Wirklich datensparsame VPN-Anbieter

Bei den meisten VPN-Anbietern muss man sich mit einer E-Mail-Adresse registrieren, so auch bei ProtonVPN. Einen völlig anderen und deutlich datensparsameren Weg schlagen Mullvad und IVPN ein: Hier wird eine Account-ID generiert. Weitere Daten sind nicht nötig.

Um auch bei der Bezahlung möglichst keine Daten zu hinterlassen, nehmen beide Anbieter auch Bargeld an. Hierzu muss ein Barcode ausgedruckt und gemeinsam mit dem Geld per Brief nach Berlin (IVPN) oder Schweden (Mullvad) gesendet werden. Das Porto hält sich in beiden Fällen mit 0,85 respektive 1,10 Euro in Grenzen, die Zustellung dauert nur wenige Tage.

Auch ProtonVPN bietet eine Barzahlung an, diese kann allerdings nicht einfach beim Bezahlvorgang ausgewählt werden, sondern es muss eine extra Supportanfrage gestellt werden. Neben Bargeld nehmen alle drei Anbieter auch Zahlungen mittels Kryptowährungen, Kreditkarten oder Paypal an.

Die Werbeversprechen sind bei diesen dreien deutlich weniger großspurig - obgleich ProtonVPN mit einem privaten Browserverlauf oder dem "sicher bleiben" von "Passwörter[n] und vertraulichen Daten, sogar bei öffentlichen oder nicht vertrauenswürdigen Internetverbindungen" wirbt. Auch Mullvad behauptet, dass "Hacker und Tracker [...] keine Chance" hätten. Abgesehen von diesen überzogenen Aussagen sind die Erklärungen auf den Webseiten sonst jedoch weitgehend sachlich gehalten.

Noch viel besser ist IVPN: Hier wird zwar die Überwachung im Internet problematisiert, aber schon im zweiten Satz festgehalten, dass "ein VPN dieses Problem nicht alleine lösen kann". Ebenfalls auf der Startseite wirft der Anbieter sogar die Frage auf, ob der Kunde wirklich ein VPN braucht und erklärt, dass VPNs nutzlos oder bestenfalls ineffektiv sind, um Privatsphäre online zu sichern oder sich vor Tracking von Google oder Facebook zu schützen. Diese Ehrlichkeit ist wahrscheinlich einmalig im kommerziellen VPN-Markt, in dem selbst seriöse Anbieter mit überzogener Werbung arbeiten.

Keine VPN-Server in der Cloud

Ein weiterer wichtiger Punkt, der bei der Auswahl eines VPN-Anbieters berücksichtigt werden sollte, sind die Server. Verwendet ein Anbieter virtuelle Server in der Cloud eines anderen Anbieters, hat letztlich auch dieser die Kontrolle über die Daten der Nutzer. Entsprechend sollten VPN-Anbieter immer mindestens auf dedizierte Server setzen, die bei einem Rechenzentrum gemietet werden. Noch besser ist Co-Location, also eigene Hardware, die in ein Rechenzentrum gebracht wird oder gleich ein eigenes Rechenzentrum. Die beiden letzten Optionen sind jedoch eher selten.

Mullvad, ProtonVPN und IVPN setzen keine virtuellen Server ein. ProtonVPN gibt an, vornehmlich gemietete Server zu verwenden, an drei Standorten kommen jedoch für die Secure-Core-Server eigene Geräte zum Einsatz. Auch Mullvad verwendet sowohl eigene, als auch gemietete Server und gibt das jeweilige Eigentumsverhältnis vorbildlich in seiner Serverliste auf der Webseite an. IVPN wiederum setzt ausschließlich auf gemietete dedizierte Server.

Besser Wireguard statt OpenVPN

Mit Wireguard ist in den vergangenen Jahren ein neues, schlankes VPN-Protokoll aufgekommen, das mittlerweile auch im Linux-Kernel ist. Im Unterschied zu dem in die Jahre gekommenen OpenVPN, kommt Wireguard mit einem Bruchteil des Codeumfanges und deutlich weniger, dafür aber sehr sicheren Optionen aus. So kann beispielsweise nicht zwischen etlichen Verschlüsselungsverfahren gewählt werden, sondern es gibt schlicht einen einzigen Standard, der aus sicheren, State-of-the-Art Algorithmen wie Curve25519 und Chacha20-Poly1305 besteht. Kurz: Wireguard ist deutlich schneller und sicherer als OpenVPN.

Allerdings wurde Wireguard für klassische VPN-Szenarien wie die Verbindung in ein Firmennetz oder auf einen Server entwickelt und nicht für einen Tunnel ins Internet, wie ihn die hier behandelten VPN-Anbieter feilbieten. So verlangt Wireguard beispielsweise einen initialen Schlüsselaustausch und weist passend zum Schlüssel immer dieselbe interne/lokale IP-Adresse zu. Zudem behält Wireguard die IP-Adressen der verbundenen Geräte im Arbeitsspeicher bis die Software neu gestartet wird.

Entsprechend müssen VPN-Anbieter Anpassungen vornehmen. So löschen Mullvad und IVPN die IP-Adressen nicht mehr verbundener Geräte aus dem Arbeitsspeicher und rotieren über ihre Apps regelmäßig die Wireguard-Schlüssel, wodurch auch die interne IP-Adresse gewechselt wird. ProtonVPN hingegen setzt das sogenannte DoubleNAT-Verfahren ein, das die IP-Adresse der Nutzer zu einer Session-IP umschreibt.

Die IP-Adressen der Nutzer können beispielsweise per WebRTC geleakt werden. Entsprechend sollte man dieses im Browser deaktivieren oder auf privatsphärefreundliche Einstellungen abändern. Entsprechende Tests bieten Mullvad und IVPN auf ihren Webseiten an.