Bundesamt für Sicherheit in der Informationstechnik

Virtual Private Networks (VPN)

Ein VPN bietet mehr Sicherheit im Internet

Ob Bahnhof oder Flughafen, Hotel, Café oder Shoppingcenter – wo viele Menschen unterwegs sind, steht immer öfter ein drahtloser Internetzugang zur Verfügung. Für Smartphone-, Tablet- und auch Laptop-Nutzer ist ein kostenloser WLAN-Hotspot zweifellos eine willkommene Gelegenheit, um das monatliche Datenlimit ihres Mobilfunkvertrags zu schonen. Aber Vorsicht: Die Nutzung öffentlicher WLAN-Zugänge birgt deutlich mehr Risiken als das Surfen per Mobilfunk.

Wer auf den Komfort öffentlicher WLAN-Hotspots dennoch nicht verzichten will, kann solche Risiken durch ein sogenanntes Virtual Private Network (VPN) minimieren. Denn ein VPN überträgt sämtliche Daten via Internet grundsätzlich in verschlüsselter Form. Möglichen Ausspähversuchen durch andere Teilnehmer im öffentlichen WLAN wird somit einen Riegel vorgeschoben.

VPNs dürfen allerdings nicht verwechselt werden mit dem verschlüsselten Übertragungsprotokoll HTTPS (Hypertext Transfer Protocol Secure): Dieses Protokoll sichert im World Wide Web die Integrität und Vertraulichkeit bei der Kommunikation zwischen einem bestimmten Webserver und Ihrem Webbrowser. Ein VPN hingegen verschlüsselt die Datenkommunikation zwischen zwei Endpunkten – zum Beispiel zwischen Ihrem Endgerät und einem VPN-Server. Folglich kann ein VPN Ihre Informationen auch dann schützen, wenn Sie keinen Browser, sondern beispielsweise eine Smartphone-App verwenden. Zudem kann ein VPN Ihren kompletten Internetverkehr verschlüsseln, sodass Ihre Kommunikation nicht ohne weiteres mitgelesen oder verändert werden kann.

Zu empfehlen ist die VPN-Nutzung nicht zuletzt dann, wenn Sie via WLAN-Hotspot auf Ihr Heimnetzwerk zugreifen wollen – zum Beispiel auf persönliche Dokumente, private Fotos oder Ihre Musiksammlung. Außerdem können VPNs bei Smart-Home-Anwendungen eine sichere Alternative zur Steuerung via Cloud sein: Wer seine intelligenten Haushaltsgeräte, vernetzte Türen, Rollläden oder Heizungsthermostate ohne den Umweg über eine Cloud direkt über den eigenen Heimnetz-Router ansteuert, kann das Risiko umgehen, dass solche Smart-Home-Daten von den Herstellern, Cloud-Betreibern oder unbefugten Dritten für die Erstellung eines Profils der privaten Lebensgewohnheiten ausgenutzt werden. Darüber hinaus macht ein VPN die direkte Erreichbarkeit Ihrer Haushaltsgeräte aus dem Internet über freigegebene Portsoder UPnP unnötig, was vor Zugriffsversuchen durch Dritte schützt. Da manche Smart-Home-Geräte zur korrekten Funktionalität zwingend einen Zugriff auf die Cloud des Herstellers benötigen, sollte man sich jedoch bereits beim Produktkauf vergewissern, dass die intelligenten Haushaltsgeräte nicht aus dem Internet erreichbar sein müssen.

Was genau ist eigentlich ein VPN?

Bei einem VPN handelt es sich um ein virtuelles Netzwerk: Anders als bei herkömmlichen Netzen wie etwa Ihrem Heimnetzwerk sind die verschiedenen Endgeräte hier nicht direkt physisch miteinander oder mit einem zentralen Router verbunden – etwa über Netzwerkkabel oder eine WLAN-Anbindung.

Ein VPN nutzt in der Regel die Verbindungswege im öffentlichen Internet, wobei im privaten Umfeld meist eine Verbindung von einem Endgerät – zum Beispiel Ihrem Smartphone – zu einem VPN-Server aufgebaut wird. Dabei weist der VPN-Server Ihrem Endgerät intern eine neue IP-Adresse zu. Beim Surfen ist dann statt der Original-IP-Adresse Ihres Geräts auf den besuchten Webseiten die externe IP-Adresse des VPN-Servers sichtbar. Gleichzeitig werden zwischen dem Endgerät und dem VPN-Server alle übertragenen Daten durch Verschlüsselungvom restlichen Internet abgeschottet.

Umgangssprachlich werden die verschlüsselten Datenleitungen im VPN Tunnelleitungen genannt, denn die Verschlüsselung gräbt gleichsam einen abhörsicheren Tunnel durch das ungeschützte Internet – zum Beispiel von Ihrem Smartphone an einem WLAN-Hotspot bis zu Ihrem Heimnetz-Router oder von Ihrem heimischen PC zu einem externen VPN-Server. Am Tunneleingang werden sämtliche Informationen, anschaulich gesagt, in verschlüsselte Datenpäckchen eingepackt und am Ende des Tunnels wieder ausgepackt – respektive entschlüsselt. Somit liegen sie auf der Gegenseite wieder in ihrer ursprünglichen Form vor. Der dafür erforderliche Schlüsselaustausch erfolgt automatisch bereits beim Verbindungsaufbau. Ein großer Vorzug von VPN: Via Tunnelleitung lassen sich schutzwürdige Daten von jedem beliebigen Ort aus – sogar in anderen Ländern oder auf einem anderen Kontinent – auf gesicherte Art und Weise mit einem lokalen Netzwerk austauschen. Allerdings gibt es auch Länder, in denen die Nutzung von VPNs verboten ist.

Einsatzmöglichkeiten für VPN

In der Praxis haben sich je nach Einsatzszenario unterschiedliche VPN-Spielarten herausgebildet.

VPN-Client: Fernzugriff kann auch zu Hause sinnvoll sein

Für die Einrichtung eines sicheren Fernzugangs zu einem Heimnetzwerk gibt es viele gute Gründe. Beispielsweise können sich weniger versierte Anwenderinnen und Anwender auf diese Weise schnelle Hilfe von technikaffinen Freunden oder Verwandten holen – etwa, wenn es um die Konfiguration ihres Routers oder die Installation einer neuen Software geht. So können sich diese von Zuhause aus über eine abgesicherte VPN-Verbindung mit dem entsprechenden Endgerät verbinden und dort die erforderlichen Einstellungen vornehmen, ohne dass sie vor Ort sein müssen.

Ein anderes Einsatzbeispiel sind Netzwerkspeicher mit integriertem Webserver: Mit solchen Systemen, die auch Network Attached Storage – kurz NAS – heißen, lassen sich gespeicherte Filme, Musik und Fotos bequem auf unterschiedliche Endgeräte wie Tablets oder Smartphones bringen. Allerdings steht der Funktionsumfang vieler NAS-Webserver nur dann vollständig zur Verfügung, wenn der Router so konfiguriert wird, dass alle eingehenden Anfragen an einen bestimmten Ziel-Port des NAS-Geräts weitergeleitet werden. Dieses sogenannte Port-Forwarding wiederum setzt voraus, dass jeder Port, der aus dem öffentlichen Internet erreichbar sein soll, im Router freigeschaltet und auf die betreffende IP-Adresse umgeleitet ist. Das Problem dabei: Solche freigeschalteten Ports sind via Internet auch für Fremde ansprechbar. Eben dies könnte ein potenzieller Angreifer ausnutzen, um in Ihr Heimnetzwerk einzudringen und die dortigen Geräte mit einem Schadprogramm zu infizieren.

Generell empfiehlt das BSI, mit Portfreigaben äußerst sparsam umzugehen. Geben Sie einen Port nur dann frei, wenn Sie die technischen Auswirkungen tatsächlich abschätzen können. Ziehen Sie im Zweifel lieber einen fachlich beschlagenen Freund oder Bekannten zu Rate oder wenden Sie sich gegebenenfalls an einen Dienstleister. Speziell beim Einsatz von NAS-Webservern und ähnlichen Anwendungen ist es das Beste, auf riskante Port-Freigaben komplett zu verzichten. Dazu können Sie entweder ein VPN-fähiges NAS-Gerät nutzen oder ein VPN auf Ihrem Heimnetz-Router einrichten. Weil dabei alle Zugriffe aus dem nicht vertrauenswürdigen Internet über verschlüsselte VPN-Verbindungen erfolgen, bleibt Ihr Netzwerk vor kriminellen Fremdzugriffen aus dem Internet geschützt.

Auf Reisen: VPN überwindet Geo-Blocking

Sehr nützlich kann eine VPN-Anbindung während eines Auslandsurlaubs sein – zum Beispiel, wenn Sie dort einen Beitrag aus der Mediathek eines Fernsehsenders sehen wollen. Denn außerhalb der Landesgrenzen wird das Streaming vieler deutscher Medienangebote aus lizenzrechtlichen Gründen unterdrückt. Dieses sogenannte Geo-Blocking funktioniert über eine Sperre all jener IP-Adressen, die nicht der Bundesrepublik zugeordnet sind. Mit einer VPN-Software auf Ihrem Tablet oder Notebook funktioniert eine solche IP-Sperre nicht: Sobald Ihre VPN-Verbindung über einen VPN-Server mit Standort in Deutschland aufgebaut wird, erhält Ihr Smartphone oder Tablet auch im Ausland automatisch eine hierzulande nicht blockierte IP-Adresse. Die Geo-Blockade ist somit ausgehebelt.

Innerhalb der Europäischen Union verliert Geo-Blocking jedoch mehr und mehr an Bedeutung: Seit dem erstem Quartal 2018 gelten hier neue Vorschriften, die eine EU-weite Portabilität von digitalen Diensten vorantreiben sollen. Mit anderen Worten: Wer im Heimatland für Filme, Sportberichte, Musik, E-Books oder Spiele bezahlt hat, soll darauf auch in anderen EU-Ländern zumindest für eine befristete Dauer nicht verzichten müssen. Außerhalb der Europäischen Union gibt es bislang noch keine Anzeichen für die Lockerung von Geo-Blocking.

Bitte beachten Sie bei der Planung von Fernreisen, dass VPNs in manchen Staaten verboten sind und Sie durch einen unbedachten Einsatz in Konflikt mit dem dortigen Gesetz geraten könnten. VPN-Verbote gibt es insbesondere in Ländern mit Internetzensur wie beispielsweise China.

VPN verbindet Standorte

Im Berufsleben dient VPN häufig zur sicheren Anbindung von Home-Office-Arbeitsplätzen oder um Außendienstmitarbeitern auch unterwegs den mobilen Zugriff auf zentrale Anwendungen und Datenbestände im Unternehmen zu ermöglichen - Stichwort mobiles Arbeiten. Für geschäftlich genutzte Mobilgeräte gelten meist firmenspezifische Sicherheitsrichtlinien, wobei es unter anderem darum geht zu verhindern, dass sich Kriminelle etwa durch den Diebstahl eines Geräts Zugang zu sensiblen Daten im Unternehmensnetzwerk verschaffen. Ein weiteres VPN-Anwendungsfeld betrifft die virtuelle Vereinigung zweier räumlich getrennter Standortnetze – was nicht nur für Wirtschaftsunternehmen interessant ist, sondern zum Beispiel auch für Universitäten, staatliche Verwaltungseinrichtungen oder Nichtregierungsorganisationen. Ergänzend zur Verschlüsselung der Datenübertragung kann die Standortanbindung dabei zusätzlich durch ein speziell gehärtetes VPN-Gateway gesichert werden, um ein noch höheren Schutz vor Cyberangriffen zu gewährleisten.

Alles in allem eignen sich VPN-Lösungen für unterschiedlichste Anwendungsfälle. Meist verringert sich dabei technologiebedingt zwar die Übertragungsgeschwindigkeit. Dafür aber ermöglichen verschlüsselte VPN-Tunnel eine sichere Kommunikation über ein vergleichsweise unsicheres und wenig vertrauenswürdiges Medium wie das öffentliche Internet. Welche Möglichkeiten moderne Verschlüsselungsverfahren darüber hinaus bieten, um Cyberrisiken zu minimieren, haben wir auf einer gesonderten Themenseite "Verschlüsselung" für Sie zusammengefasst.


Kleiner VPN-Leitfaden

Was im Einzelfall zur technischen Realisierung empfehlenswert ist, richtet sich sowohl nach dem geplanten Einsatzzweck als auch nach dem individuellen Nutzungsverhalten der jeweiligen VPN-Anwender oder Anwenderinnen. Grundsätzlich gilt für alle zum Surfen im Internet genutzten Endgeräte, dass sie mit einem Basisschutzabgesichert sein sollten.

VPN über den Heimnetz-Router einrichten

Manche Router-Hersteller erlauben inzwischen die Einrichtung eines VPN-Servers direkt im Herzen des Heimnetzwerks. Das spart Zeit und Aufwand, weil nicht mehr ein gesonderter VPN-Zugang (VPN-Server) im Heimnetzwerk sowie die bereits erwähnte Portweiterleitung auf dem Router konfiguriert werden muss: Sobald ein zentraler Router verschlüsselte Tunnelverbindungen aufbaut, profitieren sämtliche Geräte im Heimnetzwerk automatisch von der abhörsicheren Kommunikation. Das betrifft auch solche vernetzten Geräte, für die ursprünglich keine eigenständige VPN-Konfiguration vorgesehen ist, wie etwa bei einem Anrufbeantworter oder einer im Haus eingesetzten IP-Kamera.

Das Vorgehen zur Aktivierung der VPN-Funktionalität im Router lässt sich kaum allgemein beschreiben, da die konkrete Schrittfolge vom jeweiligen Router-Modell abhängt. Meist aber finden sich detaillierte Anleitungen auf der Website des betreffenden Herstellers. Manche von ihnen bieten auch eine App für den Zugriff vom Endgerät auf den VPN-Router an.

Außer auf einem Router lässt sich ein VPN-Server prinzipiell sogar auf einem Netzwerkspeicher (NAS) oder einem Rechner im Heimnetzwerk installieren. Weil dafür allerdings oft auch risikobehaftete Portweiterleitungen nötig sind, sollte diese Option nur von sehr versierten Anwenderinnen und Anwendern umgesetzt werden, die genau wissen, was sie tun. Theoretisch lassen sich auch solche Router, die von Hause aus keine VPN-Funktionalität mitbringen, dennoch in einen VPN-Zugangspunkt verwandeln. Dies gelingt aber nur mit relativ hohem Aufwand und fundierten IT-Kenntnissen.

VPN über Smartphone, Tablet & Co.

Ein möglicher Weg zur VPN-Nutzung ist die Installation einer entsprechenden App auf Ihrem Endgerät. Solche Apps stehen mittlerweile für alle verbreiteten Betriebssysteme zur Verfügung – für Windows und Android ebenso wie für iOS und Linux. Unabhängig davon, ob Sie ein Smartphone oder Tablet, einen PC oder Laptop bevorzugen – die Funktionsweise der meisten VPN-Apps und -Programme ist immer dieselbe: Um eine verschlüsselte Verbindung zu einem VPN-Server herzustellen, benötigt die App oder das Programm die IP-Adresse oder den Domainnamen des jeweiligen VPN-Servers und die für die Nutzung notwendigen Zugangsdaten. Als VPN-Server kommt dabei entweder ein entsprechend konfigurierter Heimnetz-Router oder aber der Server eines VPN-Anbieters in Frage. Dass die Kommunikation in einem gegebenen Moment über das VPN läuft, signalisiert eine VPN-App dann zum Beispiel durch ein kleines Schlüsselsymbol am Displayrand bei Android-Geräten beziehungsweise durch den Schriftzug „VPN“ auf einem iPad oder iPhone.

Auswahl eines passenden VPN-Anbieters

Bei der Auswahl eines geeigneten Anbieters kommt es in der alltäglichen Nutzung zunächst einmal auf eine schnelle Anbindung des VPN-Servers an. Auch bei hoher Auslastung sollte eine hinreichende Internetgeschwindigkeit gewährleistet sein. Dazu muss der VPN-Betreiber über mehrere Serverstandorte verfügen, um Spitzenlasten bei hohem Nutzungsaufkommen abfangen zu können. Zu beachten ist dabei allerdings, dass für ausländische Server kein deutsches Datenschutzrecht gilt. In vielen Ländern außerhalb der Europäischen Union haben Datenschutz und informationelle Selbstbestimmung bei weitem nicht den Stellenwert wie hierzulande. Generell ist die Auswahl eines VPN-Anbieters Vertrauenssache. Denn Ihr gesamter Datenverkehr läuft über dessen Server und könnte dort theoretisch überwacht und manipuliert werden.

Neben kostenpflichtigen Accounts für kommerzielle VPN-Server hält der Markt auch etliche Gratis-Angebote bereit. Im Einzelfall kann es durchaus sinnvoll sein, mehrere Angebote auszuprobieren. Bei einem Gratis-VPN müssen Sie meist Funktionseinschränkungen hinnehmen oder mit einer vergleichsweise schlechten Verbindungsqualität leben. Überdies bezahlt man ein kostenloses VPN nicht selten mit seinen persönlichen Daten, welche z.B. zu Marketingzwecken ausgewertet werden können.

Eine andere VPN-Variante stellen entsprechende Browser-Plug-Ins dar. Allerdings wird in diesem Fall nur der Transfer von Webseiten über verschlüsselte Tunnelleitungen abgewickelt. Ihre E-Mails etwa werden weiterhin unverschlüsselt übertragen. Wollen Sie Ihren kompletten Netzwerkverkehr verschlüsseln, benötigen Sie dazu in der Regel eine separate VPN-Software. Bei der Mehrzahl kommerzieller VPN-Server-Angebote werden passende Apps in den App-Stores der jeweils unterstützten Betriebssysteme zum Download angeboten. Nach erfolgreicher Installation lässt sich der VPN-Modus dann meist über einen einfachen Button-Klick aktivieren. Technisch versierte Benutzer können die VPN-Funktionalität zumeist auch ohne die Software des Anbieters direkt über die Systemeinstellungen des Betriebssystems einrichten.

Sicher surfen überall

Wer sich beispielsweise an einem WLAN-Hotspot via App oder Browser-Plug-In bei einem VPN-Server einloggt, sollte bedenken, dass die Kommunikation nur bis zu diesem VPN-Server verschlüsselt ist. Auch beim Fernzugriff auf einen VPN-fähigen Heimnetz-Router endet die Verschlüsselung beim Router – die weitergehende Datenübertragung von dort aus zu einem NAS oder zu Internetseiten erfolgt unverschlüsselt. Da ein VPN-Router gleichwohl einen sicheren Fernzugriff auf das Heimnetzwerk zulässt, brauchen Sie unterwegs beim Upload Ihrer Daten nicht mehr den Umweg über eine Cloud zu gehen.

Ganz unabhängig von der jeweiligen VPN-Variante erhält Ihr Gerät bei der VPN-Einwahl meist die sichtbare externe IP-Adresse des VPN-Servers. Dadurch wird es für Internetfirmen schwieriger, Ihr Surfverhalten per Tracking nachzuverfolgen. Ist zum Beispiel der eigene Router das VPN-Gateway, dann erhält das hierüber verbundene Endgerät im Internet immer die sichtbare IP-Adresse, als wäre es im eigenen Heimnetznetz hinter dem eigenen Router eingebunden – egal, wo die Einwahl tatsächlich erfolgt. Höhere Abhörsicherheit geht bei VPNs also Hand in Hand mit dem Schutz Ihrer Privatsphäre. Darüber hinaus können Sie die Sicherheit Ihrer Kommunikation noch weiter verbessern, indem Sie beim Surfen Webangebote mit HTTPS-Verschlüsselung bevorzugen und beim Chatten auf verschlüsselte Messenger-Apps achten.