Microsoft Edge: Tumult um VPN-Funktion

Derzeit häufen sich die Meldungen, dass die Funktion „Microsoft Edge Secure Network“ gar kein VPN sei. Es stelle die Funktion nur für den Browser und nicht für das gesamte System bereit. Zudem wird nicht aller Verkehr getunnelt. Das hat Microsoft jedoch nie versprochen.

Der derzeitige Aufschrei geht zurück auf einen Beitrag auf X von einem jungen IT-Sicherheitsforscher namens Sooraj Sathyanarayanan. Dort schreibt er: „Ich habe eine gründliche Sicherheitsanalyse von Microsoft Edges ‚Secure Network VPN‘ gemacht“. Der Name lautet allerdings offiziell „Microsoft Edge Secure Network“ (auf Deutsch etwas ungelenk das „sichere Microsoft Edge-Netzwerk“). Die Beschreibung in den Browser-Einstellungen unter „Datenschutz, Suche und Dienste“ – „Sicheres Microsoft Edge-Netzwerk verwenden“ lautet tatsächlich „integriertes VPN, das vor Onlinetrackern schützt. Sie erhalten 5 GB kostenloses VPN pro Monat“. Etwas detaillierter ist nach Klick auf das Fragezeichen neben der Funktion zu lesen: „Secure Network ist ein integriertes VPN, mit dem Sie Ihre Netzwerkverbindungen gegen Online-Hacker absichern, sich vor Onlinetrackern schützen und Ihren Standort privat halten können. Sie erhalten jeden Monat 5 GB kostenlose sichere Netzwerkdaten, wenn Sie sich mit Ihrem Microsoft-Konto bei Edge anmelden“.

Tunnel für Klartext-Verbindungen im Browser

Sathyanarayanan erklärt, dass Edge Secure Network jedoch kein VPN sei. Es handele sich um einen „HTTP CONNECT“-Proxy, der auf Cloudflares Privacy-Proxy-Plattform aufsetzt. Lediglich Verkehr aus dem Edge-Browser werde getunnelt. Andere Anfragen des Systems wie DNS-Anfragen, E-Mail-Clients, Hintergrunddienste, Betriebssystemupdates, schlicht alles außerhalb von Edge bleibt weiterhin sichtbar. Schlimmer noch: Standardmäßig sei die „optimierte“ Einstellung vorausgewählt, die nur in öffentlichen WLANs oder beim Besuch unverschlüsselter HTTP-Seiten eingreift. Im heimischen Netz macht das VPN also beim Besuch von HTTPS-Seiten nichts, außer man stellt die Einstellungen um auf „Alle Seiten“. „Die meisten User werden das niemals machen, was bedeutet, die meisten User erhalten die meiste Zeit null Schutz“, führt der IT-Forscher aus. Ein weiteres Problem liegt darin, dass der Traffic ohne Verschlüsselung weiterlaufe, wenn die Verbindung zu Cloudflare-Servern ausfalle – ohne, dass Nutzer gewarnt würden.

Außerdem muss man sich mit einem Microsoft-Konto anmelden. Damit ist die eigene Identität mit der VPN-Nutzung verknüpft. Sofern ein Konto angemeldet ist, synchronisiert er die meisten Daten, den Verlauf, Passwörter, Favoriten, Formulardaten, Erweiterungen und geöffnete Tabs in allen Edge-Instanzen. Daher erfordere Edge Secure Network die vollständige Offenlegung der Identität der Nutzer. Zudem übernimmt Cloudflare das Routing. Alle 25 Stunden lösche das Unternehmen Diagnose- und Support-Daten. Microsoft behauptet, dass Cloudflare niemals die Konto-Identität sehe, und Cloudflare gibt an, dass es den Traffic nicht untersuche. Hier müssten Nutzer den Unternehmen vertrauen, da sie keine unabhängige Überprüfung vornehmen können und die Codebasis Closed Source sei.

Microsofts Angebot

Zwar sind die Beobachtungen korrekt. Allerdings behauptet Microsoft gar nicht, dass es sich um ein vollwertiges VPN handelt. Bereits bei der Vorstellung in einer Vorabversion von Microsoft Edge im April 2022 war der Nutzen des Quasi-VPNs im Webbrowser klar: „Der Datenverkehr ist damit auch bei Verbindungen, die nicht SSL-gesichert sind, nicht mehr abhörbar. Zudem verschleiert der Tunnel die eigene IP-Adresse, sodass Tracking erschwert wird. Der Tunnel wird über den CDN- und Internet-Security-Anbieter Cloudflare aufgebaut.“

Auf der verlinkten Webseite zu „Microsoft Edge Secure Network“ erklärt das Unternehmen auch die Voreinstellung, dass zur Begrenzung des Traffics nur unsichere Verbindungen über die VPN-Tunnel gehen. „Um Ihre zugewiesene VPN-Datenbandbreite zu schonen, werden Streaming-Seiten wie Netflix, Hulu, HBO und andere nicht über den Secure-Network-VPN-Dienst geleitet, es sei denn, Sie entscheiden sich dafür, das VPN für alle Seiten zu nutzen“, schreibt Microsoft dort.

Übertriebene Aufregung

Die Aufregung um die Microsoft-Edge-Funktion erscheint daher übertrieben. Interessierte müssen die Funktion überhaupt erst finden und aktivieren. Dass daraus aufgrund der Beschreibung die Erwartung erwächst, dass sämtlicher Traffic des Geräts über einen VPN-Tunnel geleitet wird, ist zumindest zweifelhaft. Bei anderen Webbrowsern mit integrierter VPN-Funktion erwartet das vermutlich ebenfalls niemand. Microsoft geht zudem offen damit um, dass Nutzer angemeldet sein müssen und Cloudflare den Dienst bereitstellt.

(dmk)