82/83. Ausgabe, 4. Quartal 2021

Virtual Private Network: Mythos der Anonymität

Un/Sinn von und Alternativen zu VPNs

VPNs sind allgegenwärtig. Große Anbieter verlocken mit absurd hohen Rabatten und versprechen anonymen Datenverkehr. Nicht ganz falsch, aber schon längst nicht mehr alternativlos – insbesonders für Unternehmen.

Virtual Private Networks (VPN) sind gut gemeinte Vehikel, um sich möglichst anonym im Internet zu bewegen. Mittlerweile wird das eigentliche Surfen im Netz auch mit VPN nicht unbedingt sicherer. Im Business hingegen, reicht VPN womöglich nicht mehr aus, um den Mitarbeiter aus der Ferne zielsicher ins Intranet zu geleiten. Eine Einordnung.

Virtual Private Network: Der Tunnel

Virtual Private Network, ein virtuelles privates Netzwerk also, ist eine Zugangsmöglichkeit zu einem Netzwerk und verbindet Nutzer und Netzwerk auf direktem Weg. Der Vorteil liegt auf der Hand: eine sichere Kommunikation. Denn wenn eine Verbindung nur von einem Endgerät genutzt wird, gelangen sensible Inhalte nicht an Dritte – so zumindest die Theorie. VPNs nutzen zur Übertragung das öffentliche Internet, bauen aber zwischen Nutzer und Endpunkt einen abgeschirmten Tunnel auf, in dem nur ein Nutzer verkehrt. Etwa so, also würde man auf der Autobahn eine Spur mittels dicker Betonwände vom Rest absperren und nur eine Person durchfahren lassen.
Der Einfachheit halber bleiben wir doch bei diesem Bild: Ein Mehrwert dieser besonderen abgeschirmten Strecke ist die Anonymisierung. Während die übrigen Fahrzeuge am Ende der Strecke über ihr einzigartiges Nummernschild – also die IP-Adresse von PC, Smart-
phone & Co. - erfasst werden, trägt das Fahrzeug im VPN-Tunnel nur die Kennung eben dieses Tunnels.

Aber:

„Anonymisierung ist im Grunde genommen nicht die eigentliche Aufgabe eines VPN. Die Aufgabe besteht darin, einen gesicherten, verschlüsselten Verbindungstunnel zwischen zwei Endpunkten herzustellen. Zum Beispiel zwischen zwei Rechenzentren einer Firma, oder einem Home-Office-Arbeitsplatz und dem Rechenzentrum der Firma.“

Christian Peters, Administrator Rechenzentrum KID Magdeburg

VPN vs. Intranet: Networking

Ein kurzer Schwenk in den Business-Sektor. Womöglich erinnert den einen oder die andere die Definition und Funktionsweise an das allseits beliebte und bekannte Intranet. Auch hier werden Daten in einem (hoffentlich) sicheren Raum, abseits des WWW ausgetauscht. Was ist also der Unterschied, zwischen VPN und Intranet? Es ist in jedem Fall ein großer.

Virtual Private Network ist eine Methode, um aus der Ferne auf ein bestehendes Netzwerk, etwa ein Firmennetz, zuzugreifen. Um die Distanz zu überbrücken wird das öffentliche Internet genutzt; die Datenpakete allerdings verschlüsselt.

Intranet beschreibt ein geschlossenes nicht öffentliches Netzwerk. Es ist häufig lokal als auch digital abgegrenzt. Damit bildet es eine gute Grundlage für organisationsinterne Kommunikation und den Austausch sensibler Daten. Ein Intranet nutzt nichtsdestotrotz oft die gleiche Technologie wie das öffentliche Internet, etwa das HTTPS-Protokoll.

Home Office (auch Remote Office) oder auch global verteilte Firmensitze machen es bisweilen nötig, aus der Ferne auf das sonst abgeschlossene Intranet zuzugreifen. VPNs können die Lösung für einen sicheren Zugriff sein.

Können.

Zero Trust Network Access: (ZTNA): Die alternative Netzwerklösung

„Vertrauen ist gut …“ - der Rest ist bekannt. Die VPN-Technologie ist längst nicht mehr alternativlos. Einen Schritt weiter geht beispielsweise ein Zero Trust Network Access. Hier wird eine Verbindung zwischen Nutzer und spezifischen Anwendungen im geschlossenen System hergestellt.

IT-Fachmann Christian Peters erklärt das Konzept anhand der kommerziellen ZTNA-Lösung Zscaler wie folgt:
„Der Zero Trust Ansatz verbindet den einzelnen Endnutzer, zum Beispiel im Home Office, nur mit den Kommunikationsendpunkten im Firmennetzwerk, die für ihn‚ freigegeben sind. Wobei Kommunikationsendpunkte hier einzelne Applikationen wie z. B. Fachverfahren oder Anwendungen/Dienste im kommunalen Rechenzentrum (Kommunal-Cloud) darstellen. Dies erfordert drei Komponenten:

1. [Der] Z-Broker, der von Zsaler in einem Cloud-Rechenzentrum [...] bereitgestellt wird [...].
2. [Den] ZPA-Client – ein Stück Software, das beim Endnutzer installiert ist und die Anfrage für den Zugriff auf eine bestimmte Applikation in der Kommunal-Cloud an den Z-Broker stellt.
3. Der Z-Connector […] ist vor Ort im Rechenzentrum (Kommunal-Cloud) ‚vor‘ den jeweiligen Applikationsservern installiert. Er wird vom Z-Broker kontaktiert und angewiesen, eine sichere Verbindung von der Applikation zum autorisierten Benutzer herzustellen.

[…] Die Verbindungen zwischen den drei Komponenten werden über verschlüsselte Mikrotunnel realisiert.“

Der Vorteil: Ein Maximum an Sicherheit, da ungewollte Bewegungen im geschlossenen Unternehmensnetzwerk schlichtweg nicht mehr stattfinden (können).

VPN für Consumer – Part I: Grenzfälle

Die unausgesprochene Wahrheit: VPNs sind für Privatanwender vor allem interessant, weil sich per VPN unkompliziert Geoblocking auf YouTube & Co. umgehen lässt, also das länderspezifische Sperren von digitalen Inhalten, z. B. verbunden mit folgender Meldung: „Dieses Video ist in deinem Land nicht verfügbar“. In den meisten VPN-Clients können Nutzer aussuchen, über welchen Server sie surfen wollen. Wählt man nun einen Server aus, der in den USA steht und loggt sich dann bei Netflix & Co. ein, stehen in der Regel andere Inhalte zur Verfügung. Ist man im Ausland unterwegs und möchte auf die Mediatheken von ZDF & Co. zugreifen, ändert man seinen virtuellen Standort hingegen auf Deutschland.

Und darüber hinaus? Christian Peters ordnet VPNs für den Consumerbereich wie folgt ein: „Aus rein persönlicher Sicht sehe ich keinen Vorteil, da die Verschlüsselung von Netzwerkverkehr heute der Normalfall ist. Danke an Edward Snowden!“

Auch wissenswert: Die Nutzung eines VPN hat keinen Einfluss auf die Sicherheit von Messengern wie WhatsApp, Telegram und dergleichen, die wiederum alle sowieso schon Ende-zu-Ende-verschlüsselt sind.

VPN für Consumer – Part II: Literally a private network

VPNs sind unter anderem in öffentlichen WIFIs sinnvoll – „Gratis-WLAN zu Kaffee & Kuchen“ – und generell für Menschen, für die Anonymität (überlebens)wichtig ist, etwa Journalisten und/oder/auch in Ländern mit massiven Einschränkungen der Pressefreiheit.

Allerdings rät etwa das renommierte Tech-Portal Heise.de dazu, für die Verschlüsselung keine kommerziellen Anbieter wie NordVPN & Co. zu nutzen und stattdessen etwa ein privates VPN über den eigenen Router herzustellen. Anleitungen dazu finden sich online. Warum? Nun, je nach Anbieter sammeln eben auch VPN-Anbieter Kundendaten, etwa um Nutzungsverhalten zu analysieren, technische Probleme zu entdecken, etc. Und das kann spätestens dann kritisch werden, wenn auch der VPN-Anbieter Opfer eines Datenlecks wird. So ein Fall ereignete sich erst 2020, als gleich sieben VPN-Anbieter versehentlich Kundendaten veröffentlichten, die sie laut Eigenwerbung gar nicht erst gesammelt haben sollten; Stichwort „no logging“.

VPN für Consumer – Part III: You’re not welcome  

Obwohl nicht überall, aber doch noch immer ein Thema, ist der Geschwindigkeitsverlust bei der Nutzung von VPNs. Dabei ist es auch egal, ob der Anbieter nun kommerziell ist oder ob man ein eigenes Netzwerk aufbaut. Fakt ist: Die Daten werden über einen Umweg geschickt. Ist nicht immer dramatisch, kann sich aber bei hohen Datenraten (etwa beim Streamen von Ultra-HD-Inhalten) bemerkbar machen. In einzelnen Tests stellen Portale Verluste zwischen 3 und 32 Prozent fest.

Internetanbieter und verschiedene Dienste versuchen gezielt gegen VPN-Nutzer vorzugehen. Beispiel Netflix: Nach steigendem Druck durch Rechteinhaber hat der Streamingdienst erst 2021 seine Maßnahmen gegen VPN-Anbieter verschärft. Konkret sperrt der Filter Nutzer, wenn sie über eine IP surfen, die im Verdacht steht von einem VPN-Anbieter zu kommen. Vereinzelt treffen diese Filter wohl auch Nutzer ohne VPN, einfach weil die verwendete IP auf einer schwarzen Liste steht.

Schade.

Autor: Robert Gryczke

Vielen Dank an Christian Peters für die technische Beratung.

Transparenzhinweis: Das Rechenzentrum der KID arbeitet aktuell mit der Netzwerklösung Zscaler. Die Markennennung dient der Veranschaulichung und erfolgt ohne werbliche Absicht.

Quellen: Interview m. Christian Peters vom 08.10.2021; DifferenceBetween.net, „Difference between[…], abgerufen am 12.10.2021; Computerbetrug.de, „Anonym surfen“, abgerufen am 13.10.2021; Heise.de, „Sicher surfen[…]“ vom 25.05.20; t3n.de, „Ungesicherte Datenbank[…]“ vom 23.07.2020; VPNMentor.com, „Die schnellsten[…] vom 22.08.2021; PC-Welt.de, „Neue VPN-Sperren[…] vom 13.08.2021