Mythos: Ich bin anonym über VPN! Nur VPN ohne Logfiles!

Anonymität ist definiert über „unbekannt bleiben“ oder „nicht erkannt zu werden“.

Du bist nicht „Anonym“ wenn Du Online bist, auch wenn Du Privatsphäre-Tools verwendest wie TOR, Bitcoin oder auch VPN-Services. Jeder Service hat zumindest ein Stück Information das auf Dich hinweisen könnte oder das Dich von anderen Benutzern unterscheidet. Egal ob es die IP-Adresse (VPN und TOR) oder die Adresse Deines Wallets für Bitcoin ist. Diese Informationen alleine verrät noch keine Details über Dich als Benutzer, aber diese Daten können mit anderen Daten zusammengeführt werden und damit auch Deine Identität eindeutig erkannt werden.

Einige Veröffentlichungen haben auch richtig erkannt, das weder Tor noch Bitcoin Dich „anonym sein lassen.

Auch ein VPN-Service macht Dich nicht direkt „Anonym“ aber dieser kann trotzdem Deine Privatsphäre und auch Sicherheit im Internet beträchtlich erhöhen.

Ein VPN ist ähnlich wie ein Vorhang vor den Fenstern zu verstehen. Die Vorhänge verschaffen Dir Privatsphäre für alle Deine Aktivitäten, welche innerhalb des Hauses erfolgen, auch wenn Deine eigentliche Hausadresse öffentlich und bekannt ist.

Daher ist Privatsphäre ein viel realistischeres Ziel das man erreichen kann, anstelle wirklicher Anonymität.

Privatsphäre ist eine persönliche Vorstellung jedes Einzelnen und hat unterschiedliche Bedeutungen für verschiedene Menschen. Aber generell bedeutet es, dass die Menschen selbst entscheiden können, welche Aktivitäten Sie mit anderen teilen wollen oder auch nicht. Daher kann „Privatsphäre“ auch bedeuten, dass man sich selbst ausdrücken kann und seine Meinung vertreten kann, auch wenn man nicht möchte, dass dies direkt auf einem zurückführen kann.

„Privatsphäre ist das Recht und die Möglichkeit für jedes Individuum, sich frei ausdrücken zu können, ohne Angst oder der Gefahr, dass jemand anders über die eigenen Schultern dabei schaut. Folgen aus fehlender Privatsphäre können im Internetzeitalter langanhaltende Probleme mit sich ziehen.“

von Markus Hanf (Author dieser Seite)

Was macht ein „guter“ VPN-Anbieter?

Dieser macht keine Werbung mit „Anonymität“ oder damit das er sicher keine Logfiles speichert. Eine transparente Darstellung die Dir auch die Sicherheit gibt, das das Unternehmen sich Deiner Privatsphäre aber annimmt und dem Du vertrauen kannst ist wichtiger, als haltlose Versprechen.

Zurück zu den VPN Mythen

VPN MYTHOS #2

Services die Dir versprechen Dich „anonym“ zu machen und dabei Wert legen alle Daten die auf Dich führen können zu eliminieren schaffen zu hohe Erwartungen. Wie man auch im „Mythos #1“ erkennen kann, ist es schlichtweg nicht möglich eine 100%ige Anonymität zu erhalten. Aber wie auch immer, Services die deine Privatsphäre aktiv schützen anstelle nur keine Daten zu speichern werden wesentlich erfolgreicher sein können.

Internet Benutzer können „private Browser“ verwenden, Proxies, TOR, verschlüsselt Nachrichten senden, VPN`s nutzen oder andere großartige Tools verwenden um Ihre Privatsphäre zu erhöhen. Aber es ist nie möglich einfach keine Spuren zu hinterlassen die auf Dich führen könnten. Es ist möglich der Massenüberwachung auszuweichen von Regierungen oder auch Unternehmen, die Deine Daten sammeln wollen, aber keines der Tools die dazu dienen werden und auch keine Kombination von verschiedenen Anwendungen kann Dich tatsächlich „Anonym“ machen. Privatsphäre ist ein sicher erreichbares Ziel, aber „Anonymität“ ist nur ein falsches Versprechen.

Edward Snowden recently encouraged Internet users to focus on increasing privacy to defeat “mass surveillance:”

…basic steps will encrypt your hardware and … your network communications [making] you…far, far more hardened than the average user – it becomes very difficult for any sort of a mass surveillance. You will still be vulnerable to targeted surveillance. If there is a warrant against you, if the NSA is after you, they are still going to get you. (emphasis added) But mass surveillance that is untargeted and collect-it-all approach you will be much safer.

As one of Golden Frog’s founders posted to the Usenet, “You are not anonymous on the Net. You can run, but you can’t hide.”

Einige VPN-Provider versprechen einen „anonymen Service“ als Werbebotschaften auf ihren Webseiten, aber wenn Du in deren Bedingungen nachliest, dann kannst Du erkennen, das sie sich an lokale Gesetze halten oder für technische Zwecke Daten von Dir speichern die weit über die Anmeldedaten hinausgehen.

Hide My Ass zum Beispiel hat schon mit „Anonymisierungs Service“ geworben und danach aber einen bekannten Aktivisten und LulzSec Hacker direkt an die Behörden ausgeliefert. So passiert dies auch heute noch selbst bei Urheberrechtsvergehen.

Was man auch feststellen muss ist, dass viele Funktionen wie Datenlimitierung für Tarife, Kontrolle der gleichzeitigen Verwendung des Services und auch andere Funktionen eine Protokollierung notwendig machen. Anbieter die Du daher nicht auf unlimitiert vielen Geräten zur selben Zeit nutzen kannst, müssen zwangsläufig protokollieren, wie oft Du den Service zur selben Zeit nutzt! Das mag ja auch alles gründe haben und soll hier nicht als prinzipiell schlecht dargestellt werden. Aber dann zu behaupten sie speichern keine „Logfiles“ ist dann einfach falsch!

Hier sind einige Beispiele von Anbietern die mit „Anonymität“ und auch „Keine Logfiles“ werben aber definitiv sich auch in Ihren eigenen Geschäftsbedingungen dafür das Recht herausnehmen.

• Express VPN:

  Webseite: “Anonym surfen”

  Privatsphäre Regelungen: “In addition to the information you provide through our order-form, we may store the following pieces of data: IP address, times when connected to our service, and the total amount of data transferred per day. We store this to be able to deliver the best possible network experience to you. We keep this information secure and private. If we receive complaints regarding copyrighted materials such as music and movies being shared over our network, we may filter traffic to see which account is sending it, and then cancel that account.”

• Pure VPN:

  Webseite: “Anonymer VPN Service;” “macht Dich ANONYM;” “anonymes Surfen im Internet”

  Privatsphäre Regelungen: “…we will never release any information about you or your account to anyone except law enforcement personnel with the proper documentation and paperwork.”

  “Furthermore, in the course of using PureVPN services, you or someone else on your behalf may give out information about yourself or give access to your system. This information may include, but not limited to:

  • Namen und IP Adressen
  • Betriebsystem
  • Aktivitätsrelevante Protokolle”

• Zenmate:

  Webseite: “Anonym surfen;” “Anonym im Internet”

  Privatsphäre Regelungen: “In order to prevent attacks against ZenGuard your IP address will be saved temporarily on the server without being stored permanently or used for any other purposes.”

  “When choosing an access point please note that only this server will process your IP address and request for the webpage you would like to access (the “Targeted Website”).”

  “…on the server you selected, your site request and your IP address are received via an encrypted connection.”

• CyberGhost:

  Webseite: “anonym surfen;” “bester Service für Sicherheit und Anonymität”

  Privatsphäre Regelungen: “CyberGhost keeps no logs which enable interference with your IP address, the moment or content of your data traffic.”

  Note: The CyberGhost privacy policy was updated recently but previously stated they “may process and use personal data collected in the setup and delivery of service (connection data). This includes Customer identification and data regarding time and volume of use.” Despite this privacy policy, they still advertised an “anonymous” service. Unfortunately, their newly updated privacy policy is confusing. It appears they say they don’t log the content of your traffic, but what about connection data such as IP address? Due to their previous marketing messages contradicting their prior privacy policy, we have concerns about their current privacy policy.

Wenn ein VPN-Anbieter einfach sagt, dass er keine „Logfiles“ oder „Protokolle“ anlegt garantiert Dir dies nicht, dass Du „Anonym“ sein wirst oder Deine Privatsphäre dabei geschützt wird. Jedes System und auch jeder qualifizierte IT-Techniker braucht bestimmte Protokolldaten (Logs) um ein System oder einen Server am Laufen zu halten und auch zu optimieren. Es ist Tatsache, dass Anbieter die „Keine Logfiles“ versprechen auch auf die Frage antworten sollten, was Sie mit diesen immer anfallenden Daten tun.

Wenn ein Anbieter absolut keine Protokolle erstellt, dann ist dieser definitiv nicht in der Lage:

• Tarife mit Mengenbegrenzungen anzubieten
• Zugang auf 1, 3 oder 5 Geräte zur selben Zeit zu limitieren
• Probleme zu erkennen und einen Kundenservice dazu anzubieten
• Deine Tätigkeiten auch entsprechend sicher und stabil zu bewerkstelligen
• Bei Angriffen aus dem Internet die Infrastruktur zu schützen oder auch sicherzustellen, dass Du geschützt bist.
• Spammer oder auch Missbrauch der Infrastruktur zu blockieren und damit das gesamte System zu gefährden.

Das Thema „Logfiles“ ist viel komplexer, als das man es auf eine Zeile in einer Werbebotschaft vereinfachen könnte.  Es sind mehr Fälle bekannt geworden über ausgehändigte Benutzerdaten, von Anbietern die „keine Logfiles“ versprechen, als dies von qualitativ arbeitenden und transparenten Anbietern der Fall wäre. Auch Anbieter die einfach „Keine Logfiles“ versprechen mussten irgendwann zugeben, dass Sie auch Sniffer im Netzwerk verwenden um Daten von Missbrauch zu erkennen. VPN-Nutzer sollten daher auf mehr Transparenz des VPN-Anbieters Wert legen anstatt sich auf einfache und übertriebene Werbebotschaften zu fokussieren.

Jeder der einen Server kennt, weiß dass es extrem schwierig ist diesen OHNE Protokolle (Logfiles) zu betreiben. Gerade auch gemietete Server-Systeme werden und müssen von den Betreibern und Vermietern überwacht werden. Dies hat zwar in erster Linie technische gründe, aber es ist falsch zu behaupten, dass dabei keine Logfiles anfallen. Also jedes Mal, wenn ein Server nicht im Besitz des VPN-Anbieters ist, dann werden Logfiles erstellt werden, dies ist auch in den Mietverträgen der Betreiber der Server geregelt. Aber wie kann ein VPN-Anbieter dann davon reden, dass er keine Logfiles speichert? Und wie sehr  wird dann auch die Privatsphäre der Nutzer beachtet, wenn man schon hier so maßlos übertreibt?

Gerade auch im letzten Jahr sind Kunden eines „holländischen VPN-Services“, welche besonderen Wert bei den Werbebotschaften auf „No Logs“ legte von Behörden über die Logfiles der Serveranbieter aufgespürt worden. Der Server-Hoster (Vermieter) musste auf Anweisung von Behörden die Server direkt übergeben und im Zuge dessen auch alle darauf verweisenden Logfiles aushändigen. Das Resultat war die Enttarnung beinahe aller Benutzer dieses Anbieters, und deren Aktivitäten über diesen Server. Der Anbieter hat zwar den Vertrag mit dem Serverhousing (Betreiber) gekündigt, dieser hatte aber die Logfiles bereits Wochen vorher den Behörden übergeben müssen. Eine Information an die Benutzer war damit gar nicht möglich, da es der VPN-Anbieter selbst nicht erfahren hatte. Aber selbst am Tag als alle Daten übergeben wurden, stand auf dessen Webseite „Absolut keine Logfiles“.

Im Forum eines anderen Anbieters haben wir eine Diskussion gefunden, bei der Einträge und Fragen der Benutzer gelöscht wurden als es um das Thema „Datensicherheit und Zusammenarbeit mit Serverhousing Unternehmen“ ging. Dem Unternehmen waren die Fragen zu den Servereigentümern offenbar nicht sehr angenehm.

Einige Fragen die man stellen sollte, wenn VPN-Anbieter Server mieten:

• Wie können „gemietete Server oder Cloud basierte Server“ es verhindern, dass die Betreiber dieser Server unbemerkt eine Kopie des Servers und aller Daten darauf machen?
• Wie können gemietete Server es verhindern, dass eine verfälschte Kopie der Server erstellt wird, welche die Daten der Benutzer unbemerkt abschöpft?
• Was passiert mir den Daten, wenn die Server nicht mehr gebraucht werden oder defekt werden? Oder einfach der Mietvertrag mit dem VPN-Service beendet wird?
• Wenn ein VPN-service die Server nicht selbst besitzt, wie kann dieser dann sicherstellen, dass es keine Hintertüren oder Universalschlüssel dazu gibt?

Viele VPN-Anbieter (Mit Ausnahme einiger weniger) verwenden nicht Ihr eigenes Netzwerk, sondern lassen Drittfirmen Ihr Netzwerk betreiben. Um das Netzwerk selbst betreiben zu können, müssen die Server, die Router und Switches den VPN-Anbietern selbst gehören und auch von eigenen Technikern betrieben werden. Wenn Dein VPN-Anbieter diese Hardware nicht selbst bereitstellt, dann können am Eingang und auch am Ausgang der Server „Überwachung“ und auch „Protokollierung“ verwendet werden. Dies kann dazu führen, dass Deine gesamten Aktivitäten auch bei der Verwendung des VPN-Services aufzeichenbar sind.

Als Beispiel, wenn du zwei Personen reden hörst in einem Restaurant, dann kannst Du genügend Informationen sammeln über was Sie sprechen, auch wenn Du deren Namen nicht kennst. Und wenn ein VPN-Anbieter nicht seine eigenen Server und Router betreibt, dann kann ähnlich wie in dem genannten Beispiel die Daten die gesendet und empfangen werden abgehört werden. Auch wenn dann der Anbieter selbst keine Logfiles speichert, sind die Aktivitäten für Dritte durchaus protokollierbar. No Logging ist damit dann nicht  ansatzweise entscheidend dabei.

Wenn man minimale Protokolle (Logfiles) auf Servern oder auch in Netzwerken speichert, kann man sicherstellen, dass Benutzer auch das Höchstmaß an Sicherheit, Stabilität und auch Geschwindigkeit erhalten können. Es ist also nicht eine Frage ob Logfiles gespeichert werden, sondern wozu diese angelegt und wie lange und für welchen Zweck sie verwendet werden.

Edward Snowden sagte beim  SXSW 2014:

“One of the things I would say to a large company is not that you can’t collect any data, but that you should only collect the data and hold it for as long as necessary for the operation of the business.”

Minimale Protkollierung für VPN-Anbieter hat daher die folgenden Vorteile:

• Verbesserte Geschwindigkeit und Leistung, da diese Protokollierung es den Technikern erlaubt das Netzwerk zu optimieren
• Verbesserte Stabilität und Verfügbarkeit des Netzwerkes indem Fehlerquellen rechtzeitig erkannt und behoben werden können.
• Verbesserte Vertrauenswürdigkeit, da auf einem niedrigen level bereits Sicherheitsprobleme dadurch erkannt werden können, welche den Anbieter aber auch den Benutzer schaden könnten.
• Individuelle Verbindungsprobleme von Benutzern können besser und schneller behoben oder umgangen werden.
• Verschiedene Tarife können angepasst an die Anforderungen der Kunden erstellt und auch umgesetzt werden. Dabei können dadurch die Preise für den einzelnen Benutzer geringer gehalten werden.
• Das Netzwerk kann gegen Missbrauch und auch Hackerattacken geschützt werden, damit wird auch die Sicherheit der einzelnen Benutzer verbessert
• Missbräuchliche Benutzer können identifiziert und gebannt werden, da Sie auch eine Gefahr für den Betrieb und auch andere Nutzer darstellen könnten.

Wir haben in den letzten Jahren eine Vielzahl an wirklich erschreckenden Nachrichten bekommen, von sogenannten „Privatsphäre schützenden Unternehmen“, welche ihre kostenlosen Dienste angeboten haben und das sehr erfolgreich. Aber kostenlose Dienste und auch wenn Sie sich noch so werbewirksam der „Privatsphäre“ verschrieben haben sind wirklich vertrauenswürdig. Deine Daten sind deren Geschäftsmodell. Ganz egal ob Sie diese Daten nutzen um dafür Werbung zu verkaufen oder auch im Dienste von Behörden stehen können.

Hier sind einige Beispiele dafür:

• Whatsapp (von Facebook)

  Facebook hat bereits mehrere Apps und Unternehmen zugekauft die eigentlich kein ersichtliches Geschäftsmodell bieten Eine der denkwürdigsten Akquisitionen ist sicher die von Whatsapp. Der Service verlangt kein Geld der Benutzer und blendet nicht einmal Werbung ein. Warum sollte also Facebook diesen Service für mehr als 4 Milliarden USD kaufen? Der Grund ist, da Facebook schon sehr viele Daten über mehr als 1 Milliarde Menschen gesammelt hat, aber es fehlten Daten wie die Telefonbücher (Kontakte) und auch die Telefonnummern der Nutzer um noch aussagekräftigere Profile erstellen zu können. Nein Sie interessieren sich nicht dafür was Du schreibst, aber sehr wohl, wem Du schriebst oder von wem Du Nachrichten erhaltest. Ein Geschäft das sogar mehr als die 4 Milliarden USD wert sein dürfte, denn nach heutigen Schätzungen würden andere Unternehmen dafür bereits 10-12 Milliarden bezahlen! Und der Anbieter hat das geschickt gemacht, er hat den Service kostenfrei angeboten für das erste Jahr, somit entstand offiziell der Eindruck es gäbe ein anderes Geschäftsmodell und man hätte Glück den Service noch kurze Zeit kostenlos nutzen zu können. Das war aber nur Ablenkung. Es ging immer um die Daten deiner Freunde und Bekannten.

  Privacy Policy: “When you use the Apps, you choose to route all of your mobile data traffic through, or to, Onavo’s servers. As a result, we receive information regarding you, your online activities, and your device or browser when you use the Services.”

• Hola

  Hola ist ein weiterer sehr bekannter kostenloser Dienst zur Anonymisierung der Benutzer. Allerdings ist das eine große Maskerade, denn Hola nutzt eigentlich keine eigenen Server sondern verwendet die Geräte der Benutzer ohne deren Wissen in Internetzugangsrechner. Dabei ist gerade dadurch die eigene Datensicherheit nicht mehr gegeben. Am Ende sammelt Hola dann auch noch sämtliche Daten der Nutzer und beschriebt dies auch in seinen eigenen Bedingungen zur Provatsphäre der Kundendaten. das der Service kostenlos ist ergibt plötzlich wieder einen Sinn. Die benutzerdaten sind eben mehr wert als diese monatlich zahlen würden. Hola verkauft und nutzt seine Benutzer als Zugangsrechner ohne deren Wissen und betreibt damit eigentlich ein Botnet, verlangt dafür aber auch noch Geld.

  Privacy Policy: “The Personal Information we collect and retain includes your IP address, your name and email address in case you provide us with this information (for instance when you open an account or if you approach us through the “contact us” option), screen name, payment and billing information (if you purchase premium services) or other information we may ask from time to time as will be required for the Services provisioning.”

• VPN Defender (by App Annie)

  App Annie is a mobile analytics firm that collects and sells app usage data to companies, such as venture capitalists, for competitive research. App Annie bought VPN Defender last year presumably, just like Facebook, so they could collect more app usage data. In the analytics industry, this practice is called “selling the insides.”

  Privacy Policy: “Analyzing your use of mobile applications and data, which may include combining such information (including personally identifying information) with information we receive from Affiliates or third parties; Providing market analytics, business intelligence, and related services to Affiliates and third parties; Operating the Services, such as virtual private networks and device monitoring.”

• Web Proxy Services

  Viele Proxy Server werden kostenlos angeboten und verschlüsseln weder die Daten noch verzichten Sie auf Datenspeicherung. Es ist hochriskant diese Proxy zu nutzen und laut einer Studie eines renommierten Institutes waren mehr als 21% der getesteten freien oder kostenlosen Proxy Server offenkundig zur Manipulation der Benutzerdaten ausgelegt. Viele Firmen die dir damit eigentlich „Anonymität“ oder Sicherheit im Internet verkaufen wollen, sammeln eigentlich Deine Daten. Darunter können auch Kreditkarteninformation oder Bankdaten sein, je nachdem wie freizügig du bei der Benutzung der Services dann bist.  Ein gutes Geschäft, allerdings nicht für die Benutzer. Mit unserem kostenlosen Web Proxy Service, können die Nutzer ohne Installation und praktisch in jedem Browser auf allen Geräten Webseiten Sperren umgehen.

Unsere Testergebnisse zeigen eindrucksvoll, dass nicht alle VPN Services identisch sind. Viele Anbieter haben Probleme zum Beispiel DNS-Leaks zu schließen, oder auch mit IPv6 Adressen umzugehen. Einige versprechen mehr als Andere, aber auch der Preis der Services lässt nicht auf die Qualitiät schließen, denn es ist schließlich einfacher einen hohen Preis zu verlangen, als etwas Wertvolles zu bieten. Wir haben mehr als 100 Qualitätskriterien bei jedem unserer Test ausgewertet, die Unterschiede sind dabei von weniger als 20 erfolgreichen Kriterien bis zu 93 erfolgreichen Merkmalen. Die Bandbreite ist also enorm und die Unterschiede sind sehr groß. Es gibt aber nicht den besten Anbieter für Jeden. Es hängt stark davon ab, was man erwartet und auch welchen Schutz man haben möchte.

Tor wird häufig als die bessere weil kostenlose Alternative zu VPN-Services bezeichnet. Wie auch immer, viele Informationen und auch Fakten sprechen aber eine andere Sprache. Denn Anonymität kann auch TOR nicht garantieren, bestenfalls kann die Überwachung damit erschwert werden, dies sagt auch TOR selbst von sich. Dazu kommt, das TOR nicht besonders komfortabel in der Nutzung ist, es wird auch nur von Browsern unterstützt (schützt also nicht den gesamten PC)  und das einzige mobile Betriebssystem für das TOR verfügbar ist, bleibt Android. Die Geschwindigkeit ist dabei stark eingeschränkt und viele Services, wie Bankenwebseiten oder auch Videoübertragungen, Filesharing usw sind einfach nicht möglich damit. Die Information, das die NSA TOR mitfinanziert und auch Entwickler von TOR direkt angestellt haben trägt dann auch wenig zum Vertrauensvorschuss bei.