VPN und Tor: Mehr Sicherheit oder nur mehr Vertrauen?

Viele Menschen empfehlen, ein VPN in Verbindung mit Tor zu nutzen – meist in der Form, dass das VPN zwischen Nutzer und Tor-Einstiegsknoten platziert wird („Verbindung zu Tor über ein VPN“). Seltener wird vorgeschlagen, das VPN zwischen Tor-Ausgang und Ziel zu setzen („Verbindung zu einem VPN über Tor“). Oberflächlich betrachtet klingt beides nach einer guten Idee. Mehr Verschlüsselung ist schließlich immer besser, oder?

In diesem Beitrag möchten wir die Argumentation beleuchten, warum die Kombination von VPN und Tor nicht den offensichtlichen Sicherheitsgewinn bringt, den viele erwarten. Nutzer verlieren durch ein VPN zwar keine Sicherheit, gewinnen aber wahrscheinlich auch keine.

Vertrauen

Ein VPN ist zu 100 % ein einzelner Punkt, dem man vertrauen muss. Mit Tor hingegen verteilt sich das Vertrauen: Nutzer müssen nicht jedem einzelnen Tor-Relay vertrauen. Solange nicht die falschen kompromittiert werden, bleibt der Schutz bestehen.

VPN-Nutzer hingegen vertrauen ihrem Anbieter vollständig – dass er keine Protokolle führt, keine Daten weitergibt, seine Infrastruktur sicher hält und Zahlungsinformationen schützt. Die Frage bleibt: Warum ein Tool nutzen, das vollständiges Vertrauen erfordert, wenn es ein Tool gibt, das dies nicht tut?

Verbindung über ein VPN mit Tor

Tor ist blockiert: Wenn Tor gesperrt ist, etwa durch Firewalls im Unternehmen oder staatliche Zensur, kann ein VPN helfen. Allerdings sollte man zuerst Tor-Bridges oder steckbare Transporte wie obfs4 oder meek ausprobieren, die den Datenverkehr verschleiern.

Tor-Nutzung vor dem ISP verbergen: Ob dies nötig ist, hängt vom Bedrohungsmodell ab. Wer nichts Illegales tut, muss sich oft nicht verstecken. Im Gegenteil: Offene Tor-Nutzung trägt dazu bei, das Stigma zu reduzieren.

IP-Adresse vor einem globalen passiven Angreifer verbergen: Ein VPN scheint hier zunächst hilfreich. Doch wenn ein Angreifer mächtig genug ist, den gesamten Tor-Verkehr zu überwachen, ist er wahrscheinlich auch in der Lage, VPNs zu kompromittieren oder deren Datenverkehr zu beobachten.

Schutz vor browserbasierter Malware: Solche Angriffe sind selten und meist gezielt. Wer nicht zu den Zielgruppen gehört oder nicht Windows nutzt, ist kaum betroffen. Sollte ein Angreifer den Tor-Browser vollständig kompromittieren, hilft ohnehin kein VPN mehr.

Verbindung über Tor mit einem VPN

Dieser Ansatz wird meist gewählt, um eine feste IP-Adresse zu erhalten, die nicht mit Tor verknüpft ist. Doch damit verliert man die meisten Sicherheitsgewinne von Tor und muss dem VPN-Anbieter vollständig vertrauen.

Verkehrsmuster: Der Tor-Browser trennt Verbindungen intelligent, sodass Datenströme nicht miteinander verknüpft werden können. Mit einem VPN über Tor fällt diese Trennung weg – alle Daten laufen durch denselben Tunnel.

Geschwindigkeit: Da Tor kein UDP unterstützt, muss OpenVPN im TCP-Modus laufen. Das führt zu ineffizienten „TCP-over-TCP“-Verbindungen und massiven Performance-Einbußen.

Sicherheit:  Auch hier bleibt die Frage des Vertrauens. Nutzer müssen sicherstellen, dass ihr VPN-Anbieter keine Logs führt, nicht kompromittiert ist und keine Zusammenarbeit mit Angreifern stattfindet.

Abschließende Überlegungen

Die Sicherheitsbedürfnisse sind individuell. Nicht jeder muss sich vor einem übermächtigen Gegner schützen. Dennoch gilt: Ein VPN bringt in Kombination mit Tor keinen klaren Sicherheitsgewinn, sondern fügt lediglich eine weitere Vertrauensinstanz hinzu.

Updates und weiterführende Gedanken aus den Jahren 2018–2019 unterstreichen diese Einschätzung:

• VPN-Anbieter sind attraktive Ziele für Angreifer.

• Viele Anbieter täuschen bei Geolokalisierung oder technischen Details.

• Das Umgehen bestimmter Länder durch Relay-Auswahl ist wirkungslos.

• Eigene VPN-Boxen können sogar zur eindeutigen Identifizierung führen.

Fazit

Die Nutzung von Tor allein bietet bereits starke Schutzmechanismen, ohne dass man einem einzelnen Anbieter vertrauen muss. Ein VPN kann in bestimmten Szenarien nützlich sein – etwa bei Blockaden oder zur Verschleierung gegenüber dem ISP – doch es ersetzt nicht die Sicherheit von Tor und bringt meist keinen zusätzlichen Gewinn.