Wenn Sie schon mal nach VPNs im Play Store bzw. App Store gesucht haben, haben Sie neben Marktführern wie NordVPN und ExpressVPN wohl Dutzende (wenn nicht Hunderte) andere VPNs entdeckt, von denen Sie noch nie gehört haben.

Vielleicht sind diese obskuren VPNs nur unbekannt, weil sie kein großes Marketingbudget haben? Oder taugen sie tatsächlich nicht viel? Um dies herauszufinden, haben wir ein kleines Experiment durchgeführt.

Wichtig zu wissen: Wir stehen für ein sicheres und offenes Internet, deswegen tun wir unser Bestes, um Sie bei der Wahl eines VPN-Anbieters zu unterstützen. In diesem Artikel wollen wir aber keine Namen nennen, um die harte Arbeit vieler Leute nicht zu diffamieren.

Was haben wir denn gemacht?

Wir wollten einen zufällig ausgewählten, unbekannten VPN-Anbieter ausgiebig testen. So haben wir kurz gegoogelt und einfach wahllos irgendeinen Link angeklickt.

Die Webseite des von uns gefundenen VPNs sieht ziemlich seriös aus und verspricht volle Sicherheit und Anonymität – für einen (nicht ganz kleinen) Preis. Teure VPNs sind ja meistens hochwertig, oder?

Wir wollten aber sehen, was hinter der schönen Fassade steckt. Deswegen haben wir den (frei verfügbaren) Quellcode des Clients ausgiebig analysiert. Und jetzt wird’s interessant.

HTTP statt HTTPS

Das Erste, was wir herausgefunden haben: Für API-Anfragen verwendet dieses angeblich sichere VPN… HTTP statt HTTPS.

Das heißt: hier fehlt die grundlegende SSL-Verschlüsselung, die für jede seriöse Webseite und jeden Online-Dienst unabdingbar ist. Wenn Sie zufällig auf eine Webseite ohne HTTPS stoßen würden, wird Ihr Browser Sie davor warnen, keine Passwörter oder Zahlungsdaten einzugeben.

Worum geht es hier eigentlich?

Ohne SSL-Verschlüsselung sind die Daten, die zwischen Ihnen und dem Server ausgetauscht werden, leichte Beute für alle Interessierten. Cool, oder?
Wir wissen ehrlich gesagt nicht, wie ein VPN solche blatanten Sicherheitslücken überhaupt aufweisen darf.

GET-Anfragen statt POST-Anfragen

Nachdem wir diesen unverschlüsselten Austausch zwischen Client und Server entdeckt haben, dachten wir, es könnten keine schlimmeren Überraschungen geben.

Und wir lagen falsch.

Das von uns analysierte VPN verwendet beim Einloggen GET-Anfragen statt POST-Anfragen.

Ja, für die meisten Menschen klingt das gar nicht gruselig. Für uns aber schon, denn das ist wohl der größte Anfängerfehler, den ein VPN-Anbieter begehen kann.

Aber warum ist das so schlimm?

Nun erklären wir Ihnen, was hinter diesem ganzen Jargon steckt.

Es gibt verschiedene Arten von Anfragen, die in der Kommunikation zwischen Clients und Servern verwendet werden. Zwei davon sind GET und POST.

GET eignet sich nur für Situationen, wo Datenschutz keine Rolle spielt. Die übermittelten Daten werden ungeschützt direkt in den Logdateien des Servers gespeichert.

Beim Durchstöbern von Online-Shops haben Sie bestimmt URL-Zeilen wie https://www.mustershop.de/search.php?category=Kühlschränke&feature=Wasserspender gesehen. Das sind GET-Anfragen. Wie Sie sehen, werden die übermittelten Informationen ohne jegliche Verschlüsselung direkt in die Adresszeile geschrieben.

Bei POST hingegen werden die übertragenen Daten nicht geloggt. Für das Anmelden oder Übertragen anderer sensibler Daten sind nur POST-Anfragen geeignet.

Bei diesem obskuren VPN werden trotzdem GET-Anfragen verwendet. Alle Logindaten und Hardware-IDs werden also – trotz der angeblichen No-Logs-Richtlinie – gespeichert.

Wiederholen wir es noch einmal.

Ja, dieses VPN übermittelt Ihre Daten ohne SSL-Verschlüsselung und speichert sie auf seinen Servern.

Wir dachten immer, VPN steht für Virtuelles Privates Netzwerk. Hier scheint der Buchstabe P aber etwas anderes zu bedeuten – mit “privat” hat dieses Netzwerk nicht viel zu tun.

Kundendienst

Wir sind zwar streng, aber nett. Deswegen wollten wir den Leuten hinter diesem VPN helfen, ihre Produkt zu verbessern. Wir haben uns mit dem Kundendienst in Verbindung gesetzt und unsere Funde mitgeteilt.

Die Antwort war… nicht besonders professionell.

Die Mitarbeiter waren von unserer Anfrage gar nicht begeistert. Sie haben versucht, unsere Sicherheitsexperten mit Fragen zu überfordern, und haben uns sogar beschimpft. Ja, das haben wir leider nicht erfunden.

Warum ist das schlimm?

Eine Firma macht große Versprechen, hält sich nicht daran und will auch keine konstruktive Kritik annehmen. Das klingt nicht sehr vertrauensfördernd.

Wir wissen nicht, ob die Leute hinter diesem merkwürdigen VPN absichtlich lügen oder einfach keine Ahnung von ihrem Job haben. Wir wissen auch nicht, was schlimmer ist.

Übrigens: Das Monatsabo bei diesem komischen VPN kostet um die 10 Euro. Ja, das ist mehr als bei vielen erstklassigen VPNs.

Was ist danach passiert?

Nach ein paar Tagen wurden einige von uns entdeckten Fehler doch behoben.

• Erstens: die Verbindung ist jetzt mit einem SSL-Zertifikat geschützt. Das ist schon ein guter erster Schritt.
• Außerdem wurden zufällige Nutzer-IDs eingeführt, die nur einmal verwendet werden. Es werden aber immer noch GET-Anfragen verwendet – das heißt, die No-Logs-Richtlinie taugt immer noch nichts. Na ja, vielleicht werden alle Daten sofort gelöscht oder so etwas – aber da sind wir eher skeptisch. Wer nichts speichern will, verwendet einfach keine GET-Anfragen.
• Und ob der Kundendienst sich irgendwie verbessern lässt, können wir nicht sagen.

Fazit

Wenn Sie mal ein unbekanntes VPN entdecken, halten Sie am besten die Finger davon – egal wie einladend der Werbetext klingt. Keiner weiß, welche Gefahren dahinter lauern.

Wir empfehlen also, nur renommierte und ausgiebig getestete VPNs zu benutzen. So können Sie sicher sein, dass Ihre Daten geschützt sind und dass Sie keine grenzwertigen Erfahrungen mit dem Kundendienst machen.