VPN-Anbieter mit guten Leistungen, die obendrein einen Linux-Client anbieten, sind dünn gesät. Wir helfen bei der Auswahl.

Ein Virtuelles Privates Netzwerk (VPN) schleift per Software den kompletten Netzwerkverkehr zwischen zwei Punkten über eine verschlüsselte Verbindung. Dabei fungiert der lokale Rechner entweder als Endpunkt, wenn sich etwa ein Arbeitnehmer von unterwegs oder von zu Hause verschlüsselt beim Arbeitgeber einwählt, oder als Ausgangspunkt, typischerweise, um beim Surfen die Herkunft der eignen Daten zu verschleiern (Abbildung 1).

Abbildung 1: VPN ist keine Hexerei.

Es gibt reichlich Gründe, Verbindungen vom heimischen LAN ins Internet oder vom LAN in andere Netze zu verschlüsseln. Per VPN surfen Anwender dabei im Netz des Anbieters unter einer anderen IP-Adresse als der eigenen, Letztere bleibt neugierigen Blicken verborgen. Das entspricht im Prinzip einem langen LAN-Kabel vom eignen Rechner zum Server des Anbieters, wobei die Strippe in einem gut gesicherten Tunnel liegt.

Wer braucht ein VPN?

Normalerweise ist die Privatsphäre im Internet nur sehr unzureichend geschützt: Über die verwendete IP-Adresse können Provider, Behörden und jeder andere, der sich zu den entsprechenden Daten Zugang verschafft, Sie eindeutig identifizieren.

Hinzu kommen die Begehrlichkeiten der Wirtschaft, möglichst alles über die Besucher einer Website zu erfahren und in Profile zu gießen. Alleine das nehmen viele bereits zum Anlass, die Verbindung zu verschleiern, so gut es eben geht. Wer viel in öffentlichen Netzen und Hotspots unterwegs ist, schützt sich und seine Daten ebenfalls mit dieser Technik vor neugierigen Augen.

Es gibt jedoch darüber hinaus Menschen, die durch ihren Beruf oder aufgrund ihres politischen und gesellschaftlichen Engagements ihre Identität und ihren Standort verschleiern müssen. Dazu zählen unter anderem Journalisten, Dissidenten und Menschen, die in Ländern mit zensiertem Internet leben. Hier hängt oft genug das eigene Leben von Maßnahmen wie Verschlüsseln und Verschleiern ab.

Wo Licht scheint, fällt aber in der Regel auch Schatten, und so bedienen sich Filesharer gerne der VPN-Methode, um unerkannt kommerzielle Filme, Musik und Software auszutauschen. Andere greifen auf diese Weise auf Internet-Dienste zu, die das jeweilige Unternehmen im eigenen Land nicht anbietet.

Bis vor Kurzem war es wegen eines jahrelangen Streits zwischen Google und der deutschen Verwertungsgesellschaft GEMA nur per Proxy oder VPN möglich, viele internationale Videos der Plattform Youtube anzuschauen.

Der richtige Anbieter

Es gibt eine Vielzahl von Anbietern, die sich in Bezug auf Preise sowie die angebotenen Funktionen und zugesicherten Eigenschaften unterscheiden. Das Angebot unterliegt in den letzten Jahren allerdings einer starken Vereinheitlichung, abgesehen von den Preisen.

Es gilt also, anhand der eigenen Anforderungen den passenden Provider zu finden. Geht es nur darum, Angebote aus anderen Ländern zu nutzen, läuft es auf eine Auswahl über den Preis hinaus. Dissidenten dagegen beziehen unter Umständen noch weitere Kriterien in die Rechnung mit ein.

Alle Anbieter verfügen über eine (unterschiedlich große) Anzahl von Servern in verschiedenen Ländern mit einem entsprechenden Pool an IP-Adressen. Möchten Sie für bestimmte Länder spezifische Dienste nutzen, ergibt sich daraus möglicherweise aber bereits eine Vorauswahl. Die großen Anbieter streuen ihre Standorte sehr breit; dabei sind die entlegenen Länder aber oft nicht gut angebunden und daher nur schwer zu erreichen.

Eine Auswahl anhand der angebotenen Protokolle lässt sich kaum treffen, da fast alle Provider auf eine Mischung von OpenVPN [1], L2TP [2], IPSec [3], SSTP [4] und PPTP [5] setzen. Ähnliches gilt für die Geschwindigkeit: Was im Vertrag als “möglich” steht, hat mit der Praxis oft genug nicht viel zu tun.

Da erlaubt die Zahl der Server schon eher eine Entscheidung, denn mehr Auswahl hilft beim Finden eines zum jeweiligen Zeitpunkt schnellen Servers. Ein weiteres Kriterium bietet die Software: Viele Anbieter offerieren eigene Clients für verschiedene Plattformen, andere bieten Skripte für den reinen OpenVPN-Client an.

Linux-Clients als Plus

Die Clients unterscheiden sich bei den gebotenen Einstellungsmöglichkeiten und Anzeigen. Viele Nutzer möchten gern im Auge behalten, mit welcher Geschwindigkeit der Dienst gerade arbeitet, ohne dazu weitere Hilfsmittel zurate zu ziehen. Nicht jeder Anbieter hat einen Linux-Client im Angebot. Wer auf einen solchen verzichten kann, nutzt direkt OpenVPN oder greift alternativ zum NetworkManager (Abbildung 2).

Abbildung 2: Bei Verbindungen über den Anbieter ExpressVPN tun Sie sich am leichtesten, wenn Sie direkt über die Konsole die Parameter konfigurieren.

Allerdings bietet ein nativer Client meist mehr Komfort und benötigt weniger manuelle Konfiguration. Einige Anbieter erlauben eine kostenfreie Testphase, was die Auswahl erleichtert.

Alle Anbieter verschlüsseln je nach vom Anwender gewähltem Protokoll mit 128 oder 256 Bit. Dabei sollte das Point-to-Point Tunneling Protocol (PPTP) nicht mehr zum Einsatz kommen. Nur 24 Stunden brauchte der US-Hacker Moxie Marlinspike im Jahr 2012, um es zu brechen, bei Kosten von rund 200 US-Dollar [6]. Proprietäre Protokolle wie Chameleon geben keinen Aufschluss über die verwendete Technik, was ebenfalls ein Risiko darstellt.

Fallstricke

Bietet ein VPN-Provider nur IPv6 zum Übertragen an, kann das zu Problemen führen, wenn die Clients dieses Protokoll noch nicht beherrschen: Die Daten wandern dann nicht anonymisiert durchs Netz.

Wer mit IPv4 und IPv6 sendet, ist durch die Sicherheitslücke namens IPv6-Leakage gefährdet. Einige Anbieter erkennen das und bieten nach der Installation an, den Verkehr über IPv6 zu deaktivieren. Überzeugen Sie sich besser trotzdem über eine Webseite wie Ipv6leak.com davon, dass das auch wirklich der Fall ist. DNS-Leaks [7] gefährden ebenfalls die Anonymität, einige Anbieter steuern hier jedoch gegen.

Die Auswahl grenzt sich über die angebotenen Abrechnungsmethoden weiter ein. Wer anonym zahlen möchte, sollte hier auf Bitcoin im Angebot achten. Nicht alle Anbieter erlauben Filesharing, einige nur auf bestimmten Servern. Viele Anwender pochen darauf, dass der Anbieter keine Protokolle anlegt oder speichert.

Einige Anbieter speichern die Zeitpunkte, zu denen Sie die Verbindung aufbauen und wieder trennen, sowie die genutzte Server-IP und Bandbreite. Andere versprechen, überhaupt keine Logs zu schreiben. Wieder andere erlauben es, sich anonym anzumelden.

Schwierige Auswahl

Sie sehen schon: Die Auswahl eines geeigneten Anbieters fällt nicht immer leicht. Je wichtiger Ihnen die Anonymität ist, desto genauer gilt es, die Angebote zu prüfen. Bei einer Websuche nach Portalen, die VPN-Angebote vergleichen, finden Sie zwar viele Anlaufstellen. Beim Lesen kommt jedoch schnell der Verdacht auf, die Angaben würden allesamt von einem VPN-Branchenverband stammen. Solche Webseiten erlauben keinen realistischen Überblick.

Vielmehr sollten Sie eine Vorauswahl von zwei oder drei Anbietern einer eingehenden Recherche unterziehen, indem Sie Erfahrungen von anderen Nutzern und Erkenntnisse von Sicherheitsexperten recherchieren. Die jährlich aktualisierte Zusammenstellung von TorrentFreak, die Informationen über viele Anbieter sammelt und politisch motivierten Anwendern relevante Daten liefert, erweist sich als nützliche Quelle [8].

Etwas unübersichtlich und langsam, aber überreich an Fakten ist die Fleißarbeit eines Privatanwenders, der rund 200 aktuelle VPN-Anbieter vorstellt (Abbildung 3). In einer einfachen und einer detaillierten Tabelle erläutert diese Seite alle wichtigen Fragen technischer und ethischer Natur optisch mit Ampelfarben [9].

Abbildung 3: In mühevoller Kleinarbeit hat ein Privatmann eine hervorragende Webseite zum Vergleich von VPN-Anbietern zusammengetragen.

Anbieter, die mit kostenlosen VPN-Angeboten locken, sollten Sie meiden. Wenn Internet-Dienste nichts kosten, sind erfahrungsgemäß die Benutzer die Ware – das ist ja schon sprichwörtlich.

Kein Rundumschutz

Selbst der beste Anbieter bietet aber keinen hundertprozentigen Schutz. So interessieren sich naturgemäß Geheimdienste sehr für die Inhalte, die durch VPNs fließen. Je größer der Schlapphut, desto mehr Erfolg haben sie beim Infiltrieren entsprechender Protokolle. So gründete die NSA dafür speziell die Abteilung “OTP VPN Exploitation Team”, wie die Snowden-Papiere belegen [10].

Wer vermeiden möchte, hier ins Visier zu geraten, sollte auf möglichst gute Verschlüsselung achten. Weitere wichtige Gesichtspunkte stellen der Verzicht auf Logfiles dar und die Möglichkeit, den Dienst anonym zu bezahlen. Der Firmensitz des Anbieters entscheidet ebenfalls, wie privat Ihre Daten bleiben: In den USA haben es Behörden leicht, per Gerichtsbeschluss Einsicht zu erlangen, in Schweden dagegen gilt das als fast unmöglich. Andererseits gibt es in den USA keine gesetzliche Vorratsdatenspeicherung. Interessant ist in diesem Zusammenhang die Angabe, ob ein Anbieter nur Server unter seiner Kontrolle betreibt.

Anhand dieser Kriterien sollte es Ihnen möglich sein, einen geeigneten Anbieter zu finden. Wir haben schon eine kleine Vorauswahl von VPN-Providern getroffen, die einen eigenen Linux-Client anbieten, nach eigener Aussage keine Logfiles führen und das anonyme Bezahlen erlauben.

Zu den Kandidaten zählen Mullvad, Private Internet Access (PIA), TorGuard und Web-Securitas. Diese subjektive Auswahl aus großen und kleinen Anbietern ließe sich erweitern, das bleibt jedoch der eigenen Recherche überlassen.

Mullvad (Schweden)

Der kleine schwedische Anbieter Mullvad [11] setzt den Fokus auf politisches und soziales Engagement. Der simpel gehaltene Linux-Client bietet einen ausreichenden Funktionsumfang (Abbildung 4), steht derzeit aber lediglich für Debian und Ubuntu bereit.

Abbildung 4: Der schwedische Anbieter Mullvad bietet eine einfache Software für den Aufbau der Verbindung an, die aber derzeit nur für Debian/Ubuntu bereitsteht.

Leaks bei den Diensten DNS, IPv6 und WebRTC verhindert der Provider aktiv. Bricht der Tunnel zusammen, endet die Verbindung automatisch (Abbildung 5). Server stehen in Europa, Asien und USA. Das Angebot kostet 5 Euro pro Monat.

Abbildung 5: Die Client-Software des schwedischen Anbieters Mullvad schaltet ab, wenn der Tunnel zusammenbricht.

Der Provider erlaubt den vollkommen anonymen Betrieb der Software, das Konto läuft nur unter einer Nummer. Nach der ersten Installation des Clients dürfen Sie den Dienst für drei Stunden kostenfrei testen.

PIA (USA)

Private Internet Access [12], ein großer Anbieter aus den USA, betreibt rund 3300 eigene Server in 24 Ländern. PIA bietet Clients für Linux, Mac OS X, Windows, Android und iOS an. DNS- und IPv6-Leaks verhindert er; ein Killswitch trennt die Verbindung, falls der Tunnel kollabiert (Abbildung 6).

Abbildung 6: Die Software von PIA bietet viele Möglichkeiten, um die Parameter für die Verbindung einzustellen.

Die Preise liegen bei 7 US-Dollar pro Monat beziehungsweise 40 US-Dollar pro Jahr, was 3,33 Dollar pro Monat entspricht. Das macht PIA zum günstigsten Anbieter in diesem Vergleich. Unser Workshop zum selbstgestrickten VPN-Access-Point in dieser Ausgabe setzt auf dem Angebot dieses Dienstleisters auf.

TorGuard (Karibik)

Die Inselföderation St. Kitts und Nevis liegt in der Karibik auf zwei der Kleinen Antillen. Dort leben auf gerade einmal 269 Quadratkilometern etwa 54?000 Menschen, was das tropische Paradies zu einem der zwölf kleinsten Staaten der Erde macht.

Das auf Nevis beheimateten TorGuard [13] betreibt 1600 Server in rund 50 Ländern (Abbildung 7) und bietet mehr als 200 Möglichkeiten zum Bezahlen an. Für Linux stehen Clients für Debian/Ubuntu, Fedora und Arch Linux bereit, zudem gibt es Clients für Windows, Mac OS X, Android und iOS. Hinzu kommen Anleitungen für Router-Systeme wie DD-WRT oder Tomato sowie die Pfsense-Firewall. Die Preise liegen bei 10 US-Dollar für einen Monat und 60 US-Dollar fürs ganze Jahr.

Abbildung 7: TorGuard hat nichts mit dem Anonymisierungsnetzwerk zu tun: Der karibische Provider betreibt ein eigenes Netz aus zahlreichen Servern rund um den Globus.

Web-Securitas (Deutschland)

Anwender, die auf einen deutschen Anbieter Wert legen, finden in Web-Securitas [14] einen VPN-Service, der angibt, alle Betriebssysteme zu unterstützen. Allerdings besteht keine Möglichkeit, den Client vor Abschluss eines Vertrags zu testen.

Die Preise liegen im Basistarif, der nur ein Gerät im Betrieb erlaubt, bei 6,90 Euro monatlich oder 65,90 Euro für ein Jahr. Um zwei Geräte gleichzeitig zu betreiben, zahlen Sie 8,90 Euro im Monat beziehungsweise 79,90 Euro im Jahr. Zum Redaktionsschluss bot Web-Securitas aktuell 30 Prozent Rabatt auf den ersten Zeitraum einer Buchung.

Fazit

Der Autor selbst setzt seit Jahren auf die Dienste des schwedischen Anbieters Mullvad, den er uneingeschränkt empfehlen kann. Für monatlich 5 Euro gibt es gute und beständige Leistung, Support innerhalb von 24 Stunden und bei Bedarf absolute Anonymität, auch gegenüber dem Anbieter selbst. Auf diese Weise werden Sie hier, was Sie anderenorts nie sein möchten: nur eine Nummer.

PrivateVPN nimmt ungefragt tiefgreifende Änderungen an der Struktur des Netzwerks vor, was eine Empfehlung schwer macht: Im Test resultierte daraus ein Crash des Systems (Abbildung 8). Ebenfalls untauglich erscheint AirVPN, deren Paket für Debian/Ubuntu sich wegen fehlender Abhängigkeiten auf keiner der beiden Distributionen installieren ließ.

Abbildung 8: VPN-Secure greift tief ins Netzwerk ein und verursacht einen Abbruch der Verbindung.

Opera brüstet sich seit einigen Monaten mit dem im Browser integrierten Opera-“VPN”. Dabei handelt es sich allerdings nicht um ein virtuelles privates Netz, sondern um einen schlichten Proxy. Zudem bleibt unklar, wie es mit dem Schutz der Privatsphäre genau aussieht. Es stellt sich vor allem die Frage, wer dabei für das Volumen der Daten bezahlt.