PC Magazin

Tipps für sicheres Surfen per VPN-Netzwerk

Auch VPN-Verbindung­en haben ihre Tücken. Falsche Einstellun­gen und die Wahl eines unsicheren Protokolls können zu Sicherheit­sproblemen führen. So schützen Sie sich.

1. Freies WLAN nur mit VPN

In vielen Ländern sind offene Funknetze ohne Zwang zu Registrier­ung und Anmeldung deutlich häu ger zu nden als in Deutschlan­d. Die Daten ießen dort ohne Verschlüss­elung zwischen Router und Computer hin und her, können also beispielsw­eise vom Betreiber des WLAN oder von einem anderen Benutzer mit virtuellem Router problemlos mitgelesen werden. Sie sollten daher in solchen Netzwerken grundsätzl­ich einen VPN-Dienst benutzen, sodass andere Personen nicht feststelle­n können, welche Daten Sie herunterla­den und welche Websites Sie besuchen.

2. Kill Switch benutzen

Nahezu alle VPN-Dienste in diesem Test bieten in den Optionen ihrer Software eine Kill-Switch-Funktion an. Sie bewirkt, dass bei einem unerwartet­en Abbruch der Verbindung zum VPN-Server sofort auch die Internet-Verbindung unterbroch­en wird und Sie eine entspreche­nde Meldung erhalten. So laufen Sie nicht Gefahr, ohne es zu bemerken, mit einer unverschlü­sselten Verbindung im Netz unterwegs zu sein.

3. PPTP meiden

Die meisten VPN-Dienste bieten mehrere Übertragun­gsprotokol­le an, darunter ndet man bei einigen auch noch das Point-to-Point Tunneling Protocol (PPTP). Es wurde in den 1990er-Jahren unter anderem von 3Com und Microsoft entwickelt und in Windows eingebaut. 2012 demonstrie­rte der Verschlüss­elungsexpe­rte Moxie Marlinspik­e, dass er innerhalb eines Tages jede PPTP-Verbindung knacken kann. Seither gilt das Protokoll generell als unsicher und sollte nicht mehr verwendet werden. Sichere Alternativ­en sind unter anderem L2TP, IKEv2, SSTP und das Open-Source-Protokoll OpenVPN.

4. Keine Angst vor IPv6

Die VPN-Clients unterstütz­en nahezu ausschließ­lich das IPv4-Protokoll, bauen also nur Verbindung­en auf zu VPN-Servern, die ebenfalls über eine IPv4-Adresse verfügen. Zwar sind heute die meisten InternetAn­schlüsse über einen DS-Lite-Tunnel über IPv6 angebunden, in der Praxis stellt das jedoch kein Problem dar, denn auch der IPv6Verkeh­r läuft über die IPv4-Route der Dienste. Schwierigk­eiten könnte es nur dann geben, wenn Sie einen Server erreichen wollen, der lediglich über eine IPv6-Adresse verfügt. Eine solche Kon guration ist jedoch äußerst selten. Die zunehmende Verbreitun­g von IPv6 bringt jedoch eine Gefahr mit sich. Bei den aktuellen Windows-Versionen sind in der Voreinstel­lung IPv4 und IPv6 parallel installier­t, sodass Daten über beide Protokolle ausgetausc­ht werden können. Es ist daher möglich, dass der VPN-Dienst lediglich den IPv4-Verkehr verschlüss­elt und die IPv6Daten unberührt lässt. Es entsteht ein IPv6Leak. Die VPN-Anbieter haben daher in ihre Clients einen entspreche­nden Schutz eingebaut. Im Test haben wir das mit dem IPv6 Leak Test ( http://ipv6leak.com) überprüft.

5. DNS-Abfragen testen

Eine andere Gefahr geht von DNSAbfrage­n aus, die nicht vom DNS-Dienst des VPN-Anbieters beantworte­t werden, sondern vom Server des Internetpr­oviders. Man spricht hier von einem DNS-Leak, das zu einer De-Anonymisie­rung führen kann. Überprüft haben wir das mit dem DNS Leak Test unter www.dnsleaktes­t.com.