Da staunte ich nicht schlecht, als ich heute ein Update meines Virenscanners machte und den Menüpunkt „Secure VPN“ vorfand. Den Dienst gibt es von Avast für mobile Endgeräte schon länger (so z.B. für iOS), aber auf dem PC fiel er mir erst heute auf.
Auf einen Klick hin kann man sich einen von neun Serverstandorten (Dallas, Miami, New York, Seattle, Amsterdam, Frankfurt, London, Prag, Singapur) auswählen und eine VPN-Verbindung dorthin aufbauen lassen. Da Avast Internet Security sowieso alle Netzwerkverbindungen kontrolliert, ist es für die Software natürlich ein Leichtes sie dann auch gleich umzuleiten und über einen VPN zu senden. Ein netter Mehrwert, oder?
Vor die Anonymität hat Avast jedoch die Preisschranke gesetzt. Die ist allerdings mit ~36$ pro Jahr sehr human für einen unlimitierten Dienst.
Auch an einen 24 Stunden Trial hat man gedacht. Diesen nutze ich auch gerade, um diese Zeilen über den Amsterdamer Server zu schreiben.
Am Interessantesten für einen solchen Dienst sind natürlich die inneren Werte. Also wie schnell ist er, welche Technologie steckt dahinter, wie sicher ist diese, was besagen die AGB… Hier habe ich jedoch nur zwiespältiges gefunden. Zunächst einmal mag großzügig erscheinen, dass der VPN Zugang unlimitiert (das machen nur weniger VPN Anbieter), relativ günstig und außerdem recht flott ist, allerdings schränkt Avast die Nutzung dennoch etwas ein (verständlich) indem sie ihre Nutzer über eine Acceptable-Use-Policy dazu auffordern sich vernünftig zu verhalten, den Dienst nicht als Download-Anonymisierer zu verstehen und schon gar nicht illegale Dinge zu tun. So weit – so klar, doch gerade ein Satz in dieser Policy stört mich massiv:
[…] So please don’t use our service to send or receive pirated movies or music, send defamatory material or do something bad like that . If we see anything that is over the line, we are obligated to turn it over to the authorities and we may have to shut off your access.[…]
Bedeutet dies etwa, dass Avast sich genau ansieht, was da über ihre Server läuft? Analysieren sie den Traffic, um proaktiv potentiell illegale Aktivitäten zu erkennen und zu melden? Das finde ich doch alles andere als erbaulich. Ein Dienst, der sich auf die Fahne schreibt vor unsicheren WLAN-Netzen zu schützen, die Sicherheit groß schreibt und dann jedoch genau darauf achtet was die zahlenden Schäflein so treiben? Sicher muss man sich darüber im Klaren sein, dass jeder VPN-Serverbetreiber stets die Möglichkeit dazu hat, den durch ihn hindurch laufenden Traffic zu analysieren, aber die Ansage Avasts dies bereits bei Verdachtsfällen zu melden ist haarsträubend. Nach welchem Gesetz geht man hier vor? Dem Deutschen? Dem Amerikanischen? Frei Schnautze? Lest ihr gleich auch noch meine Mails, wenn ihr schon mal da seid? (Update s. unten)
Hinzu kommt, dass mit keiner Silbe erwähnt wird mit was für einer VPN Technik gearbeitet wird. Ist das ein OpenVPN Derivat? PPTP? L2TP, usw. usf? Oder ist das eine Eigenentwicklung? Mittels TCPView konnte ich keinen der für VPN bekannten Ports ausmachen, wüsste aber doch gerne welcher Technologie ich mich anvertraue. Hier fehlt ganz klar ein Statement des Unternehmens, denn behaupten, dass Daten sicher sein kann jeder. (Update s. unten)
Liebes Avast Team, SecureLine ist eine tolle Idee, besonders die Einfachheit der Nutzung könnte es auch für jeden Otto-Normal-Nutzer zu einer sinnvollen Investition machen, aber so lange ich nicht weiß wie ihr arbeitet, was ihr untersucht und welche Technologie ihr verwendet kriecht mir nur ein kalter Schauer über den Rücken und ich muss dankend ablehnen.
Nachtrag: Rückfrage bei Avast
Ich habe einmal bei Avast direkt angefragt welche Technologie verwendet wird und wie sie zu meinem Vorwurf der proaktiven Nutzerkontrolle stehen. Während letztere Frage noch in der Rechtsabteilung herumkreiselt, wurde mir die Frage nach dem „Wie“ bereits beantwortet. Avast SecureLine verwendet OpenVPN als Basis für ihre Lösung. Ist ja schonmal ein Anfang, jetzt schauen wir doch mal, was die Juristen zu melden haben 🙂
Nachtrag zwei, Antwort der Rechtsabteilung:
Und jetzt erhielt ich auch die Antwort der Rechtsabteilung, die wieder zurückrudert und alles etwas relativiert.
[…] Avast, like any other provider of VPN services, must ensure that our customers do not use our services to violate the law, for instance, by downloading copyrighted materials without permission of the copyright owner. We cannot and do not actively monitor for this. However, if we receive a complaint about misuse (for instance, from a copyright owner), we will investigate and take action if the complaint is correct. This is standard procedure for reputable providers of VPN services. […]
Natürlich wird mit keinem Wort erwähnt was denn alles gespeichert wird, damit eine Untersuchung auf Anfrage den notwendigen Erfolg bringt. Aber mit dieser Aussage kann ich zumindest ganz gut leben und könnte den Dienst auch meiner Mutter guten Gewissens installieren.