Ist die VPN-Verschlüsselung Ende-zu-Ende?

Nein. Ein VPN verschlüsselt den Datenverkehr zwischen Ihrem Gerät und dem VPN-Server. Vom Server aus weiter zur Zielwebsite ist die Verbindung das, was die Website selbst verwendet (HTTPS für fast alles im Jahr 2026, aber technisch gesehen ist der VPN-Anbieter in der Lage, den Klartext für jeglichen Nicht-HTTPS-Datenverkehr zu sehen).

Verlangsamt ein VPN mein Internet?

Es gibt immer etwas Overhead — Verschlüsselung, einen zusätzlichen physischen Hop, mögliche MTU-Anpassungen. Mit einem modernen Protokoll auf einem nahegelegenen Server ist der Unterschied gering und beim Surfen, Video und Gaming meist nicht spürbar. Die vollständige Aufschlüsselung finden Sie auf der Geschwindigkeitsseite.

Kann mein ISP erkennen, dass ich ein VPN verwende?

Bei den meisten Protokollen ja — sie können verschlüsselten Datenverkehr zu einem einzelnen Endpunkt sehen, was die Signatur eines VPN ist. Mit einem Reality-artigen Transport, der HTTPS zu einer öffentlichen Site nachahmt, kann ein ISP Ihren Datenverkehr nicht zuverlässig vom normalen Surfen dieser Site unterscheiden.

Brauche ich ein VPN, wenn ich nur HTTPS-Sites verwende?

HTTPS schützt den Inhalt jeder Verbindung, aber Ihr ISP sieht weiterhin den Domainnamen (über SNI), DNS-Abfragen und Verkehrsmuster. Ein VPN verschiebt all das aus dem Sichtfeld Ihres ISP.

Sind kostenlose VPNs dasselbe, nur gratis?

Nein. Ein VPN-Anbieter sieht alles, was Ihr ISP früher gesehen hat. Kostenlose Anbieter neigen dazu, diese Sichtbarkeit zu monetarisieren — Daten verkaufen, Werbung einschleusen oder beides. Eine detaillierte Analyse finden Sie auf der Gratis-VPN-Seite.

Wie ein VPN tatsächlich funktioniert

Keine Marketing-Slogans. Eine praktische Durchsicht dessen, was zwischen Ihrem Gerät und dem VPN-Server passiert, was die Verschlüsselung schützt, was nicht, und wo der DPI-Krieg hineinpasst.

VnePN testen Free for 3 days — no card required

Die 30-Sekunden-Version

Ein VPN tut drei konkrete Dinge. Erstens verschlüsselt es den Datenverkehr zwischen Ihrem Gerät und einem gewählten Server, sodass das dazwischenliegende Netzwerk (Ihr Wi-Fi, Ihr ISP, ein Flughafen-Router) undurchsichtige Bytes sieht statt der Websites, die Sie besuchen. Zweitens leitet es diesen Datenverkehr über den Server weiter, sodass die Websites und Apps, mit denen Sie sich verbinden, die IP-Adresse des Servers statt Ihrer sehen. Drittens verschiebt es Ihre DNS-Abfragen normalerweise in denselben verschlüsselten Tunnel, sodass dieselben Zwischennetzwerke auch die Namen nicht sehen können, die Sie auflösen.

Alles andere — Kill Switch, Split Tunneling, Multi-Hop, Verschleierung — baut auf diesen drei Grundelementen auf.

Schritt für Schritt: eine Anfrage durch ein VPN

1. App stellt eine Anfrage. Ihr Browser möchte example.com laden. Ohne VPN würde das Betriebssystem die Domain über den DNS Ihres ISP auflösen und dann eine TCP/TLS-Verbindung über die Standardroute öffnen.

2. VPN-Client fängt ab. Wenn ein VPN verbunden ist, wird eine virtuelle Netzwerkschnittstelle (tun0 unter Linux/macOS, ein WireGuard-Adapter unter Windows) zur Standardroute für ausgehenden Datenverkehr. Das Betriebssystem übergibt jedes Paket an diese Schnittstelle statt an das physische Wi-Fi.

3. Verschlüsselung. Der VPN-Client verschlüsselt jedes Paket mit dem während des Handshakes ausgehandelten symmetrischen Schlüssel. Moderne Protokolle verwenden AES-256-GCM oder ChaCha20-Poly1305 — beides AEAD-Chiffren, sodass jedes Paket auch authentifiziert wird. Manipulation oder Replay wird beim Empfänger erkannt.

4. Kapselung. Die verschlüsselte Nutzlast wird in einen äußeren Transport gewickelt (UDP für WireGuard und die meisten OpenVPN-Konfigurationen, TCP/443 mit TLS für unauffälligere Setups, reines TLS für VLESS+Reality). Das äußere Paket ist das, was Ihren ISP durchläuft.

5. Server entschlüsselt und leitet weiter. Auf dem VPN-Server werden Pakete entschlüsselt, per NAT auf die öffentliche IP des Servers übersetzt und an example.com gesendet. Die Website sieht eine Anfrage vom Server, nicht von Ihnen.

6. Antwort kommt zurück. Die Antwort von example.com erreicht den Server, wird neu verschlüsselt und über denselben Tunnel an Ihren Client zurückgeliefert. Ihre App sieht eine normale HTTPS-Antwort, ohne zu wissen, dass der Weg ein anderer war.

Was ein VPN tatsächlich verbirgt

Vor Ihrem lokalen Netzwerk und ISP verbirgt ein VPN: welche Domainnamen Sie auflösen (wenn DNS durch den Tunnel läuft), mit welchen IP-Adressen Sie sich verbinden, welche Protokolle Sie über „verschlüsselter Datenverkehr zu einem einzelnen Endpunkt" hinaus verwenden, und den Inhalt jeder Verbindung.

Vor den Websites, die Sie besuchen, ändert ein VPN: Ihre scheinbare IP-Adresse, Ihren aus dieser IP abgeleiteten Standort und alle damit verbundenen Ratenbegrenzungen oder Geo-Beschränkungen.

Vor einem neugierigen Passanten im selben Café-Wi-Fi verbirgt ein VPN alles außer der Tatsache, dass Sie mit einem VPN-Endpunkt verbunden sind. Sie können Ihre Banking-Sitzung, Ihren Messenger oder Ihren Suchverlauf nicht sehen. Eine ausführliche Behandlung dieses Szenarios finden Sie auf der Wi-Fi-Sicherheitsseite.

Was ein VPN NICHT verbirgt

Dieser Teil wird in den meisten Anzeigen übergangen, daher lohnt es sich, konkret zu sein.

Der VPN-Anbieter sieht, was Ihr ISP früher gesehen hat. Wenn er Protokolle führt, hat er Ihren vollständigen Browserverlauf. Die Behauptung einer „No-Logs-Richtlinie" ist genau der Grund, warum die Anbieterwahl wichtiger ist als das verwendete Protokoll.

Die angemeldete Identität sind immer noch Sie. Ein VPN meldet Sie nicht von Google, Facebook oder Ihrer Bank ab. Wenn Sie sich in ein Konto einloggen, weiß dieses Konto immer noch, dass Sie es sind, egal von welcher IP Sie kamen.

Browser-Fingerprinting funktioniert weiterhin. Canvas, Schriftarten, Bildschirmauflösung, WebGL — Websites können Sie über IP-Änderungen hinweg wiedererkennen. Ein VPN ist kein Anti-Tracking; das ist eine separate Schicht (uBlock Origin, Privacy Badger, gehärteter Browser).

Lokale Malware ist nicht betroffen. Wenn Ihr Gerät kompromittiert ist, sieht die Malware die Daten im Klartext, bevor sie jemals den VPN-Tunnel erreichen.

Einige Lecks sind protokollspezifisch. WebRTC kann Ihre lokale IP einer Website preisgeben, selbst wenn ein VPN verbunden ist. Testen Sie es mit dem WebRTC-Leak-Tester. DNS kann ähnlich lecken — siehe den DNS-Leak-Tester.

Protokolle, in einfacher Sprache

OpenVPN. Der Veteran. Ausgereift, auditiert, läuft über UDP oder TCP. Der Kompromiss ist der erkennbare Handshake — in Ordnung in offenen Netzwerken, zunehmend gedrosselt in Netzwerken mit DPI. Mehr zum OpenVPN-Problem in Russland.

WireGuard. Der moderne Minimalist. Winzige Codebasis, schneller Handshake, nahezu hardwarenaher Durchsatz. Derselbe Vorbehalt — sein Handshake ist identifizierbar, daher drosseln Länder mit DPI ihn. Hervorragend auf einem heimischen VPS oder für Site-to-Site.

IKEv2/IPSec. Der mobilfreundliche Klassiker. Verbindet sich bei Netzwerkwechseln schnell wieder, nativ auf iOS und macOS. Dasselbe Fingerprint-Problem.

VLESS+Reality. Die aktuelle Antwort für restriktive Netzwerke. Trägt Daten innerhalb eines echten TLS-Handshakes zu einer echten öffentlichen Website, sodass DPI sie nicht von regulärem HTTPS-Datenverkehr unterscheiden kann. Hier ausführlich.

Shadowsocks. Ein SOCKS5-Proxy mit Verschlüsselung, beliebt in China. Leichter zu fingerprinten als Reality, aber ressourcenschonender zu betreiben. Oft als sekundäres Protokoll in V2Ray/XRay-Setups verwendet.

Wann ein VPN tatsächlich hilft

Restriktive Netzwerke. Wenn lokales DPI bestimmte Protokolle oder Sites drosselt, stellt ein richtig gewähltes VPN den Zugriff wieder her. Der Zusatz „richtig gewählt" ist wichtig — siehe die OpenVPN-Seite, warum die Protokollwahl jetzt vorrangig ist.

Öffentliches Wi-Fi. Café, Hotel, Flughafen. Die Bedrohung ist nicht theoretisch: Angreifer im selben Netzwerk, Captive-Portal-Umleitungen, manchmal regelrechtes SSL-Stripping auf billiger Hardware. Ein VPN verwandelt das lokale Netzwerk in eine dumme Leitung.

Geografische Reibung. Streaming-Kataloge, regionale Preisgestaltung, Tools, die IPs aus bestimmten Regionen blockieren. Ein VPN-Endpunkt in einem anderen Land ist der einfachste Umweg.

Datenverkehr vor Ihrem ISP verbergen. ISPs in vielen Ländern verkaufen aggregierte Browserdaten. Ein VPN verschiebt diese Sichtbarkeit von einem Unternehmen, dem Sie nicht vertrauen, zu einem Unternehmen, das Sie ausdrücklich gewählt haben.

Wo es weniger hilft: Schutz vor einem gezielten staatlichen Gegner, Anonymisierung gegenüber einem Dienst, bei dem Sie eingeloggt sind, Ersatz für Endpunkt-Sicherheitssoftware. Andere Probleme, andere Werkzeuge.

Frequently Asked Questions

In der Praxis sehen

Führen Sie VLESS+Reality auf denselben Servern aus, die wir gerade durchgegangen sind. 3 Tage kostenlos, keine Karte.

VnePN testen