfäden. Ein Mitarbeitender, der glaubt, das Corporate-VPN mache ihn „privat”, wird bei Phishing und Identitätsleck die Deckung herunterfahren, und das sind Ihre echten Risiken.

2. Das Modell „Tunnel ins interne Netzwerk” ist im Aussterben begriffen. Das traditionelle Zugangs-VPN setzt den authentifizierten Nutzer auf das Netzwerk, mit weitreichendem impliziten Vertrauen — ein kompromittiertes Endgerät hinter dem VPN bewegt sich seitlich. Die Marktverschiebung geht hin zu ZTNAZugriffsmodell, das jede Anfrage verifiziert, anstatt dem Netzwerk des Ursprungs zu vertrauen. und Zero TrustPrinzip: niemals standardmäßig vertrauen, jede Anfrage verifizieren.: Zugang pro Anwendung, nicht pro Netzwerk, kontinuierlich verifiziert. Direkte Konsequenz: Falls Ihre Architektur noch auf einem einzigen VPN-Konzentrator beruht, der das gesamte LAN exponiert, schreiben Sie die Migration zu einem ressourcenbasierten Zugang in Ihre Roadmap. Das VPN bleibt ein Baustein, nicht die Grenze.

3. Das Consumer-VPN auf beruflichen Geräten ist ein blinder Fleck. Mitarbeitende installieren NordVPN oder ein kostenloses VPN auf ihrem Dienstgerät „um sich zu schützen” und routen den Verkehr des Unternehmens durch einen unbekannten Dritten, manchmal außerhalb der EU, manchmal einen Datenhändler. Direkte Konsequenz: Ihre Richtlinie muss nicht genehmigte Consumer-VPNs auf verwalteten Endgeräten ausdrücklich verbieten, und Ihre Flottenmanagement-Lösung (MDM) muss das erkennen können. Ein kostenloses VPN auf einem Gerät, das Ihre Daten berührt, ist eine Exfiltration, die Sie selbst mit Nutzerkomfort bezahlen.

Fehler, die man ständig sieht

  • Glauben, dass das Aktivieren des VPN anonym macht. Solange Sie mit Ihren Google-, Apple-, Meta-Konten verbunden sind, sind Sie identifiziert, IP verborgen oder nicht. Anonymität läuft über TorAnonymisierendes Netzwerk, das den Datenverkehr über 3 aufeinanderfolgende Relais leitet, um den Ursprung zu verbergen. und eine Identitätsdisziplin, niemals über einen bloßen Tunnel.
  • Ein kostenloses VPN für eine heikle Nutzung verwenden. Das Geschäftsmodell eines kostenlosen VPN sind Sie: Weiterverkauf von Surfdaten, Einschleusen von Werbung oder Schlimmeres. Das ist genau das Gegenteil dessen, was Sie suchen.
  • Das DNS-Leck nicht prüfen. Viele Konfigurationen lassen die DNSSystem, das Domainnamen in IP-Adressen auflöst. Ein stark unterschätzter Überwachungs- und Zensurvektor.-Anfragen aus dem Tunnel hinaus. Ihr Internetanbieter sieht dann alle Domains, die Sie besuchen, ob VPN aktiv oder nicht. Ein Test auf dnsleaktest.com dauert dreißig Sekunden.
  • Das VPN aktivieren, nachdem man zu surfen begonnen hat. Wenn Sie sich mit einer Seite verbinden, bevor Sie den Tunnel einschalten, ist Ihre echte IP bereits protokolliert. Zuerst das VPN, dann das Surfen — sonst ist die Geste kosmetisch.
  • Unternehmens-VPN und Vertraulichkeits-VPN verwechseln. Das erste ist eine Zugangskontrolle, das zweite ein persönliches Werkzeug. Sie in einer Kommunikation zu vermischen, erzeugt fälschlich beruhigte Mitarbeitende.
  • Es vor Ort in einem Zensurland herunterladen. In China, Russland, Iran sind die Stores und die VPN-Websites oft blockiert. Zu versuchen, den Client vom Flughafen am Zielort zu installieren, ist im Allgemeinen zu spät: Es muss vor der Abreise installiert, konfiguriert und getestet werden.

Umsetzbare Checkliste

  • N1 Den Zweck vor dem Werkzeug festlegen: nicht beherrschtes WLAN? punktuelle IP-Verschleierung? Zugang zum IT-System? echte Anonymität? — jede Antwort diktiert eine andere Lösung
  • N1 Bei Consumer-Vertraulichkeit: Mullvad, Proton VPN oder IVPN wählen, niemals einen werbeüberfrachteten Anbieter oder ein kostenloses VPN
  • N2 WireGuard als Standardprotokoll und den Kill-Switch aktivieren
  • N2 Nach der Verbindung auf dnsleaktest.com prüfen, dass kein DNS-Leck vorliegt
  • N2 Das VPN aktivieren, BEVOR man sich mit einem Netzwerk oder einer Seite verbindet, niemals danach
  • N2 Für Werbe-Tracking und Fingerprinting: uBlock Origin + gehärteter Browser, kein VPN
  • N3 Für echte Anonymität (Quelle, Whistleblower): Tor, niemals ein kommerzielles VPN allein
  • N3 Einsatz in einem Zensurland: das VPN vor der Abreise installieren, konfigurieren und testen
  • N3 Auf Organisationsseite: Consumer-VPNs auf verwalteten Endgeräten verbieten und per MDM erkennen
  • N3 Auf Organisationsseite: den Wechsel vom Full-Tunnel-Netzwerk-VPN zu einem ressourcenbasierten Zugang (ZTNA / Zero Trust) planen

Zum Weiterlesen

Die belastbaren Referenzen stehen im Frontmatter. Lesen Sie zuerst das Threat Model von ProtonVPN(opens in a new tab): Es ist eines der seltenen Dokumente eines Anbieters, das ehrlich sagt, wogegen sein Produkt schützt und wogegen nicht. Die No-Log-Audits von Mullvad(opens in a new tab), wiederholt und öffentlich, zeigen, wie ein überprüfbares Versprechen statt einer Marketingfloskel aussieht. Und das Whitepaper von WireGuard(opens in a new tab) erklärt, warum ein Protokoll mit 4.000 Zeilen einen Koloss mit 100.000 ersetzt hat — eine gute Erinnerung daran, dass man Sicherheit gewinnt, indem man die Angriffsfläche reduziert, nicht indem man Funktionen aufeinanderstapelt. Die BSI-Empfehlungen zur sicheren VPN-Nutzung(opens in a new tab) ordnen das Ganze in den behördlichen Kontext ein. Für die logische Fortsetzung siehe Öffentliches WLAN, DNS härten und Reise-eSIM.

Quellen und weiterführende Literatur

Verwandte Artikel