Im Vergleich zu direkten Internet-Zugängen weisen VPNs viele Vorzüge auf, haben aber auch einige Nachteile. Wir stellen vier Anbieter näher vor, die VPN-Dienste für jeden Bedarf anbieten.
Ein virtuelles privates Netzwerk (VPN) dient dazu, über öffentliche Netze eine geschützte Netzwerkverbindung zu schaffen. Dabei kommuniziert ein VPN-Client über einen VPN-Server, der als Gateway dient, mit anderen Teilnehmern im Netz. Das VPN basiert stets auf einer reinen Softwarelösung und besteht aus mehreren Komponenten. Für VPN-Nutzer ergeben sich durch die Kommunikation über die gesicherte Verbindung gleich mehrere Vorteile: Eine Verschlüsselung anonymisiert ihre Online-Identität, zudem können Dritte die Inhalte nicht einsehen.
Je nach Server-Standort lässt sich zudem das sogenannte Geoblocking umgehen, bei dem Inhalte von Webseiten außerhalb definierter Gebiete nicht angeboten werden oder aus rechtlichen Gründen nicht verfügbar sind. Die Verschlüsselung der IP-Adresse des VPN-Clients unterbindet ein Tracking, wie es Big-Data-Konzerne wie Google oder Facebook betreiben. Somit lassen sich weder Bewegungsprofile erstellen noch Aufenthaltsorte ermitteln. Selbst der Internet Service Provider (ISP) kann nicht mehr nachvollziehen, welche Webseiten ein VPN-Client besucht hat und welche Informationen dabei eingegeben wurden.
Als Nachteile muss man häufig eine im Vergleich zu herkömmlichen Internet-Zugängen geringere Geschwindigkeit sowie die Abhängigkeit vom jeweils gewählten VPN-Anbieter in Kauf nehmen. Ein weiterer Nachteil besteht in Datenkontingenten und in der Beschränkung auf eine maximale Anzahl von Geräten, die der Kunde nutzen kann.
Konzepte
Öffentlich verfügbare kommerzielle VPN-Dienste bieten meist im Rahmen von Subskriptionsmodellen eine einfache Möglichkeit, zu einem sicheren Netzzugang zu gelangen. Dabei kommen häufig eigene VPN-Clients zum Einsatz, die die Diensteanbieter individuell entwickeln und pflegen.
Größere Anbieter verfügen zudem meist über VPN-Server in verschiedenen Ländern und bieten ihren Kunden das sogenannte Standort-Spoofing an, sodass der VPN-Client nach außen hin auch seinen virtuellen Standort jederzeit wechseln kann. Insbesondere für Berufsgruppen wie Journalisten und Rechtsanwälte, die häufig das Ziel von Ausspähversuchen werden, empfiehlt sich daher die Nutzung eines VPNs. Aber selbst Privatanwender, die häufig über wechselnde öffentliche WLAN-Zugänge das Internet nutzen, können von einem VPN profitieren.
Große Organisationen und Konzerne bevorzugen dagegen häufig eine On-Premises-VPN-Lösung. Dabei betreibt die Organisation selbst den VPN-Server mitsamt der zusätzlich benötigten Infrastruktur. Dazu gehören zudem eine Firewall und ein als Certificate Authority (CA) fungierendes System. Aus Sicherheitsgründen empfiehlt es sich dabei, die CA auf einem dedizierten Rechnersystem einzurichten, obwohl sie technisch auch auf dem eigentlichen VPN-Server arbeiten könnte. Auf dem CA-System sollte eine Firewall aktiviert sein, um den Computer zusätzlich vor Angriffen zu schützen.
Für On-Premises-Lösungen kommt in solchen Fällen meist der freie OpenVPN-Server in Kombination mit einem Linux-Server zum Einsatz. Auch die CA basiert auf einem Linux-Server mit einer entsprechend aufgesetzten freien Zertifizierungssoftware wie beispielsweise Easy-RSA, die dabei die Public Key Infrastructure (PKI) bereitstellt. On-Premises-Lösungen sind jedoch arbeitsintensiv einzurichten und bedürfen einer regelmäßigen Wartung. Daher empfehlen sie sich nicht für kleine und mittlere Unternehmen, Privatanwender oder Vereine, die nur über sehr begrenzte oder gar keine Kapazitäten in der IT-Administration verfügen. Für sie stellt die Nutzung eines kommerziellen VPN-Diensts in aller Regel die bessere und kostengünstigere Lösung dar.
Kriterien
Bei der Auswahl eines VPN-Diensts empfiehlt es sich, abhängig von der geplanten Nutzung verschiedene Kriterien zu berücksichtigen. Als wichtige infrastrukturelle Kriterien zählen dabei der Standort des Anbieters, die Verfügbarkeit von Servern und die Anzahl der nutzbaren Endgeräte. Technische Kriterien berücksichtigen die Stärke der Verschlüsselung, unterstützte Protokolle, die Geschwindigkeit des VPN und die Konfigurierbarkeit. Außerdem empfiehlt es sich zu prüfen, ob die VPN-Anbieter sich regelmäßigen unabhängigen technischen Audits unterziehen und ob gegenüber dem Kunden im Kontext mit Überwachungsmaßnahmen Transparenz herrscht. Für spezielle Anwendungen wie das Streaming von Videokonferenzen müssen die VPN-Dienste zudem genügend Bandbreite bieten, um Unterbrechungen oder zeitversetzte Übertragungen zu vermeiden.
Nicht berücksichtigt
Grundsätzlich nicht berücksichtigt wurden Anbieter, die immer noch das durch Sicherheitslücken kompromittierte Protokoll PPTP nutzen, um eine getunnelte Verbindung zu etablieren. Auch Anbieter, die das ebenfalls mit Schwächen behaftete L2TP/IPsec verwenden, fielen aus der Besprechung. Dazu gehört etwa USAIP, deren VPN-Angebot lediglich für Ubuntu optional ein OpenVPN-Profil verwendet [15]. Das von der irischen Firma angebotene SecurityKISS VPN setzt ebenfalls immer noch auf L2TP/IPsec [16]. Dasselbe gilt für das zur US-amerikanischen Ziff-Davis-Gruppe gehörende IPVanish VPN, zumindest unter Linux [17]. Man muss daher davon ausgehen, dass die Dienste dieser Anbieter aufgrund der seit Jahren allgemein bekannten Schwächen und Sicherheitslücken von PPTP und L2TP/IPsec kein aktuelles Sicherheitsniveau aufweisen.
Windscribe
Das im kanadischen Toronto beheimatete Unternehmen Windscribe Limited [1] bietet bereits seit 2016 VPN-Dienste an. Es gibt sowohl kostenpflichtige Pläne auf einer Subskriptionsbasis mit unterschiedlichen Laufzeiten als auch ein kostenfreies Angebot [2]. Letzteres weist ein im Vergleich zu den kommerziellen Zugängen beschränktes Datenvolumen von 10 GByte pro Monat sowie einige funktionelle Einschränkungen auf. Die Infrastruktur des Unternehmens besteht aus eigenen Servern an mehr als 110 Standorten in 63 Ländern.
Für den Zugang stellt das Unternehmen plattformübergreifende Client-Software bereit, darunter mehrere grafische Werkzeuge für Linux sowie Erweiterungen für gängige Webbrowser wie Firefox, Opera und Chrome sowie deren Derivate. Die in C++ geschriebene Client-Software steht unter der GPLv2-Lizenz, während die in Javascript entwickelten Browser-Erweiterungen der GPLv3 unterliegen. Auf der Github-Seite findet sich eine detaillierte Installationsanleitung für den VPN-Client für Ubuntu ab Version 16.04 und dessen Derivate [3]. Die Windscribe-Webseite bietet darüber hinaus ein CLI-Paket an, das man beispielsweise auf Systemen ohne grafische Desktop-Umgebung nutzen kann. Daneben stehen dort DEB- und RPM-Pakete sowie der Quellcode und ein Paket für Arch-Linux zum Download. Dank vollständiger Kompatibilität zum OpenVPN- und Wireguard-Protokoll lässt sich der Client auch in Verbindung mit On-Premises gehosteten eigenen Servern beispielsweise in großen Organisationen verwenden. Die Binärpakete der Windscribe-Clients eignen sich ausschließlich für 64-Bit-Systeme.
Einsatz
Nach dem Download und der Installation des gewünschten Pakets finden Sie einen entsprechenden Starter in der Menühierarchie des Desktops. Um den Client zu nutzen, legen Sie zunächst das Konto bei Windscribe Limited an. Dazu geben Sie lediglich einen Nutzernamen und ein dazugehöriges Passwort an. Voreingestellt erhalten Sie dann ein freies monatliches Datenkontingent von 2 GByte. Nennen Sie beim Einrichten auch eine E-Mail-Adresse und bestätigen diese, erweitert sich das freie Kontingent auf monatlich 10 GByte. Anschließend loggen Sie sich in der grafischen Desktop-App mit Ihren Zugangsdaten ein. Gleichzeitig öffnet der Webbrowser eine Hinweisseite von Windscribe zu den zusätzlichen Funktionen bei Nutzung der Browser-Extension.
Die grafische Windscribe-App zeigt im Hauptfenster den besten Server-Standort, das vorhandene Datenkontingent sowie den Verbindungsstatus an. Ein großer Ausschaltknopf ermöglicht das schnelle Deaktivieren der Verbindung. Über ein Hamburger-Menü oben links im Fenster konfigurieren Sie die Applikation. Hier stellen Sie beispielsweise per Schieberegler ein, ob die Anwendung beim Hochfahren des Computers automatisch startet und einen Tunnel öffnet. Weitere Einstellungen betreffen Verbindungsoptionen und Ihren Windscribe-Account (Abbildung 1). Nach Abschluss der Konfiguration minimieren Sie das Fenster und legen es so in den Systemabschnitt der Kontrollleiste.
Abbildung 1: Optisch nicht besonders schön, jedoch einfach zu bedienen: die Windscribe-App.
Features
Zum Verschlüsseln der Verbindung kommen AES-256 und ein 4096 Bit langer RSA-Schlüssel zum Einsatz. Auch die Browser-Extension verschlüsselt den gesamten Datentransfer. Windscribe versichert zudem, weder Log-Daten noch IP-Zeitstempel zu speichern. Lediglich die zur Abrechnung des Diensts benötigten Daten zum individuell verbrauchten Transfervolumen und zur letzten Verwendung speichert der Anbieter für einen Abrechnungszeitraum von 30 Tagen, danach löscht er sie. Anfragen von staatlicher Seite zur Datenherausgabe bescheidet das Unternehmen daher stets negativ, was es in einem monatlich aktualisierten Transparenzbericht öffentlich kommuniziert.
Für die Linux-Applikationen hat Windscribe das sogenannte Split-Tunneling als neue Funktion angekündigt, mit der Sie bei bestimmten Anwendungen, beispielsweise beim Online-Banking, den Tunnel deaktivieren können, da diese häufig nicht via VPN funktionieren. Die kostenpflichtige Pro-Variante des Diensts umfasst darüber hinaus einen Konfigurationsgenerator, mit dessen Hilfe sich verschiedene Protokolle wie IKEv2, Wireguard und OpenVPN in Profilen verwalten lassen. In dieser Version sind alle Server-Standorte sowie ein unbegrenztes Datenkontingent freigeschaltet, zudem können Sie gegen Aufpreis eine statische IP-Adresse hinzubuchen.
Nachteile
Für Privatanwender besonders interessant ist die generelle Möglichkeit, mithilfe von VPN-Zugängen bei bestimmten Streaming-Diensten das Geoblocking auszuschalten, das Inhalte auf Nutzer aus definierten Gegenden beschränkt. Im Test gelang es jedoch nicht, Netflix-Dienste freizuschalten, und auch der BBC iPlayer ließ sich nicht zur Kooperation bewegen. Windscribe bietet außerdem keinen Support rund um die Uhr, und bislang wurde der Anbieter noch keinem externen Security Audit unterzogen.
ProtonVPN
Das in Genf in der Schweiz beheimatete Unternehmen Proton betreibt einen gleichnamigen E-Mail-Dienst und bietet seit 2017 VPN-Zugänge in verschiedenen Tarifen an [4]. Der kostenfreie Zugang ist auf lediglich eine Verbindung beschränkt und nutzt insgesamt 17 Server in drei Ländern. Insgesamt betreibt ProtonVPN 1520 Server in 61 Ländern. Bei der kostenfreien Variante drosselt der Anbieter die Geschwindigkeit und unterstützt auch keine Streaming-Dienste wie Netflix. Bei den drei kostenpflichtigen Tarifen [5] Basic, Plus und Visionary entfallen diese Beschränkungen sukzessive.
Schon der kostenfreie Zugang bietet grundlegende Sicherheitsmerkmale. So gibt es wie bei den kostenpflichtigen Angeboten eine strikte Zero-Logging-Richtlinie, die jegliche Protokollierung von Daten ausschließt. Staatliche Behörden erhalten daher auf Anfrage keinerlei Daten zu bestimmten Verbindungen oder Aktivitäten. Ähnlich wie beim Tor-Projekt nutzt ProtonVPN in den Bezahlvarianten zudem eine Kaskade von VPN-Servern zum Aufbau der Tunnel.
Die Secure-Core-Architektur basiert auf Secure-Core-Servern in Rechenzentren in der Schweiz, Island und Schweden. Sie verfügen wie alle ProtonVPN-Server über eine Komplettverschlüsselung der Massenspeicher. ProtonVPN chiffriert dabei alle Verbindungen mit AES-256 und nutzt zum Schlüsselaustausch 4096 Bit lange RSA-Schlüssel. Darüber hinaus kommen ausschließlich sichere Protokolle wie OpenVPN, Wireguard und IKEv2 zum Einsatz. Anders als die meisten Mitbewerber kennt ProtonVPN selbst in der kostenfreien Variante kein Datenkontingent. Um einen Missbrauch des Diensts zu vermeiden, drosselt der Anbieter jedoch die Geschwindigkeit bei der kostenfreien Version etwas. Im Test machte sich diese Drosselung beim Aufruf herkömmlicher Webseiten allerdings nicht bemerkbar.
Applikationen
Vor dem Herunterladen des VPN-Clients und dessen Installation müssen Sie sich zunächst beim Anbieter registrieren, der dabei die unterschiedlichen Kontenmodelle per Link anbietet. Die kostenfreie Variante erfordert lediglich die Angabe ein E-Mail-Adresse zur Verifizierung des Nutzers. Nach Eingabe des gewünschten Nutzernamens und Passworts gelangen Sie automatisch zur Download-Seite für die Repositories. Die grafische VPN-App von ProtonVPN gibt es für Fedora, Ubuntu, Debian, Manjaro und Arch Linux sowie verschiedene Derivate dieser Distributionen. Daneben steht noch eine CLI-Version für den Einsatz im Terminal zur Verfügung. Alternativ nutzen Sie den Dienst außerdem mit einer manuell installierten OpenVPN- oder IKEv2-Instanz. Für alle drei Optionen bietet der ProtonVPN auf seiner Website eine detaillierte Anleitung zur Installation an [6].
Der grafische Client verankert sich bei der Installation in der Menühierarchie der Arbeitsumgebung und lässt sich bequem per Mausklick aktivieren. Nach dem Einloggen finden Sie zunächst eine Auswahlseite für die zu nutzenden VPN-Server vor. Sie führt auch die nur für die kostenpflichtigen Varianten vorgesehenen Server auf, jedoch separat von den kostenfreien. Nach einem Klick auf den großen grünen Schalter Quick Connect werden Sie mit einem der freien Server verbunden und bekommen den Verbindungsstatus angezeigt (Abbildung 2). Um die Verbindung wieder zu deaktivieren, klicken Sie auf Disconnect.
Abbildung 2: Auch das ProtonVPN-Interface fällt selbsterklärend aus.
Drei oberhalb der Server-Liste angeordnete Schaltflächen ermöglichen es, den Secure-Core-Modus zu aktivieren, einen Werbe- und Tracking-Blocker einzuschalten sowie einen Notschalter zu betätigen. Der Core-Modus und der Werbeblocker lassen sich nur in den kostenpflichtigen Varianten aktivieren, der Notausschalter steht auch in der freien Version zur Verfügung. Er dient dazu, die Verbindung im Fall drohender IP-Leaks zu unterbrechen. Sobald die VPN-Verbindung aktiviert ist, zeigt der jeweilige Desktop-Netzwerkmanager eine entsprechende Statusmeldung an.
Sicherheit
Neben der Zero-Logging-Funktion und der kompletten Verschlüsselung aller Datenpakete bietet ProtonVPN in den kostenpflichtigen Versionen Plus und Visionary auch die Option, das Tor-Netzwerk per Mausklick zur Datenübertragung zu nutzen. In diesem Fall wickelt der Dienst den gesamten Datentransfer über das Tor-Netzwerk ab. Die ProtonVPN-Clients werden darüber hinaus alle als freie Software entwickelt, gepflegt und auditiert.
Speedify
Speedify heißt der VPN-Dienst des US-amerikanischen Anbieters Connectify Inc. [7], der dafür die plattformübergreifende Client-Software anbietet. Für die regelmäßige Nutzung bietet Speedify mehrere Subskriptionsmodelle an [8]. Eine Besonderheit des Diensts besteht im Bündeln mehrerer Verbindungen zur Erhöhung der Gesamtgeschwindigkeit. Dabei kombiniert die sogenannte Channel-Bonding-Technologie verschiedene Internet-Zugänge wie Ethernet, WLAN, 4G und Satelliten zu einer einzigen Verbindung. Dies bewirbt der Anbieter als wesentlich ausfallsicherer und schneller als herkömmliche Einzelzugänge. Die VPN-Zugänge von Speedify weisen für Nutzer kein limitiertes Datenkontingent auf, beschränken sich jedoch in den Tarifen Individuals und Families auf jeweils fünf Geräte pro Benutzer.
Sicherheitsmerkmale
Speedify betreibt nach eigener Aussage Server in mehr als 35 Ländern, nennt jedoch die genaue Zahl nicht. Das Unternehmen hat sich einer Zero-Logging-Politik verschrieben und legt keinerlei Protokolle über Datentransfers an, sodass staatliche Institutionen keine Informationen über das Nutzerverhalten einholen können. Sofern die legislativen Voraussetzungen dazu vorliegen, muss der Anbieter jedoch Informationen über die Geräte-ID und die IP-Adresse an Behörden herausgeben. Da Connectivity Inc. in den USA sitzt, besteht also durchaus die Möglichkeit, dass staatliche Stellen diese Informationen abgreifen. Speedify arbeitet nicht mit standardisierten Verfahren wie Wireguard oder OpenVPN, sondern nutzt ein eigenes, proprietäres Protokoll. Die Verschlüsselung der VPN-Verbindungen erfolgt mithilfe von AES-128.
Applikationen
Für Linux steht Speedify in zwei Varianten bereit, einer Terminalanwendung und einem grafischen Client. Für beide stellt der Anbieter auf seiner Webseite eine ausführliche Installationsleitung bereit [9]. Die grafische Variante lässt sich dabei als zusätzliches Paket aus dem Repository installieren, das Debian-basierte Distributionen inklusive Raspberry Pi OS unterstützt. Nach der Installation und der automatisierten Aktivierung beim Hochfahren des Rechners führen Sie einen Warmstart aus und finden danach neben einem Starter in der Menühierarchie des Desktops auch ein kleines Symbol im System-Tray vor.
Mogelpackung
Obwohl der Anbieter damit wirbt, einen eingeschränkten kostenlosen Zugang mit einem monatlichen Datenkontingent von 2 GByte bereitzustellen, setzt der Linux-Client zwingend ein kostenpflichtiges Konto voraus. Bei der Anmeldung öffnet sich ein Store, in dem Sie ein entsprechendes Paket auswählen und erwerben können. Im seinem Blog weist der Anbieter verschämt in kleiner Schrifttype und am Ende des Abschnitts zum beworbenen freien Zugangs [10] auf dieses Manko hin, das offensichtlich nur Linux-Anwender betrifft. Wine bietet hier keinen Ausweg, da die Speedify-Installationsroutine in der Laufzeitumgebung nicht funktioniert.
Holprig
Sie können Ihr Nutzerkonto bei Speedify grundsätzlich anhand der E-Mail-Adresse anlegen, die Sie beim Kauf einer Subskription mitangeben. Dabei geben Sie auch ein individuelles Passwort vor. Die Vorgehensweise dazu erhalten Sie in einer gesondert versandten E-Mail. Anschließend können Sie sich im Desktop-Client einloggen. Sie gelangen zunächst zu einem Konfigurationsbildschirm, in dem Sie einen Zielserver angeben, zu dem sich der Client verbindet. Die Anwendung wählt hier voreingestellt den schnellsten verfügbaren Server aus, gewährt jedoch nach einem Klick auf Schnellster Server den Zugriff auf eine nach Ländern geordnete Liste, aus der Sie einen anderen Server auswählen können.
In der Gruppe Verbindungseinstellungen geben Sie außerdem verschiedene vorhandene Internet-Zugänge für das Channel-Bonding an. Die am unteren Fensterrand sichtbare Option Geschwindigkeit testen ermöglicht es, den aktuellen Datendurchsatz beim Up- und Download festzustellen. Dazu stehen zwei Testmethoden bereit, von denen eine auf das Live-Streaming optimiert ist. Nach dem Testdurchlauf erhalten Sie eine grafisch aufbereitete Anzeige des Datendurchsatzes sowie eine Angabe in absoluten Zahlen (Abbildung 3). Über die Schalter Latenz und Verlust bringen Sie die Latenzzeiten des VPN-Zugangs und die Höhe der Paketverluste in Erfahrung.
Abbildung 3: Speedify stellt sogar Testroutinen zur Geschwindigkeitsmessung bereit.
Einstellungssache
Mithilfe des Hamburger-Menüs links oben im Fenster gelangen Sie zurück in die primäre Anzeige, wo Sie über die Verbindungseinstellungen ein Channel Bonding einrichten, sofern Sie mehrere Netzwerkzugänge nutzen. Dabei konfigurieren Sie jeden Zugang einzeln, indem Sie dessen Einstellungsfenster durch einen Klick auf die jeweilige Verbindung öffnen (Abbildung 4). Dort legen Sie nun die primäre Verbindung fest und sehen statistische Daten zur jeweiligen Verbindung ein.
Abbildung 4: Mithilfe der Einzelkonfiguration mehrerer Verbindungen sorgen Sie für hohen Datendurchsatz.
Daneben können Sie ein tägliches und monatliches Datenlimit für die jeweilige Verbindung vorgeben. Dieses Feature ist vor allem dann nützlich, wenn der VPN-Zugang über einen Smartphone-Tarif mit begrenztem Datenkontingent erfolgt. Speedify vermeidet so ein Überschreiten des vom Provider begrenzten Kontingents und damit einhergehende, teilweise erhebliche Zusatzkosten. Auch das Verhalten der Software bei Überschreiten des Limits legen Sie hier fest, wobei Sie entweder die weitere Nutzung des Zugangs stoppen oder dessen Bandbreite auf einen wahlfreien Wert begrenzen.
Kombination
Zum Optimieren des Channel Bondings finden Sie unten auf der Einstellungsseite die Gruppe Sitzungseinstellungen und darin die Option Bonding-Modus. Ein Klick darauf öffnet einen kleinen Konfigurationsdialog mit drei ausführlich erklärten Optionen. Darüber optimieren Sie den VPN-Zugang über mehrere Kanäle beispielsweise für Videokonferenzen, Live-Streaming-Verbindungen oder auch die herkömmliche IP-Telefonie. Wollen Sie hingegen eine besonders zuverlässige Verbindung aufrechterhalten, empfiehlt sich die Auswahl der Option Redundant, da der Client in diesem Modus die einzelnen Datenpakete simultan über mehrere Kanäle versendet und der Server stets das erste ankommende Paket verarbeitet. Da Speedify das in den Subskriptionen bereitgestellte Datenvolumen nicht limitiert, verursacht der simultane Versand mehrerer gleicher Datenpakete keine Zusatzkosten.
Kontoverwaltung
Die Optionen in der Gruppe Konto dienen dazu, in einen anderen Tarif zu wechseln oder das Speedify-Konto zu kündigen. In dieser Gruppe rufen Sie außerdem über die Schaltfläche Meine Statistik Nutzungsdaten auf, die sich jedoch auf die Anzeige der maximalen Down- und Upload-Geschwindigkeit und das gesamte verschlüsselte Transfervolumen beziehen. Aufgrund der Zero-Logging-Richtlinie sind keine weiteren Informationen verfügbar. Eine Kontokündigung können Sie nicht in der App selbst anstoßen, sondern müssen dazu ins Konto-Dashboard der Anbieter-Webseite wechseln.
Mullvad
Der hierzulande fast unbekannte schwedische Anbieter Amagicom AB fällt mit seinem VPN-Dienst Mullvad vor allem durch sein Preismodell aus dem Rahmen [11]. Der Mullvad-VPN-Dienst kostet grundsätzlich 5 Euro pro Monat, wobei es keine Rolle spielt, ob es sich um eine geschäftliche oder private Nutzung handelt. Statt Subskriptionen mit fester Laufzeit gibt es lediglich eine einmonatige Flatrate. Sie können ihr Konto mit einem beliebigen Betrag aufladen, wobei die Höhe des Betrags das Zeitfenster definiert, in dem das Konto aktiv bleibt. Das Datenvolumen unterliegt keiner Beschränkung, es lassen sich jedoch maximal fünf Endgeräte mit einem Account nutzen.
Es gibt weder einen kostenlosen Zugang noch eine Trial-Variante. Eine 30-tägige Geld-zurück-Garantie gestattet es jedoch, bei Unzufriedenheit bereits bezahlte Beträge zurückzuerhalten. Auch mit den Zahlungsmethoden fällt der schwedische Dienst aus dem Rahmen: Neben Barzahlung in verschiedenen Währungen akzeptiert der Anbieter auch Zahlungen in Kryptowährung und gewährt dabei sogar einen Rabatt von 10 Prozent. Überweisungen sowie Zahlungen per Kreditkarte oder über diverse Zahlungsdienstleister sind ebenfalls möglich [12].
Technik
Der Mullvad-VPN-Dienst betreibt in 38 Ländern 760 Server, die das Unternehmen einzeln mit Online-Status und Geschwindigkeit der Anbindung auf der Website aufführt. So lässt sich die Erreichbarkeit eines Servers jederzeit nachvollziehen. Als Protokolle unterstützt der Dienst OpenVPN und Wireguard. Der Dienst stellt auf seiner Website plattformübergreifend verschiedene Client-Apps bereit, für Linux wird gibt es ein RPM- und ein DEB-Paket [13]. Beide eignen sich jedoch ausschließlich für 64-Bit-Systeme. Zusätzlich steht noch ein inoffizielles AUR-Paket für Arch Linux und seine Derivate zur Verfügung. Die Installationsprogramme sind kryptografisch signiert. Zusätzlich gibt es ein Addon für den Webbrowser Firefox namens Mullvad Privacy Companion, das jedoch keine kostenpflichtige VPN-Verbindung etabliert. Es baut stattdessen eine Proxy-Verbindung auf und modifiziert einige Einstellungen des Webbrowsers zugunsten einer Erhöhung der Systemsicherheit.
Als einer von wenigen VPN-Anbieter lässt Mullvad VPN seinen Dienst regelmäßig extern auditieren. Die Ergebnisse des letzten Code-Audits durch die deutsche IT-Sicherheitsfirma Cure53 finden sich auf der Website des Anbieters [14]. Die Client-Apps werden zudem alle unter der GPLv3 als freie Software entwickelt. Als weitere Besonderheit wendet Mullvad VPN eine strikte Zero-Logging-Richtlinie an, die Anfragen staatlicher Institutionen nach Verbindungs- und Protokolldaten ins Leere laufen lässt. Die Apps gestatten darüber hinaus einen schnellen Server-Wechsel, verfügen über einen Kill Switch zum Abschalten der Verbindung im Falle eine Kompromittierung und rotieren bei Verwendung des Wireguard-Protokolls automatisch die einzelnen Schlüssel.
Konto
Sie legen das Mullvad-Konto auf etwas ungewöhnliche Weise an: Nach einem Klick auf den Schalter Konto anlegen auf der Website des Unternehmens erhalten Sie eine sechzehnstellige Kontonummer für den VPN-Zugang. Eine E-Mail-Adresse oder einen Nutzername benötigen Sie dazu nicht, was der Anonymität zugutekommt. Anschließend wählen Sie in einem weiteren Dialog den Zeitraum, den Sie buchen möchten, und bezahlen den entsprechenden Betrag über eine der angebotenen Zahlungsformen. Danach können Sie den VPN-Client von der Website herunterladen.
Die beiden für die RPM- und DEB-Paketverwaltung verfügbaren Binaries fallen dabei mit jeweils gut 80 MByte Umfang relativ opulent aus. Nach der Installation und einem anschließenden Neustart des Systems rufen Sie die Applikation aus der Menühierarchie der Arbeitsumgebung heraus auf. Auf dem Eingangsbildschirm geben Sie Ihre sechzehnstellige Kontonummer an. Danach gelangen Sie in ein Fenster, das Ihren aktuellen Standort anzeigt. Um den VPN-Zugang zu aktivieren, klicken Sie dort auf Meine Verbindung sichern. Oberhalb davon finden Sie eine weitere Schaltfläche, mit deren Hilfe Sie aus einer Liste den Server-Standort auswählen. Voreingestellt dienen schwedische Server zum Aufbau der getunnelten Verbindung. Anschließend etabliert der Client den gesicherten Tunnel und zeigt eine entsprechende Meldung an (Abbildung 5).
Abbildung 5: Die Client-App von Mullvad gefällt durch ihren übersichtlichen Aufbau.
Konfiguration
Über das Zahnradsymbol oben rechts im Hauptfenster der App gelangen Sie in die Konfigurationsdialoge. Sie zeigen auf der ersten Seite kontenspezifische Informationen an wie etwa die App-Version, die eingestellte Sprache und das vorhandene Zeitkontingent. Da die Installationsroutine die Systemsprache ermittelt und einstellt, fallen hier in aller Regel keine Änderungen an. Die Gruppe Präferenzen ermöglicht das Aktivieren des Clients beim Hochfahren des Rechners und den automatisierten Aufbau einer getunnelten Verbindung.
Auch ein Werbe- und ein Tracking-Blocker lassen sich in diesem Dialog bequem per Schieberegler einschalten. Zudem sorgen Sie gegebenenfalls durch Aktivieren der Option Minimiert starten dafür, dass die Anwendung beim Hochfahren des Rechners kein Fenster öffnet, sondern sich in Form eines symbolischen Vorhängeschlosses in den System-Tray einhängt. Ein Klick auf das Icon gestattet nicht nur das Öffnen des VPN-Client-Fensters, sondern dient auch zum schnellen Aufbau einer getunnelten Verbindung oder zur schnellen Unterbrechung.
Mithilfe der Kategorie Erweitert im Einstellungsfenster können Sie die Software sehr detailliert konfigurieren. Im entsprechenden Dialog aktivieren Sie nicht nur die Nutzung von IPv6, sondern legen bei Bedarf auch fest, dass für die Internet-Nutzung stets der VPN-Zugang aktiviert sein muss. Bei eingeschalteter Option VPN immer erforderlich können Sie ohne VPN-Tunnelung nicht mehr auf das Internet zugreifen. Diese Einstellung bietet sich insbesondere für Anwender an, die sich häufig über öffentlich zugängliche WLAN-Netze mit dem Internet verbinden und das VPN nicht permanent eingeschaltet lassen. Sie verhindert dann zuverlässig ein versehentliches Übertragen sensibler Daten über eine ungesicherte Verbindung.
Im selben Einstellungsdialog legen Sie außerdem das zu nutzende Tunnelprotokoll fest. Zur Auswahl stehen dazu lediglich die sicheren Protokolle OpenVPN und Wireguard. In der Voreinstellung wählt der Client das Protokoll automatisch aus. Für den Feinschliff der jeweiligen Protokollkonfiguration stehen die beiden Dialoge Wireguard-Einstellungen und OpenVPN-Einstellungen zur Verfügung, in denen Sie entsprechende Parameter verändern.
Umleitung
Benötigen Sie für eine einzelne Anwendung eine ungesicherte Verbindung, weil sie nicht mit VPN-Tunneln funktioniert, nehmen Sie sie im erweiterten Einstellungsdialog über die Option Split Tunneling von der Tunnelung aus. Das Fenster listet dann in einer weiteren Ebene alle im System gefundenen Applikationen auf. Sie wählen hier bequem per Mausklick die Anwendung aus, die ohne VPN-Tunnelung laufen soll (Abbildung 6). Nach einem Klick darauf öffnet sich direkt das entsprechende Programmfenster. Beim Schließen der jeweiligen Anwendung aktiviert der Client den Tunnel wieder für das gesamte System.
Abbildung 6: Bei Bedarf können Sie Anwendungen vom herkömmlichen VPN-Zugang ausnehmen.
Ortswechsel
Je nach Präferenzen können Sie aus dem Hauptfenster heraus jederzeit den Server-Standort wechseln, indem Sie auf die Schaltfläche Ort wechseln klicken und aus der Liste der aktiven Server den gewünschten Eintrag auswählen. Beim Wechsel des Servers im laufenden Betrieb kommt es gelegentlich zu einigen Sekunden Verzögerung, bis der Client die getunnelte Verbindung neu etabliert. Die App zeigt den Erfolg der Operation in Form eines grünen Punkts und einer entsprechenden Meldung in grüner Farbe an. Zusätzlich erscheint das symbolische Vorhängeschloss im System-Tray bei aktivem Tunnel in grüner Farbe und geschlossen, während es bei einer ungesicherten Verbindung offensteht und sich rot färbt.
|
|
Windscribe |
ProtonVPN |
Speedify |
Mullvad VPN |
|---|---|---|---|---|
|
Lizenz App |
GPLv2 |
GPLv3 |
proprietär |
GPLv3 |
|
Client-Software |
||||
|
plattformübergreifend |
ja |
ja |
ja |
ja |
|
GUI-Client |
ja |
ja |
ja |
ja |
|
CLI-Client |
ja |
ja |
ja |
ja |
|
Features |
||||
|
Channel Bonding |
nein |
nein |
ja |
nein |
|
Server-Auswahl |
ja |
ja |
ja |
ja |
|
unterstützte Protokolle |
OpenVPN, Wireguard, IKEv2 |
OpenVPN, Wireguard, IKEv2 |
proprietär |
OpenVPN, Wireguard |
|
kostenfreie Konten |
ja |
ja |
Linux: nein |
nein |
|
Werbe- und Tracker-Blocker |
ja |
ja |
ja |
ja |
|
Split Tunneling |
ja |
eingeschränkt |
eingeschränkt |
ja |
|
Sicherheit |
||||
|
Verschlüsselung |
AES-256 |
AES-256 |
AES-128-GCM |
AES-256 |
|
Zero-Logging-Richtlinie |
ja |
ja |
eingeschränkt |
ja |
|
Kill Switch |
ja |
ja |
ja |
ja |
|
Integration von Tor-Netzwerk möglich |
nein |
ja |
nein |
nein |
|
externe Security-Audits |
nein |
ja |
nein |
ja |
Fazit
Alle vier getesteten VPN-Dienste stellen einen zuverlässigen, stabilen und einfach zu handhabenden VPN-Tunnel zur Verfügung. Die Unterschiede liegen im Detail.
So verwendet Speedify ein proprietäres Protokoll, kann dafür aber durch das Channel-Bonding mit hohen Geschwindigkeiten aufwarten. Das macht diesen Dienst zu einer empfehlenswerten Plattform für Anwender, die vor allem VPN-Verbindungen für Streaming-Dienste benötigen. Das schweizerische ProtonVPN dagegen richtet den Fokus auf die Sicherheit des Diensts und bietet seinen Kunden mit der Secure-Core-Architektur und der optionalen Integration des Tor-Netzwerks herausragende Sicherheitsmerkmale.
Windscribe wiederum wendet sich nicht an Nutzergruppen mit speziellen Prioritäten. Es versucht, das gesamte Anwenderspektrum abzudecken, vernachlässigt dabei jedoch auch die Sicherheit nicht. Mullvad VPN legt hingegen besonderen Wert auf eine gute Konfigurierbarkeit und ein möglichst einfaches und für den Anwender flexibles Zugangsmodell ohne zahlreiche unterschiedliche Subskriptionen.
Beim Einrichten eines VPN-Zugangs empfiehlt es sich daher, den Anbieter je nach benötigten Features auszuwählen, um so gegebenenfalls auch spezielle Anforderungen abzudecken. (jlu)
Infos
-
Windscribe: https://deu.windscribe.com
-
Windscribe-Subskriptionen: https://deu.windscribe.com/upgrade
-
Windscribe installieren: https://github.com/Windscribe/desktop-v2
-
ProtonVPN: https://protonvpn.com/de/free-vpn/
-
ProtonVPN-Preismodelle: https://protonvpn.com/de/pricing
-
ProtonVPN-Anleitung: https://protonvpn.com/support/
-
Speedify: https://speedify.com
-
Speedify-Subskriptionen: https://speedify.com/store/
-
Speedify-Anleitung: https://support.speedify.com/article/562-how-to-install-speedify-on-linux
-
Speedify kostenfrei: https://speedify.com/blog/news/introducing-free-tier/
-
Mullvad VPN: https://mullvad.net/de/
-
Mullvad-Preismodelle: https://mullvad.net/de/pricing/
-
Mullvad-Client: https://mullvad.net/de/download/linux/
-
Mullvad-Audit: https://cure53.de/pentest-report_mullvad_2020_v2.pdf
-
SecurityKISS: https://securitykiss.com
-
IPVanish: https://www.ipvanish.com
