Ein praktischer Leitfaden, wie du den richtigen VPN findest, das passende Protokoll wählst und alles so konfigurierst, dass deine Privatsphäre tatsächlich geschützt ist. Keine Markennamen, nur das, was zählt.
Die meisten Leute installieren ein VPN und denken, sie wären ab sofort unsichtbar. So eine Art digitaler Tarnumhang. Verbinden, das kleine Schloss-Symbol sehen, fertig - komplett anonym, oder?
Weit gefehlt. Ein VPN ist ein Werkzeug, und wie jedes Werkzeug funktioniert es nur dann richtig, wenn du es vernünftig einrichtest und verstehst, was es wirklich tut. Ein schlecht konfiguriertes VPN gibt dir nichts außer ein falsches Sicherheitsgefühl. Und das ist schlimmer als gar kein VPN, denn ohne weißt du wenigstens, dass du ungeschützt bist.
In diesem Leitfaden erfährst du, was ein VPN wirklich tut, wie du einen Anbieter findest, der kein Reinfall ist, welches Protokoll du verwenden solltest und wie du die Datenlecks stopfst, an die die meisten Leute nie denken.
Brauchst du eine kurze Auffrischung? Hier ist unsere einfache Erklärung, was ein VPN ist. Die Kurzfassung: Ein VPN erstellt einen verschlüsselten Tunnel zwischen deinem Gerät und einem Server irgendwo anders. Dein Internetanbieter kann nicht sehen, was du machst, und Webseiten sehen die IP-Adresse des VPN-Servers statt deiner eigenen.
Jetzt aber zu dem, was ein VPN nicht kann:
Es macht dich nicht anonym. Melde dich über ein VPN bei Google an - Google weiß trotzdem, wer du bist. Ein VPN versteckt deine IP-Adresse, nicht deine Identität.
Es schützt dich nicht vor Phishing oder Schadsoftware. Klickst du auf einen gefälschten Banking-Link, verschlüsselt das VPN brav den gesamten Datenverkehr direkt zum Angreifer. Es schützt die Leitung, nicht das, was durchfließt.
Es versteckt dich nicht vor deinem VPN-Anbieter. Du verlagerst das Vertrauen von deinem Internetanbieter auf deinen VPN-Anbieter. Statt dass dein Internetanbieter alles sieht, könnte es jetzt dein VPN-Anbieter sein. Deshalb ist die Wahl des richtigen Anbieters so wichtig.
Wofür ist es dann gut? Deinen Internetanbieter daran hindern, dein Surfverhalten mitzuloggen. Dich in öffentlichen WLANs absichern. Ländersperren umgehen. Durchaus nützlich - erwarte nur keine Wunder.
Der VPN-Markt ist ein einziges Chaos. Gefälschte Bewertungen, aggressive Werbung und “Top 10 VPN”-Seiten, die heimlich VPN-Firmen gehören. Hier ist, worauf es wirklich ankommt.
Keine Protokollierung - aber überprüfbar. Jeder Anbieter behauptet, keine Daten zu speichern. Das steht auf jeder Landingpage. Die Frage ist, ob sie das auch beweisen können. Achte auf Anbieter, die das durch unabhängige Sicherheitsprüfungen von renommierten Firmen belegen. Eine solche Prüfung bedeutet, dass ein externer Gutachter die Infrastruktur tatsächlich untersucht und bestätigt hat, dass keine Nutzerdaten gespeichert werden. Noch besser: Manche Anbieter betreiben ihre Server komplett im RAM, sodass bei jedem Neustart alles gelöscht wird. Keine Festplatten bedeutet keine Daten, die beschlagnahmt werden können.
Quelloffene Software. Wenn die App quelloffen ist, kann jeder den Code einsehen und überprüfen, ob sie tut, was der Anbieter verspricht. Kein verstecktes Tracking, keine heimliche Protokollierung. Nicht-quelloffene Apps sind eine Blackbox. Nicht automatisch schlecht, aber quelloffene Software ist ein starkes Vertrauenssignal.
Finger weg von kostenlosen VPNs. Wenn du nicht zahlst, bist du das Produkt. Kostenlose VPNs wurden dabei erwischt, wie sie Werbung ins Surfen eingeschleust, Tracker installiert und sogar die Bandbreite deines Geräts an Dritte verkauft haben. Genau das, wovor du dich schützen willst, ist bei denen das Geschäftsmodell.
Anonyme Bezahlung. Die besten Anbieter akzeptieren Kryptowährungen, Bargeld oder Gutscheinkarten. Wenn Privatsphäre das Ziel ist, widerspricht eine Zahlung mit der Kreditkarte auf deinen Namen dem ganzen Zweck. Nicht für jeden nötig - wenn du einfach nur Schutz im Café-WLAN willst, ist eine normale Bezahlung völlig in Ordnung.
Eigene Server. Besitzt der Anbieter seine Server tatsächlich selbst oder mietet er sie in Rechenzentren? Eigene physische Hardware bedeutet volle Kontrolle. Angemietete Server bringen eine weitere Partei ins Spiel, die potenziell auf die Infrastruktur zugreifen oder auf rechtliche Anfragen reagieren könnte.
Das Land, in dem dein VPN-Anbieter registriert ist, bestimmt, welche Gesetze für deine Daten gelten.
Die Five Eyes-Allianz (USA, Großbritannien, Kanada, Australien, Neuseeland) ist ein Geheimdienstverbund, der Überwachungsdaten frei untereinander austauscht. Wenn dein VPN-Anbieter seinen Sitz in einem dieser Länder hat, könnte ein Gerichtsbeschluss in einem beliebigen davon eine Herausgabe von Daten erzwingen. Dann gibt es noch die Nine Eyes (zusätzlich Dänemark, Frankreich, Niederlande, Norwegen) und die Fourteen Eyes (zusätzlich Deutschland, Belgien, Italien, Spanien, Schweden). Je weiter der Kreis, desto lockerer die Zusammenarbeit - aber sie existiert.
Heißt das, du solltest niemals ein VPN nutzen, das in einem dieser Länder sitzt? Nicht unbedingt. Ein Anbieter, der wirklich nichts protokolliert, hat auch nichts, was er herausgeben könnte - egal in welchem Land. Aber wenn alles andere gleich ist, schau nach Anbietern in datenschutzfreundlichen Ländern wie der Schweiz, Island, Panama oder Rumänien - Orte mit starkem Datenschutz und ohne Mitgliedschaft in einer Eyes-Allianz.
Eine wichtige Unterscheidung, die oft verwechselt wird: wo der Anbieter registriert ist (Rechtsprechung) und wo sich der Server befindet, mit dem du dich verbindest. Die Rechtsprechung des Anbieters bestimmt, welche rechtlichen Anforderungen er erfüllen muss. Der Serverstandort bestimmt, woher dein Datenverkehr zu kommen scheint. Wenn du Prioritäten setzen musst: Die Rechtsprechung des Anbieters ist wichtiger, denn dort wird der juristische Druck ausgeübt.
Das Protokoll bestimmt deine Verschlüsselung, Geschwindigkeit und das tatsächliche Sicherheitsniveau.
| Protokoll | Geschwindigkeit | Sicherheit | Bewertung |
|---|---|---|---|
| WireGuard | Schnell | Stark | Empfehlung |
| OpenVPN | Mittel | Stark | Solide Alternative |
| IKEv2/IPsec | Schnell | Gut | Gut für Mobilgeräte |
| L2TP/IPsec | Langsam | Ausreichend | Veraltet |
| PPTP | Schnell | Schwach | Nicht verwenden |
WireGuard ist der klare Gewinner. Rund 4.000 Zeilen Code gegenüber über 100.000 bei OpenVPN. Weniger Code bedeutet weniger Fehler, einfachere Überprüfbarkeit und moderne Kryptografie (ChaCha20, Curve25519). Es ist schneller, verbindet sich auf Mobilgeräten sofort wieder und verbraucht weniger Akku. Wenn dein Anbieter es unterstützt, nimm es.
OpenVPN ist die bewährte Alternative - vielfach erprobt, breit unterstützt und solide mit AES-256. Nur langsamer und ressourcenhungriger.
IKEv2 kommt gut mit Netzwerkwechseln klar, was es ideal für Mobilgeräte macht. In iOS, macOS und Windows bereits integriert.
Alles andere? Vergiss es. PPTP hat bekannte Sicherheitslücken aus den frühen 2000ern. Wenn dein Anbieter es noch anbietet, ist das ein Warnsignal.
Die Sache mit kommerziellen VPN-Anbietern ist: Du vertraust immer noch jemand anderem deinen Datenverkehr an. Selbst den besten. Du liest deren Datenschutzrichtlinie, prüfst die Audit-Berichte und hoffst das Beste.
Willst du dieses Vertrauensproblem komplett beseitigen? Betreibe deinen eigenen VPN-Server.
Miete einen kleinen VPS in einem datenschutzfreundlichen Land, installiere WireGuard und verbinde deine Geräte. Dein Datenverkehr läuft durch einen verschlüsselten Tunnel zu einem Server, den nur du kontrollierst. Kein Mittelsmann, keine Protokollierungsrichtlinien, über die du dir Sorgen machen musst. Dank des minimalistischen Designs von WireGuard ist die Konfiguration nur ein paar Zeilen lang - keine seitenlangen Einstellungsdateien.
Der Nachteil: Bei einem kommerziellen VPN vermischt sich dein Datenverkehr mit dem von tausenden anderen Nutzern auf derselben IP-Adresse. Auf deinem eigenen Server bist du der einzige Nutzer. Für den Schutz vor dem Internetanbieter und in öffentlichen WLANs ist das kein Problem. Für Anonymität in der Masse funktioniert ein kommerzieller Anbieter oder Tor besser.
VPN-Verbindungen brechen manchmal ab. Dein WLAN hat einen Schluckauf, der Server startet neu, dein Handy wechselt das Netz. Und genau in dem Moment, in dem das VPN ausfällt, geht dein Datenverkehr direkt über deine normale Verbindung - mit deiner echten IP-Adresse. Schon ein paar Sekunden reichen, damit DNS-Anfragen und Hintergrundverkehr durchsickern.
Ein Kill Switch blockiert jeglichen Internetverkehr, sobald das VPN die Verbindung verliert. Nichts geht rein oder raus, bis die Verbindung wiederhergestellt ist. Stell es dir als eine Art Notabschaltung für deine Privatsphäre vor.
Suche diese Einstellung in deiner VPN-App und aktiviere sie. Manche Anbieter nennen es “Netzwerksperre” oder “Immer-aktives VPN”. Du kannst es auch auf Betriebssystemebene mit Firewall-Regeln einrichten - das ist zuverlässiger, weil es selbst dann funktioniert, wenn die VPN-App abstürzt.
Teste es. Verbinde dich mit deinem VPN und trenne dann absichtlich die Verbindung. Wenn du immer noch surfen kannst, funktioniert dein Kill Switch nicht.
Wenn du alles über das VPN leitest, wird deine Verbindung langsamer, und lokale Dienste oder Streaming-Plattformen können Probleme machen. Mit geteiltem Tunneling wählst du selbst, was durch das VPN geht und was direkt ins Netz darf.
Ein paar praktische Beispiele: Browser- und Messenger-Verkehr über das VPN leiten, aber Videostreaming direkt laufen lassen. Arbeits-Apps über VPN schicken, aber privates Surfen direkt gehen lassen. Die meisten VPN-Apps unterstützen entweder App-basierte Weiterleitung (du wählst aus, welche Apps das VPN nutzen - einfacher) oder adressbasierte Weiterleitung (du bestimmst, welche Zieladressen durch das VPN gehen - feiner steuerbar).
Der Sicherheitskompromiss liegt auf der Hand: Alles, was du vom VPN ausschließt, ist nicht geschützt. Überleg dir, was wirklich Schutz braucht. Im Zweifel leite alles durch und schließe nur das aus, was Probleme verursacht.
Du könntest das beste VPN der Welt haben und trotzdem deinen gesamten Surfverlauf über DNS preisgeben. DNS übersetzt Webseiten-Namen in IP-Adressen, und standardmäßig gehen diese Anfragen oft an die Server deines Internetanbieters - unverschlüsselt und vollständig protokolliert.
Viele VPN-Apps kümmern sich automatisch darum, indem sie DNS-Anfragen durch den Tunnel leiten. Aber nicht alle tun das, und Fehlkonfigurationen kommen häufig vor. Wenn deine DNS-Anfragen außerhalb des Tunnels landen, kann dein Internetanbieter jede Webseite sehen, die du besuchst - obwohl der Rest deines Datenverkehrs verschlüsselt ist.
Lösung: Verschlüsseltes DNS. Zwei Hauptoptionen: DNS over HTTPS (DoH) sendet Anfragen über gewöhnliche HTTPS-Verbindungen, was eine Blockierung erschwert, weil es wie normaler Web-Verkehr aussieht. DNS over TLS (DoT) nutzt eine eigene verschlüsselte Verbindung - etwas schneller, aber leichter zu erkennen und zu blockieren. Beides ist unendlich besser als unverschlüsseltes DNS.
Verwende nicht den DNS deines Internetanbieters. Wähle einen datenschutzorientierten DNS-Anbieter, der keine Anfragen protokolliert und verschlüsseltes DNS unterstützt. Schau dir unsere DNS-Empfehlungen für konkrete Vorschläge an.
Teste auf Lecks. Suche nach dem Verbinden mit deinem VPN nach “DNS leak test” und führe einen durch. Diese Werkzeuge zeigen dir, welche DNS-Server deine Anfragen bearbeiten. Wenn du dabei die Server deines Internetanbieters siehst, hast du ein Leck. Behebe deine DNS-Konfiguration, bevor du irgendetwas anderes machst.
Prüfe auf IP-Lecks. Suche nach dem Verbinden in einer Suchmaschine nach “what is my IP”. Wenn du deine echte IP-Adresse siehst, stimmt etwas nicht. Teste auch auf WebRTC-Lecks - manche Browser verraten deine echte IP-Adresse über WebRTC, selbst wenn ein VPN aktiv ist.
IPv6 im Griff behalten. Viele VPNs leiten nur IPv4-Verkehr durch den Tunnel. Wenn dein Gerät auch IPv6 nutzt (was bei den meisten modernen Geräten der Fall ist), könnte dieser Verkehr komplett am VPN vorbeigehen. Stelle sicher, dass dein VPN IPv6-Tunneling unterstützt, oder deaktiviere IPv6 auf deinem Gerät, solange du verbunden bist.
Vergiss dein Handy nicht. Dein Smartphone leakt genauso viele Daten wie dein Computer - vielleicht sogar mehr, weil ständig irgendwelche Apps nach Hause telefonieren. iPhone-Nutzer finden hier unsere Anleitung zur Sicherheitshärtung.
Bleib konsequent mit deiner Identität. Wenn dein Ziel Anonymität ist, melde dich nicht bei Konten an, die dich identifizieren, während du das VPN nutzt. Sobald du dich bei Gmail einloggst, weiß Google, wer du bist - egal welche IP-Adresse du hast.
Für echte Anonymität: Tor in Betracht ziehen. Ein VPN schützt deine Privatsphäre vor deinem Internetanbieter und dem lokalen Netzwerk. Wenn du tatsächliche Anonymität brauchst - wie Journalisten oder Aktivisten - ist Tor ein anderes Werkzeug für ein anderes Bedrohungsmodell.
Starke Authentifizierung bleibt wichtig. Ein VPN schützt deine Verbindung, nicht deine Konten. Nutze überall sichere Anmeldemethoden.
Dein Aktionsplan:
Oder geh die Extrameile: Verzichte auf kommerzielle Anbieter und betreibe deinen eigenen WireGuard-Server. Volle Kontrolle, kein Vertrauen in Dritte nötig.
Ein VPN macht dich nicht unsichtbar. Aber ein richtig konfiguriertes VPN macht dich zu einem deutlich schwierigeren Ziel. Und in einer Welt, in der jeder an deine Daten will, ist genau das entscheidend.
Konkrete Anbieterempfehlungen findest du auf unserer Ressourcen-Seite.