VPN-Apps: Wenn »Sicherheits-Apps« selbst zum Risiko werden
VPN steht für den Schutz der Privatsphäre – eigentlich. Umso absurder ist es, wenn gerade VPN-Apps vollgestopft sind mit Analyse- und Werbe-SDKs. Wer in einer sicherheitsrelevanten Anwendung Tracker integriert, offenbart ein eklatantes Fehlverständnis von Datenschutz und Sicherheit. Negative Beispiele dafür gibt es leider mehr als genug:
- NordVPN: 3 Tracker (AppsFlyer, Google Crashlytics, Google Firebase Analytics)
- Thunder VPN: 2 Tracker (Google AdMob, Google Firebase Analytics)
- Secure VPN: 2 Tracker (Google AdMob, Google Firebase Analytics)
- ExpressVPN: 2 Tracker (Google Crashlytics, Google Firebase Analytics)
- Surfshark: 3 Tracker (AppsFlyer, Google Crashlytics, Google Firebase Analytics)
Warum Tracker in VPN-Apps ein Problem sind
- Fremdcode = Vertrauensrisiko: Jedes externe SDK erweitert zwangsläufig die Angriffsfläche: Mehr Code bedeutet auch mehr potenzielle Fehler – und gleichzeitig weniger Kontrolle darüber, welche Daten an welchen Stellen verarbeitet oder weitergeleitet/übersendet werden. Nach dem KISS-Prinzip gilt deshalb: Alles, was nicht unbedingt notwendig ist, sollte konsequent weggelassen werden.
- Personenbezug herstellbar: Pseudonymisierung klingt oft nach Schutz, ist in der Praxis jedoch meist Augenwischerei. Kennungen wie die Google-Advertising-ID lassen sich problemlos mit anderen Datensätzen kombinieren – und so entstehen aus scheinbar harmlosen Meta-Daten schnell vollständige, personenbezogene Profile.
- Fehlende Einwilligung: Tracking in Apps geschieht häufig ohne eine informierte, freiwillige und vor allem vorherige Zustimmung der Nutzer. Ein nachträgliches Opt-Out ändert daran nichts mehr – denn zu diesem Zeitpunkt sind die Daten in aller Regel bereits übermittelt und damit verloren.
Was tun?
- Vor der Installation prüfen: Mit Exodus Privacy lässt sich schnell erkennen, welche Tracker in einer VPN-App stecken. Mithilfe von Exodus Privacy lässt sich zwar nur erkennen, ob eine Tracking-Bibliothek in einer App eingebaut ist – nicht aber, ob sie tatsächlich aktiv genutzt wird. In der Praxis ist das jedoch meist der Fall, sodass der Befund ein ernstzunehmendes Indiz für problematisches Verhalten darstellt.
- Apps bewusst wählen: Es gibt VPN-Anbieter, deren Android-Apps keine Tracker integrieren (positives Beispiel: Mullvad). Hände weg von VPN-Apps, die Werbe-SDKs oder Tracking-Bibliotheken enthalten.
- Opt-In statt Zwangstelemetrie: Wenn Telemetrie/Absturzberichte nötig ist, dann selbst gehostet (z. B. Matomo/Sentry), minimal, transparent – und standardmäßig deaktiviert. Das macht bspw. ProtonVPN mit Sentry.
Fazit
VPN-Apps mit Trackern sind nicht nur ein Widerspruch, sie sind ein handfester Vertrauensbruch. Anstatt Sicherheit zu stärken, schaffen sie zusätzliche Angriffsflächen, schwächen die ohnehin fragile Schutzwirkung und machen die Privatsphäre zur Verhandlungsmasse. Wer ernsthaft Schutz bieten will, muss auf Tracking kategorisch verzichten. Alles andere – wohlklingende Versprechen von »Privacy« und »Security« inklusive – ist nichts weiter als Augenwischerei und Marketing-Nebelkerze.
Das Thema Tracking und seine negativen Auswirkungen auf Sicherheit und Datenschutz wurde auf diesem Blog bereits mehrfach kritisch beleuchtet – ausführlich nachzulesen im Beitrag »Wie Tracking in Apps die Sicherheit und den Datenschutz unnötig gefährdet«. Seht den vorliegenden Beitrag daher als kleinen Reminder.
Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test
Trügerische Sicherheit: Virenscanner-Apps sind schlichtweg überflüssig
Avira Security Antivirus & VPN: Tracking ohne Zustimmung
Wie Tracking in Apps die Sicherheit und den Datenschutz unnötig gefährdet
