Laden
Zurück zum Blog
Anleitungen··9 Min. Lesezeit

Was ist ein VPN? Der komplette Leitfaden

Sprache: EnglishالعربيةEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

Ein virtuelles privates Netzwerk — VPN — ist ein Dienst, der den Internetverkehr eines Geräts durch einen verschlüsselten Tunnel zu einem Server leitet, den der Anbieter betreibt. Dieser Leitfaden erklärt, wie ein VPN auf technischer Ebene funktioniert, was es für Privatsphäre und Sicherheit leisten kann und was nicht, und wie du die verfügbaren Optionen bewertest.

Was ein VPN wirklich macht

Eine VPN-App baut einen Netzwerktunnel zwischen deinem Gerät und einem entfernten Server auf. Der gesamte ins Internet gehende Verkehr deines Geräts wird gekapselt, verschlüsselt und durch diesen Tunnel an den Server gesendet, der den Verkehr dann an sein Ziel im öffentlichen Internet weiterleitet. Der zurückkommende Verkehr nimmt den umgekehrten Weg.

Aus dieser Anordnung folgen zwei praktische Änderungen. Erstens sehen die Netzwerke zwischen deinem Gerät und dem VPN-Server — darunter das lokale WLAN, der Internetanbieter und jegliche Transitnetze — nur verschlüsselten Verkehr zwischen deinem Gerät und dem VPN-Server. Zweitens sieht das öffentliche Internet Anfragen, die von der IP-Adresse des VPN-Servers ausgehen, statt von der echten Adresse deines Geräts.

Ein VPN verändert also, wer den Verkehr beobachten kann und welche Adresse für entfernte Dienste sichtbar ist. Es macht eine Verbindung für sich genommen nicht anonym und beseitigt auch nicht jede Form von Tracking.

Wie ein VPN funktioniert

Der zentrale Mechanismus ist Kapselung in Kombination mit Verschlüsselung. Wenn der VPN-Client aktiv ist, leitet das Betriebssystem ausgehende Pakete durch eine virtuelle Netzwerkschnittstelle, die die VPN-App erstellt. Jedes Paket wird in ein neues Paket verpackt — gekapselt — und mit einem Sitzungsschlüssel verschlüsselt, der beim Aufbau der Verbindung ausgehandelt wurde.

Tunneling

Kapselung bedeutet, dass das ursprüngliche Paket — einschließlich seiner Zieladresse und seiner Nutzdaten — zur Nutzlast eines äußeren Pakets wird, das an den VPN-Server adressiert ist. Das äußere Paket reist über das öffentliche Internet zum Server, der die Nutzlast entschlüsselt und das ursprüngliche Paket weiterleitet.

Verschlüsselung

Moderne VPN-Protokolle nutzen authentifizierte Verschlüsselungsalgorithmen wie ChaCha20-Poly1305 oder AES-GCM. Die Sitzungsschlüssel werden zum Verbindungszeitpunkt über Schlüsselaustauschverfahren ausgehandelt, die auf Public-Key-Kryptografie aufbauen. Das stellt sicher, dass ein Beobachter in der Mitte der Verbindung den gekapselten Verkehr weder lesen noch unbemerkt verändern kann.

Routing und DNS

Über die Verschlüsselung hinaus konfiguriert die VPN-App auch die Routing-Tabelle des Betriebssystems neu, damit der gesamte Verkehr — oder in manchen Konfigurationen nur bestimmte Ziele — durch den Tunnel gesendet wird. Auch DNS-Anfragen werden in der Regel durch das VPN geleitet, um Lecks ins lokale Netzwerk zu verhindern.

Typische Anwendungsfälle

VPNs erfüllen mehrere unterschiedliche Zwecke, und welche Anbieterkonfiguration passt, hängt davon ab, welcher davon die Hauptmotivation ist.

  • Privatsphäre gegenüber lokalen Netzwerken. Verbindungen über öffentliches WLAN — Cafés, Hotels, Flughäfen — können unverschlüsselten Verkehr für andere Nutzer im selben Netzwerk sichtbar machen. Ein VPN beseitigt diese Sichtbarkeit, weil der Verkehr verschlüsselt wird, bevor er das Gerät verlässt.
  • Privatsphäre gegenüber Internetanbietern. Internetanbieter können die Ziele unverschlüsselter DNS-Abfragen und die Metadaten von TLS-Verbindungen sehen. Ein VPN verlagert diese Sichtbarkeit vom Internetanbieter zum VPN-Anbieter.
  • Auswahl des geografischen Standorts. Manche Dienste beschränken den Zugriff anhand der IP-Adresse des Nutzers. Mit einem VPN kannst du so erscheinen, als würdest du dich aus dem Land verbinden, in dem der VPN-Server steht.
  • Netzwerkzugang für Organisationen. Firmen-VPNs werden genutzt, damit Mitarbeitende aus der Ferne private interne Dienste erreichen, die nicht im öffentlichen Internet verfügbar sind.

Protokolle in modernen VPNs

Das Protokoll bestimmt, wie der Tunnel aufgebaut wird, welche kryptografischen Algorithmen verwendet werden und wie sich die Verbindung bei Paketverlust oder Netzwerkwechseln verhält. Die Protokolle, denen man in VPN-Diensten für Endnutzer am häufigsten begegnet, sind WireGuard, OpenVPN und IKEv2/IPsec.

WireGuard ist das jüngste der drei. Es nutzt eine kleine Auswahl moderner kryptografischer Bausteine, passt in etwa viertausend Zeilen Code und ist sowohl in den Linux-Kernel als auch in die meisten Betriebssysteme für Endnutzer integriert. Sein Design bevorzugt Einfachheit, Leistung und eine kleine Prüffläche.

OpenVPN ist älter und deutlich flexibler: Es unterstützt viele Cipher-Suites, Transportwege und Konfigurationsoptionen. Diese Flexibilität geht zulasten der Komplexität. OpenVPN ist weiterhin weit verbreitet, besonders in Unternehmensumgebungen.

IKEv2/IPsec ist in iOS, macOS und Windows integriert. Es funktioniert gut auf mobilen Geräten und bewältigt Netzwerkwechsel — etwa den Wechsel zwischen WLAN und Mobilfunk — reibungslos.

Ein ausführlicher Vergleich der beiden gängigsten Protokolle für Endnutzer findest du in unserem Vergleich von WireGuard und OpenVPN.

VPN im Vergleich zu Proxy und Tor

VPNs werden manchmal mit Proxys und mit dem Tor-Netzwerk verwechselt. Die Mechanismen und Bedrohungsmodelle unterscheiden sich.

Ein Proxyserver leitet bestimmten Anwendungsverkehr — am häufigsten HTTP — im Namen des Nutzers an ein Ziel weiter. Proxys verschlüsseln den Verkehr in der Regel nicht von sich aus und arbeiten auf der Anwendungsebene statt auf der Netzwerkebene.

Tor ist ein Anonymitätsnetzwerk, das den Verkehr durch drei Relais leitet, die aus einer von Freiwilligen betriebenen Menge ausgewählt werden, und jeden Sprung einzeln verschlüsselt. Tor bietet Anonymität gegenüber dem Netzwerk — kein einzelnes Relais kann sowohl Ursprung als auch Ziel sehen — ist aber langsamer als ein VPN und für Aufgaben mit hohem Durchsatz ungeeignet.

Ein VPN bietet Verschlüsselung gegenüber dem lokalen Netzwerk und ändert die sichtbare IP-Adresse, verlagert aber das Vertrauen auf den VPN-Anbieter, der die echte Adresse des Nutzers und die Ziele sieht, die der Nutzer erreicht.

Grenzen, die du kennen solltest

Ein VPN ist ein Baustein einer umfassenderen Privatsphäre-Strategie und sollte nicht als vollständige Lösung behandelt werden. Mehrere wichtige Grenzen gelten.

Der VPN-Anbieter ist ein neuer Vertrauenspunkt. Wo zuvor der Internetanbieter Einblick in die Verbindungen hatte, hat nun der VPN-Anbieter denselben Einblick. Die Glaubwürdigkeit der No-Logs-Richtlinie (keine Protokolle) und des Infrastrukturdesigns des Anbieters wird daher wichtig. Unser Leitfaden zu No-Logs-VPN-Richtlinien erklärt, was solche Aussagen tatsächlich bedeuten.

Die Sicherheit des Geräts bleibt unverändert. Ein VPN schützt nicht vor Schadsoftware, die auf dem Gerät läuft, vor Phishing-Angriffen, kompromittierten Browser-Erweiterungen oder Tracking durch Apps, denen bereits Zugriff auf die Daten des Nutzers gewährt wurde.

Tracking auf Website-Ebene geht weiter. Ein VPN ändert die für entfernte Dienste sichtbare IP-Adresse, hat aber keinen Einfluss auf Cookies, Browser-Fingerprints oder Konten, in denen der Nutzer angemeldet ist.

Einen Anbieter wählen

Bei der Bewertung von VPN-Diensten lohnt es sich, mehrere Faktoren zu prüfen.

  • Protokollunterstützung. Moderne Anbieter sollten WireGuard oder IKEv2/IPsec unterstützen. OpenVPN bleibt aus Kompatibilitätsgründen eine vernünftige Wahl.
  • Datenschutzrichtlinie und Prüfhistorie.Eine kurze, konkrete Datenschutzrichtlinie mit Ergebnissen unabhängiger Prüfungen ist glaubwürdiger als Werbetexte, die “Verschlüsselung in Militärqualität” ohne weitere Details versprechen.
  • Kontoanforderungen. Dienste, die ohne Benutzerkonten auskommen, speichern weniger Daten und verringern die Menge an Informationen, die bei einem Datenleck offengelegt werden könnten.
  • Umsetzung des Kill Switch. Ein funktionierender Kill Switch verhindert, dass Verkehr offengelegt wird, falls der Tunnel abbricht. Unser Überblick über VPN-Kill-Switches erklärt, wie du überprüfst, ob einer korrekt arbeitet.
  • Rechtsraum. Das Land, in dem der Anbieter eingetragen ist, beeinflusst die rechtlichen Rahmenbedingungen, unter denen er arbeitet.

Snap VPN ist nach mehreren dieser Prinzipien aufgebaut: ein einziges Protokoll, keine Benutzerkonten, ein standardmäßig aktivierter Kill Switch und ein kuratiertes Servernetz über drei Regionen statt Dutzender kaum genutzter Standorte. Ausführliche Konfigurationsschritte sind im Einrichtungsleitfaden für iPhone dokumentiert.

The Snap VPN Team
Editorial