[10.09.2013-12:45 Update am Ende des Textes]
Die rumänische Firma CyberGhost (Wikipedia) lud mich ein, ihren Premium-VPN-Dienst für ein Jahr kostenlos zu nutzen. Das trifft sich gut, weil das Thema VPN auf meiner Liste eh ganz oben stand.
Grundlagen
Für die weniger bewanderten Surfer: VPN kennt man normaler Weise aus dem Unternehmensumfeld. Virtuelle Private Netze schließen Firmenstandorte zu einem Virtuellen Netz im großen Internet zusammen und verfolgen zwei Zwecke: Erstens sollen die Firmenrechner nicht als „normale“ Computer im Internet entdeckt werden, auf der anderen Seite soll der gesamte Datenverkehr verschlüsselt erfolgen.
Bei „Privatleuten“ sollen und wollen VPN etwas andere Zwecke verfolgen:
- Sicherheit: Wer sich an öffentlichen Orten in WLAN-Netze einwählt hat vielleicht schon mal gemerkt, dass oftmals keine Verschlüsselung vorhanden ist. Das fällt vor allem durch das Fehlen der entsprechenden Keys ein, die man eben nicht eingibt. Aber selbst wenn es ein verschlüsseltes WLAN wäre, kann theoretisch jeder andere Teilnehmer in diesem Netz den Datenverkehr der anderen Teilnehmer mitloggen. Sofern man https verwendet (Webmailer, Kreditkartenzahlung) ist das relativ unkritisch, weil diese Daten gesondert verschlüsselt werden. Nur, wer achtet schon darauf immer https zu nehmen, das leider nicht Standard ist? Noch kritischer sind Email-Programme, die man zwar überreden kann, „sichere“ Verbindungen zu nutzen, in der Regel aber laufen vor allem die Postfach-Kennwörter unverschlüsselt durch das Netz. Durch ein VPN soll hier also die gesamte Kommunikation zwischen mir und dem Internet verschlüsselt werden und es so – unabhängig vom gewählten Protokoll – verhindert werden, dass andere im gleichen Netz meine Daten mitschreiben.
- Verschleierung: Wer kennt das nicht? Da will man mal eine Folge Video auf HULU gucken und darf nicht, weil man keine amerikanische IP hat. Und das neuste Musikvideo auf Youtube darf man nicht sehen, weil man eine deutsche IP hat und das Lied hier noch nicht oder nicht mehr verfügbar ist. VPN bieten hier Proxy-Dienste und verschleiern, wo ich wirklich bin – und lösen damit unter Umständen das Problem lokaler Zugriffsbeschränkungen. In der öffentlichen Dokumentation beschreibt man das gerne als „Recherchehilfe zum Durchbrechen staatlicher Zensurinfrastrukturen“ oder so ähnlich – in den meisten Fällen geht es aber wohl um den Wunsch, sich nicht von lokalem Urheberrecht ausbremsen zu lassen.
Den Punkt Verschleierung übernehmen auch Proxy-Server, allerdings sind gute (also schnelle) und am Besten noch kostenlose Proxys derzeit eher Mangelware. Damit kann man dann Youtube und andere Dienste schon nutzen – an den offenen Sicherheitsproblemen ändert das freilich nichts.
An der Stelle kommen jetzt VPN-Dienstleister ins Spiel: mittels eines VPN-Clients wird der gesamte Internet-Datenverkehr verschlüsselt und dann übers Netz an den Dienstleister geschickt. Dort werden die Daten entschlüsselt und ins Internet eingespeist. Die zurück fließenenden Daten werden dann beim Anbieter wieder verschlüsselt und an den heimischen PC übertragen.
Damit agiert der VPN-Anbieter wie ein Proxy, weil nach außen hin nicht mehr meine IP-Adresse im Internet erscheint, sondern die des entschlüsselnden VPN-Servers. Und zugleich wird die Sicherheit dramatisch erhöht. Allerdings ist das hier natürlich keine Ende-zu-Ende-Verschlüsselung, wie sie z. B. Tor bietet. Allerdings funktioniert Tor dann natürlich auch nur mit Tor-Diensten und eben nicht mit der Website von Lieschen Müller oder dem eMail-Dienst von Hans Meier.
Allerdings reicht der Sicherheitsgewinn um zwei Schnäppchen zum Preis von einem zu bekommen: Auf der einen Seite kann ich völlig entspannt auch an öffentlichen Hotspots oder in anderer Leute Netz surfen, auf der anderen Seite sieht ein Diensteanbieter nicht mehr woher ich wirklich komme. Eigentlich eine feine Sache.
CyberGhost
Das Angebot der Firma CyberGhost richtet sich vornehmlich an jüngere User. Das merkt man zum einen an der Sprachweise auf der Website und in den Manuals, auf der anderen Seite an den „Zusatzangeboten“, auf die ich später noch eingehe. Zudem richtet sich das Unternehmen an User, die im schlimmsten Fall gar keine Ahnung haben, wie man einen Computer konfiguriert.
Damit der gesamte Datenverkehr verschlüsselt wird, muss auf dem Rechner ein entsprechender VPN-Client installiert, bzw. eingerichtet werden. Rechner gilt dabei auch für Smartphones und anderes computerähnliches Gesocks. Das klingt komplizierter als es ist:
- Für Windows-Systeme liefert CyberGhost einen kostenlosen Client zum Download, der nach Anlegen eines Benutzerkontos eigentlich fast alles von alleine macht und damit das Leben der Nutzer einfach sicherer macht.
- Für alle anderen Systeme (Mac, Linux, iOS, Android) hat das Unternehmen sehr gute Anleitungen erstellt, die mit vielen Screenshots und einfach zu verstehenden Schritt-für-Schritt-Anweisungen die Einrichtung unterstützen. Ich habe mit der Anleitung ca. 2 Minuten gebraucht um VPN auf meinem iPhone einzurichten und mit Download des Clients etwa genau so lange für meinen PC.
Das es CyberGhost besonders auf jüngere Zielgruppen abgesehen hat, sieht man dann daran, dass sich ab Seite 100 (die mir vorliegende Version) bereits darauf eingegangen wird, wie man gängige Videoportale direkt aus dem Client heraus anspricht. Hier zucke ich auch das erste Mal nervös zusammen:
- Statt die Sicherheit in den Vordergrund zu stellen, geht es hier ziemlich direkt um die Umgehung nationaler Urheberrechte oder der Interessen der Anbieter. Kann man so machen, halte ich aber für eher unpraktisch.
- Ein Klick auf einen der Links in dem Client öffnet den Internet-Explorer auf Windows-Maschinen und ignoriert dabei, dass der IE weder als besonders sicher gilt, noch das der User vielleicht ganz andere Browser nutzt (und in meinem Fall auch als Standard eingerichtet hat)
Während man das Öffnen des IE als Default einfach beheben kann, muss man die Frage stellen ob die so unmittelbare Bewerbung von rechtlich zumindest zweifelhaften Features angebracht ist. Zumal dann an anderer Stelle das Eigen- und Rechtsverständnis plötzlich ein ganz anderes ist – doch dazu am Ende mehr.
Ein Test mit den amerikanischen VPN-Servern der Firma verlief gut – nachdem die Software sich ein wenig sperrig zeigte, konnte ich dann doch manuell einen Server in den USA auswählen und dortige Angebote nutzen. Wie zu erwarten, waren Deutsche (z. B. ARD Mediathek) dann nicht erreichbar. Da man mehrere VPN-Profile anlegen kann, wäre es also ohne Probleme möglich, hier bei Bedarf schnell zu wechseln.
Der Datendurchsatz war wie zu erwarten niedriger als ohne VPN: Die Server des Unternehmens müssen ja viele tausend Kunden gleichzeitig bedienen und Ver- und Entschlüsselungsdienste leisten und das Zwischenspeichern der Daten erfordert auch Leistung. Trotzdem war es okay und auch ein Test-HD-Stream lief gut über die Leitung.
Erstes Fazit
Ich will hier und heute noch kein endgültiges Fazit treffen, weil CyberGhost für die nächsten Tage oder Wochen den Release komplett neuer Software in Aussicht gestellt hat und ich zudem noch keine Erfahrungen habe, wie es zu „Stoßzeiten“ mit dem Durchsatz, der Erreichbarkeit der VPN-Server etc. aussieht. Stand heute ist mein Eindruck allerdings gemischt:
Pro:
CyberGhost rückt das Thema „Sicherheit“ in den Fokus und bietet auch technisch völlig unerfahrern Nutzern die Möglichkeit, VPN zu erfahren und zu nutzen. Den Preis halte ich angesichts der gebotenen Leistung und des ersten Eindrucks für gut. Auch jenseits des eigenen Produktes gibt man sich Mühe, die Internet-User für Sicherheit zu sensibilisieren.
Contra:
Das ich trotzdem nicht zu CyberGhost wechseln würde oder einen Wechsel empfehlen würde, liegt an zwei „Kleinigkeiten“, von denen eine Fatal für ein solches Angebot ist:
- Datenkompression: Eine Unsitte, die vor allem aus den Anfangstagen der (schnellen) Mobilfunkverbindungen bekannt ist: Um Übertragungskapazitäten zu sparen, werden die Inhalte zusätzlich komprimiert. Dummerweise aber in der Regel verlustbehaftet. Damals sagte z. B. Vodafone, das würde man gar nicht merken – und das Ergebnis waren grauenhafte JPGs voller Kompressionsartefakte. Schnell kamen dann Tools (z. B. sogar von O2), mit denen man die Kompression beeinflußen und abschalten konnte. Das die per Default an war, fand ich schon frech. Bei CyberGhost wird die Kompression als Feature verkauft, Details oder die Möglichkeit der Beeinflussung habe ich nicht finden können. Somit auch keine Möglichkeit sie abzuschalten. Geht – finde ich – gar nicht.
- Email: Fatal für den Dienst ist meiner Meinung nach sein Umgang mit Email. Während man eMail über das VPN problemlos abrufen kann, ist der Versand per SMTP/IMAP nicht möglich. Die Firma begründet das damit, dass man nicht zur SPAM-Schleuder werden will. Das mag bei den Kostenlos-Usern noch ziehen, aber bei Bezahlkunden? Und der Umgang damit ist auch eine Katastrophe: Für den PC-Client wird allen ernstes gefordert, die Postausgangsserver als „Ausnahme“ (Seite 119) zu definieren und explizit von der Verschlüsselung auszunehmen. Beim Mobile-Device müsste man zum Versenden von Mails VPN deaktivieren. Der Betreiber weist dann auf Webmailer hin, die für GMX- und GMAIL-Kunden vielleicht ein Weg sind, aber doch bitte nicht, wenn man mal eben per Handy was verschicken will? Und auch der Umgang mit dem Thema im Hilfeforum ist… verbesserungswürdig.
Durch die Unterbindung verschlüsselten Email-Versands ist der Dienst für mich per default kaputt. Denn gerade Email ist eines der typischen Einfalltore, da wie Eingangs beschrieben die Email-Passwörter i. d. R. unverschlüsselt übertragen werden. Und viele Dienste nutzen sogar noch POP-before-SMTP, wobei dann auch der Abruf der Mails ohne VPN erfolgen würde. Nein, geht gar nicht. Durchgefallen, 6, setzen.
Randnote:
Beim Spielen mit dem iPhone ist mir etwas Merkwürdiges aufgefallen: Aktiviert man VPN und geht das Handy in den Ruhemodus („Sperrbildschirm“) ist anschließend VPN aus. Wenn man das nicht merkt (fehlendes kleines VPN-Symbol neben der Uhrzeit in der obersten Zeile), surft man völlig ungeschützt. Man muss also nach jedem entsperren des Telefons immer erst in den Einstellungen VPN wieder aktivieren. Ein totales No-Go, weil ich so z. B. meinen Freunden VPN nicht einrichten brauche: Die würden das weder bei jedem Surfen / Mailen checken, noch hätten die Lust, das ständig wieder einzuschalten.
Dieses merkwürdige Abschalten hat wohl was mit einem verlorenen Patentprozess zu tun und macht VPN mit dem iPhone damit quasi unmöglich für den Durschnittsuser. Hoffentlich wird das mit der nächsten Version behoben… [Nachtrag: mit der nächste iOS-Version, siehe Update!]
___________________________________________________
[Sponsored] Die Firma Cyber-Ghost stellt mir einen Ein-Jahres-Account kostenfrei zur Verfügung. Eine Vorgabe über das Angebot zu berichten (oder wie oder was zu schreiben) gab es nicht. Ich habe das Unternehmen per Mail gebeten, auf die Email-Problematik einzugehen und mir das zu erklären….
[Update 10.09.2013-12:45]
Die Antwort von CyberGhost kam sehr schnell: An der Email-Problematik hält man fest. Auch wenn der Premium-Dienst Geld kostet, scheint das für Spammer kein Hemmnis zu sein. Ein Stück weit kann ich die Argumentation ja verstehen, denn wären die ausleitenden Server von CyberGhost als Spamschleudern bekannt, wären sie ruck zuck auf einer Blacklist nach der anderen.
Und weiter:
Kurz zu den anderen Passagen Ihres ansonsten durchaus ausgewogenen
Reviews:– CyberGhost 5 wird keine Links zu ausländischen Videodiensten mehr
enthalten, auch die AntiSpy-Funktion wird abgeschaltet, da nicht mehr
zeitgemäß. Zwar ist der Zugriff auf heimische Plattformen für viele User
im Ausland immer noch ein wichtiger Grund zur Nutzung eines VPNs, wird
aber von uns nicht mehr explizit im Client unterstützt.
– Die Datenkompression besitzt mehr Vor- als Nachteile – und wie sie
selbst in Ihrem Review (und auch die Kollegen von der c’t) schrieben,
lief auch ein HD-Stream gut über die Leitung. Kompressionsartefakte
hätten sich hier sofort offenbart.
– Das iOS-Verhalten betrifft generell alle VPNs und ist nicht CyberGhost
anzulasten – wenngleich Ihr Review dringlich vor Augen hält, darauf
aufmerksam zu machen.
Dazu nur so viel: Ob die Kompression mehr Vor- als Nachteile besitzt ist für mich eigentlich nicht relevant. Dagegen schon, dass ich sie nicht kontrollieren und ggf. abschalten kann. Aber das mag in meinem Einzelfall wichtig sein, wenn ich z. B. Bilder übers Netz schicken möchte bei denen es mir wichtig ist, dass Quell- und Zieldatei identisch sind. Das wird 99% der User nicht treffen.
Und ich habe wohl nicht klar genug geschrieben, dass das Verhalten von iOS natürlich unabhängig vom gewählten Dienst auftritt, weil ja kein individueller, sondern der Apple-VPN-Client genutzt wird. Das Abschalten passiert also nicht nur bei CyberGhost, sondern bei allen VPN-Diensten.
Mehr dann, wenn Version 5 da ist. Das die keine Video-Links mehr enthält, finde ich gut. Das hilft auch den Eindruck zu vermeiden, dass jemand der VPN-Software verwendet, mehr oder weniger zwangsläufig was zu verbergen habe, oder „eh nur die“ solche Software nutzen würden, die auch sonst her am Rande des Erlaubten surfen… Ich glaube es ist sehr wichtig klar zu machen, dass eigentlich jeder (und vor allem mobile) Internetuser Zielgruppe ist.
