Sind VPN-Apps auf dem iPhone nutzlos?

10.08.2024
Von 
Stephan Wiesend schreibt für die Computerwoche als Experte zu den Themen Mac-OS, iOS, Software und Praxis. Nach Studium, Volontariat und Redakteursstelle bei dem Magazin Macwelt arbeitet er seit 2003 als freier Autor in München. Er schreibt regelmäßig für die Magazine Macwelt, iPhonewelt und iPadwelt.
VPN-Dienste helfen nicht nur gegen Geoblocking, sie sorgen auch für mehr Sicherheit. Zuletzt sind sie aber durch Angriffe wie „Tunnelvision“ in Kritik geraten.
Foto: Dominik Tomaszewski / Foundry

Es gibt zwei gute Gründe, einen VPN-Dienst wie NordVPN oder Mullvad zu benutzen: Einer davon ist das Umgehen von Geoblocking. Können Sie mit einem VPN doch auf das TV-Programm der USA, der Schweiz oder der UK zugreifen und auch bei Online-Einkäufen ist ein VPN sehr nützlich, da sie teils viel Geld sparen können. Viele China-Reisende nutzen ein VPN allein deshalb, um Nachrichten aus der Heimat zu lesen.

Das zweite Versprechen eines VPN-Anbieters ist die verbesserte Sicherheit. Durch einen verschlüsselten VPN-Tunnel sind Sie besser gegen Datendiebe und Hacker geschützt. Hier gab es aber zuletzt einigen Gegenwind für Apple und vor allem iOS.

Foto: Norton

Sind Hotspots unsicher?

Der häufigste Grund für VPN-Nutzung sind unsichere Hotspots. Vor allem auf Reisen greifen Sie vermutlich oft auf ein fremdes Wi-Fi-Netzwerk zurück - das kostenlose Netz des kleinen Hotels, des Airbnb-Vermieters oder eines kleinen Cafés. Hohe Sicherheitsstandards erfüllen diese Netze aber nur selten. Ein Hacker, der das Netz kontrolliert, könnte Ihre Daten abfangen.

Noch dazu gibt es immer neue Angriffsmethoden auf Wi-Fi-Netze oder die Router selbst. Erst kürzlich wurde etwa bekannt, dass viele D-Link-Router eine Backdoor besitzen, über die jeder Zugriff erhalten kann.

Für den privaten Urlauber hat ein unsicheres WLAN nach meiner Meinung allerdings wohl selten Konsequenzen. Persönlich kennen wir keinen Urlauber, dem auf diese Weise Daten gestohlen wurde, für Hacker ist dies auch kaum lohnenswert. Viele Datenübertragungen erfolgen schließlich nur noch verschlüsselt, Webseiten sind ebenfalls geschützt.

Dank Home-Office ist es allerdings längst selbstverständlich geworden, auf Reisen oder im Urlaub auf Firmendaten zuzugreifen. Hier könnten Sie bei nachlässigem Umgang mit Daten schnell Probleme bekommen. Auch jemand, der beruflich unterwegs ist oder im Urlaub arbeitet, sollte ein Firmen-VPN oder ein anderes Sicherheitskonzept nutzen. Selbst eine Routine-Videokonferenz kann schnell brisant werden, wie die Taurus-Affäre zeigte.

Verbessert wird durch VPN darüber hinaus der Datenschutz. Vielleicht wollen Sie ja nicht, dass Werbefirmen, Vermieter, Schule oder Arbeitgeber Ihr Surfverhalten protokollieren? So versuchte die Süddeutsche Zeitung nach dem Durchsickern von Informationen an den Medieninsider, den "Maulwurf" anhand der Verbindungsdaten der Angestellten zu identifizieren.

Als Lösung gegen Hacker und Datensammler bietet sich für Privatanwender deshalb ein VPN-Dienst wie NordVPN oder Mullvad an. Bei der Nutzung eines VPNs auf einem iPhone hört man jetzt allerdings in sozialen Medien immer öfter, dies wäre bei einem iPhone gänzlich sinnlos.

Viel Aufsehen erregte etwa der Blogbeitrag "VPNs on iOS are a scam" von Michael Horowitz. Das ist nach meiner Meinung übertrieben, hat aber einen wahren Kern. Für eine ausführliche Erklärung müssen Sie aber recht tief in das Thema einsteigen.

Unsere Kurzfassung vorab: Nein, VPNs funktionieren auf dem iPhone wie versprochen und schützen vor Angreifern und Datenspionen. Es gibt aber einige Einschränkungen durch iOS, die Sicherheitsforscher seit Jahren auf die Palme bringen.

Macht die neue Sicherheitslücke TunnelVision VPN sinnlos?

Bei iOS ist die Funktionalität von VPN-Diensten immer wieder in Kritik geraten und Sicherheitsforscher entdecken immer wieder Angriffsmöglichkeiten. Viel Aufsehen erregte diesen Mai die Sicherheitslücke "Tunnelvision" des Leviathan Teams. Eine ähnliche Angriffsmethode namens "Tunnelcrack" wurde erst vor einem Jahr vorgestellt.

Wie von den Forschern nachgewiesen, kann ein Angreifer unter bestimmten Umständen trotz VPN den Datenverkehr in einem lokalen Netz analysieren. Ursache ist eine schon seit 2002 verfügbare Option des DHCP-Protokolls namens 121.

Aktiviert ein Hacker diese Option, wozu er Zugriff auf den Router benötigt, kann er das Gerät so konfigurieren, dass es Datenpakete am VPN "vorbeischickt". Ihre Daten werden dann nicht per VPN übertragen und können abgefangen werden.

Da die VPN-Verbindung weiterhin besteht, soll hier selbst ein sogenannter "Kill-Switch" nicht helfen. Dieser sorgt dafür, dass in einem fremden WLAN Daten übertragen werden, wenn eine VPN-Verbindung besteht. Durch diese Angriffsmethode (die wir hier nur stark verkürzt wiedergeben) sind iOS, Windows und macOS gefährdet, Android nicht.

Es bestünde aber nur geringe Gefahr, sagen die VPN-Anbieter: Sowohl ExpressVPN, NordVPN, Mullvad und Windscribe haben gegenüber PCMag und anderen Medien entschieden bestritten, dass Ihre Dienste durch diese Angriffsmethode gefährdet sind.

Ausführlicher hat dies ExpressVPN erklärt: Nach eigenen Tests schützt eine Schutzfunktion von ExpressVPN Nutzer vor dieser Angriffsmethode. Die Funktion Network Lock, eine Art erweiterter Kill-Switch des Dienstes, muss allerdings aktiv sein - was die Standardeinstellung der Apps für iOS und macOS sei.

Bei iOS-Apps ist die Abwehr allerdings schwieriger. Der renommierte Anbieter Mullvad ist sich sicher, dass zumindest die Desktop-Version seiner VPN-App vor Tunnelvision sicher sei. Firewall-Regeln würden zuverlässig verhindern, dass Daten ohne VPN-Verschlüsselung übertragen werden. Bei iOS-Apps sei ein Schutz vor diesen Angriffen komplizierter. Bei der iOS-App gebe es noch keine Lösung, Mullvad arbeite aber an einem Update, das dieses Problem auch für die iOS-App löst.

Beim Angriff werden aber nur unverschlüsselte Daten abgefangen, allenfalls Metadaten werden nutzbar. Deshalb ist nach meiner Einschätzung die Gefahr eher gering.

Ist VPN unter iOS unsicher?

Eine echte Einschränkung von iOS lässt sich nicht verleugnen: Apple gibt den Entwicklern von Apps nur eingeschränkte Kontrolle über Systemfunktionen. Das macht Apple aus Sicherheitsgründen, um das System abzuschotten. Gleichzeitig schränkt Apple dadurch aber auch die Schutzfunktionen von Sicherheitsapps ein. Und das betrifft schlussendlich auch VPN-Apps.

Einige alte Kritikpunkte hat Apple behoben: Vor iOS 14 wurden etwa nach der Aktivierung einer VPN-Verbindung unter iOS nur alle neuen Netzverbindungen per VPN verschlüsselt. Bestand schon eine Internetverbindung, bevor Sie VPN aktiviert hatten, wurden diese nicht geschützt.

Das hat Apple korrigiert und führte mit dem API "includeAllNetworks" eine Funktion ein, damit VPN-Anbieter auch bestehende Verbindungen verschlüsseln können. Was aber viele Sicherheitsfachleute auf die Palme bringt: Einige seiner Systemdienste hat Apple davon ausgenommen.

Aus Sicht von Sicherheitsforschern entstehen dadurch Schwachstellen in iOS, die alle VPN-Verbindungen betrifft - was Apple allerdings völlig anders sieht und erfüllt nach eigenen Angaben "anerkannte Industriestandards". Zusätzlich verweist Apple auf die zusätzlichen Konfigurationsmöglichkeiten, die etwa für Firmen zur Verfügung stehen. Können diese doch vorgeben, dass bei verwalteten iPhones ein VPN immer aktiv ist.

Auch wenn ein VPN aktiv ist, ignorieren einige Apple-Dienste unter iOS 16 und iOS 17 (für iOS 18 liegen uns noch keine Informationen vor) diese Verschlüsselung und verbinden sich direkt mit Apple-Servern. Dabei handelt es sich um Diente wie Health, Maps und Benachrichtigungen. Auch DNS-Abfragen erfolgen ohne Verschlüsselung.

Es gibt noch weitere Besonderheiten. Apple hat eigene Schutzfunktionen wie Private Relay und Protect Mail Activity, die ähnlich wie ein VPN funktionieren. Bei Aktivieren eines VPNs werden diese automatisch deaktiviert, um Probleme zu vermeiden, worüber eine VPN-App eines Drittherstellers ebenfalls keine Kontrolle hat.

Hier als App-Entwickler einzugreifen kann schnell unangenehme Konsequenzen haben: So bietet ExpressVPN etwa mit der Funktion "Netzwerkschutz" eine Funktion, die weitere Netzwerkaktivitäten verhindert, dadurch können aber auch Apple-Funktionen wie Carplay und Personal Hotspot unterbunden werden.

Mobilfunk als Alternative

Statt sich mit VPN und Hotspots herumzuärgern, können Sie natürlich unterwegs komplett auf Mobilfunk setzen. Profis können zwar auch Mobilfunk abfangen, der Aufwand ist aber deutlich höher und setzt besondere Hardware voraus.

Nicht ohne Grund werden deshalb manche Firmenangehörige aufgefordert, keine öffentlichen Hotspots zu nutzen und nur Mobilfunk zu verwenden.

Fazit

VPN-Dienste versprechen höhere Sicherheit, dieses Versprechen können Sie nach meiner Einschätzung auch auf dem iPhone erfüllen. Bei iPad und iPhone gibt es allerdings nach Meinung von Fachleuten Schwachstellen, die kritisch gesehen werden.

Apple sieht dies allerdings vollkommen anders und setzt weiter auf eine starke Kontrolle aller Dritt-Apps. Einen Einfluss hat dabei vielleicht auch, dass Apple zu große Einschränkungen des Bedienkomforts vermeiden will.

Meine Einschätzung: Sinnlos ist ein VPN unter iOS sicher nicht. Die beschriebenen Angriffsmethoden sind nach meine Meinung dazu zu aufwendig und wenig praxistauglich - und in jedem Fall ist ein iPhone mit aktiviertem VPN sicherer als ohne.

(Macwelt)