VPN - bin ich dadurch wirklich "unsichtbar"?

[T400Fan]

Hallo zusammen,

ich spiele mit dem Gedanken mir eine VPN zuzulegen, da ich lieber etwas anonymer im Internet unterwegs sein möchte beispielsweise finde ich es nicht notwendig personalisierte Werbung etc. im Browser zu erhalten. Auch weiß ich ja gar nicht welche Daten im Hintergrund noch erhoben werden...

Nun meine zentrale Frage:
Wenn ich mir eine VPN, beispielsweise NordVPN zulege, bin ich dann für den Provider "unsichtbar" also ist mein Standort, meine Adresse, meine IP etc. geschützt respektive verbogen?

Ich freue mich auf eure Antworten

 

[harry-67]

Geht zugegeben ein wenig an der Frage vorbei, aber ich hatte mir ExpressVPN geholt wegen Geoblocking und da hat es nichts gebracht. Bei Telegram war es auch oft nicht möglich, Videos zu laden.

 

[matt-eagle]

Auch wenn ich NordVPN jetzt keine Empfehlung aussprechen würde, hast du Recht bei der Annahme, dass die Paketdaten dadurch für deinen Provider nicht einsehbar sind. Jedoch würde ich mir überlegen, ich meinen Provider bei vertrauenswürdigen Daten gegen NordVPN eintauschen würde.

Allgemein würde ich sagen, dass ein VPN im Privatgebrauch für das Umgehen von Geoblocking/Werbeblock usw. Sinn macht. Für weitergehende Anonymisierung sehe ich keinen richtigen Sinn.

 

[stollen]

Werbung loswerden kannst du auch mit dnsforge.de, einem PI Hole oder entsprechenden AddOns für Firefox oder Chrome.

Security Blogs wie Kuketz sehen VPNs eher kritisch. Außer man will Geo Sperren umgehen.

 

[harry-67]

Ich habe mal gehört (kann es selbst nicht bestätigen, weil nicht versucht), dass z.B. Netflix die einschlägigen Server kennt und man damit hinsichtlich Geoblocking auch nicht weiterkommt.

 

[matt-eagle]

Was in dem Zusammenhang auch überlegenswert wäre, sich einen eigenen VPN anzulegen (via Fritzbox). Das ist zwar jetzt abseits deiner Frage, jedoch kann man sich mit seinen privaten Daten so sicher in öffentlich zugänglichen bzw. nicht vertrauenswürdigen Netzwerken aufhalten und hat gleichzeitig Zugriff auf seine Netzwerkgeräte wie NAS usw.

 

[fakiauso]

Wenn Du keinen bestimmten Zweck wie das bereits mehrfach erwähnte Geoblocking im Sinn hast, kannst Du Dir das Geld besser sparen oder von mir aus Mozilla mit seinem VPN in den Rachen werfen.

Klar tunnelst Du Deine Daten, aber Deine Daten liegen dann eben nicht (nur) beim Provider, sondern auch beim VPN-Portal. Inwieweit dort an den Knoten das Zeug nicht auch abgegriffen werden kann oder wie glaubhaft das ist, dass ein VPN-Dienst das nicht tut oder preisgibt, ist eben - glaubhaft - und damit Vertrauensbasis und keine Gewißheit.

Für´s Geoblocking tut´s imho auch ein Proxy per Addon im Browser und eine gefakte Browserkennung. VPN würde ich noch am ehstens für sinnvoll halten, wenn ich mich viel in öffentlichen Netzen aufhalten, um dort die Daten zu tunneln. Im normalen Netz halte ich das dagegen eher für so semi und ähnlich den durch die Anbieter so vielgepriesenen AV oft mehr für Schlangenöl.

Edit: Für die Anbieter ist es halt in erster Linie mal ein schönes Zusatzgeschäft. Als Nutzer dagegen hat man relativ wenig Möglichkeiten, den vermeintlichen Mehrwert und Nutzen zu prüfen, solange nichts passiert.

 

[sl500]

Für das Problem Werbung werfe ich ebenfalls Pi-hole in den Raum:

Kuketz IT-Security Forum • IT-Sicherheit | Datenschutz

IT-Security Forum: Eine Plattform für Menschen, die sich kritisch mit den Themen IT-Sicherheit und Datenschutz(recht) befassen möchten.

forum.kuketz-blog.de

Ebenso empfehlenswert die Q/A Sektion, gerade in Bezug auf Datenschutz/DNS-Anfragen/DoT/DoH:

Kuketz IT-Security Forum • IT-Sicherheit | Datenschutz

IT-Security Forum: Eine Plattform für Menschen, die sich kritisch mit den Themen IT-Sicherheit und Datenschutz(recht) befassen möchten.

forum.kuketz-blog.de

Einem VPN-Anbieter, egal wie vollmundig er behauptet sicher zu sein und sich um Privatsphäre zu "sorgen", würde ich meine Daten nicht anvertrauen...

 

[Gummiente]

Ich bin erstaunt mit wie viel Geld die VPN Anbieter in den Markt reingehen wo ich so gar kein Geschäftsmodell sehe.

Ist da einfach nur zu viel Venturekapital im Umlauf?

Umgehen von GeoIP? Man hat das gesamte Internet kartografiert. Daher ergibt sich überhaupt der Wunsch dem zu entkommen. Ich muss die Naivität bewundern zu glauben, dass jemand der das gesamte Internet kartografiert hat nicht imstande sein soll die paar IP Adressblöcke welcher sich die VPN Anbieter bedienen nicht kartografieren könnte. Oder die Dreistigkeit das den Kunden glauben zu lassen.

Dabei versuchen sie nicht mal unter dem Radar zu fliegen und sind mittlerweile groß genug, um einen Blip auf Netflix Display zu machen mit entsprechenden Reaktionen.

Ansonsten, einen Tod muss man sterben. Entweder zieht man sich vor seinem Provider aus oder vor seinem VPN Anbieter. Da ziehe ich es doch vor bei Telekom, Vodafone etc. auszuziehen statt vor irgendeiner Firma die weiss Gott wo sitzt und noch viel mehr im Fadenkreuz von interessierten Stellen sitzt als die langweiligen großen Providern mit Mio von Kunden die überwiegend nur Katzenvideos schauen und kein Sammelbecken ist von Leuten die meinen etwas schützen zu wollen.

Wenn ich daneben liege würde ich es gerne wissen. So klingt das halt nach Schlangenöl und weil das so offensichtlich ist frage ich mich ob ich etwas übersehe. Kann doch nicht sein, dass ich der einzige bin der so ein Schmu erkennt also muss ich etwas nicht verstehen...

 

[sl500]

Schlangenöl trifft es doch ganz gut, wie damals bei den Anti-Viren-Programmen

 

[psx]

Nun meine zentrale Frage:
Wenn ich mir eine VPN, beispielsweise NordVPN zulege, bin ich dann für den Provider "unsichtbar" also ist mein Standort, meine Adresse, meine IP etc. geschützt respektive verbogen?

Dein Provider kann den Verkehr der über den Tunnel läuft nicht mehr "in Klartext mitlesen", weil verschlüsselt.
Der Provider kann aber sehen, daß zwischen Deiner Quell-IP und dem VPN-Gateway Pakete ausgetauscht werden.
Wenn Dein PC zur Namensauflösung (DNS) weiterhin die Namserver Deines Providers verwendet, könnte er diese Anfragen weiterhin auswerten.

Evtl. ist Tor für Deinen Zweck besser geeignet?

 

[moronoxyd]

beispielsweise finde ich es nicht notwendig personalisierte Werbung etc. im Browser zu erhalten.

Dagegen hilft ein VPN nicht. Personalisierte Werbung kommt über die Webseiten, die du aufrufst. Und diese rufst du ja immer noch auf. Anmeldedaten oder Browserfingerprint ändern sich durch ein VPN nicht, so daß du für die Webseite oder die Werbenetzwerke mehr oder weniger genauso gut identifizierbar bist.

Auch weiß ich ja gar nicht welche Daten im Hintergrund noch erhoben werden...

Auch da hilft ein VPN nicht.
Ein VPN ändert den Weg, den deine Daten zum Ziel nehmen. Das Ziel bleibt aber gleich. Alles, was auf Seiten des Ziels passiert, passiert weiterhin.

Wenn ich mir eine VPN, beispielsweise NordVPN zulege, bin ich dann für den Provider "unsichtbar" also ist mein Standort, meine Adresse, meine IP etc. geschützt respektive verbogen?

Dein Provider kennt weiterhin deinen Standort, deine Adresse, deine IP etc. Du nutzt ja weiterhin die Infrastruktur deines Providers. Und die IP stammt sogar von deinem Provider.
Er weiß nur nicht mehr, welche Server du kontaktierst (und selbst das kann er unter Umständen weiterhin erkennen, wenn DNS-Anfragen nicht über das VPN geleitet werden).

Wenn du deinem Provider nicht vertraust, solltest du darüber nachdenken, den Provider zu wechseln, und nicht eine dritte Partei (den VPN-Betreiber) ins Boot holen, die dann auch noch Daten von dir bekommt.

 

[Retrostyle]

Selbst Tor-Netzwerk hilft nicht gegen Werbung. Das beste ist immer noch Firefox mit NoScript und Einzelfreigabe.

 

[sl500]

@Retrostyle

Sehr pauschal oder?
Ich werfe Pi-hole in den Raum, und wem das nicht reicht der nutzt noch uBlock Origin dazu...

 

[fridgeee]

Hi T400Fan,
hab mich mit dem Thema auch mal beschäftigt. Das Video fässt das am Anfang sehr gut zusammen.
Fazit: Anonym bist du nur mit Thor oder selbst gehostete VPNs

Gegen Werbung wie genannt: Pi hole + uBlock Origin

Für Geoblocking tuts auch jedes andere VPN; *manche VPN Dienste funktionieren aber nicht mit Netflix (wie oben erwähnt)

 

[elarei]

Hi,

es ist ne Frage des Anspruchs.

Ein VPN ist schon ein großer Zusatzfaktor, um weniger sichtbar zu sein. Vor Tracking-Cookies und der NSA bietet es keinen ausreichenden Schutz, aber um beim Filesharing eine zweite Wand aufzustellen und um von deinem Provider (der ja oft auch dein Arbeitgeber o.ä. sein und von daher an deinem Tun interessiert sein kann) nicht überwacht werden zu können, ist es durchaus hilfreich. Ich benutze VPN immer dann, wenn ich in einem Netz unterwegs bin, dessen Administratoren ich nicht sicher vertraue, dass sie mir nicht nachschnüffeln (v.a. in offenen WLANs, Hotels, und auch für private Tätigkeiten im WLAN beim Arbeitgeber).

Um sich gegen personalisierte Werbung zu schützen, muss man die Mechanismen dieser Werbung behindern; die hängen vor allem als Cookie in deinem Browser. Das geht recht einfach, es hilft schon, einen Browser zu verwenden, der keine Tracking-Cookies speichert, oder ein entsprechendes AddOn zu verwenden (allerdings sind die meisten Werbeblocker selbst ganz große Datensammler; da hilft es, sich vorher schlau zu machen). Firefox im Privat-Modus reicht für die meisten Sachen schon aus. Mit einem VPN kannst du zusätzlich deine IP kaschieren, aber die wenigsten Werbedienste arbeiten rein IP-basiert, weil IPs trügerisch sind (aus einer Uni heraus haben nachher 10.000 Benutzer die gleiche IP...).

Ein PiHole versucht den Netzwerkzugriff zu Werbediensten zu behindern (der klinkt sich als DNS ins Netzwerk ein und wenn eine Werbedomain angefragt wird, tut er einfach so, als kennte er die nicht). Das ist ein je nach technischer Finesse recht aufwendiger Weg, der zwar schlechter aussieht als ein Werbeblocker, aber dafür keine Daten über dich sammelt und keine PC-Leistung frisst (Werbeblocker durchforsten den Quellcode jeder Seite und löschen den Werbeblock manuell raus, das kostet Rechenzeit). Ich hab auf meiner QNAP-NAS einen laufen, dort ist es sehr komfortabel über einen Docker gelöst und in vier Klicks installiert; wenn man das selber auf einem RasPi o.ä. hochzieht, ist es Arbeit. Ein PiHole als DNS (wenn man es im Router entsprechend hinterlegen kann) hilft dem ganzen Netzwerk gegen Werbetracker, nicht nur dem einzelnen Gerät - das ist ganz nett.

Wer richtig abtauchen will, muss tief in die Materie eintauchen. Tor-Netzwerk, QubesOS, da kann man schon sehr tief einsteigen. Jeder Schritt reduziert den Komfort und erhöht den Aufwand erheblich. Das ist aber nur für eine bestimmte, recht kleine Gruppe wirklich interessant, ich sehe da v.a. Aktivisten und Journalisten, die an gefährlichen Themen arbeiten.

Kurzfassung, mit steigendem Aufwand:
- privater Modus im Browser
- Werbeblocker auf Browserebene, wenn man einem vertraut
- VPN, wenn man seinem Internet-Provider nicht vertraut
- PiHole als Werbeblocker aus Netzwerkebene, wenn man es sich zutraut
- Tor, wenn man richtig viel Zeit mitbringt und keine Angst vor der Regierung hat
- QubesOS, wenn man mit richtig gefährlichen Daten arbeitet

 

[mcb]

Die Frage sollte viel mehr seien vor wem du unsichtbar seien möchtest.

VPN und Browser hinreichend konfiguriert:

- dein Provider weiß nicht welche Seiten du aufrufst
- die aufgerufende Seite weiß nicht von wo der Aufruf kommt
- für die Dienste wird es aufwendiger das nachzuverfolgen (Mehr oder weniger, genaues weiß man nicht)
- der VPN-Provider weiß wer du bist und was du aufrufst

 

[xxxx]

Wenn es einem wirklich wichtig ist, wenig Spuren im Netz zu lassen (und Tracking zu minimieren), muss man tatsächlich einiges im Blick haben. https://browserleaks.com listet schön auf und bietet eine stattliche Anzahl Tools, mit denen man den eigenen Fingerabdruck im Netz testen kann: "IP Address, JavaScript, WebRTC Leak Test, Canvas Fingerprinting, WebGL, Font Fingerprinting, SSL Client Test, Geolocation API, Features Detection, Content Filters, Java Applet" - und eine ganze Reihe weiterer Tests, bei denen man das Gruseln lernen kann. Das sind dann aber nur die Methoden, die seit langem bekannt und bereits breit eingesetzt werden von der Werbeindustrie (und den Geheimdiensten). Das sind alles Tracking-Methoden, die völlig ohne Cookies auskommen.
Jetzt könnte man meinen: Kein Problem, für jede einzelne dieser Tracking-Technologien gibt´s ein PlugIn/Addon, das verhindert, dass das Tracking verhindert. Abgesehen davon dass, wenn man seinem Browser das volle Programm gibt, die meisten Webseiten völlig unbenutzbar werden: Mit einem solchen Browser ist man im Netz absolut eindeutig zu identifizieren, denn Browser-Fingerprinting ließe sich pinzipiell nur dadurch begrenzen, dass man einen völlig unveränderten Browser benutzt, den auch ganz viele andere benutzen.
Eine Webseite der EFF (Elecronic Frontier Foundation) macht diesen Umstand sehr plastisch erfahrbar: "This is an EFF project that allows you to understand how easy it is to identify and track your browser based on how it appears to websites." - https://coveryourtracks.eff.org
Mit einem Standard-Firefox ist man - je nach Betriebssystem - in einem Feld von mindestens 200.000 anderen Nutzern eineindeutig unterscheidbar. Die anderen Tracking-Mechanismen (s.o.) kommen da noch dazu.
Auf den ersten Blick sieht das alles ziemlich furchtbar und unausweichlich aus - und ich glaube, es ist gut, sich dieser Realität erstmal bewusst zu werden.
Aber es gibt Abhilfe:
1.) Browser-Fingerprinting lässt sich mit dem schon erwähnten Tor Browser - oder besser mit einem eigenen Tor-Live-System (TAILS) minimieren. Technisch sicherer sogar ist die Whonix-VM (aber das will ich hier nicht vertiefen). Mit solchen Maßnahmen lässt sich die eigene Wiedererkennbarkeit statistisch auf einen Wert von ca. 55 (Unterscheidbarkeit von anderen Nutzern) drücken.
2.) Das eigene Verhalten im Netz ist vielleicht sogar noch wichtiger. Man sollte nicht gleichzeitig irgendwo angemeldet sein (am wenigsten bei einem der großen Dienste - Google, Apple, Facebook, Microsoft), wenn man vorhat, einigermaßen anonym Webseiten aufzurufen (-> 2- oder 3-Browser-Modus).
3.) Es gibt mittlerweile einige Ansätze, wo sich Entwickler bemühen, Browser so zu modifizieren, dass die Spur im Netz geringer wird. "Brave" wird da gerne genannt und empfohlen; ich möchte hier ein weniger bekanntes, meiner Ansicht nach aber am besten die widersprüchlichen Pole "einfach surfen" und "Tracking minimieren" unter einen Hut bringende OpenSource-Projekt "LibreWolf" in den Ring werfen: https://librewolf.net und https://gitlab.com/librewolf-community . LibreWolf ist ein modifizierter Firefox und für die großen drei Plattformen verfügbar; vor allem stopft er die gröbsten bei browserleaks.com aufgeführten Löcher.
4.) Das alles kann - und sollte natürlich kombiniert werden mit einigen der Ansätze, die bereits angesprochen wurden; z.B. das Pi-Hole-Projekt. Einen eigenen verschlüsselnden DNS-Server kann man mittlerweile auch in den aktuellen Fritzboxen mit überschaubarem Aufwand setzen (https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/019p2/hilfe_internet_dnsserver) - Stichwort "DNS over TLS (DoT) aktivieren".
5.) Aktuell gibt es in Deutschland ein paar leise Anzeichen, dass der Schuss in der Politik gehört wurde. Aber da viele der Rahmenbedingungen auf europäischer Ebene entschieden werden, ist es notwendig, dort mehr Druck zu machen (Stichwort "Digital Services Act" [DSA] und "Digital Markets Act" [DMA]).
Wer aktuell aktiv werden möchte, sollte sich gegen die von der EU-Kommission geplante sogenannte "Chatkontrolle" engagieren (die im Klartext das grundgesetzlich verbürgte Recht auf Privatheit im Digitalbereich - die "Integrität und Vertraulichkeit informationstechnischer Geräte" - wie auch das Briefgeheimnis bis zur Unkenntlichkeit verstümmeln würde).

 

[albert66]

Es hat sich jetzt mit @xxxx überlappt. Ich poste nur als Ergänzung, da ich den EFF-Test seit einiger Zeit sporadisch mache und auch mit getürkten User-agent-infos gearbeitet habe. Kann ich nur empfehlen und auch mal Browser-Optionen ändern und Test wiederholen. Wie man an den Beispielen sieht, halbiert bereits das "private Window" von FF die Wiedererkennbarkeit - also auf jeden Fall zu empfehlen. Bei Edge kommen (bei mir) etwa gleiche Zahlen wie bei FF heraus, ebenfalls bei dessen "private Window". Ansonsten mein "alter vorbereiteter Post":

Der Provider am Netzeinstieg ordnet auf jeden Fall eine IP-Adresse zu, fest oder dynamisch, je nach Vertrag. Die sind mittlerweile gut kartiert. Obwohl ich bei server-Problemen der TCom auch schon "Berliner" wurde . (eine IP aus einem entsprechenen Pool bekam). Nachdem der Provider Geld für den Netzanschluß haben will, läßt sich da wenig ändern.

Der Rest an Werbung etc. ist Browserthema. Ab und an habe ich auch schon dessen User-agent-Infos getürkt, bringt aber kaum etwas. (Bei FF und Seamonkey, d.h. Mozilla, ziemlich simpel). In dem Zusammenanhang mal https://panopticlick.eff.org/ aufrufen, hat inzwischen neuen Namen https://coveryourtracks.eff.org/ (wie bereits gepostet), dort kann man seinen Fingerprint einsehen, bzw. was alles der Browser auf Rückfrage weiter erzählt und zumindest per Einstellungen "abmagern" und testen.

Mein Beispiel (muß ich noch besser abwürgen): Seamonkey mit script und session cookies -
Your browser fingerprint appears to be unique among the 207,181 tested in the past 45 days.
Currently, we estimate that your browser has a fingerprint that conveys at least 17.66 bits of identifying information.

FF - standard install -
Your browser fingerprint appears to be unique among the 207,228 tested in the past 45 days.
Currently, we estimate that your browser has a fingerprint that conveys at least 17.66 bits of identifying information.

FF wie vor, aber "private window"
Within our dataset of several hundred thousand visitors tested in the past 45 days, only one in 103632.5 browsers have the same fingerprint as yours.
Currently, we estimate that your browser has a fingerprint that conveys 16.66 bits of identifying information.

 

[xxxx]

Nun meine zentrale Frage:
Wenn ich mir eine VPN, beispielsweise NordVPN zulege, bin ich dann für den Provider "unsichtbar" also ist mein Standort, meine Adresse, meine IP etc. geschützt respektive verbogen?

Um darauf noch mal einzugehen. Ich verwende auch NordVPN seit Jahren. Man kann nichts schlechtes sagen. Klar gibt es hier und dort Probleme und die Länderauswahl könnte auch größer sein.

Leider, leider ...
... ist die Realität nicht so, wie dies die Werbeaussagen der VPN-Anbieter suggerieren. Natürlich kann man Verständnis aufbringen für die VPN-Anbieter: diese wollen ja ihre Dienste verkaufen. Und tatsächlich gibt es einerseits signifikante Qualitätsunterschiede zwischen verschiedenen Anbietern und andererseits einige wenige sinnvolle Anwendungsszenarien für den Einsatz eines VPNs. Dazu unten mehr.
Zunächst aber möchte ich einen Rieseneimer (Realitäts-)Wasser über das spärlich gefüllte Gläslein mit (VPN-)Wein gießen:

– In Deutschland ist es tatsächlich keine besonders gute Idee, die Informationen, wann man sich wohin unter welchen Bedingungen verbindet, als Standardeinstellung lieber irgendeinem VPN-Anbieter, von dem man nur blumige Versprechungen hat, in den Rachen zu werfen, als sie dem Internetanbieter zu überlassen, bei dem man seinen Anschluss hat. Dieser (also z.B. die Telekom, oder Vodafone, etc.) ist immerhin an deutsche Gesetze in einem europäischen Rechtsrahmen gebunden, und unterliegt vielfältigen Offenlegungspflichten über die Einhaltung von Standards und Gesetzen (z.B. der DSGVO [Datenschutzgrundverordnung] oder der Tatsache, dass es in Deutschland bis heute keine Vorratsdatenspeicherung gibt). VPN-Anbieter tendieren generell dazu, ihren juristischen Sitz irgendwo hin zu verlegen, wo sie glauben, niemandem Rechenschaft schuldig zu sein. Das heißt, sie sind zwar unter Umständen faktisch keinen Gesetzen oder Regulairen unterworfen (haben also auch keine Verpflichtung, mit den Daten ihrer Nutzer sorgsam umzugehen), müssen aber trotzdem darauf reagieren, wenn eine staatliche Autorität mit entsprechendem Nachdruck die Offenlegung von Nutzerdaten fordert.
Selbst wenn angenommen werden könnte (was bei den allermeisten VPN-Anbietern nicht der Fall ist), dass keine Logs existieren und auch sonst nicht durch den VPN-Anbieter Datenverkehr in irgendeiner Weise mitgeschnitten wird: Bereits 2009 wurde gezeigt, dass durch die Korrelierung der Datenströme (Eingangs- und Ausgangsverkehre) bei einem VPN mit den Daten der Internetzugangsdienste 95% des Datenverkehrs deanonymisiert werden kann (https://epub.uni-regensburg.de/11919/1/authorsversion-ccsw09.pdf - "Attacking Popular Privacy Enhancing Technologies with the Multinomial Naïve-Bayes Classifier").
Jetzt könnte man sagen: nun ja, das ist eine akademische Publikation, und lange her – ganz genau, es ist lange her, und es gibt mittlerweile weltweit eine ganze Anzahl von shady Firmen, die sich exakt diese Datenverkehrsanalyse und -Korrelation mit dem Ziel durchgängiger Deanonymisierung zum (recht lukrativen) Geschäftsmodell gemacht haben. Die Firma "Team Cymru" (https://team-cymru.com) ist eine dieser Firmen. Auf deren Webseite wird an zentraler Stelle für "Attack Surface Management v2.0" (https://team-cymru.com/ebook-the-future-of-attack-surface-management-brad-laporte) geworben - also man soll Team Cymru Geld dafür geben, dass sie einen schützen gegen genau das, was ihr zentrales Geschäftsmodell ist. Darüber reden sie natürlich nicht so laut, aber es gibt einen sehr schönen Artikel auf vice.com (https://www.vice.com/en/article/jg84yy/data-brokers-netflow-data-team-cymru) vom August letzten Jahres, "How Data Brokers Sell Access to the Backbone of the Internet", in dem genau das beschrieben und nachgewiesen wird: "'The users almost certainly don't [know]' their data is being provided to Team Cymru, who then sells access to it […] 'Trace malicious activity through a dozen or more proxies and VPNs to identify the origin of a cyber threat,' one brochure for a Team Cymru product […] reads"
Ich habe das jetzt etwas ausführlicher beschrieben, weil sonst leicht angenommen werden könnte, dass das alles ja doch wenig Praxisrelevanz habe und möglicherweise einem Verschwörungsglauben entspringe. Leider! ist dies nicht der Fall.
Und selbst wenn alles ideal wäre: natürlich sind auch bei VPNs Angriffe auf Kryptographie und Schlüssel möglich (und beschrieben, z.B. in den von Edward Snowden zugänglich gemachten Dokumenten).

– Wie bewertet man einen VPN-Anbieter? Also, inwiefern hält er seine Versprechungen auch ein?
Auf keinen Fall sollte man das, was auf Übersichtsseiten wie "VPNmentor" oder "Wizecase" empfohlen wird, für bare Münze nehmen. Ich nehme diese beiden Seiten wieder als Beispiel, um zu zeigen, wie das VPN-Geschäftsmodell funktioniert - am Ende muss sich jeder selbst entscheiden, wie er vorgeht.
In der Regel belegen bei "VPNmentor" und "Wizecase" die VPN-Anbieter "CyberGost", "Expressvpn" und "Privat Internet Access" einen der vorderen Plätze. Interessanterweise gehören "VPNmentor" und "Wizecase" aber der Firmengruppe Kape, zu der auch "CyberGost", "Expressvpn" und "Privat Internet Access" gehören … . Und: Ein Gründer der Firma Crossrider, die jetzt Kape heißt, hat gute Beziehungen zu Unit 8200 (dem israelischen Äquivalent zu NSA und GCHQ). (Quelle: https://www.golem.de/news/nordvpn-expressvpn-mullvad-co-die-qual-der-vpn-wahl-2205-165409-3.html - "VPN-Anbieter mit Gruselfaktor"). In diesem Artikel steht noch einiges weitere Bedenkenswerte im Hinblick auf VPN-Dienste; z.B. dass diese mitunter selbst Tracking-Dienste in ihre "super-private" App einbinden.
Ich werde und kann hier auch keine Empfehlung aussprechen, welchen Anbieter man nehmen sollte. Allenfalls eine Faustregel: Wer seine Dienste für weniger als 5€ im Monat anbietet (oder gar gratis) kann nicht kostendeckend arbeiten. Er muss seine Einnahmen also auf andere Weise generieren, und das passiert in der Regel über Datenanalyse und -Weitergabe (sprich: Verkauf).
Ein anderes Indiz für Vertrauenswürdigkeit ist, wenn der VPN-Anbieter keine überzogenen Werbeversprechen macht. IVPN spricht auf seiner Webseite sogar zentral an: "What you do online can be tracked by organizations you may not know or trust and become part of a permanent record. A VPN can’t solve this on its own, […]"

- Ein sinnvoller Einstz eines VPNs ist zum Beispiel die Anbindung an ein Firmennetz. Oder wenn man unterwegs auf ein fremdes WLAN angewiesen ist - aber dann ist die Alternative, sich mit dem eigenen (sauber aufgesetzten) VPN auf dem Router zuhause zu verbinden, sicherer und datensparsamer.
Bleibt noch der letzte kleine Bereich der Umgehung von Geoblocking, z.B. bei Netflix – aber zur Anonymisierung taugt ein VPN sicher nicht. Auf jeden Fall nicht als einzige Maßnahme (siehe IVPN-Statement oben).