Viele Höllen sind in den vergangenen Monaten zugefroren. Im ICE funktioniert jetzt das kostenlose WLAN. Meistens jedenfalls. In 650 Hotspots in Berlin angeblich auch. In manchen Cafés bekommt man mittlerweile erst das Passwort für das Funknetzwerk und dann die Speisekarte ausgehändigt. Die Störerhaftung für Hotspot-Betreiber ist endlich wirklich abgeschafft.

Aber die Nutzer dieser schönen neuen Angebote wissen hoffentlich, dass es ratsam ist, in einem offenen WLAN gewisse Vorsichtsmaßnahmen zu treffen. Denn welche Internetseiten sie aufrufen, welche Apps sie nutzen, in seltenen Fällen sogar welche Zugangsdaten sie übertragen und was für Nachrichten sie schreiben – all das ist prinzipiell für jemanden erkennbar, der mit dem selben Netzwerk verbunden ist und mit einer Software wie Wireshark umgehen kann. Nicht umsonst werden solche Programme Sniffer genannt, zu deutsch Schnüffler.

Die einfachste Möglichkeit, sich dagegen zu schützen, sind Virtual Private Networks, kurz VPN. Sie bauen eine verschlüsselte Verbindung zu einem Server auf, über die im besten Fall der gesamte Datenverkehr geleitet wird, sodass er für den Sniffer nicht entzifferbar ist. Der VPN-Betreiber kann allerdings alles sehen, was ein Nutzer über seinen Server umleitet – sofern es nicht noch einmal gesondert verschlüsselt ist. Was das für Folgen hat und warum man sich sehr genau überlegen sollte, welchem VPN-Betreiber man vertraut, verdeutlicht der Fall Onavo. 

Informationen auch über jene, die keine Facebookmitglieder sind

Das Wall Street Journal hat herausgefunden, dass der ursprünglich israelische VPN-Anbieter Onavo sehr genau analysiert, was seine Nutzer im Internet tun und über seine Server leiten. Und dass von den daraus gewonnenen Erkenntnissen vor allem ein Unternehmen profitiert: Facebook. Die Amerikaner hatten Onavo 2013 für angeblich 100 bis 200 Millionen Dollar übernommen.

Denn Facebook bekommt über Onavo Informationen auch über Menschen, die gar nicht Mitglied des sozialen Netzwerks sind. Mehr als zehn Millionen Menschen haben allein die Android-Version der kostenlosen App installiert. Vor allem aber bekommt Facebook auf diesem Wege frühzeitig Einsicht in die Nutzung von Konkurrenzangeboten wie Snapchat oder aufstrebenden Start-ups wie Houseparty. Die kauft oder kopiert Facebook dann zu Tode, bevor sie eine Nische besetzen, in die auch Facebook will.

Das Wall Street Journal hebt vor allem diese Geschäftsstrategie von Facebook hervor, aus der das Unternehmen allerdings nie wirklich einen Hehl gemacht hat. Gerade Snapchat beziehungsweise die dahinterstehende Firma Snap Inc. bekommt das immer wieder zu spüren. Facebook und seine Tochterfirmen WhatsApp und Instagram haben schon stolze 17 Mal versucht, einzelne Snapchat-Funktionen zu kopieren oder gleich die ganze Firma zu übernehmen.

Das Silicon Valley ist kein Ponyhof. Die großen Technikunternehmen versuchen, Wettbewerber kleinzuhalten und geschlossene Ökosysteme zu erreichen, in denen Nutzer alle Funktionen vorfinden, die sie sich wünschen. Konkurrenzanalysen und -kopien gehören da zum üblichen Werkzeugkasten.

Fragwürdig ist Onavos Dienst für das Mutterunternehmen eher aus einem anderen Grund: Für Nutzer ist nur schwer ersichtlich, wo ihre Daten wirklich landen, wenn sie die VPN-App nutzen, um sich in einem offenen WLAN vor Schnüfflern zu schützen. In den App-Stores von Google und Apple wird es mit keinem Wort erwähnt. "Onavo Protect schützt Sie und Ihre Daten – wo immer Sie sich aufhalten", heißt es dort stattdessen.

Auf der Website steht in der Selbstbeschreibung immerhin: "Onavo ist ein Facebook-Unternehmen mit Sitz in Menlo Park, Kalifornien." Dass personenbezogene Daten für verschiedene Zwecke an Dritte, darunter Facebook, übertragen werden, wird aber nur in der Datenschutzerklärung erklärt. Die natürlich kaum jemand liest. Nicht einmal in den Frequently Asked Questions (FAQ) auf der Website steht irgendetwas von Facebook.

Einem VPN-Anbieter muss man fast blind vertrauen

Grundsätzlich gilt: Kostenlose VPN-Dienste haben in der Regel einen Haken, auch wenn sie gute Bewertungen haben. Das kann die Weitergabe der Daten sein. Manche schlampen aber auch bei der Verschlüsselung der Daten, die über ihre Server geleitet werden. Anfang des Jahres hatten australische und US-Wissenschaftler eine entsprechende Studie zu mehr als 280 VPN-Apps für Android veröffentlicht, die zu einem erschreckenden Fazit kam: Der großen Mehrheit der Anbieter solle man als Nutzer den eigenen Datenverkehr nicht anvertrauen.

Als eine der wenigen empfehlenswerten Apps nannten die Autoren der Studie Freedome vom finnischen IT-Sicherheitsunternehmen F-Secure. Die kostet derzeit 50 Euro pro Jahr für bis zu drei Geräte. Das ist eine gängige Größenordnung für kommerzielle Anbieter, an der sich Nutzer grob orientieren können.

Darüber hinaus ist ein Blick in die Datenschutz- und Absichtserklärungen der Anbieter ratsam. Die Seite Torrentfreak nimmt ihren Lesern das seit einigen Jahren ab und versammelt die Aussagen verschiedener VPN-Anbieter zum Umgang mit Nutzerdaten in einem jährlichen Bericht: Wie lange die Daten gespeichert werden, wo die Server stehen und welchem Gerichtsstand das Unternehmen unterliegt, unter welchen Umständen es also zur Herausgabe gezwungen werden kann, so wie einige andere Fragen sollen die Betreiber beantworten.

Die Liste umfasst aber längst nicht alle Anbieter. Zudem bleibt Nutzern nicht viel anderes übrig, als deren Aussagen zu vertrauen.