Ich habe in den letzten Jahren oft gelesen, dass man für OSINT immer ein VPN nutzen sollte. Ich würde diese Aussage nicht grundsätzlich unterschreiben, da es einige Dinge zu bedenken gibt.
1. Was ist ein VPN
Bei der VPN Nutzung wird das heimische Netzwerk nicht direkt mit dem Internet verbunden. Der Datenverkehr wird zuerst noch über das Netzwerk des VPN Providers weitergeleitet. Die Datenverbindung zwischen dem Heimnetzwerk und dem des VPN Providers wird verschlüsselt. Somit kann beim eigentlichen Internetzugangsprovider nicht mitgelesen werden, welche Webseiten aufgerufen werden. Ausserdem kann der angesurfte Webserver nicht erkennen, von welcher IP-Adresse darauf zugegriffen wurde, er sieht nur die IP-Adresse des VPN Providers.
Hier noch ein kleines Video von mir, welches VPN etwas ausführlicher erklärt: VPN (Youtube Video)
In der Grafik soll verdeutlicht werden, dass der Datenverkehr bei der Nutzung eines VPN getunnelt wird. D.h. der Provider sieht nur noch, dass Datenverkehr zum VPN-Provider läuft, kann aber keine URLs mehr sehen, die aufgerufen werden.
2. Vorteile der Nutzung eines VPNs
Dadurch, dass die angesurfte Webseite nur noch die IP-Adresse des VPN Providers sieht, kann man die eigene Herkunft verschleiern.
Webinhalte, die z.B. für bestimmte Regionen der Welt gesperrt sind, können durch die Auswahl des VPN-Servers zugänglich gemacht werden. Sogenanntes Geo-Blocking kann also umgangen werden.
Wenn man ein öffentliches WLAN nutzt, kann man sich so von den restlichen Teilnehmern abkoppeln.
3. Nachteile eines VPN
Die IP-Adressen von VPN-Providern sind öffentlich bekannt. Es kann also sein, dass Inhalte für diese IP-Adressen gesperrt werden oder andere Inhalte angezeigt werden. Im schlimmsten Fall kann es auch dazu kommen, dass eigene Accounts durch soziale Netzwerke gesperrt werden.
VPNs können den Internetverkehr verlangsamen.
Während bei einem normalen Internetzugriff, der Provider mitlesen kann, welche Webseiten angesurft werden, kann dies nun der VPN-Provider. Hier stellt sich die Frage inwieweit man dem VPN-Anbieter mehr vertraut als dem Internetprovider. Diese Frage sollte man sich auch im Hinblick auf die DGSVO bzw. die GDPR stellen, wenn man seinen Sitz in der EU hat, denn die Datenschutz Grundverordnung schützt diese anfallenden Daten vor missbräuchlicher Nutzung. Wenn man nun einen möglicherweise sogar kostenlosen Dienst außerhalb der EU nutzt, sollte man sich definitiv fragen, womit dieser sich denn finanziert (in der Vergangenheit kam es schon zu Datenverkäufen durch kostenlose VPN-Anbieter) Oder um es einfach auszudrücken. Wenn man ein VPN nutzt, sieht der Internetzugangsprovider nicht mehr, welche Webseiten man ansurft, allerdings sieht es der VPN Anbieter. Es ändert sich also lediglich die Stelle, die die eigenen Aktionen sehen kann.
Viele VPN Anbieter geben Versprechen ab, die sie nicht halten können.
Ein sehr interessantes Whitepaper zu VPNs aus 2021 hat das Fazit:““Von den 16 VPNs, die wir analysiert haben, gehören Mullvad, PIA, IVPN und Mozilla VPN (das auf den Servern von Mullvad läuft) – in dieser Reihenfolge – zu den am besten bewerteten in Bezug auf Datenschutz und Sicherheit. PIA wurde jedoch noch nie einer öffentlichen Sicherheitsüberprüfung durch Dritte unterzogen. Außerdem sind wir der Meinung, dass nur IVPN, Mozilla VPN und Mullvad – zusammen mit einem anderen VPN (TunnelBear) – ihre Dienste und Technologien korrekt darstellen, ohne pauschale oder potenziell irreführende Aussagen zu machen.“
Es kann zu temporären Ausfällen des VPN kommen, so dass die eigene IP-Adresse doch wieder verwendet wird, wenn das VPN schlecht konfiguriert wurde. Es muß auf jedenfall „kill switch“ aktiviert sein, damit in diesen Fällen der Internetzugang verhindert wird.
3. Irrtümer im Zusammenhang mit VPNs
Allein, dass die IP-Adresse geändert wird, ändert nichts daran ob man von der angesurften Webseite wiedererkannt oder identifiziert werden kann. Die IP-Adresse ist nur ein Merkmal unter vielen. Auf Webseiten wie Cover your tracks kann man überprüfen wie gut, der eigene Browser identifiziert/wiedererkannt werden kann – und das ganz ohne die Verwendung der IP-Adresse als Identifizierungsmerkmal. Wie man sieht werden hier Merkmale wie installierte Schriftarten, installierte Addons, Browserkennung uvm. genutzt.
VPNs schützen nicht vor Schadsoftware, sie schützen keine Passwörter und sie schützen auch nicht die Daten auf dem eigenen Computer. Kaffee können sie ebenso nicht kochen 😉 Nur mal ein Gedankenexperiment: Wenn ein VPN Anbieter z.B. tatsächlich vor Schadsoftware schützen will, müsste er aus meiner Sicht den Datenverkehr analysieren – da dieser heute in der Regel HTTPS-verschlüsselt ist, müsste er dazu als Man-in-the-middle diesen Datenverkehr entschlüsseln, analysieren und wieder verschlüsselt weitersenden. Um derartige Maßnahmen zu akzeptieren, muss schon ein sehr großes Vertrauen zum VPN Anbieter bestehen.
4. Wann ist ein VPN sinnvoll?
Wenn man regelmäßig Webseiten besucht, die von der Zielperson/-gruppe betrieben werden, sollte man über die Nutzung eines VPN ernsthaft nachdenken. Hierbei ist jedoch nicht ein Auftritt in sozialen Netzwerken oder ein Blog wie dieser gemeint, sondern wenn die dahinterliegende Infrastruktur von der Zielperson betrieben wird.
Befindet man sich in einem öffentlichen WLAN ist ein VPN ebenso sinnvoll um in diesem WLAN keine Spuren zu hinterlassen und sich vom restlichen Datenverkehr zu entkoppeln.
Da man, gerade bei bezahlten VPN Anbietern, auswählen kann, über welchen VPN-Server man ins Internet gehen möchte, kann es sehr hilfreich sein Geoblocking zu umgehen.
5. Welche Alternativen gibt es?
Man kann auch einfach einen Proxy im Browser hinterlegen. Im Gegensatz zum VPN wird der Datenverkehr nicht verschlüsselt/getunnelt. Auch hier muß man sich fragen, wie sich der Proxy-Anbieter finanziert und was er mit den angefallenen Daten macht.
Das Tor-Netzwerk kann ebenso als Alternative betrachtet werden. Hierbei wird man nicht nur über einen, sondern über drei Tor-Server ins Internet geleitet. Solange nicht zwei von den drei in der Route genutzten Servern in einer Hand sind, ist die Beobachung und Zusammenführung der Daten durch die Serveranbieter eher nicht möglich. Die Routen werden alle 10 Minuten geändert, was das Datensammeln noch einmal verkompliziert.
Zu TOR habe ich auch ein kleines Video gemacht: TOR (Youtube Video)
6. Fazit
Ich würde als Einwohner der EU nicht grundsätzlich dazu raten immer ein VPN zu nutzen. Aber es gibt Szenarien, in denen man auf jeden Fall ernsthaft darüber nachdenken sollte ob man ein VPN nutzt. Gerade wenn man eine dynamische und somit regelmäßig wechselnde IP-Adresse von seinem Internetprovider zugewiesen bekommt, sollte das in vielen Fälle ausreichen.
Wenn man einen VPN Anbieter auswählt, sollte man einen wählen, der einen Sitz in der EU hat und sich somit an die GDPR halten muss. Oben verlinktes Whitepaper kann hier weiteren Aufschluss für die Auswahl des Providers bieten.
Wenn man wirklich sicher sein will, nicht wiedererkannt zu werden, muss man sich vor allem gegen Tracking-Techniken schützen, hier reicht, ein VPN zu nutzen, bei weitem nicht aus.
Hat man seinen Sitz außerhalb der EU, ist die Lage natürlich anders zu bewerten, da dort vermutlich keine so engen Datenschutzvorschriften gelten.
7. Warnung
Es gibt Länder, in denen die Nutzung von VPN verboten ist.