Wenige Sicherheits-Werkzeuge sind so umkämpft beworben wie VPNs. Werbungen versprechen „Anonymität", „totale Privatsphäre", „unsichtbares Internet" — und sind oft genauso ungenau wie die Werbung für Wundermittel. Dieser Artikel zeigt ohne Verkaufs-Rhetorik, was ein VPN wirklich tut, welche Anbieter sich nach welchen Kriterien unterscheiden lassen — und in welchen Fällen ein VPN nicht das richtige Werkzeug ist.
Was ein VPN technisch macht
Ein Virtual Private Network baut einen verschlüsselten Tunnel zwischen deinem Gerät und einem VPN-Server. Aller Internet-Verkehr deines Geräts läuft durch diesen Tunnel — und tritt am VPN-Server in das öffentliche Internet aus, mit der IP-Adresse des VPN-Servers, nicht deiner eigenen.
Folgen daraus:
- Dein Internet-Provider (ISP) und das aktuelle WLAN sehen nur, dass du mit dem VPN-Server kommunizierst — Inhalte und Ziele sind verschlüsselt.
- Besuchte Webseiten sehen die VPN-IP, nicht deine echte IP.
- DNS-Anfragen laufen typischerweise durch den VPN-Tunnel zum VPN-Anbieter-Resolver (statt zum ISP).
- Geo-Beschränkungen lassen sich umgehen — Wahl eines Server-Standorts entscheidet, „aus welchem Land" du surfst.
Was ein VPN nicht macht:
- Es schützt nicht den Inhalt innerhalb verschlüsselter Verbindungen mehr, als HTTPS es schon tut. TLS bleibt TLS.
- Es macht dich nicht anonym — siehe anonymitaet-vs-privatsphaere und Abschnitt 5 hier.
- Es verhindert kein Browser-Tracking — Cookies, Fingerprinting, Login-Sessions wirken weiter.
- Es schützt nicht vor Malware.
Der wichtigste konzeptuelle Punkt: VPN verlagert Vertrauen. Statt deinem ISP zu vertrauen, vertraust du dem VPN-Anbieter. Wer der ISP, wer der VPN-Anbieter ist, und welchen Rechts-Standort sie haben, entscheidet die tatsächliche Schutzwirkung.
Wofür ein VPN wirklich hilft — und wofür nicht
| Situation | Wirkt ein VPN? | Begründung |
|---|---|---|
| Café-WLAN, allgemeines Surfen | Ja (für DNS- und SNI-Privatsphäre) | ISP/WLAN sehen weniger; TLS schützt den Inhalt sowieso |
| Geo-Beschränkungen umgehen (Streaming, Nachrichten aus Ausland) | Ja | Server im Zielland wählen — Plattformen prüfen oft IP-Region |
| Tracking-Schutz | Nein, allenfalls minimal | Tracking läuft über Cookies/Fingerprint, nicht IP |
| Anonymität gegenüber Plattformen | Nein | Du bist in deinen Accounts eingeloggt |
| Schutz vor staatlicher Überwachung (im Heimatstaat) | Bedingt | Wenn VPN-Anbieter rechtlich zugriffsfähig — kein wirksamer Schutz |
| Quellen-Schutz im Journalismus | Nein, allein nicht | Tor + Tails ist die richtige Antwort |
| Schutz vor ISP-Logging deiner Domains | Ja | ISP sieht nur VPN-Verbindung |
| Bessere Latenz | Nein, meist schlechter | Tunnel fügt Hops hinzu |
| Schutz vor Phishing | Nein | Phishing wirkt im Browser |
| Schutz gegen DDoS bei Privatpersonen | Bedingt | Wirksam, wenn die DDoS gegen deine Heim-IP ginge — selten Fall |
Faustregel: VPN ist ein Privatsphäre-Werkzeug, kein Anonymitäts-Werkzeug. Für die meisten Nutzer:innen ist der größte Nutzen die Sicherheit in fremden Netzen und das Umgehen von Geo-Inhalten.
VPN-Protokolle: WireGuard, OpenVPN, IKEv2
Die Mechanik des Tunnels nutzt eines von drei Standard-Protokollen:
- WireGuard (seit 2019 produktiv). Modernes Protokoll mit minimalem Code (rund 4 000 Zeilen), schneller als die Alternativen, sehr starke Krypto. Heute Default bei den meisten ernsthaften Anbietern. Hat eine Identifikations-Eigenschaft (statische Client-IP im Tunnel), die manche Anbieter durch zusätzliche Mechanismen (Rotation, NAT) entschärfen.
- OpenVPN (seit 2001). Älter, gut auditiert, sehr flexibel. Etwas langsamer als WireGuard, aber stabil und auf jeder Plattform verfügbar. Default-Fallback, wenn WireGuard blockiert ist.
- IKEv2/IPsec. Auf vielen Mobile-Plattformen nativ unterstützt, gute Performance besonders bei Netzwerk-Wechseln (z. B. WLAN-zu-LTE). Anbieter-spezifisch implementiert.
- Proprietäre Protokolle (Lightway von ExpressVPN, NordLynx von NordVPN). Oft WireGuard mit Anpassungen — manchmal sinnvoll, manchmal Marketing.
Für die meisten Nutzer:innen ist die Wahl ein Klick im Client. Default ist heute bei ernsthaften Anbietern WireGuard.
Was einen guten VPN-Anbieter ausmacht
Sechs Kriterien, die seriöse Anbieter erfüllen — und die schlechte schnell entlarven:
- Geprüfte No-Log-Policy. Anbieter, die keine Verkehrs-Logs führen — und das durch unabhängige Audits belegen können. Mullvad, IVPN, ProtonVPN, ExpressVPN haben mehrjährige Audits.
- Klare Eigentümer- und Rechtsstandort-Transparenz. Wer betreibt den Dienst, in welchem Land sitzt das Unternehmen, welche Gesetze gelten? Mullvad (Schweden), Proton (Schweiz), IVPN (Gibraltar).
- Open Source bei Clients. Mindestens die Endgeräte-Apps sollten Open Source sein. Mullvad, Proton, IVPN haben das durchgezogen.
- Anonyme Zahlung möglich. Bargeld, Krypto, Vouchers — Mullvad ist hier konsequent (akzeptiert Bargeld per Post).
- Kein Affiliate-/Influencer-Marketing-Modell. Wer überall in YouTube-Sponsoren-Spots auftaucht, hat ein Geschäftsmodell, das Marketing-Budget hat — was meist heißt: Daten-/Vertriebs-Beziehungen, die Kosten verursachen. Mullvad bewirbt sich seit Jahren bewusst zurückhaltend.
- WireGuard und vernünftige Kill-Switches, IPv6-Leak-Schutz, DNS-Leak-Schutz. Diese technischen Eigenschaften sollten bei einem ernsthaften Anbieter Default sein, nicht Premium-Feature.
Anbieter im konkreten Vergleich
Die wichtigsten ernsthaften Anbieter, Stand 2026:
| Anbieter | Rechtsstandort | Audit | Open Source | Anonyme Zahlung | Besonderheit |
|---|---|---|---|---|---|
| Mullvad | Schweden | Mehrfach (Cure53, Assured u. a.) | Clients ja, Server-Setup veröffentlicht | Ja (Bargeld per Post) | Flat-Rate 5 EUR/Monat, keine Accounts |
| IVPN | Gibraltar | Mehrfach | Ja | Ja (BTC, Cash) | Anti-Tracker-Filter eingebaut |
| ProtonVPN | Schweiz | Mehrfach | Ja | Begrenzt | Eingebettet ins Proton-Ökosystem (Mail, Drive, Pass) |
| AirVPN | Italien | Begrenzt | Ja | Ja | Sehr technisch konfigurierbar, kleinerer Anbieter |
| Windscribe | Kanada | Begrenzt | Clients ja | Begrenzt | Großzügiger Free Tier (10 GB/Monat) |
| Surfshark | Niederlande | Audit-Geschichte gemischt | Begrenzt | Begrenzt | Mainstream-Marketing, mehrere Server-Standorte |
| NordVPN | Panama | Mehrfach | Begrenzt | Krypto | Marktführer-Marketing, gemischte Reputation 2018-Vorfall |
| ExpressVPN | Britische Jungferninseln | Mehrfach | Begrenzt | Krypto | Premium-Preisniveau; 2021 von Kape Technologies aufgekauft (umstritten) |
Empfehlungs-Logik:
- Für „einfach und transparent": Mullvad. Flat-Rate-Preis, keine Account-Mail nötig (du erhältst eine zufällige Account-Nummer), regelmäßige Audits, keine aggressive Werbung.
- Für „Datenschutz-Ökosystem": ProtonVPN — passt zu Proton Mail / Drive / Pass.
- Für „technische Flexibilität": AirVPN — viele Konfigurations-Optionen, kleinere Community.
- Für „großzügig kostenlos": ProtonVPN Free (begrenzte Server) oder Windscribe Free (10 GB/Monat).
- Was du nicht nehmen solltest: kostenlose VPN-Apps aus App-Stores ohne klare Eigentümer-Transparenz. Viele sind faktisch Daten-Vermarktungs-Vehikel (siehe nächster Abschnitt).
Die Gratis-VPN-Falle
„Kostenlose VPN-Apps" sind eine Kategorie für sich — und meistens das Gegenteil dessen, was sie versprechen.
Studien (CSIRO 2017, ProPublica 2020, Top10VPN 2023) haben mehrfach dokumentiert:
- Viele kostenlose VPN-Apps enthalten Tracker — manche Dutzende von Werbe- und Analyse-SDKs in der App selbst.
- Manche sind tatsächlich Daten-Verkaufs-Vehikel — der Verkehr der Nutzer:innen wird mitgeloggt und an Marketing-Plattformen verkauft.
- Manche routen Verkehr durch andere Nutzer:innen — du wirst Teil eines „Peer-Botnets" (HolaVPN ist das klassische Beispiel).
- Manche sind Lockmittel für Malware — vor allem im Android-Markt außerhalb des Play Stores.
Der Hauptgrund: VPN-Server-Infrastruktur ist teuer. Wer den Betrieb kostenlos anbietet, muss die Kosten anderswo decken. Datenhandel ist die einzige in Frage kommende Finanzierung.
Drei Ausnahmen, die als kostenlos vertretbar gelten:
- Mullvad-Vouchers lassen sich durch Spenden (Mozilla Foundation) erwerben. Mullvad selbst ist nicht kostenlos.
- ProtonVPN Free — sehr eingeschränkt (drei Länder, niedrigere Bandbreite), aber von einem geprüften kommerziellen Anbieter; transparentes Try-vor-Buy-Modell.
- Windscribe Free — 10 GB/Monat, beschränkte Server, aber transparente Finanzierung durch zahlende Nutzer.
Faustregel: Wenn du nicht zahlst, bist du das Produkt — auch beim VPN.
Setup und Praktisches
Ein VPN-Setup in 20 Minuten:
- 1. Anbieter auswählen nach den oben genannten Kriterien.
- 2. Konto anlegen / Voucher kaufen. Bei Mullvad: Account-Nummer wird generiert, keine Mail-Adresse nötig.
- 3. Clients herunterladen. Desktop und Mobile vom Anbieter (oder, bei Mullvad, direkt aus dem Repository).
- 4. WireGuard als Default-Protokoll wählen. OpenVPN als Fallback, falls WireGuard im Netz blockiert ist.
- 5. Kill-Switch aktivieren. Wenn der VPN-Tunnel abbricht, soll der Client alle Verbindungen abbrechen, statt unverschlüsselt weiterzulaufen. Bei jeder seriösen App in den Einstellungen.
- 6. DNS-Leak-Schutz aktiv. Bei modernen Clients Default.
- 7. Auto-Connect für unbekannte WLANs aktivieren (in vielen Apps verfügbar — Mobile besonders sinnvoll).
- 8. Erste Tests:
- ipleak.net zeigt, ob deine echte IP und DNS leakt.
- browserleaks.com/webrtc prüft WebRTC-Leaks.
Wichtige Setting-Frage: Split-Tunneling. Manche Apps erlauben, dass bestimmte Apps am VPN vorbei routen. Sinnvoll für: Banking-Apps (manche Banken sperren VPN-IPs), Online-Spiele (Latenz), lokale Smart-Home-Geräte. Vorsicht: Apps außerhalb des Tunnels sehen deine echte IP.
Wann VPN nicht das richtige Werkzeug ist
Drei häufige Fehlannahmen:
- „Ich brauche Anonymität, also VPN." Nein. Für Anonymität ist Tor das Werkzeug (siehe tor-grundlagen). VPN ist Privatsphäre, nicht Anonymität.
- „VPN reicht im repressiven Staat." Bedingt. Manche Staaten blockieren VPN-Protokolle (China, Russland, Iran tun das aktiv). Selbst wenn du durchkommst, kann der VPN-Anbieter rechtlich zugriffsfähig sein. Wer in solchen Umgebungen handelt, braucht Tor + Pluggable Transports oder spezialisierte Beratung.
- „VPN schützt vor staatlicher Überwachung." Gegen den eigenen ISP und lokale Beobachter — ja. Gegen ein Land mit Vollzugriff auf internationale Netz-Infrastruktur (FVEY-Allianz, Russland, China) reicht es nicht zuverlässig.
Für gezielten Quellen-Schutz, politischen Aktivismus in repressiven Staaten oder ähnliche Anspruchs-Profile sind Tor + Tails der Goldstandard. Vertieft in tor-grundlagen und tails-und-whonix.
FAQ
Brauche ich überhaupt ein VPN?
Wenn dein Threat-Model „Café-WLAN, ISP-Privatsphäre, Geo-Inhalte" ist: ja, sinnvoll. Wenn dein Threat-Model „weniger Werbe-Tracking" ist: Tracker-Blocker + Container reichen weiter. Wenn dein Threat-Model „Anonymität bei sensiblen Recherchen" ist: Tor statt VPN. Wenn du keinen klaren Bedarf hast: kein dringender Kauf.
Was ist mit Mullvad VPN + Mullvad Browser?
Mullvad hat 2023 zusätzlich zum VPN den Mullvad Browser veröffentlicht — ein gehärteter Firefox auf Basis des Tor-Browser-Hardenings, aber ohne Tor-Routing. Kombination: VPN + gehärteter Browser für starke Privatsphäre ohne Tor-Komfort-Verluste. Sehr empfehlenswert für Privatsphäre-bewusste Nutzer:innen außerhalb des Hoch-Risiko-Spektrums.
VPN auf dem Router oder pro Gerät?
Router-VPN schützt alle Geräte im Haus (Smart-TV, IoT, Spielekonsolen, Gäste). Pro-Gerät-VPN funktioniert flexibler unterwegs. Ideal: Router-VPN zu Hause + Geräte-VPN unterwegs. Manche Anbieter (Mullvad, Proton) liefern Router-Konfigurationen.
Warum sperren manche Sites VPN-IPs?
Streaming-Plattformen blockieren VPN-IPs, weil Lizenz-Verträge Geo-Beschränkungen fordern. Banken blockieren manchmal, weil VPN-IPs auch von Betrugs-Akteuren genutzt werden. CAPTCHA-Provider zeigen mehr Challenges. Workarounds: Server-Standort wechseln, manchmal eigenes Wohn-IP nehmen (Split-Tunneling). Bei legitimen Use-Cases: Anbieter-Support kontaktieren.
Sind dedizierte VPN-IPs nicht besser?
Manche Anbieter bieten dedicated IPs — eine IP nur für dich. Vorteil: weniger CAPTCHAs. Nachteil: weniger anonym, weil die IP eindeutig zu dir gehört. Für Privatsphäre-Bedürfnisse ist dynamische gemeinsame IP besser. Dedicated IPs sind für Business-Anforderungen (Whitelisting bei B2B-Services) gedacht.
WireGuard und Datenschutz: das statische-IP-Thema
WireGuard ordnet jedem Client eine feste interne IP zu — was theoretisch ein Linking-Risiko ist. Mullvad und IVPN haben das durch Rotation und NAT entschärft; bei kleineren Anbietern lohnt das Nachfragen. ProtonVPN nutzt das eigene Protokoll "Stealth" mit zusätzlichen Schutz-Schichten.
Mullvad gibt es seit 2009
Mullvad ist einer der ältesten Privacy-orientierten VPN-Anbieter und gehört zu Amagicom AB (Schweden). Die Firma ist klein, sehr fokussiert und hat über die Jahre konsequente Datenschutz-Politik bewahrt. 2023 hat eine schwedische Polizei-Aktion in Mullvads Büro keine Daten finden können — es wurden tatsächlich keine geführt. Das ist die seltene Form realer No-Log-Validierung.
Weiterführende Ressourcen
Externe Quellen
- Mullvad VPN
- IVPN
- ProtonVPN
- AirVPN
- Privacy Guides – VPN-Empfehlungen
- WireGuard – Protokoll-Doku
- Top10VPN – Free VPN App Investigation
- ipleak.net – VPN-Leak-Test
- BrowserLeaks – WebRTC Leak Test
- BSI – Sicheres Surfen mit VPN
Verwandte Artikel
- Anonymität vs. Privatsphäre
- Tor-Grundlagen
- Tor-Browser-Praxis
- Tails und Whonix
- Anonymitäts-Grenzen
- Öffentliche Netzwerke
- DNS-Tracking und DoH/DoT
Hinweis zu Inhalten: Die Informationen in diesem Artikel dienen der Aufklärung und Bildung über Datenschutz, Privatsphäre und sichere Nutzung des Internets. Sie sollen Nutzer:innen helfen, ihre legitimen Schutz-Interessen wahrzunehmen — gegen Werbe-Tracking, in öffentlichen Netzen, beim Zugriff auf Inhalte in Reise-Situationen. Sie sind nicht als Anleitung für rechtswidrige Handlungen gedacht. Geltendes Recht — insbesondere zu Urheberrecht, Geo-Lizenzen, Steuerpflicht, Plattform-AGB — ist in jeder Nutzung zu beachten. Wer rechtliche Unsicherheit hat, sollte qualifizierten Rechtsbeistand suchen.