Was ein VPN technisch macht
Wenn du ohne VPN im Internet surfst, läuft dein Datenverkehr direkt von deinem Gerät über deinen Internetanbieter (ISP) zur aufgerufenen Website. Dein ISP sieht dabei, welche Domains du aufrufst. Die Website sieht deine echte IP-Adresse. Werbenetze, Tracker und neugierige Netzwerkbetreiber im öffentlichen WLAN können mithören.
Ein VPN schaltet einen verschlüsselten Tunnel zwischen deinem Gerät und einem VPN-Server dazwischen. Dein gesamter Traffic wird verschlüsselt zu diesem Server geschickt, der ihn dann im eigenen Namen weiterleitet.
Das Ergebnis: Dein ISP sieht nur, dass du mit einem VPN-Server verbunden bist — nicht, welche Websites du besuchst. Die Website sieht die IP-Adresse des VPN-Servers, nicht deine eigene. Der Haken: Der VPN-Anbieter selbst sieht alles. Du verlegst dein Vertrauen von deinem ISP auf den VPN-Anbieter.
Ein VPN macht deinen Traffic nicht unsichtbar. Es verschiebt die Frage "Wer sieht meinen Traffic?" von deinem Internetanbieter zum VPN-Anbieter. Deshalb ist die Wahl des VPN-Anbieters die wichtigste Entscheidung überhaupt.
Was VPN-Werbung verspricht — und was stimmt
Ein VPN verbirgt deine IP-Adresse gegenüber Websites. Aber Websites identifizieren dich auch über Cookies, eingeloggte Konten (Google, Facebook), Browser-Fingerprinting und Verhaltensmuster. Wer bei Google eingeloggt ist und ein VPN nutzt, ist für Google immer noch vollständig identifizierbar. Anonymität im Internet erfordert deutlich mehr als ein VPN.
Ein VPN verschlüsselt die Verbindung zwischen deinem Gerät und dem VPN-Server. Es scannt keine Dateien, erkennt keine Schadsoftware und schützt nicht vor Phishing-Angriffen. Das ist die Aufgabe von Antivirensoftware. Manche VPN-Anbieter bieten DNS-basiertes Malware-Blocking als Zusatzfunktion an — das ist aber kein vollwertiger Schutz.
Ein VPN schützt deinen Netzwerkverkehr. Es schützt nicht vor Überwachung auf deinem Gerät selbst (z. B. durch Spyware), nicht vor Überwachung auf der Zielwebsite, nicht vor Geheimdiensten die direkt beim VPN-Anbieter ansetzen, und nicht vor Metadaten-Analysen (wann du online bist, wie lange, wie viel Traffic).
Das stimmt für unverschlüsselte Verbindungen (HTTP). Moderne Websites nutzen aber fast ausschließlich HTTPS — dein Traffic ist also bereits durch TLS-Verschlüsselung geschützt, bevor ein VPN dazukommt. Ein VPN in öffentlichen WLANs ist trotzdem sinnvoll: Es verhindert DNS-Leaks, versteckt welche Domains du aufrufst, und schützt vor bestimmten Angriffen auf der Netzwerkebene.
Korrekt. Ohne VPN kann dein Internetanbieter (Telekom, Vodafone, 1&1 etc.) genau sehen, welche Domains du wann aufrufst. Mit VPN sieht er nur, dass du mit einem VPN-Server verbunden bist. In Deutschland ist bekannt, dass ISPs auf Anfrage Bestandsdaten und Verkehrsdaten an Behörden herausgeben müssen. Ein VPN mit ausländischer Jurisdiktion macht das komplizierter.
Ja. Indem du dich mit einem VPN-Server in einem anderen Land verbindest, siehen Streaming-Dienste, Nachrichtenportale oder andere Websites eine IP-Adresse aus diesem Land. Das ermöglicht Zugriff auf geoblockierte Inhalte. Streaming-Dienste versuchen aktiv, bekannte VPN-IPs zu sperren — nicht alle VPNs funktionieren zuverlässig mit Netflix, Disney+ etc.
Wann ein VPN sinnvoll ist
Öffentliche WLANs — Flughafen, Hotel, Café. Auch wenn HTTPS verbreitet ist: Ein VPN verhindert DNS-Leaks und Netzwerk-Level-Angriffe.
ISP-Tracking vermeiden — In Deutschland und der EU können ISPs Verkehrsdaten auf Anfrage herausgeben. Ein VPN mit No-Log-Policy und ausländischer Jurisdiktion macht das deutlich schwieriger.
Geoblocking umgehen — Inhalte aufrufen, die in deinem Land nicht verfügbar sind.
Schutz vor Massenüberwachung — Wer nicht möchte, dass sein Surfverhalten systematisch erfasst und analysiert wird, kann mit einem VPN die Datenlage bei seinem ISP minimieren.
Reisen in Länder mit Internetzensur — Iran, Russland, VAE etc. Hier kann ein VPN mit Obfuskation (verschleierte Verbindung) wichtig sein.
Wenn du überall eingeloggt bist — Google, Facebook und andere Plattformen identifizieren dich über dein Konto, nicht über deine IP. Ein VPN ändert daran nichts.
Als Ersatz für Antivirensoftware — Ein VPN schützt nicht vor Malware, Viren oder Phishing.
Wenn du dem Anbieter nicht traust — Ein billiges oder kostenloses VPN, das deine Daten weiterverkauft, ist schlimmer als gar kein VPN. Das Vertrauen in den Anbieter ist alles.
No-Log, Audits und Jurisdiction — was bedeutet das?
No-Log-Policy
Fast alle VPN-Anbieter behaupten, keine Logs zu speichern. Das bedeutet: Sie zeichnen nicht auf, welche Websites du wann besucht hast. Entscheidend ist, was genau nicht gespeichert wird. Es gibt eine Hierarchie:
- Traffic-Logs — Was du surfst. Seriöse Anbieter speichern das nie.
- Verbindungs-Logs — Wann du verbunden warst, wie lange, mit welchem Server. Manche Anbieter speichern das kurzfristig für technische Zwecke.
- Kontodaten — E-Mail-Adresse, Zahlungsmethode. Das speichern alle Anbieter, die ein Konto verlangen. Einzige Ausnahme: Anbieter wie Mullvad und IVPN, die ohne E-Mail-Konto funktionieren.
Unabhängige Audits
Eine No-Log-Behauptung ist nur so viel wert wie die Überprüfung dahinter. Seriöse Anbieter lassen ihre Infrastruktur regelmäßig von unabhängigen Sicherheitsfirmen prüfen — zum Beispiel Cure53Cure53 ist eine unabhängige deutsche IT-Sicherheitsfirma, die seit 2007 Penetrationstests und Code-Audits für Unternehmen weltweit durchführt. Sie gelten als einer der renommiertesten Anbieter im Bereich VPN-Audits., Deloitte, oder Assured. Ein Audit prüft, ob die Server tatsächlich so konfiguriert sind, dass keine Logs entstehen können. Wichtig: Audits sind Momentaufnahmen. Ein Audit von 2022 sagt nichts darüber aus, was heute passiert. Aktuelle, jährliche Audits sind das Mindestkriterium.
Jurisdiction
In welchem Land ein VPN-Anbieter seinen Sitz hat, bestimmt, welchen Gesetzen er unterliegt. Entscheidend sind zwei Fragen: Gibt es in diesem Land Datenspeicherpflichten für VPN-Anbieter? Und ist das Land Mitglied einer Geheimdienstallianz, die Daten international austauscht?
RAM-Only-Server
Moderne datenschutzorientierte VPNs betreiben ihre Server ausschließlich im Arbeitsspeicher (RAM), ohne physische Festplatte. Beim Neustart des Servers wird alles gelöscht — es gibt buchstäblich nichts zum Herausgeben, selbst wenn ein Server physisch beschlagnahmt wird. Das hat Mullvad 2023 in der Praxis bewiesen, als eine Polizeirazzia ohne Ergebnis blieb. (Quelle: TechRadar)
5/9/14-Eyes erklärt
Nach den Snowden-Enthüllungen 2013 wurde bekannt, dass mehrere westliche Staaten ein formelles Abkommen zur gegenseitigen Geheimdienstkooperation unterhalten. Das bedeutet: Wenn ein Staat Daten über dich haben möchte, kann er einen Verbündeten beauftragen, der weniger strenge Datenschutzgesetze hat — oder er tauscht die Daten direkt aus. Für VPN-Nutzer relevant, weil ein VPN in einem Eyes-Land unter Umständen zur Zusammenarbeit mit ausländischen Geheimdiensten verpflichtet werden kann. Quelle: Unser ausführlicher 5/9/14-Eyes Artikel
Ein VPN-Anbieter mit Sitz in der Schweiz, Panama oder Gibraltar unterliegt keiner Eyes-Allianz-Pflicht zur Datenweitergabe. Das macht eine behördliche Zusammenarbeit zwar nicht unmöglich, aber deutlich aufwendiger. Mullvad (Schweden, 14-Eyes) hat bewiesen, dass eine gute technische Infrastruktur auch in einem Eyes-Land schützen kann — wenn schlicht keine Daten vorhanden sind, die herausgegeben werden könnten.
Wie viele Menschen nutzen VPNs?
In Deutschland ist die VPN-Nutzung überdurchschnittlich hoch — auch wegen des wachsenden Bewusstseins für Datenschutz und dem Misstrauen gegenüber großen Tech-Konzernen. Gleichzeitig ist der VPN-Markt ein Paradebeispiel für intransparentes Marketing: Viele der meistgenutzten Dienste gehören denselben zwei oder drei Konzernen, und die Portale, die sie empfehlen, verdienen an jedem Abschluss mit.
9 Anbieter, alle Fakten — Datenweitergabe-Historie, Jurisdiction, Audits, Eigentümer und Preise. Mit klarer redaktioneller Einschätzung. Keine Affiliate-Links.
→ VPN-Vergleich 2026 ansehen