Mullvad VPN: Keine wiederkehrenden Zahlungen mehr
Der bekannte VPN-Service Mullvad (realisiert unter anderem die VPN-Lösung für Mozilla) hat Änderungen bekannt gegeben, die für noch mehr Datenschutz sorgen sollen. Kunden werden unter Umständen umdenken müssen.
Um weniger Daten zu speichern, werde man keine PayPal- und Kreditkarten-Abonnements (wiederkehrende Zahlungen) mehr akzeptieren. Einmalige Zahlungen sind davon nicht betroffen.
Man sei laut eigener Aussagen ständig auf der Suche nach Möglichkeiten, die Menge der von gespeicherten Daten zu reduzieren und trotzdem einen brauchbaren Service anzubieten. Nirgendwo ist das Spannungsverhältnis zwischen Datenschutz und Benutzerfreundlichkeit deutlicher als im Bereich der Zahlungen.
Um Rückerstattungen zu ermöglichen und verlorene Konten wiederherstellen zu können, müsse man zumindest für kurze Zeit einen Datensatz über eine Zahlung speichern. Sobald man die Daten nicht mehr für die Erstattung einer Zahlung benötigt, löscht man alle Daten, die eine Verbindung zwischen der Zahlung oder dem Konto und den personenbezogenen Daten des Zahlungsabwicklers herstellen können.
Das Problem bei Abonnements oder wiederkehrenden Zahlungen ist, dass diese Verknüpfung für die Dauer des Abonnements erhalten bleiben muss. Mit anderen Worten: Bei einem Abonnement mit einer Laufzeit von 12 Monaten muss Mullvad die Verknüpfung für die gesamten 12 Monate aufbewahren.
Und nun? Bestehende Abonnements werden noch mindestens 6 Monate lang bearbeitet. Man entfernt die Möglichkeit, neue Abonnements für alle Konten zu erstellen. Bestehen bleibt: Man zahlt immer 5 Euro pro Monat.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
mhh. Wer zahlt Mullvad die Differenz zu den tatsächlich entstehenden Kosten?
Gegenfragen: wie hoch sind die und woher weißt Du das?
… Mullvad ist jetzt nicht grade mega günstig. 😀
Nachvollziehbarer Schritt und unterstreicht einmal mehr, dass Mullvad vermutlich der einzige VPN Anbieter ist, der sich um Datenschutz kümmert. Wer Nord VPN (App übermittelt E-Mail Adresse an Tracker – Quelle: https://www.kuketz-blog.de/android-nordvpn-uebermittelt-e-mail-adresse-an-tracking-anbieter/) und co. in Betracht zieht kann’s vermutlich auch sein lassen…
Nord VPN kann man ja auch aus Datenschutzsicht beim besten Willen nicht ernstnehmen. Derzeit bieten sie 2 Jahre wieder mit 100 Prozent Cashback an.
Ich bin mit meiner Kombination aus Mullvad für alles wichtige und Protonvpn für Medienkonsum und Co. glücklich.
Klingt interessant. Wie kombinerst du die beiden?
NordVPN gehört über Umwege/Tarnfirmen dem Geheimdienst von Israel.
ivpn.net nimmt auch Barzahlungen an und generiert generische IDs, sodass quasi gar nichts gespeichert wird.
Ja gut, dann muss man wohl selbst als Kunde bspw. einen Dauerauftrag bei seiner Bank einrichten, die die 5 € monatlich an Mullvad überweist… So handhabe ich das bei mailbox.org auch.
Kostet den Zahlungsempfänger auch am wenigsten, nämlich de facto nur die Kontoführungsgebühren, die eh anfallen. D.h. es bleibt mehr Geld übrig, um den Service, um den es geht anzubieten: die VPN-Server.
Mal in die Runde gefragt : was bringen einem eigentlich diese ganzen VPN-Anbieter (mit Ausnahme des länderübergreifenden Medien-Streamings oder 1:1-getunnelte Verbindungen unter „Freunden“) ?
Wenn ich in einem halbwegs aktuellem Browser ohne dubiose Plugins tatsächlich eine https://-Verbindung aufbaue, ist ja bereits via Zertifikat das Ziel verifiziert, somit „authentisch“ – das Surfverhalten wird jedoch bspw. beim Chrome ja eh an Google übermittelt (ob man will oder nicht, aber das ist ein anderes Thema…).
Eine Bank bspw. verschlüsselt den ganzen Datenverkehr noch vor dem Login, sonst würden ja die Zugangsdaten 1:1 übertragen werden, was ja seit Jahren aufgrund geltender Sicherheits-„Standards“ wie bspw. 2FA nicht mehr möglich ist.
Da kann dann ein Men-in-the-Middle damit auch recht wenig anfangen – das würde ja umgehend dem Browser auffallen (halbwegs aktuell, wie oben beschrieben).
Wozu dann tatsächlich noch „verschlüsseln“ ?
Um einen Zugriff auf bspw. Rapidshare oder Netflix oder Twitter zu verschleiern ?
Sorry, das geht relativ einfach mit der Target-IP und der potentiellen Session-ID bzw. dem Account dort – wenn man es tatsächlich will….
Ich kann mir bis heute kein reell plausibles Szenario ausdenken, dass nicht für bspw. staatliche Ermittler (genügend Grips vorausgesetzt) umgehbar und dementsprechend kompromittierend für den User wäre.
Und ja, ich hatte bei einer DSGVO-Veranstaltung in der Schweiz, welche von einem technischen Mitarbeiter des LKA (da bin ich mir jetzt nicht so ganz sicher, aber BND wird es nicht gewesen sein) begleitet wurde, bereits „live“ erleben dürfen, wie „sicher“ diese ganzen VPN-Maßnahmen für Privatleute sind – da sträubt es einem die Haare, wenn jemand mittels Nord-VPN oder Proton-VPN eine Url öffnet, die dann in 30-60 Sekunden direkt auf das Mobilfunkgerät (Samsung) oder Laptop (das war ein Apple MacBook) in der Hand des Users zurück zu verfolgen war – lediglich der Inhalt war nahezu unerreichbar, aber das war auch die Online-Banking-Sitzung schon zuvor in dem 08/15-Browser …
Die Veranstaltung war übrigens genau aus dem Grund in der Schweiz – in Deutschland hätte der gute Mann sich tatsächlich aufgrund „Manipulation von datenverarbeitenden Anlagen“ strafbar gemacht, auch wenn es nur „zu Demonstrationszwecken“ gewesen wäre …
Für die Kopplung von bspw. Firmennetzen gilt meine Frage des „warum“ selbstverständlich nicht, aber die sind ja auch (hoffentlich) nicht mit Nord-VPN oder Proton-VPN realisiert, zumal dort ja in der Regel statische IPs vergeben sind …
Kannst du mehr zu der Veranstaltung in der Schweiz sagen? Gibt es vielleicht sogar in YouTube-Video?
Wie funktionierte die Rückverfolgung über die URL? DNS?
Kurz gesagt taugen VPN-Anbieter nur für drei Dinge: man kann damit Geoblocking umgehen (mal mehr, mal weniger), Konditionen anderer Länder nutzen und seine Verbindungsdaten jemand anderem anvertrauen, als seinem eigenen Provider. Eben wenn man diesem nicht vertraut.
Diese Sicherheitsexperten zeigen Dir übrigens nicht, wie sinnlos VPN-Anbieter sind. Sie zeigen Dir lediglich, dass VPN-Anbieter keine One-Button=100%Sicherheits-Lösung sind. Und dass man sich vor der Konfiguration des eigenen Device immer darüber im Klaren sein sollte, was man erreichen will, um ein gegebenes Ziel effizient zu erreichen.
Für „Privat“ fällt mir eigentlich nur das absolut nicht vertrauenswürdige Netz das man als Zugang nutzt ein. Aber beruflich habe ich schon einige male VPN-Dienste genutzt, sei es auf Dienstreise in China oder auch nur um mir ein paar mehr IP-Adressen zu besorgen oder Routingprobleme in ferne Länder zu umgehen.
VPN ist sinnvoll wenn du in einem fremdenNetz bist,
Hotel, krankenhaus, Flughafen, McDonald’s, Accessoires von irgendwem usw.
Warum? Die Zeit in der wegen der Zertifikatskosten kaum verschlüsselt wurde ist lange rum.
„Die Veranstaltung war übrigens genau aus dem Grund in der Schweiz…“ Erstaundlich das wir in der Schweiz immer noch völlig legal Filme,…. herunterladen dürfen und sogar mit dem engen Freundenskreis Teilen. Ich kenne Leute die haben Terrabites an Filmen auf ihren NAS und das völlig legal 😉
Viele von den Versprechen der VPN-Anbieter sind Pseudo-Argumente. Aber es scheint sich ja doch irgendwie zu verkaufen.
Nutzt du ein VPN, kann dein Provider (oder der Betreiber des Firmennetzes, Hotspots etc.) nicht mehr tracken, zu welchen IPs zu Verbindungen aufbaust – für die sieht es so aus, als würdest du dich mit genau einer einzigen IP unterhalten: Der des VPN-Providers. Wie du schon richtig erkannt hast, kann der Provider bei https-Verbindungen den Inhalt einer Kommunikation nicht mehr einsehen.
Anders sieht es aber bei DNS aus. DNS ist heutzutage häufig noch immer unverschlüsselt. Hier lassen sich (vorausgesetzt, man nutzt nicht aktiv die neuen DNS-Techniken) super Profile bilden. Und dazu muss man nciht einmal den DNS-Server des Providers nutzen, da der DNS-Verkehr häufig sowieso unverschlüsselt einsehbar ist.
Wichtig ist dabei zu wissen, dass man an irgendeiner Stelle immer Vertrauen haben muss – bei Nutzung eines VPNs verschiebt sich das Vertrauen lediglich zum VPN-Provider. Der hat dann nämlich die gleichen Möglichkeiten wie der eigentliche Internetprovider.
Der Hauptgrund für die Nutzung wird vermutlich in der Verschleierung der ausgehenden IP-Adresse liegen. Das kann für viele Dinge nützlich sein – als Verkaufsargument wird häufig Videostreaming genannt.
Manchmal ist absurderweise auch ein Download durch ein VPN schneller. Das liegt dann aber daran, dass man dadurch die Route des Datenverkehrs ändert und man dabei bessere Peerings erwischt.
Als ich damals ein VPN genutzt habe, hat mir Amazon erstmal erneut einen Probemonat Prime geschenkt. Trotz Account, der das eigentlich wissen müsste. Aber irgendwie hat der neue Standort da für Wirbel gesorgt. 🙂
Ansonsten… für mich schützt es mehr vor Tracking, Ads und Personalisierung im Web als wirklich anonym zu machen. Das sagt aber auch jeder seriöse VPN-Anbieter ehrlich und offen. Egal ob Mullvad, IVPN oder andere… wer seriös ist, sagt dir auch auf der Website schon – 100 Prozent Anonym bist du damit nicht. Du kriegst eine generische IP und schützt dich vor potenzieller Verfolgung aber weniger in Bezug auf Straftaten als vielmehr vor der Tracker-Industrie – so meine Empfinden jedenfalls.
Inwiefern denkst du, dich dadurch vor Tracking, bzw. Personalisierung schützen zu können?
Ein VPN kann bestenfalls auf DNS/IP-Ebene die Verbindungen zu BEKANNTEN Trackern unterbinden. Das ist aber ein Katz- und Maus Spiel.
Ich würde mir nicht zu viel davon versprechen, sich eine IP mit anderen zu teilen – oder durch wechselnde IPs anonym zu bleiben. Dafür gibt es ganz andere Mechanismen wie Cookies udn Browser-Fingerprinting. Die identifizieren dich unabhängig von der IP durch das ganze Web hindurch.
Genau das ist der Punkt, VPN helfen nicht gegen alles. Aber sie können ein Baustein sein. Andere sind Fingerprint Randomization oder Cookie Blocking.
Ich nutz das bloß um beim Medienbezug nicht fäschlicherweise (! 😉 ) abgemahnt zu werden. In sehr seltenen Fällen umgehe ich damit Sperren zur Geolocation oder Zensur.
Kann iVPN empfehlen. Nehmen Bargeld, speichern keine Nutzerkonten sondern nur generische Nummern, haben schnelle Server und auf Wunsch ist auch eine solide Blockliste gegen Ads und Tracker integriert. Gefällt mir gut.
Wie funktioniert denn bei einem Online-Dienst die Barzahlung? Schickt man da den Geldschein per Post hin, oder kommt jemand vorbei und holt es ab?
Oder kann man im Supermarkt Gutscheine für den Dienst kaufen?
Bei iVPN? Jep, wird per Post verschickt, wenn du es möglichst anonym willst. Dann kann halt wirklich keine ID oder so von PayPal und Co geloggt werden. Dann ist einfach irgendwann das Geld da und der Account wird freigeschaltet.
Solange sie weiterhin Paypal und Kreditkarte anbieten, ist das etwas witzlos, da die Bezahldaten bei Paypal oder dem Kreditkartenanbieter immer noch gespeichert werden. Dass Mullvad wiederkehrende Bezahlungen speichert, ist da das geringste Problem.
Immerhin beiten sie genügen andere Bezahlarten an (Bargeld, Überweisung, Bitcoin, …).
You’re missing the point, wie der Engländer sagen würde.
Es geht darum, dass bei wiederkehrenden Zahlungen eine Verknüpfung zwischen dem Account bei Mullvad und dem Bezahlvorgang hergestellt werden kann. Und da Mullvad nur anonyme Account-IDs verwendet, ist eine Verknüpfung zu Bezahlinformationen kontraproduktiv. Denn so stellst Du eine Beziehung zwischen einer anonymen Account-ID und den Bezahldaten her, die normalerweise Deinen Namen und Deine Adresse enthalten. Im Unterschied zu Einmalzahlungen de-anonymisierst Du bei wiederholten Zahlungen die Account-ID, denn damit kannst (und musst) Du als Anbieter Referenzlisten aufbauen.
So ganz habe ich das Problem noch nicht verstanden. Was kann dabei im schlimmsten Fall passieren? Mullvad speichert doch keine Aktivitäten (bis auf die wiederkehrenden Bezahlung).
Paypal und die Kreditkartenfirmen speichern sehr viel mehr und das auch noch in den USA. Das ist deutlich schlimmer, als dass Mullvad weiß wer ich bin. Oder was übersehe ich hier?
Bei Mullvad hast Du keinen richtigen Account, sondern eine ID oder auch „Kontonummer“. Das sieht dann so aus: 4521 5245 2587 2541
Wenn Du Mullvad als VPN-Anbieter wählst und über diese Kontonummer nutzt, kann Mullvad behördliche Anfragen nur so beantworten, dass Kontonummer 4521 5245 2587 2541 eben diesen Dienst genutzt hat. Sämtliche Verbindungsdaten lassen sich also nicht einer realen Person zuordnen, sondern nur der Kontonummer.
Nun gehst Du richtig in der Annahme, dass Paypal viel über Dich speichert, vor allem über Dich als reale Person. Zahlst Du über Paypal einmalig, wird die Kontonummer mit dem bezahlten Betrag aufgeladen und fertig. Es gibt keine Aufzeichnung darüber, welches Paypal-Konto (und damit welche Person) welche Kontonummer aufgeladen hat, denn der Prozess ist abgeschlossen. Zahlst Du aber wiederkehrend, muss die Zahlart Paypal Konto XY mit Kontonummer 4521 5245 2587 2541 verknüpft werden. Sonst weiß man ja nicht, welche Kontonummer bei der nächsten Paypal-Zahlung aufgeladen werden soll. Ja und diese Verknüpfung erlaubt es, die anonyme Kontonummer bei Mullvad mit Deinen Personendaten bei Paypal zu verknüpfen und damit anzureichern. Und aus ist es mit der Anonymität beim Surfen über Mullvad.
Ich stimme da zu: Je weniger Daten gespeichert werden, desto besser.
Aber laut Mullvad speichern die keine Verbindungsdaten, oder ist das wieder nur so eine Werbelüge? Und wenn doch wissen die ja meine echte IP, das hilft auch nicht grade bei der Anonymisierung.
Außerdem anonymisiert ein VPN-Dienst auch nur einen kleinen Teil, nämlich auf Seiten des Zugangspunktes.
Ein VPN sichert die Verbindung an einem unsicheren Internetanschluss, wie z.B. einem offenen WLAN-Hotspot oder um sich ins Firmenintranet einzuwählen. Oder man gauckelt mit etwas Glück (d.h. wenn entsprechend gegen IP Leaks gesichert ist) eine IP aus einem anderen Land vor. Auch wenn die Werbung anderes behauptet, ist VPN für andere Zwecke nicht zu gebrauchen.
Schon am HTTP-Header Deines Browsers kann man Dich erkennen. Sobald der Browser das falsche JavaScript geladen hat, weiß man auch wer Du bist! Da hilft Dir auch der beste VPN-Dienst nicht.