Behaupteter VPN-Standort und tatsächliches Land des Traffic-Austritts stimmen nicht überein

 (ipinfo.io)
11 Punkte von GN⁺ 2025-12-14 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Die Analyse von 20 führenden VPNs ergab, dass bei 17 Diensten der tatsächliche Traffic-Austritt nicht dem behaupteten Land entsprach; viele nutzten dieselben Rechenzentren in den USA oder Europa
  • Bei der Messung von mehr als 150.000 VPN-Exit-IP-Adressen zeigte sich, dass 38 Länder ausschließlich „virtuell“ waren, also der tatsächliche Traffic nicht aus diesen Ländern kam
  • Nur Mullvad, IVPN und Windscribe stimmten in allen Ländern mit der Behauptung und dem tatsächlichen Standort überein; bei den übrigen gab es erhebliche Abweichungen
  • Ein „virtueller Standort“ bedeutet, dass das VPN ein bestimmtes Land anzeigt, der Traffic aber tatsächlich aus einer anderen Region austritt, etwa aus Miami oder London
  • Die Diskrepanz zwischen der beworbenen Zahl der Länder und den tatsächlichen physischen Standorten führt zu Problemen bei Transparenz und Vertrauen; IPinfo nutzt zu deren Behebung einen messbasierten Ansatz auf Basis von ProbeNet

Ergebnisse einer groß angelegten Untersuchung zu VPN-Standortabweichungen

  • IPinfo analysierte 20 populäre VPNs und bestätigte, dass bei 17 der tatsächliche Traffic-Austritt in einem anderen Land lag
    • Einige VPNs behaupten, in mehr als 100 Ländern verfügbar zu sein, teilen sich in Wirklichkeit aber nur wenige Rechenzentren in den USA und Europa
  • Insgesamt wurden 150.000 Exit-IP-Adressen über 137 Länder hinweg gemessen
    • 38 Länder waren ausschließlich virtuell, das heißt, bei keinem VPN kam der tatsächliche Traffic aus diesem Land
    • Nur 3 VPNs konnten für alle behaupteten Standorte tatsächlich verifiziert werden
    • In bestehenden Datensätzen wurden rund 8.000 Fehler bei der IP-Standortbestimmung gefunden
  • Die Messungen von ProbeNet zeigen, dass die meisten VPNs tatsächlich in weniger Ländern präsent sind als behauptet

Tatsächliche Messergebnisse nach VPN

  • Vergleich der von den einzelnen VPNs behaupteten Länderzahl mit der tatsächlich gemessenen Länderzahl
    • Mullvad, IVPN und Windscribe wiesen mit 0 % Abweichung vollständige Übereinstimmung auf
    • Bei NordVPN, ExpressVPN, CyberGhost und anderen war mehr als die Hälfte virtuell oder nicht messbar
  • Je mehr Länder ein VPN angab, desto höher war die Abweichungsquote; Behauptungen wie „100+ Länder“ sind schwer vertrauenswürdig

Bedeutung virtueller Standorte

  • Auch wenn ein VPN „Bahamas“ oder „Somalia“ anzeigt, kann der tatsächliche Traffic in Wirklichkeit aus Miami in den USA oder London in Großbritannien austreten
    • Auch IP-Registrierungsdaten werden auf Basis von Selbstauskunft als „Land X“ angezeigt, doch tatsächliche Netzwerkmessungen weisen auf ein anderes Land hin
  • Das ProbeNet von IPinfo prüft den Standort anhand der tatsächlichen RTT (Round-Trip Time) über mehr als 1.200 globale Messpunkte
  • Im Gesamtdatensatz waren 97 Länder virtuell oder nicht messbar, davon 38 Länder vollständig nur als virtuelle Standorte vorhanden

Fallstudien: Bahamas und Somalia

  • Bahamas: Bei NordVPN, ExpressVPN, PIA, FastVPN und IPVanish wurde der Traffic sämtlich in den USA gemessen
    • RTT-Werte von 0,15 bis 0,42 ms relativ zu Miami deuten auf Server hin, die sich tatsächlich in den USA befinden
  • Somalia: NordVPN und ProtonVPN zeigen „Mogadishu“ an, der tatsächliche Traffic wurde jedoch in Nizza in Frankreich und London in Großbritannien gemessen
    • RTT-Werte von 0,33 bis 0,37 ms bestätigten Serverstandorte innerhalb Europas

Fehler in bestehenden IP-Datensätzen

  • Bestehende IP-Datenanbieter verwenden selbst gemeldete Informationen und übernehmen dadurch die fehlerhaften Standortangaben der VPNs unverändert
  • Beim Vergleich von 736 VPN-Exit-IP-Adressen zwischen ProbeNet-Messungen und bestehenden Datensätzen ergab sich:
    • 83 % Fehler von mehr als 1.000 km, 28 % Fehler von mehr als 5.000 km, 12 % Fehler von mehr als 8.000 km
    • Medianfehler von etwa 3.100 km
  • ProbeNet zeigte eine durchschnittliche RTT von 0,27 ms, bei 90 % lag sie unter 1 ms, was die Nähe zum tatsächlichen physischen Standort bestätigt

Vertrauensproblem und technische Gründe

  • Technische Gründe für den Einsatz virtueller Standorte
    • Vermeidung regulatorischer und Überwachungsrisiken, Unterschiede bei der Infrastrukturqualität, Kostensenkung und Leistungsverbesserung
  • Das Vertrauensproblem entsteht jedoch an folgenden Punkten
    • Mangelnde explizite Offenlegung: Es wird nicht etwa als „Virtuelle Bahamas (gehostet in den USA)“ gekennzeichnet
    • Skalierungsproblem: Dutzende Länder existieren vollständig nur als virtuelle Standorte
    • Abhängigkeit von Daten: Medien, NGOs und Sicherheitssysteme riskieren, sich auf falsche Standortinformationen zu verlassen

Was das für Nutzer bedeutet

  • Angaben wie „100+ Länder“ sollten als Marketingzahl betrachtet werden
    • Bei 17 VPNs existierten 97 Länder in der Praxis nicht wirklich
  • Die Darstellung von Standorten durch VPNs sollte geprüft werden: Gibt es virtuelle Server? Wird der tatsächliche Hosting-Standort offengelegt?
  • Bei der Nutzung von IP-Daten sollte die Quelle verifiziert werden: Wichtiger als bloße Genauigkeitswerte ist, ob es sich um messbasierte Daten handelt
  • Es geht weniger um ein grundsätzliches Problem der VPN-Nutzung als um die Bedeutung von Transparenz und evidenzbasierten Daten

Der messbasierte Ansatz von IPinfo

  • Bestehende IP-Datenanbieter verlassen sich auf RIR-Registrierungsdaten und selbst gemeldete Informationen
  • IPinfo setzt auf einen messbasierten Ansatz mit ProbeNet
    1. Betrieb von mehr als 1.200 PoPs (Messpunkten)
    2. Echtzeitmessung auf Basis von RTT zur Bestimmung des Standorts von IPv4- und IPv6-Adressen
    3. Evidenzbasierte Geodaten, die den Standort anhand des tatsächlichen Internetverhaltens ermitteln
  • Ziel dieses Ansatzes ist es, Fehler aus Selbstauskünften zu reduzieren und Genauigkeit auf Basis realer Messdaten sicherzustellen

Methodik der Untersuchung

  • Auf den Websites, in Konfigurationsdateien, APIs usw. von 20 VPN-Anbietern wurden mehr als 6 Millionen Datenpunkte gesammelt
  • Es wurde direkt zu jedem VPN-Standort verbunden, um Exit-IP und RTT zu messen
  • Verglichen wurden das vom VPN behauptete Land und das von ProbeNet gemessene tatsächliche Land
  • In die Analyse wurden nur klar behauptete Standorte aufgenommen; uneindeutige oder nicht messbare Fälle wurden ausgeschlossen
  • Das Ergebnis zeigt, dass selbst nach konservativen Maßstäben eine hohe Abweichungsquote besteht; bei lockereren Kriterien könnte sie noch höher ausfallen

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.