iCloud Private Relay vs VPN: Was ist der Unterschied?

Wenn du fuer iCloud+ bezahlst, hast du Private Relay irgendwo in den Einstellungen bereits eingeschaltet. Viele iPhone-Nutzer nehmen an, dass sie damit abgesichert sind — dass es Apples stilles, eingebautes VPN ist und es darueber nichts weiter nachzudenken gibt.

Ganz so einfach ist es nicht. Die ehrliche Antwort auf iCloud Private Relay vs VPN lautet, dass es sich um unterschiedliche Werkzeuge handelt, gebaut fuer unterschiedliche Aufgaben. Private Relay ist gut konstruiert, und fuer manche reicht es. Bei vielen anderen laesst es grosse Luecken, von denen sie nicht wissen, dass es sie gibt. Dieser Beitrag geht durch, was Private Relay wirklich tut, was nicht und wie du erkennst, auf welcher Seite dieser Grenze du stehst.

Was Private Relay wirklich ist

Private Relay ist eine iCloud+-Funktion, kein eigenstaendiges Produkt. Du bekommst es zu jedem kostenpflichtigen iCloud-Speicherplan dazu.

Was es tut, in einem Satz: Es leitet dein Safari-Browsing und etwas iCloud-bezogenen Hintergrundverkehr ueber zwei Server, sodass keine einzelne Partei zugleich sieht, wer du bist und was du laedst. Das war's. Es wird nicht als VPN beworben, und Apple achtet darauf, es nie so zu nennen, auch wenn die meisten Leute beide Woerter synonym verwenden.

Alles andere auf deinem Handy (Instagram, Chrome, TikTok, deine Bank-App, dein E-Mail-Programm, jedes Spiel, jeder Drittanbieter-Browser) nutzt deine normale Verbindung. Private Relay ruehrt es nicht an.

Wie Private Relay funktioniert (auf Deutsch gesagt)

Der interessante Teil von Private Relay ist die Zwei-Hop-Architektur. Es ist ein wirklich durchdachtes Design, daher lohnt es sich, es zu verstehen, selbst wenn du am Ende stattdessen ein VPN nutzt.

Zwei Hops, zwei Parteien

Wenn Safari mit aktivem Private Relay eine Seite laedt, geht deine Anfrage nacheinander durch zwei Relays:

• Das Ingress-Relay wird von Apple betrieben. Es sieht deine echte IP-Adresse (weil dein Handy sich direkt damit verbindet), kann aber nicht sehen, welche Website du erreichen willst. Dieser Teil ist unter einem separaten Schluessel verschluesselt, den der Ingress-Server nicht besitzt.
• Das Egress-Relay wird von einem Drittanbieter-Partner betrieben (Cloudflare, Fastly, Akamai, je nach Region). Es kann das Ziel entschluesseln, aber nicht deine echte IP. Alles, was es auf der eingehenden Seite sieht, ist die Adresse des Ingress-Relays.

Der entscheidende Kniff ist, dass die Ziel-URL und deine IP unter zwei separaten Schluesseln verschluesselt sind, von denen jeder bei einer anderen Partei liegt. Apple haelt den Schluessel, der enthuellt, wer du bist; der Partner haelt den Schluessel, der enthuellt, wohin du gehst. Keiner von beiden sieht je beide Haelften des Bildes, also kann keiner allein ein Profil deines Browsings erstellen.

Das ist ein echter Datenschutzgewinn, und es ist ein prinzipientreueres Design als ein gewoehnliches Single-Hop-VPN, bei dem ein Anbieter alles sieht. Vorausgesetzt, Apple und der Egress-Partner teilen keine Daten, hebt Private Relay die Messlatte fuer Safari-Verkehr tatsaechlich an.

Wo ist also der Haken?

Der Haken ist der Umfang. Private Relay deckt nur ab:

• Safari-Browsing
• Eine Handvoll iCloud- und Apple-Dienste auf Systemebene
• Eine schmale Menge unsicheren (HTTP-)Verkehrs von Apps, die die System-Netzwerk-APIs nutzen

Alles andere (und auf einem typischen iPhone ist “alles andere” der Grossteil dessen, was dein Handy tut) laeuft ueber deine regulaere Verbindung. Das Zwei-Hop-Design erstreckt sich nicht darauf.

Ein konkretes Beispiel: Oeffne Instagram und scrolle. Die Bildabrufe der App, ihre Analyse-Aufrufe, das Werbe-SDK, das deine Scrollmuster an seine Server zurueckmeldet — nichts davon geht durch Private Relay. Dein ISP kann sehen, welche Server dein Handy kontaktiert und ungefaehr wann. Die Endpunkte koennen die Ursprungs-IP protokollieren. Von Safari zu fast jeder Drittanbieter-App zu wechseln, schaltet Private Relay fuer diese Sitzung praktisch aus, ohne ein sichtbares Signal, dass sich etwas geaendert hat.

Was Private Relay NICHT tut

Das ist der Teil, den die meisten Nutzer uebersehen. Die folgende Liste ist kein Angriff auf Private Relay; sie ist nur eine genaue Beschreibung dessen, wo es aufhoert.

• Es tunnelt keinen Verkehr von Nicht-Safari-Apps. Oeffne Chrome, Firefox, irgendeine Social-App, irgendeinen Messenger, irgendein Spiel, irgendeine Banking-App, und deine IP plus der Verkehr dieser App sind fuer deinen ISP und fuer alles dazwischen sichtbar.
• Es laesst dich kein Land und keine Region waehlen. Du kannst zwischen “allgemeinen Standort beibehalten” oder “Land und Zeitzone verwenden” waehlen, aber du kannst nicht etwa aus Deutschland ueber die USA leiten. Es gibt keine Serverauswahl, weil Private Relay gar nicht versucht, eine zu sein.
• Es funktioniert in vielen Laendern nicht. Private Relay ist in mehreren Regionen nicht verfuegbar oder blockiert, darunter China, Russland, Saudi-Arabien, Belarus und Aegypten und weitere, wobei sich die Liste mit der Zeit verschiebt. Wenn du irgendwohin an dieser Grenze reist, lohnt es sich, Apples aktuelle Verfuegbarkeitsseite vor dem Abflug zu pruefen. Reist du an einen dieser Orte, schaltet sich die Funktion einfach ab, und du wirst nicht unbedingt darauf hingewiesen.
• Es verbirgt dich nicht vor App-Trackern. Ein in eine Drittanbieter-App eingebettetes Tracking-SDK sieht deine echte IP, weil diese App von vornherein nicht durch Private Relay laeuft.
• Es schuetzt Nicht-Safari-Verkehr nicht in feindlichem WLAN. Verbinde dich mit einem zweifelhaften Hotel- oder Flughafennetz, und deine Nicht-Safari-Apps sind genau so ungeschuetzt, wie sie es ohne Private Relay waeren.

Nichts davon ist ein Fehler in Private Relay. Es tut, wozu es entworfen wurde. Der Irrtum besteht darin anzunehmen, dass es mehr tut.

Ist Private Relay dann ein VPN?

Streng genommen: nein. Ein VPN baut einen verschluesselten Tunnel auf, der den gesamten Verkehr erfasst, der dein Geraet verlaesst, und ihn ueber einen Server deiner Wahl leitet. Private Relay ist ein eingegrenzter Proxy mit einem festen, meinungsstarken Design. Es gibt dir absichtlich keine Serverauswahl, und es tunnelt absichtlich nicht alles.

Wenn ein Freund fragt “ist Private Relay ein VPN”, lautet die kurze Antwort: “Es ist eine Datenschutzfunktion mit einigen VPN-aehnlichen Eigenschaften fuer Safari, aber kein Ersatz fuer ein VPN.”

Wann Private Relay ausreicht

Fuer manche Menschen reicht Private Relay tatsaechlich. Du gehoerst wahrscheinlich zu dieser Gruppe, wenn:

• Du fast dein gesamtes Browsing in Safari erledigst und selten Drittanbieter-Browser nutzt.
• Du nicht so wirken musst, als waerst du in einem bestimmten Land (fuers Streaming, zum Testen, aus Reisegruenden oder um aus dem Ausland auf Inhalte von zu Hause zuzugreifen).
• Du nicht regelmaessig in ein Land reist oder in einem lebst, in dem Private Relay nicht verfuegbar ist.
• Es dir nichts ausmacht, dass jede App, die du oeffnest — auch solche mit eingebetteten Werbe-SDKs — deine echte IP sieht.

Wenn alle vier zutreffen, ist Private Relay plus Safari eine vernuenftige Grundlage, und du brauchst vielleicht kein separates VPN. Es ist ein fairer Ausgangspunkt fuer eine iPhone-Datenschutz-Checkliste.

Wann du wirklich ein VPN brauchst

Du willst wahrscheinlich ein echtes VPN (nicht nur Private Relay), wenn eines davon zutrifft:

• Du willst den gesamten Verkehr getunnelt, nicht nur Safari. Jede App auf deinem Handy, jeder Browser, jeder Hintergrunddienst ueber dieselbe verschluesselte Verbindung geleitet. Private Relay kann das nicht.
• Du willst ein Land waehlen. Sich aus einer bestimmten Region zu verbinden, sei es fuer Reisen, fuer Inhalte, die nur an bestimmten Orten verfuegbar sind, oder einfach um so zu wirken, als waerst du woanders, braucht ein echtes VPN mit Serverauswahl.
• Du nutzt regelmaessig oeffentliches WLAN. Cafes, Hotels, Flughaefen, Coworking-Spaces. Ein VPN schuetzt auf diesen Netzen alles auf deinem Geraet, nicht nur den geoeffneten Safari-Tab. Wenn du eine ausfuehrlichere Behandlung dazu willst, warum No-Logs in diesem Szenario zaehlt, siehe was ein No-Logs-VPN wirklich bedeutet.
• Du reist an Orte, an denen Private Relay nicht funktioniert. China, Russland, Teile des Nahen Ostens und Zentralasiens. In diesen Regionen ist Private Relay entweder blockiert oder nicht verfuegbar, und genau das ist der Moment, in dem du Datenschutzwerkzeuge willst. Ein VPN gibt dir etwas, das Private Relay nicht kann.
• Du willst tiefgestaffelte Verteidigung. Private Relay ist ein Mechanismus. Ein VPN ist ein anderer. Die beiden schuetzen vor ueberlappenden, aber unterschiedlichen Bedrohungen, und manche Leser wollen beides verfuegbar haben.

Wenn du neu in dem Bereich bist und zuerst die Grundlagen willst, deckt unsere Einfuehrung dazu, was ein VPN ist das Wesentliche ab.

Kannst du Private Relay und ein VPN gleichzeitig nutzen?

Ja. Sie existieren auf iOS ohne Konflikt nebeneinander.

Was in der Praxis passiert: Wenn ein VPN aktiv ist und den gesamten Verkehr tunnelt, laufen deine Safari-Anfragen wie alles andere durch das VPN. Der Zwei-Hop-Pfad von Private Relay wird ueberfluessig. Dein Verkehr wird bereits ueber deinen VPN-Anbieter geleitet, und Apples Relay davorzusetzen aendert nicht viel, ausser Latenz hinzuzufuegen.

Deshalb schalten die meisten, die ein vollstaendiges VPN nutzen, Private Relay am Ende ab, oder merken zumindest nicht, wenn iOS es still umgeht. Du verlierst dadurch nichts; du fasst zwei ueberlappende Datenschutzschichten in einer zusammen, die mehr von deinem Handy abdeckt.

Die praktische Empfehlung: Wenn du dich fuer ein VPN entschieden hast, nutze das VPN als Standard und behandle Private Relay als Rueckfalloption fuer Phasen, in denen das VPN aus ist (zwischen Verbindungen, wenn du Server umschaltest, wenn eine App sich weigert, durch deinen Tunnel zu arbeiten). Auf iOS musst du dich auf Einstellungsebene nicht entscheiden. Beide koennen aktiviert bleiben, und was auch immer im Moment aktiv ist, kuemmert sich um Safari. Der einzige Preis, beides anzulassen, sind etwas langsamere Safari-Ladevorgaenge, wenn das VPN aus ist und Private Relay uebernimmt.

Fazit

iCloud Private Relay ist eine gut gestaltete Funktion mit einer engen Aufgabe: dein Safari-Browsing und einen Bruchteil des Systemverkehrs davor zu schuetzen, von einer einzelnen Partei beobachtet zu werden. Diese Aufgabe erledigt es gut, und die Zwei-Hop-Architektur ist durchdachter als die meisten VPN-Designs.

Aber es ist kein VPN, und es behauptet das auch nicht. Es deckt keine Nicht-Safari-Apps ab, es laesst dich keine Region waehlen, es funktioniert in mehreren Laendern nicht, und es hilft ausserhalb von Safari nicht in feindlichem WLAN. Wenn dir diese Luecken wichtig sind, und vielen iPhone-Nutzern sind sie das, brauchst du ein echtes VPN zusaetzlich zu oder anstelle von Private Relay.

Die richtige Frage ist nicht “iCloud Private Relay vs VPN, wer gewinnt?”. Sie lautet “was versuche ich eigentlich zu schuetzen, und welches Werkzeug deckt das ab?” Fuer reine Safari-Nutzer in unterstuetzten Regionen ist Private Relay allein vernuenftig. Fuer alle anderen erledigt ein VPN die Aufgabe, fuer die Private Relay nie entworfen wurde.

Wenn du dich hier durchgearbeitet und entschieden hast, dass du ein VPN willst, das alles abdeckt, was dein Handy tut, nicht nur einen Browser, ist Snap VPN dafuer gebaut. Keine Anmeldung mit E-Mail. Keine Traffic-Logs. Kein Konto, das an deinen Namen gebunden ist. Dein Abo laeuft ueber deine Apple ID, verfuegbar in den wichtigsten Regionen, mit WireGuard unter der Haube. macOS ist auf dem Weg.