Privacy-Handbuch

Einige VPN-Provider haben Tracker in ihren Apps integriert, was man für Android Apps bei Exodus Privacy erfragen kann, sie werben mit Anonymität beim Surfen, was hier zerlegt wird, oder werben mit "military grade security", weil AES256-GCM für die Verschlüsselung der Daten verwendet wird. Um solche VPN-Provider mit irrefühender Werbung sollte man einen Bogen machen.

(Für "military grade security" braucht man nicht nur sichere Cipher sondern auch sichere Speicherung der Schlüssel außerhalb der Arbeitsumgebung auf einem Hardware Security Modul und die VPN-Verschlüsselung muss ebenfalls außerhalb der Arbeitsumgebung erfolgen. Diese Anforderungen erfüllt kein bekannter VPN-Provider.)

Folgende VPN-Provider kann man für die Umgehung geo-spezifischer IP-Sperren, zur Vermeidung von Gefahren in öffentlichen WLANs (Hotel, ICE, Flughafen usw.) oder zur Verhinderung des Trackings von Reisetätigkeiten anhand wechselnder IP-Adressen empfehlen: 

• Mullvad VPN hebt sich durch seriöse Aussagen vom Großteil der VPN Anbieter ab.
  • Mullvad VPN bietet weltweit verteilte OpenVPN und Wireguard Server für 5,- € pro Monat. Man sollte "owned" Server bevorzugen, bei denen der Anbieter die volle Kontrolle hat.
  • Die Smartphone Apps von Mullvad VPN enthalten keine Tracker und fordert nur die minimal nötigen Berechigungen (weniger Berechtigungen als z. B. die Wireguard App).
  • Man kann auf PCs die Standardsoftware für OpenVPN oder Wireguard Clients nutzen.

  • Um die Probleme beim "anonymen" Surfen via VPNs zu addressieren, bietet Mullvad den Mullvad Browser zum Download an, der auf dem TorBrowserBundle basiert. Der Mullvad Browser kann mit allen VPN PRovidern oder auch ohne VPN genutzt werden.

• ProtonVPN hebt sich durch einige Sicherheits­features von anderen Anbietern ab.
  • ProtonVPN bietet OpenVPN, IPsec/IKEv2 und Wireguard Server in vielen Ländern.

  • Es gibt ein kostenloses Angebot mit wenigen, stark ausgelasteten Servern und Premium.

    Hinweis: Bei In-App Bezahlung mit der iPhone App sind die Preise 15% höher aufgrund der Provision, die Apple einsteckt. Es ist preiswerter, wenn man die Premiumangebote auf der Webseite kauft.

  • Es ist empfehlenswert, auf Smartphones die Apps von ProtonVPN zu nutzen. Es sind nur notwendige Freigaben erforderlich und keine Tracker enthalten aber dafür zusätzliche Sicherheits­features: "Kill Switch" für Android oder "Always-on-VPN" für iPhones.
  • Windows 10, MacOS (El Capitan) und Linux unterstützen Wireguard, IPsec/IKEv2 oder OpenVPN mit nativen Clients. Dafür kann man fertige Konfigurationen herunterladen.
• IVPN.net ist auf Gibraltar registriert. Der Hauptteil des Teams sitzt in Berlin.
  • IVPN.net bietet Wireguard, OpenVPN und IPsec/IKEv2 Server in 32 Ländern, die eine sichere Verschlüsselung nach dem aktuellen Stand der Technik bieten.
  • Die Apps für Windows, MacOS, Linux und Smartphones sind Open Source und wurden 2021 von Cure53 auditiert. Sie enthalten keine Tracker und zus. Sicherheits­features wie Netzwerk Kill-Switch bzw. Always-on-VPN (iOS) und eine Fire­wall. Für Smartphones kann man die VPN Apps gegenüber den integrierten Lösungen bevorzugen.
  • Bei der Registrierung werden keine persönlichen Daten erfasst, kein Name, Telefon­nummer oder E-Mail Addr. Es wird nur eine zufällige Account-ID generiert, die man kopieren muss.
  • Für die Bezahlung bietet IVPN.net flexible Laufzeiten mit opt-in für eine automatische Verlängerung sowie anonyme Zahlung per Cash Brief. Beim Test gab es ein paar Probleme. Bezahlung mit einer Kredit­karte war nicht möglich. Der Support von IVPN kommentierte:

    We occasionally see the bank or financial institution associated with the credit or debit card block payments because it looks suspicious to them. We are located in Gibraltar, so this is not entirely unexpected.

    Die Bezahlung mit Bitcoin schied wegen der hohen Mining Gebühren von 100-800% für die Zahlung aus. (Für kleine, schnelle Zahlungen im Netz ist Bitcoin unbrauchbar.)

    Bei In-App Bezahlung mit iPhones zahlt man 15% Aufschlag für die Provision an Apple. 

Bei den VPN Bewertungen auf Webseiten wie VPNmentor oder Wizecase belegen in der Regel die VPN Anbieter CyberGost, Expressvpn und Privat Internet Access die vordersten Plätze.

Diese Webseiten gehören der Firma Kape (früher unter dem Namen "Crossrider" bekannt) und dieser Firma gehören auch die VPN Dienste CyberGost (seit 2017), Expressvpn (seit 2021), Privat Internet Access. Kape setzt ein erhebliches PR Budget ein, um die eigenen VPN Dienste auch auf anderenn Webseiten schönschreiben zu lassen. Ein Gründer der Firma Crossrider, die jetzt Kape heißt, hat gute Beziehungen zu Unit 8200 (israelisches Äquivalent zu NSA und GCHQ).

Warnung für iPhone Nutzer

Auf iPhones ist es nicht möglich, den gesamten Datenverkehr ins Internet vollständig durch ein VPN zu jagen. Apples Dienste wie z.B. der Push Service telefoniert am VPN vorbei, die GMail App kontaktiert Googles IMAP-Server am VPN vorbei und andere Probleme bestehen seit Jahren

Mullvad und ProtonVPN empfehlen folgendes Vorgehen, um die Probleme mit bestehenden Verbindungen zu reduzieren, die beim Starten eines VPNs nicht in den VPN-Tunnel geleitet werden:

1. VPN-App starten und eine Verbindung zum VPN Server herstellen.
2. Flugmodus aktivieren, damit alle bestehen Verbindungen unterbrochen werden.
3. WLAN deaktivieren (falls aktiviert) und bei Bedarf wieder aktivieren.
4. Flugmodus wieder deaktivieren. Damit wird die Verbindung zum VPN-Server wieder neu aufgebaut und alle neuen Verbindungen (außer Systemkommunikation!) geht durch das VPN. 

GrapheneOS: DNS Leaks in Non-Owner-Profilen bei VPN + Private DNS

Wenn man in GrapheneOS mit mehreren Nutzerprofilen arbeitet, in einem Non-Owner-Profile ein VPN für den gesamten Netzwerktraffic aktiviert hat und dabei aber nicht den DNS Server des VPN Providers verwendet sondern einen DNS-over-TLS bzw. DNS-over-HTTPS Server ("Private DNS"), dann geht der DNS Datenverkehr am VPN vorbei.

Die Dokumentation von GrapheneOS empfiehlt, die DNS Server des VPN Providers zu nutzen.

ProtonVPN empfiehlt in den FAQ generell für alle Android Versionen, bei der Nutzung der VPN Apps die DNS-over-TLS bzw. DNS-over-HTTPS Server zu deaktivieren (kein "privates DNS" mit VPNs).

Serverauswahl (Zeitzone beachten)

Es ist relativ einfach für eine Webseite, die Zeitzone mittels Javascript zu ermitteln, die auf dem Computer des Surfers ausgewählt wurde:

Ein VPN-Nutzer fällt auf, wenn sich sein Browser mit einer IP aus Agentinien beim Webserver meldet und der Webserver feststellt, dass die Zeitzone Europe/Berlin auf dem Rechner eingestellt ist.

Daher sollte man einen VPN-Server passend zur eingestellten Zeitzone wählen (wenn die Geo-Location der IP-Adresse keine Rolle spielt) oder evtl. die Zeitzone auf dem Rechner kurz umschalten anpassen, wenn man wirklich einen anderen Standort vortäuschen muss.

• Modern ausgestattete Linuxer können sich die verfügbaren Zeitzonen anzeigen lassen...

  > timedatectl list-timezones

  ... und mit folgendem Kommando schnell mal die Zeitzone wechseln:

  > timedatectl set-timezone Europe/Rome

• Anonymisierung(?)
• VPN-Provider
• Heim-/FirmenVPN
  • DynDNS
  • Fritz!VPN
  • Speedport
• VPNs mit Windows
• VPNs mit Linux
  • OpenVPN
  • IPsec/IKEv2
  • WireGuard
  • IPv6 Off
  • Firewall
• Angriffe auf VPNs