Können VPNs gehackt werden? Wir haben die Antwort

Was ist ein VPN?

Mit einem Virtual Private Network (VPN) kannst Du einen sicheren Tunnel zu einem anderen Netzwerk-Gerät via Internet herstellen. Greifst Du über diesen virtuellen Tunnel auf das Internet zu, kann fast keiner Deine Browsing-Aktivitäten verfolgen. Damit ist auch der ISP (Internet Service Provider) gemeint.

Mit einem VPN verschleierst Du außerdem Deinen Standort und es sieht so aus, als würdest Du Dich an einem anderen Ort auf der Erde befinden. Auf diese Weise umgehst Du das sogenannte und lästige Geoblocking. Ein VPN schützt die Privatsphäre und Deine Daten. Sie bleiben geheim und können nicht modifiziert werden, während sie durch das Internet fließen.

So eine sichere Verbindung zu etablieren, ist relativ einfach. Der Anwender verbindet sich zunächst über einen Service Provider mit dem Internet und initiiert im Anschluss die VPN-Verbindung. Er wählt sich dafür über einen lokal installierten Client bei einem VPN Server ein. Der VPN Server schnappt sich die angeforderten Websites und liefert sie über den sicheren Tunnel an den Anwender aus. Auf diese Weise bleiben die Daten geschützt, während sie über das Internet übertragen werden.

Wie funktioniert die Verschlüsselung mit einem VPN?

Ein VPN-Protokoll besteht aus anerkannten Regeln für die Datenübertragung und die Verschlüsselung. Die meisten VPN-Anbieter stellen ihren Kunden mehrere Protokolle zur Verfügung. Zu den am häufigsten verwendeten Protokollen gehören: Point to Point Tunnelling Protocol (PPTP), Layer Two Tunnelling Protocol (L2TP), Internet Protocol Security (IPSec) and OpenVPN (SSL/TLS).

Damit Du umfassend verstehst, wie ein VPN Deine Privatsphäre schützt, müssen wir uns etwas genauer mit der Wissenschaft der Verschlüsselung beschäftigen. VPN verwendet eine Technik, die sich Verschlüsselung nennt. Damit werden die lesbaren Daten (Klartext) unlesbar gemacht (verschlüsselt). Wandern die Daten durch das Internet und werden abgefangen, können sie also nicht gelesen werden. Ein Algorithmus oder ein Chiffre legt fest, auf welche Weise die Prozesse für die Verschlüsselung und Entschlüsselung im jeweiligen VPN-Protokoll funktionieren. Die VPN-Protokolle benutzen die kryptographischen Algorithmen, um die Daten zu verbergen. Damit bleiben Deine Browsing-Aktivitäten geschützt und vertraulich.

Jedes der VPN-Protokolle hat Stärken und Schwächen. An dieser Stelle kommt es auf den verwendeten kryptographischen Algorithmus an. Einige VPN Provider lassen den Anwender wählen, welches Protokoll er verwenden möchte. Der Algorithmus oder das Chiffre kann auf einer der nachfolgenden Klassifizierungen basieren: symmetrischer, asymmetrischer und Hashing-Algorithmus.

Symmetrische Verschlüsselung verwendet einen Schlüssel, um die Daten zu verschlüsseln und einen anderen, um sie wieder zu entschlüsseln. Bei der asymmetrischen Verschlüsselung (Public Key) werden zwei Schlüssel verwendet. Mit einem wird verschlüsselt und mit dem anderen entschlüsselt. Die nachfolgende Tabelle ist ein zusammenfassender Vergleich zwischen symmetrischer und asymmetrischer Verschlüsselung.

Asymmetrische Verschlüsselung bietet Lösungen für Probleme, die sich mit einer symmetrischen Kryptografie nicht lösen lassen. Sie sehen das in der obigen Tabelle. Whitfield Diffie und Martin Hellman gehörten zu den Pionieren, die sich mit den Nachteilen befasst und einen asymmetrischen Algorithmus entwickelt haben. Er ist als Diffie-Hellman bekannt.

Der Verschlüsselungs-Algorithmus ist sehr populär und grundlegend für viele VPN-Protkolle, inklusive HTTPS, SSH, IPsec und OpenVPN. Mithilfe des Algorithmus können zwei Parteien, die vorher noch nie miteinander kommuniziert haben, einen Geheimschlüssel untereinander ausmachen. Das ist auch dann möglich, wenn sie über einen unsicheren, öffentlichen Kanal wie das Internet kommunizieren.

Hashing ist eine Verschlüsselung in eine Richtung (unumkehrbar), mit der die Integrität der übertragenen Daten garantiert wird. Die meisten VPN-Protokolle verwenden Hashing-Algorithmen, um die über ein VPN gesendeten Nachrichten zu authentifizieren. Beispiele an dieser Stelle sind MD5, SHA-1 und SHA-2. Sowohl MD5 als auch SHA-1 gelten in der Zwischenzeit als unsicher.

VPN lassen sich hacken, aber das ist nicht einfach. Ohne ein VPN bist Du auf jeden Fall wesentlich mehr gefährdet als ohne eins.

Kann sich jemand eigentlich in ein VPN hacken?

VPNs bleiben die effizienteste Methode, um seine Online-Privatsphäre zu schützen. Allerdings ist es auch so, dass sich so ziemlich alles hacken lässt. Das gilt vor allen Dingen dann, wenn es sich um ein lohnendes Ziel handelt und der Angreifer genug Zeit, Geld und Ressourcen hat. Die gute Nachricht ist, dass die meisten Anwender nicht in die Kategorie Ziel mit hohem Wert fallen. Deswegen stehst Du eher nicht auf einer Liste mit lohnenden Zielen.

Will jemand eine VPN-Verbindung hacken, kann er entweder die Verschlüsselung knacken, zum Beispiel durch bekannte Schwachstellen, oder er klaut auf irgendeine Weise den Schlüssel. Bösartige Hacker und Krpyto-Analysten verwenden erstere Angriffe, um die Klartext-Daten ohne den Schlüssel zu entschlüsseln. Um eine Verschlüsselung zu knacken, ist aber Rechenleistung und Zeit notwendig. Manche Entschlüsselungen würden Jahre dauern.

Meistens wird einfach der Schlüssel gestohlen, denn damit ist es wesentlich einfacher, die Verschlüsselung zu knacken. In der Regel wenden Geheimdienste solche Methoden an. Sie benutzen also keine Rechenleistung, sondern eine Kombination aus technischen Tricks, Computerei, gerichtlichen Anweisungen, Backdoors oder Hintertüren und dergleichen. Die sich hinter Verschlüsselung befindliche Mathematik ist sehr stark und rechnerisch unglaublich komplex.

Existierende VPN-Schwachstellen und Exploits

Die Enthüllungen von Whistle Blower Edward Snowden und anderen Security-Experten haben gezeigt, dass ein Geheimdienst der USA (NSA) die Verschlüsselung von sehr viel Internet Traffic geknackt haben. Dazu gehören auch VPNs. Die Snowden-Dokumente erwähnen verschiedene Komponenten, mit denen die NSA VPNs knackt. Sie fingen verschlüsselten Traffic ab und haben ihn durch sehr leistungsstarke Computer geschickt, um an den entsprechenden Schlüssel zu kommen.

Die Security-Forscher Alex Halderman und Nadia Heninger haben auch überzeugenden Recherche präsentiert, die vermuten lässt, dass die NSA in der Tat die Leistungsfähigkeit hat, HTTPS, SSH und VPN Traffic umfangreich zu entschlüsseln. Der Angriff ist als Logjam bekannt und zielt auf häufig eingesetzte Implementierungen des Diffie-Hellman-Algorithmus ab.

Der Geheimdienst hatte deswegen Erfolg, weil er eine Schwachstelle im Diffie-Hellman-Algorithmus ausnutzte. Der Grund für die Schwachstelle ist, dass Verschlüsselung-Software per Standard bekannte Primzahlen implementiert. Die Nachforschungen haben ergeben, dass man innerhalb eines Jahres und mit ein paar Hundert Millionen US-Dollar einen ausreichend leistungsstarken Computer entwickeln kann, der eine einzelne Diffie-Hellman-Verschlüsselung mit 1024-Bit knacken kann. Die NSA hat auf jeden Fall die finanziellen Mittel, diese Maschine zu bauen.

Leider werden nur ein paar Primzahlen kleiner als 1024-Bit bei der alltäglichen Verschlüsselung wie in einem VPN benutzt. Somit ist es einfacher, sie zu knacken. Bruce Schneier hat gesagt: “The math is good, but math has no agency. Code has agency, and the code has been subverted”. Das heißt grob übersetzt, dass die Mathematik dahinter gut, der Code aber untergraben ist.

Solltest Du dennoch ein VPN benutzen?

Das Forscher-Team rät Providern, Dieffie-Hellman-Schlüssel mit mindestens 2048-Bit zu verwenden. Sie haben auch einen Leitfaden für den Einsatz von TLS veröffentlicht. Die Internet Engineering Task Force (IETF) rät ebenfalls zu den neuesten Revisionen der Protokolle, bei denen größere Primzahlen eingesetzt werden.

Die Geheimdienste sind vielleicht in der Lage, häufig benutzte Primzahlen in Diffie-Hellman-Schlüsseln bis zu 1024-Bit (ungefähr 309 Zahlen) zu knacken. Allerdings werden sie sich bei 2048-Bit-Schlüsseln die Zähne ausbeißen.

Geheimdienste haben Exploits gegen VPN und andere Verschlüsselungs-Protokolle in der Schublade liegen und setzen sie auch gegen verschlüsselten Traffic ein. Du bist aber mit einem VPN immer noch besser geschützt als wenn Du im Klartext kommunizierst. Dein Computer kann theoretisch kompromittiert werden, aber das kostet Zeit und Geld und wird im großen Stil richtig teuer. Bist Du kein offensichtliches Ziel, bist Du relativ sicher.

Edward Snowden hat gesagt: "Verschlüsselung funktioniert. Auf gute und starke Kryptographie-Systeme kannst Du Dich verlassen." Wenn möglich, halte Dich aber von VPNs fern, die auf Hashing-Algorithmen mit MD5 oder SHA-1 basieren. Damit sind zum Beispiel die Protkolle PPTP und L2TP/IPsec gemeint. Nimm solche, die aktuelle Versionen von OpenVPN und SHA-2 unterstützen. Sie gelten als sehr sicher. Bist Du Dir nicht ganz sicher, auf welche Algorithmen Dein VPN setzt, dann sieh in der Dokumentation nach oder stelle eine Anfrage an den Support.

VPN ist auf jeden Fall Dein Freund. Vertraue auf Verschlüsselung und der dahinter stehenden Mathematik. Nutze diese Services und stelle sicher, dass Dein Endgerät ausreichend geschützt ist. So bist Du sicher im Internet unterwegs, auch wenn die Angriffe auf verschlüsselte Verbindungen anhalten.