5 Gründe, warum kostenlose VPNs gefährlich sind – Ihre Daten sind ein Produkt

Kernzusammenfassung

• Viele kostenlose VPN-Apps generieren Einnahmen durch das Sammeln und Verkaufen von Benutzerdaten, wodurch Datenschutz-Tools zu Überwachungsinstrumenten werden können.
• Laut einer Studie des CSIRO (Commonwealth Scientific and Industrial Research Organisation) aus dem Jahr 2016 enthielten 38 % der analysierten kostenlosen VPN-Apps Malware, und 84 % leiteten Benutzerdaten weiter.
• Wenn Sie vollständige Online-Privatsphäre wünschen, ist die Wahl eines vertrauenswürdigen kostenpflichtigen VPN-Dienstes die praktisch einzige Alternative.

---

Einleitung

Es gibt ein Sprichwort: "Wenn es kostenlos ist, trinkst du auch Lauge." Dieses Sprichwort trifft im digitalen Raum erschreckend genau zu. Immer mehr Menschen entscheiden sich für kostenlose VPNs, um monatliche Abonnementgebühren zu sparen, aber nur wenige erkennen, welche hohen Kosten diese Entscheidung tatsächlich mit sich bringt.

Ein VPN (Virtual Private Network) ist ursprünglich ein Werkzeug, das Internetverbindungen verschlüsselt und die IP-Adresse des Benutzers verbirgt, um die Online-Privatsphäre zu schützen. Diese Technologie, die ursprünglich als Sicherheitsmaßnahme für den Remote-Zugriff in Unternehmensumgebungen entwickelt wurde, wird mittlerweile auch von normalen Verbrauchern weit verbreitet genutzt. Doch es gibt ein Problem: Der Betrieb eines VPN-Dienstes erfordert hohe Betriebskosten für Serverinfrastruktur, Datenverkehr und Personal. Wie also verdienen kostenlose VPN-Anbieter Geld?

Die Antwort ist einfach: Sie sind das Produkt.

In diesem Artikel werden wir die Risiken kostenloser VPNs anhand konkreter Beispiele und Daten detailliert untersuchen und Ihnen zeigen, welche Entscheidungen Sie für echte Online-Sicherheit treffen sollten.

---

Ist ein kostenloses VPN wirklich kostenlos? – Absolut nicht

Die Antwort auf diese Frage ist klar: Ein kostenloses VPN ist nicht kostenlos. Stattdessen zahlen Sie mit Ihren Daten, Ihrer Privatsphäre und manchmal sogar mit der Sicherheit Ihres Geräts.

Im Silicon Valley gibt es ein altes Sprichwort: "Wenn Sie nicht für das Produkt bezahlen, sind Sie das Produkt." Dieses Prinzip, das in sozialen Medien weit verbreitet ist, wird in der Branche der kostenlosen VPNs noch offensichtlicher umgesetzt.

Die Geschäftsmodelle der kostenlosen VPN-Anbieter lassen sich grob in vier Kategorien einteilen.

Erstens, das Sammeln und Verkaufen von Benutzerdaten. Dabei werden Informationen über besuchte Websites, Suchverläufe, Standortdaten und Geräteinformationen gesammelt und an Werbefirmen oder Datenbroker verkauft. Zweitens, das Einfügen von Werbung. Hierbei werden Anzeigen in den Benutzerverkehr eingefügt, um Einnahmen pro Klick zu erzielen. Drittens, der Verkauf von Bandbreite. Dabei wird die Internetverbindung der Benutzer für andere Zwecke verkauft. Viertens, die Verbreitung von Malware. Hierbei werden Spyware oder Adware in die App integriert, um auf verschiedene Weise Einnahmen zu generieren.

Lassen Sie uns nun die fünf wichtigsten Risiken kostenloser VPNs einzeln betrachten.

---

Risiko 1: Datenprotokollierung und Verkauf – Ihr Online-Verhalten wird gehandelt

Der Hauptwert eines VPNs liegt in der "No-log-Policy", also der Tatsache, dass keine Benutzeraktivitäten protokolliert werden. Viele kostenlose VPNs kehren dieses Versprechen jedoch ins Gegenteil um. Sie protokollieren alle Online-Aktivitäten der Benutzer und verkaufen diese Daten an Dritte.

Der Fall von Hola VPN, der 2015 aufgedeckt wurde, verdeutlicht die Schwere dieses Problems. Das von einem israelischen Unternehmen betriebene Hola VPN hatte weltweit Millionen von Benutzern. Es stellte sich jedoch heraus, dass dieser Dienst die Internetverbindungen seiner Benutzer ohne deren Wissen als Botnet nutzte und an andere Unternehmen verkaufte. Dieses Netzwerk konnte für Online-Angriffe missbraucht werden, und die Benutzer wurden unwissentlich zu Komplizen.

Ein weiteres Beispiel ist Betternet. Dieses kostenlose VPN warb mit Datenschutz, sammelte jedoch tatsächlich Benutzerdaten und verkaufte sie an Werbefirmen. Analysen der App zeigten, dass sie mehrere Tracking-Bibliotheken enthielt.

Wenn Sie die Datenschutzrichtlinie sorgfältig lesen, wird die Realität vieler kostenloser VPNs deutlich. In den Nutzungsbedingungen vieler kostenloser VPNs finden sich Formulierungen wie: "Wir können anonymisierte aggregierte Daten mit Werbepartnern teilen." Lassen Sie sich nicht von dem Wort 'anonymisiert' täuschen. Moderne Datenanalysetechniken haben gezeigt, dass selbst anonymisierte Daten zur Identifizierung von Personen verwendet werden können.

Die Arten der gesammelten Daten sind vielfältig. Dazu gehören besuchte URLs, Suchbegriffe, Online-Einkaufsverläufe, medizinische und finanzielle Suchanfragen, Standortdaten, Zugriffszeiten und -muster. Wenn diese Informationen kombiniert werden, entsteht ein detailliertes Profil, das Ihre Lebensgewohnheiten, Gesundheitszustände, finanzielle Situation, Interessen und politische Neigungen offenbart.

---

Risiko 2: Malware-Integration – Die VPN-App selbst ist ein Virus

Im Jahr 2016 führte ein Forschungsteam des CSIRO (Commonwealth Scientific and Industrial Research Organisation) eine umfassende Analyse von 283 kostenlosen VPN-Apps im Google Play Store durch. Die Ergebnisse waren schockierend.

• 38 % der Apps wiesen Malware auf.
• 84 % der Apps leiteten Benutzerdaten weiter.
• 75 % der Apps enthielten Tracking-Bibliotheken.
• 18 % der Apps verschlüsselten den Datenverkehr tatsächlich nicht.

Diese Studie erschütterte den Glauben der Benutzer an die Sicherheit kostenloser VPNs. Besonders erstaunlich war, dass auch bei Apps mit hohen Bewertungen im App Store Malware gefunden wurde. Dies zeigt, dass Benutzerbewertungen und -bewertungen kein zuverlässiger Sicherheitsindikator sind.

Die Arten von Malware sind vielfältig. Adware fügt Werbung in den Browser des Benutzers ein oder erzeugt Pop-ups. Spyware sammelt heimlich Informationen durch Tastatureingaben, Screenshots und den Zugriff auf Kamera und Mikrofon. Trojaner sehen aus wie normale VPN-Apps, führen aber im Hintergrund bösartige Aktivitäten aus. Einige Apps nutzen die Geräte der Benutzer sogar für das Mining von Kryptowährungen.

Im Jahr 2019 wurde die kostenlose VPN-App 'SuperVPN' über 100 Millionen Mal im Google Play Store heruntergeladen, obwohl sie schwerwiegende Sicherheitsanfälligkeiten aufwies und anfällig für Man-in-the-Middle-Angriffe war. Dennoch wurde die App lange Zeit nicht aus dem App Store entfernt.

---

Risiko 3: Bandbreitenverkauf – Ihr Internet wird für andere Zwecke verwendet

Der schockierendste Aspekt des Hola VPN-Falls war nicht nur das bloße Sammeln von Daten. Hola verband die Computer und Smartphones der Benutzer zu einem riesigen P2P (Peer-to-Peer)-Netzwerk und verkaufte die Internetbandbreite der Benutzer an Unternehmenskunden über eine andere Firma namens Luminati (jetzt Bright Data).

Das bedeutet, dass Ihre Internetverbindung, während Sie Hola VPN verwenden, tatsächlich als Kanal für den Datenverkehr anderer dient. Das ernstere Problem ist, dass die Benutzer nicht wissen, wofür die Unternehmen oder Einzelpersonen, die diese Bandbreite kaufen, sie verwenden. Wenn diese Bandbreite für DDoS-Angriffe, den Download illegaler Inhalte oder Betrug verwendet wird, könnten Sie als Eigentümer der IP-Adresse rechtlich belangt werden.

Dies ist nicht nur eine Verletzung der Privatsphäre, sondern birgt auch rechtliche Risiken. In Südkorea wird die IP-Adresse oft als wichtiges Beweismittel bei Verstößen gegen das Urheberrecht oder Cyberkriminalität verwendet. Man könnte unwissentlich in ein Verbrechen verwickelt werden.

Einige kostenlose VPN-Dienste gehen noch raffinierter vor. Sie integrieren sich in andere Apps in Form eines SDK (Software Development Kit) und sammeln im Hintergrund Bandbreite, während der Benutzer diese Apps ausführt. Der Benutzer denkt, dass die VPN-App nicht aktiv ist, aber sein Gerät könnte bereits den Internetverkehr anderer weiterleiten.

---

Wie steht es um das Verschlüsselungsniveau kostenloser VPNs? – Keine oder schwache Verschlüsselung

Zusammenfassend lässt sich sagen, dass viele kostenlose VPNs keine ordentliche Verschlüsselung bieten.

Um ihre Funktion zu erfüllen, benötigen VPNs militärische Verschlüsselung. Derzeit ist der Branchenstandard die AES-256 (Advanced Encryption Standard 256-Bit) Verschlüsselung, die mathematisch bewiesen hat, dass selbst die stärksten Supercomputer der Welt Milliarden von Jahren benötigen würden, um sie zu knacken.

Laut der bereits erwähnten CSIRO-Studie verschlüsselten jedoch 18 % der untersuchten kostenlosen VPNs den Datenverkehr überhaupt nicht. Sie tragen nur den Namen VPN, bieten aber tatsächlich keinen Schutz.

Selbst wenn eine Verschlüsselung stattfindet, gibt es Probleme. Viele kostenlose VPNs verwenden immer noch das veraltete Verschlüsselungsprotokoll PPTP (Point-to-Point Tunneling Protocol). PPTP wurde in den 1990er Jahren entwickelt und hat mittlerweile schwerwiegende Sicherheitsanfälligkeiten, die von professionellen Hackern ausgenutzt werden können. Im Gegensatz dazu verwenden vertrauenswürdige kostenpflichtige VPNs moderne und sichere Protokolle wie OpenVPN, WireGuard oder IKEv2.

Schwache Verschlüsselung ist besonders in öffentlichen WLAN-Umgebungen katastrophal. Der Hauptgrund, warum Benutzer in Cafés, Flughäfen und Hotels öffentliche Netzwerke mit VPNs nutzen, ist die Verbesserung der Sicherheit. Wenn die Verschlüsselung jedoch schwach oder nicht vorhanden ist, kann dies sogar gefährlicher sein als die Nutzung eines VPNs.

Angreifer könnten Man-in-the-Middle-Angriffe durchführen, um Anmeldeinformationen, Finanzdaten und persönliche Nachrichten der Benutzer abzufangen.

---

Risiko 4: Schwache Verschlüsselung – Ihre Kommunikation wird offengelegt

Das Problem der Verschlüsselung bei kostenlosen VPNs beschränkt sich nicht nur auf die Verwendung veralteter Protokolle. Ein grundlegenderes Problem ist das Management von Verschlüsselungsschlüsseln und die Überprüfung von Zertifikaten.

Einige kostenlose VPN-Apps überprüfen SSL/TLS-Zertifikate nicht ordnungsgemäß, was sie anfällig für Man-in-the-Middle-Angriffe macht. In diesem Fall kann ein Angreifer zwischen dem Benutzer und dem VPN-Server eindringen und den Datenverkehr abhören. Forscher, die die Apps analysierten, entdeckten, dass einige kostenlose VPNs selbstsignierte Zertifikate ohne jegliche Überprüfung akzeptieren.

Darüber hinaus gibt es auch Probleme mit der Länge der Verschlüsselungsschlüssel. 128-Bit-Verschlüsselung ist in bestimmten Kontexten nicht mehr sicher und kann von Hackern relativ leicht gebrochen werden. In der heutigen Zeit ist eine starke Verschlüsselung unerlässlich, um die Privatsphäre und Sicherheit der Benutzer zu gewährleisten.