Viele Menschen nutzen Virtual Private Networks (VPNs), also einen sicheren Datentunnel im öffentlichen Internet, zum Beispiel, um auf an ihrem Standort geblockte Inhalte zuzugreifen oder ihre Online-Identität zu verschleiern. Während User VPNs als Mittel zur Erhöhung ihrer Sicherheit und Privatsphäre im Internet wahrnehmen, haben sie oft unrealistische Vorstellungen ihren tatsächlichen Sicherheitsfunktionen, was zu gefährlichen Annahmen über die eigene Sicherheit führen kann. So können gefährdete Gruppen, wie beispielsweise Journalisten, Aktivisten oder Whistleblower glauben, dass sie ihre Identität mit einem VPN verbergen können, während Metadaten, Cookies oder angemeldete Konten ihre Identität dennoch preisgeben können. Verstärkt werden die falschen Sicherheitsvorstellungen durch zahlreiche potenziell irreführende Aussagen, die im Internet kursieren.

Forschende des Lehrstuhls Human Centered Security und des Digital Sovereignty Labs haben daher untersucht, wie Consumer-VPN-Anbieter ihre Produkte auf ihren eigenen Websites bewerben und inwiefern diese Kommunikation realistische Vorstellungen vom Sicherheitslevel unterstützt oder untergräbt. Neben vielen richtigen Aussagen fanden sie auch vier Arten von potenziell missverständlichen Informationen. Die Ergebnisse der Studie wurden im Paper „Security Knight in Shining Armor: What and Who VPN Providers Claim to Shield Consumers Against” veröffentlicht, was auch im April 2025 auf der CHI’25 in Yokohama (Japan) präsentiert wurde.

Für ihre Studie setzten die Forschenden auf einen mehrstufigen Mixed-Methods-Ansatz. Zunächst sammelten sie Suchanfragen von 300 Nutzerinnen und Nutzern aus fünf Ländern und vier Kontinenten, um geeignete Consumer-VPN-Anbieter zu identifizieren. Anschließend analysierten sie die Webseiten und Werbeaussagen von 78 VPN-Anbietern. Dabei untersuchten sie, welche Sicherheits- und Datenschutzversprechen gemacht werden, ob konkrete Bedrohungen benannt werden – und ob die Aussagen irreführend oder technisch ungenau sind.

Durch die Kombination von Nutzerverhalten und Anbieterkommunikation konnten die Forschenden bewerten, inwiefern VPN-Dienste realistische Erwartungen wecken – oder falsche Sicherheitsvorstellungen fördern.

Dabei identifizierten die Wissenschaftler und Wissenschaftlerinnen vier Arten von möglicherweise irreführenden Informationen:

(1) Incomplete Descriptions Hinder User Understanding: Etwa wenn erklärt wird, was geschützt wird, aber nicht wovor.

(2) Generic and Over-Promising Statements Create False Sense of Protection: Sehr verallgemeinerte Aussagen dazu, wer oder was geschützt wird, was Spielraum für Interpretationen lässt.

(3) Misleading and Wrong Information Fosters Wrong Mental Models: Etwa die Behauptung, die eigene IP-Adresse bleibe auch vor dem Internetanbieter verborgen.

(4) VPN Products are Not Clearly Defined as Standalone Solutions: Teilweise werden Funktionen wie Malware-Schutz in den Kernnutzen eines VPN eingeordnet. Zwar können Anbieter solche Zusatzfunktionen bereitstellen, sie sind jedoch nicht Bestandteil der VPN-Technologie selbst. Dadurch kann ein verzerrtes Bild davon entstehen, was ein VPN tatsächlich leistet.