Was ist ein VPN-Tunnel?

Was ist ein VPN-Tunnel?

Indem du dich über VPN mit dem Internet verbindest, schaffst du eine sichere Verbindung zwischen deinem Gerät und dem World Wide Web. Diese Verbindung wird VPN-Tunnel genannt – sie verschlüsselt und verbirgt sämtliche Teile deiner Daten und macht diese somit für jeden ohne speziellen Entschlüsselungsschlüssel unidentifizierbar.

Dies kommt der Nutzung eines persönlichen Kuriers anstatt eines öffentlichen Postversandes gleich, wenngleich der Kurier dabei gleichzeitig alle Briefe in einer Sprache zustellt, die ausschließlich für dich verständlich ist. Selbst wenn jemand deine Briefe stehlen oder zumindest lesen will, musst du dir keine Gedanken machen!

Also, fast keine. Die tatsächliche Sicherheit deiner Informationen hängt nämlich vom Verschlüsselungsprotokoll ab, das dein VPN verwendet, sprich, der von deinem Kurier verwendeten Übersetzungssprache. 

Es gibt verschiedene Protokolle mit unterschiedlichen Anwendungsfällen und Sicherheitsstufen – auf die wir nun einzeln eingehen werden. Tauchen wir zunächst jedoch in den gesamten Prozess der Einrichtung eines VPN-Tunnels für dich ein.

Wie funktioniert ein VPN-Tunnel?

Beim Anklicken von Links oder Herunterladen von Dateien auf jeder beliebigen Website, sendest du Informationsanfragen, um im Gegenzug Informationen zu erhalten. Bei fehlendem Schutz werden diese Daten von deinem Gerät an deinen Internetanbieter (ISP) übermittelt, bevor sie ins Netz gelangen und dir die gewünschten Daten zurückgeschickt werden.

Auf diese Weise können die Internetanbieter, die Webseite oder jeder andere an deinen Daten Interessierte bestimmte Teile des Informationsflusses einsehen, abgreifen und zu einem späteren Zeitpunkt weiterverkaufen, um daraus Kapital zu schlagen.

Um dies zu vermeiden, richtet ein VPN mit einem über den eigenen Server laufenden VPN-Tunnels eine sichere Verbindung ein:

• Schritt 1: Du schickst zunächst eine Anfrage zur Einrichtung eines VPN-Tunnels über einen der Server deines VPN-Clients;
• Schritt 2: 1. Phase ist eine Phase der Verhandlung zwischen deinem Gerät und dem VPN-Server, im Zuge derer eine gegenseitige Identifizierung erfolgt, um geeignete Sicherheitsmaßnahmen festzulegen.
• Schritt 3: In der 2. Phase wird ein VPN-Tunnel erstellt, der zum Transport deiner Daten verwendet wird;
• Schritt 4: Über diesen Tunnel werden Daten auf solche Weise ins Internet und wieder zurückgeschickt, dass selbst dein Internetanbieter sie nicht einsehen kann;
• Schritt 5: Der Tunnel läuft nach einer voreingestellten Zeitdauer ab und wird automatisch geschlossen. Möchtest du die Verbindung länger aufrechterhalten, beginnt ein neuer Verbindungsaufbau mit dem ersten Schritt.

Obwohl dieser Prozess mitunter ein wenig kompliziert erscheinen mag, dauert es jedoch nicht lange, deine Internetverbindung sicherer zu machen. Die Frage lautet dann vielmehr, wie sicher der VPN-Tunnel wirklich ist. Und die Antwort – hängt stark vom verwendeten Tunneling-Protokoll ab.

VPN-Protokolle

Während sämtliche VPN-Protokolle einen sicheren Datentransfer zwischen verschiedenen Netzwerken sicherstellen möchten, sind nicht alle gleich – Internetprotokoll-Sicherheit hängt maßgeblich von der Stärke des verwendeten VPN-Protokolls ab.

Die Wahrheit ist, dass gute VPN-Protokolle heutzutage rar sind, hier jedoch einige der gängigsten.

SSTP

Secure Socket Tunneling Protocol (SSTP) ist ein VPN-Protokoll zur direkten Datenübertragung zwischen zwei Routern, ohne Host oder anderes Netzwerk. SSTP greift auf einen Secure Socket Layer (SSL)-Kanal zurück für solide Übertragung, Verschlüsselung und Überprüfung des Datenverkehrs. Dieses sehr sichere Protokoll nutzt keine festgelegten Ports, was SSTP zu einer geeigneten Lösung für die Umgehung von Firewalls macht.

Nachteil von SSTP trotz Konfigurationsmöglichkeit für Linux, BSD und Mac OS ist die Tatsache, dass es für Windows konzipiert wurde. Aufgrund fehlender öffentlicher Verfügbarkeit wurde dieses Protokoll zudem noch keiner Überprüfung unterzogen, was sich in Entwicklungsproblemen für VPN-Anbieter niederschlägt. Auch in puncto Geschwindigkeit lässt SSTP zu wünschen übrig und leidet mitunter unter ernsthaften Performance-Problemen, sofern keine zusätzliche Bandbreite zur Verfügung steht.

PPTP

Das Protokoll erfüllt oftmals überhaupt keinen Zweck mehr. PPTP (Point-to-Point Tunneling Protocol) verfügt über völlig unzureichende Sicherheitsstandards aufgrund fehlender Verschlüsselungsmechanismen, und mehreren Regierungsbehörden, wie bspw. der NSA, ist es bereits gelungen, das Protokoll ohne größere Schwierigkeiten zu knacken.

Auf der anderen Seite ist es eben diese Einfachheit, die für PPTP bei gelegentlichen Anwendungsfällen das rettende Element darstellt. Bis zum heutigen Tag bleibt PPTP allein aufgrund seiner hohen Geschwindigkeit und der leichten Einrichtung unerreicht. Sinnvolle Einsatzbereiche bleiben z. B. Audio- oder Video-Streaming oder Geräte mit langsamen bzw. veralteten Prozessoren.

Vor diesem Hintergrund ist jedoch festzuhalten, dass die Nutzung von PPTP nicht zu empfehlen ist, es sei denn, eine sichere Verbindung spielt im jeweiligen Anwendungsfall keine Rolle.

L2TP/IPsec

Als PPTP-Nachfolger bemühte sich das Layer 2 Tunneling Protocol (L2TP) bestehende Sicherheitslücken zu schließen. Die Nutzung von L2TP basiert auf Internet Protocol Security-Suite (IPsec), was in zwei Datenkapselungs- und Verschlüsselungsebenen resultiert. Internetanbieter (ISPs) greifen zur Bereitstellung ihrer Dienste häufig darauf zurück.

L2TP ist zudem mit AES 256-Bit kompatibel, einem branchenführenden Sicherheitsalgorithmus zur Datenverschlüsselung. Die auf verschiedenen Stufen basierende Herangehensweise an das Thema Sicherheit macht L2TP zu einem relativ sicheren System, im Vergleich zu IKEv2, OpenVPN und WireGuard sieht es in puncto Authentifizierung und Verifizierung jedoch alt aus.

Besser als sein Vorgänger in Bezug auf Sicherheit, weist es in puncto Geschwindigkeit und Flexibilität jedoch einige Schwächen auf. Aufgrund des dualen Verschlüsselungsprozesses, leidet die Übertragungsgeschwindigkeit deutlich. L2TP verwendet zudem festgelegte Ports und hat oftmals Probleme, Firewalls zu umgehen, wodurch Webseiten mit besserer Infrastruktur beim Blockieren von Nutzern dieses Protokolls leichtes Spiel haben.

Shadowsocks

Bei Shadowsocks handelt es sich um ein Open-Source-Verschlüsselungsprotokoll, das zur Umgehung von Internet-Zensur entwickelt wurde. An sich kein Proxy leitet Shadowsocks unter Rückgriff auf ein socks5-Proxy einer Drittpartei und bei Nutzung einer anderen Sprache den Datenverkehr jedoch auf das Gerät des Nutzers um.

Zunächst bot er die beste Möglichkeit, um Chinas Projekt Goldener Schild zu überwinden. Die Implementierung stellt sich jedoch als problematisch dar und es gibt Kompatibilitätsschwierigkeiten in Bezug auf das Modell eines VPN-Anbieters.

OpenVPN

OpenVPN ist ein multifunktionales Open-Source-VPN-System für Point-to-Point- oder Site-to-Site-Verbindungen für sowohl Client- als auch Server-Anwendungen. OpenVPN ermöglicht es beteiligten Personen zudem, sich anhand von pre-shared secret keys (PSK), Zugangsdaten sowie Zertifikaten gegenseitig zu authentifizieren, was in einem sehr sicheren und reibungslosen Zwei-Wege-Authentifizierungsverfahren resultiert.

OpenVPN zählt zu den sichersten und gängigsten VPN-Optionen überhaupt, da es sich als Protokoll implementieren lässt. Es verwendet die AES 256-Bit-Verschlüsselung, was sowohl auf Windows und Mac als auch auf Android und iOS einen problemlosen Zugriff sicherstellt.

Aufgrund seines Open-Source-Charakters, wurde der OpenVPN-Code seitens Cybersicherheitsexperten und Branchen-Gurus einer eingehenden Überprüfung unterzogen. Die einzigen wirklichen Nachteile des OpenVPN-Systems sind die durchschnittliche Geschwindigkeit sowie Probleme bei der Einrichtung, sofern keine externe Software zum Einsatz kommt.

IKEv2

Internet Key Exchange version 2 (IKEv2) ist ein,  aufgrund seiner Geschwindigkeit und Sicherheit, gerade unter Mobilnutzern beliebtes Protokoll. Es wird mit der IPSec-Suite eingerichtet, um ähnlich vorinstallierte Zertifikate bei OpenVPN Sicherheitszuordnungen zwischen Fachleuten zu etablieren.

IKEv2 ist mit den meisten gängigen und modernen Verschlüsselungen, darunter auch AES 256-Bit, kompatibel und lässt sich relativ einfach einrichten. Die größte Stärke dieses Systems liegt in der hervorragenden Verbindungsgeschwindigkeit zu nahegelegenen Servern.

WireGuard

Als neueste(s) VPN-Kommunikationsprotokoll/Software-Anwendung strebt WireGuard® nach einem effizienteren Energieverbrauch sowie besserer Performance als IPSec und OpenVPN, ohne Einbußen bei Sicherheit. WireGuard* sorgt für verlässliche Point-to-Point-Verbindungen, nutzt jedoch im Vergleich zu OpenVPNs und IPSecs 400.000 bzw. 600.00 Zeilen an Code lediglich 4.000 Zeilen.

Dies ermöglicht wiederum leichtere Sicherheitsüberprüfungen, während die Wahrscheinlichkeit eines Verbindungsverlusts reduziert und Verbindungsgeschwindigkeiten erhöht werden. Dieser Unterschied ist für jeden Nutzer eines VPN-Tunnels zur Verbesserung der eigenen Sicherheit von wesentlicher Bedeutung.

WireGuard ist kostenlos, open-source und lässt sich, im Gegensatz zu OpenVPN, problemlos installieren. Zudem ist es als separates Protokoll erhältlich und ermöglicht VPN-Anbietern so die Implementierung von WireGuard zur Bereitstellung von Diensten.

*Wireguard ist ein eingetragenes Warenzeichen von Jason A. Donenfeld.

Wie du siehst, sind einige VPN-Tunneling-Protokolle auf einen mehr spezifischen Zweck ausgerichtet, während andere nicht mehr zeitgemäß erscheinen und sich leichter aushebeln lassen. Wähle es also mit Bedacht! Und wenn wir schon von Entscheidungen sprechen, gibt es noch eine weitere Tunneling-Option, die wir kurz vorstellen möchten – Split-Tunneling.

Was ist ein VPN-Split-Tunneling?

VPN-Split-Tunneling (bei Surfshark Bypasser genannt) ist ein Feature, mit dem du die durch einen VPN-Tunnel geleiteten Daten festlegen kannst. Es ist dann von Vorteil, wenn du lediglich eine App schützen möchtest. Oder alles außer einer bestimmten Anwendung. So lässt sich z. B. festlegen, dass sämtliche Anwendungen außer deiner Banking-App über ein VPN ausgeführt werden. Auf diese Weise ist alles gesichert, und deine Bank sperrt keine Transaktionen aus einem anderen Land.

Vor- und Nachteile von Split-Tunneling

Fazit: Verwendung unterschiedlicher VPN-Protokolle

In Anbetracht der riesigen Bandbreite unterschiedlicher VPN-Protokolle erscheint die Auswahl manchmal etwas abschreckend. Die Unterschiede sind jedoch für den Otto-Normalverbraucher oftmals kaum zu erkennen und im Allgemeinen unbedeutend, wenn es nur darum geht, um die Datenprotokollierung zu vermeiden und sicher auf Netflix zu streamen.

Beim Browsen im Internet über Desktop PC oder Laptop, sind WireGuard und OpenVPN generell gute Optionen, was Geschwindigkeit und Sicherheit betrifft. Je nach VPN-Server-Standort und Verfügbarkeit, kann sich IKEv2 unter Umständen als die für die Verbindung über Smartphone bessere Lösung erweisen.

Generell, die meisten VPN-Anbieter bieten eine oder beide Protokolle, je nach Situation. Surfshark stellt auf Anfrage seiner Kunden bspw. alle drei VPN-Protokolle bereit. Du musst jedoch keine persönliche Wahl treffen oder eine Einstellung manuell vornehmen, wenn du das nicht möchtest – Surfshark wird optimal auf deine Bedürfnisse vorkonfiguriert eingestellt!

Häufig gestellte Fragen

Was ist ein Full-Tunnel-VPN?

Ein VPN, das alle Anwendungen auf deinem Gerät abdeckt. Dieses wirst du in den meisten Fällen auch nutzen. Anschalten, und schon ist alles auf deinem Gerät geschützt – keine zusätzlichen Schritte.

Welcher ist der beste VPN-Tunnel?

Wenn wir vom VPN-Tunnel sprechen, meinen wir Tunnelprotokoll. Den Spitzenplatz belegt hier WireGuard. Das soll nicht heißen, dass die anderen Protokolle weniger gut sind. Oder für dich persönlich nicht die bessere Lösung darstellen können. Aufgrund ihrer Abhängigkeit vom Netzwerk, kann das für dich besser geeignete Protokoll durchaus ein anderes sein. 

Wie nutzt man Split-Tunneling?

Surfshark macht mit Bypasser dein Leben leichter. Aktiviere diese Funktion in deinen App-Einstellungen, wähle die auszuschließende App oder Website (und umgekehrt) und fertig!