Menschen nutzen Online-Sicherheitsmechanismen aus einer Vielzahl von Gründen. In manchen Fällen werden auch verschiedene Mechanismen miteinander kombiniert. So etwa, wenn zum Anonymisierungsnetzwerk Tor zusätzlich eine VPN-Verbindung genutzt wird. Oft ist dabei unklar, woher die Informationen stammen, dass ein bestimmter Mechanismus nützlich ist und tatsächlich mehr Sicherheit bietet. Matthias Fassl aus dem Team von CISPA-Faculty Dr. Katharina Krombholz hat nun untersucht, wie häufig Nutzer:innen diese Kombination wählen und was sie davon erwarten.
Tor und VPN sind zwei IT-Anwendungen, von denen vermutlich fast alle Nutzer:innen schon einmal gehört haben. Die Gründe sind ihre hohe Präsenz im medialen Diskurs und bei VPN auch die breite Nutzer:innenbasis. Tor ist ein Anonymisierungsnetzwerk. Dessen bekanntestes Tool ist der Tor-Browser, mit dem anonymes Surfen im Netz möglich ist, erklärt CISPA-Forscher Matthias Fassl. VPN ist die Abkürzung für Virtual Private Network. Damit werden verschlüsselte Datenleitungen zwischen zwei Servern über ein virtuelles Netzwerk aufgebaut. Ein neues Phänomen ist, dass Nutzer:innen die beiden Anwendungen kombinieren, in der Fachsprache „Tor over VPN“ genannt. „Wir sind darauf in Online-Foren gestoßen und haben uns gefragt, wie viele Leute das überhaupt verwenden“, so CISPA-Forscher Matthias Fassl. „Das Interessante ist dabei prinzipiell erstmal die Kombination der Tools. Da sie dafür nicht entwickelt wurden, ist nicht ganz klar, was dabei passiert. Und für uns aus der Usable Security-Forschung ist spannend, welche Vorstellung die Menschen vom Nutzen einer Kombination der Tools haben“, so Fassl weiter. Die Usable Security-Forschung ist ein Forschungszweig der Cybersicherheit, der den Fokus weniger auf die Anwendungen an sich, als auf den Umgang der Menschen damit richtet.
Dreistufiges Vorgehen
Um herauszufinden, was es mit dem Phänomen „Tor over VPN“ auf sich hat, sind Fassl und Kolleg:innen dreistufig vorgegangen. „Wir haben zuerst untersucht, wie viele Nutzer:innen die Kombination überhaupt verwenden“, erzählt der CISPA-Forscher. Durch Messungen an den Knotenpunkten des Tor-Netzwerkes konnten er und sein Team herausfinden, dass 6,23% der Zugriffe über VPNs erfolgten. „In einem zweiten Schritt haben wir dann in einer Befragung geschaut, was Leute sich von der Kombination erhoffen und ob sie damit bestimmte Sicherheitsvorteile erzielen wollen“, so Fassl weiter. Zuerst einmal zeigte sich, dass es zwei Arten von Nutzer:innen gibt: diejenigen, die VPN immer egal in welchem Kontext nutzen und diejenigen, die gezielt eine VPN-Verbindung für das Tor-Netzwerk nutzen. Vor allem die letzte Gruppe war stark vertreten, mit ganz unterschiedlichen Motivationen, wie etwa dem Wunsch Geo-Blocking, also das Sperren von Websites beim Zugriff aus bestimmten geografischen Regionen, zu umgehen oder IP-Adressen zu verstecken. „Zuletzt haben wir Onlinemedien, Social-Media, etc. nach Artikeln und Diskussionen zu dem Thema durchsucht, um herauszufinden, wie diese über die Kombination der Mechanismen sprechen“, erklärt der CISPA-Forscher. Dabei fanden sich viele Empfehlungen, in denen die Kombination aus Tor und VPN beschrieben wurde, aber ohne den tatsächlichen Nutzen darzulegen. Den Glauben vieler Nutzer:innen daran, dass ein VPN-Zugang sie vor Gefahren im Tor-Netzwerk schützt, erklärt Fassl mit der Rolle der VPN-Provider. Diese würden die Gefahren des Tor-Netzwerkes, wie etwa Darknet Markets für illegale Produkte, aufbauschen, um ihre eigenen Produkte zu promoten. „Klar ist, dass ein VPN nicht notwendig ist, um den Tor-Browser sicher und anonym zu verwenden“, so Fassl. „Mögliche Sicherheitsvorteile von ,Tor over VPN‘ sind bis heute unklar“.
Der Begriff Security Folklore als Erklärungsmodell
Um zu erklären, warum Menschen die Kombination aus Tor und VPN trotzdem nutzen, arbeiten Fassl und seine Kolleg:innen mit dem Begriff der Security Folklore. Fassl versteht darunter „die Weitergabe von Praktiken und Tipps in sozialen Gruppen die Security und Privacy betreffen. Die können explizit aber auch oft implizit passieren, eben durch erzählen oder durch vorführen und müssen auch nicht unbedingt niedergeschrieben sein.“ Wenn also Nutzer:innen beim Surfen in sozialen Netzwerken einen Post zu dem Thema lesen oder in einem Film sehen, wie jemand diese Kombination nutzt, kann sich bei ihnen die Vorstellung verfestigen, dass dies sinnvoll ist. Die Erzählung darüber, dass die Kombination von Tor mit VPN besseren Schutz bietet, wäre dann eine sogenannte Security Folklore. Verstärkt wird dies durch normative Überzeugungen. So sind Menschen eher geneigt, bestimme Sicherheitsmechanismen anzuwenden, wenn sie diese bei anderen beobachtet haben.
Take-Aways für die Cybersicherheitsforschung
Für die Cybersicherheitsforschung ist das Forschungsergebnis insofern interessant, als dass damit gezeigt wird, dass nicht nur sachliche Informationen von Expert:innen, sondern auch der popkulturelle Umgang mit und der mediale Diskurs über Sicherheitsmechanismen eine wichtige Rolle spielen. Aber was hat das für Folgen für die Forschung? „Für uns als Forscher macht es das etwas schwerer“, erklärt Fassl. „Wir hätten es natürlich am liebsten, dass die Menschen Sicherheitsmechanismen verwenden, weil diese für sie passen und von denen sie verstehen, was sie bewirken. Das ist offensichtlich in der Realität nicht so. Die Menschen machen Dinge aus den verschiedensten Gründen, auch wenn sie sie nicht verstehen.“ Dagegen anzuarbeiten, ist jedoch eine große Herausforderung: „Wenn wir zum Beispiel sehen, dass in popkulturellen Medien wie Fernsehserien Sicherheitsmechanismen vorkommen, könnten wir etwa darauf hinarbeiten, dass dort bessere oder allgemeingültigere Verfahren vorgestellt werden.“ Da sieht Fassl durchaus noch einigen Forschungsbedarf: „Ich bin fasziniert von Sozialdynamiken sowie dem Einfluss sozialer Normen. Deswegen würde ich mir gerne systematischer anschauen, wie in Hollywoodfilmen und Fernsehserien auf Netflix Sicherheitsmechanismen zum Thema gemacht werden.“ Wir dürfen gespannt sein, was er dabei zu Tage fördert.
(Felix Koltermann - Unternehmenskommunikation - CISPA Helmholtz Center for Information Security)
