Glossar — VPN-Begriffe in Klartext

Ein Kill switch überwacht den VPN-Tunnel und blockiert sämtlichen Internetverkehr, wenn der Tunnel abreißt — etwa beim WLAN-Wechsel oder wenn der Server die Verbindung verliert. Ohne ihn schickt der Rechner weiterhin Pakete über das normale Netz, bis sich der Client erneut verbindet, und gibt dabei deine echte IP-Adresse preis. Wer ein VPN nutzt, um seinen Standort zu verbergen, kommt am Kill switch in der Praxis nicht vorbei.

Split tunneling teilt den Verkehr in zwei Wege auf. Du kannst zum Beispiel den Browser über das VPN laufen lassen, während Banking-App oder lokale Drucker außen vor bleiben — was sonst oft dazu führt, dass dich der Dienst aussperrt oder spürbar langsamer arbeitet. Das Gegenstück zu Split tunneling — Full tunnel — schickt alles durch das VPN, unabhängig von der App.

Bei Multi-hop (manchmal Double VPN genannt) läuft dein Verkehr durch eine Kette aus zwei Servern in verschiedenen Ländern. Der erste Server sieht deine echte IP, aber nicht, was du aufrufst; der zweite sieht das Ziel, aber nicht, woher der Verkehr ursprünglich stammt. Das schützt vor einem Anbieter, der bei der Log-Disziplin nachlässt, kostet jedoch Geschwindigkeit und ist für die meisten Anwender Overkill.

Jedes Mal, wenn du eine Webseite öffnest, fragt der Rechner den Domainnamen bei einem DNS-Server ab. Geht dieser DNS-Verkehr versehentlich direkt an deinen Internetanbieter statt durch den VPN-Tunnel, sieht der weiterhin die komplette Liste deiner besuchten Seiten — selbst wenn der eigentliche Seitenaufruf verschlüsselt ist. DNS-Leak-Schutz zwingt die Abfragen in den Tunnel.

Ein VPN-Protokoll legt fest, wie Client und Server einen verschlüsselten Tunnel aushandeln und wie die Pakete verpackt werden. WireGuard ist der moderne Standard mit kleiner Codebasis, schnell und gut im Mobilfunknetz. OpenVPN ist älter und langsamer, aber extrem ausgereift und überall verfügbar. IKEv2/IPsec kommt gut mit Netzwerkwechseln zurecht und wird oft auf Mobilgeräten eingesetzt. Ältere Protokolle wie PPTP oder L2TP ohne IPsec sind zu meiden.

Alle seriösen VPN-Dienste verschlüsseln den Verkehr mit AES-256 oder ChaCha20. Beide sind nach heutigem Stand mit bekannten Methoden praktisch unknackbar. Phrasen wie »military-grade« oder »bank-grade encryption« sind reines Marketing — einen solchen Standard gibt es nicht. Wichtiger ist, wie die Schlüssel ausgetauscht werden und ob Perfect Forward Secrecy zum Einsatz kommt, was alle modernen Protokolle tun.

Das Land, in dem das Unternehmen seinen Sitz hat, entscheidet, welche Gerichte und Sicherheitsbehörden Daten anfordern oder den Anbieter zur Protokollierung zwingen können. Länder innerhalb der Five-/Nine-/14-Eyes-Verbünde tauschen Informationen routinemäßig aus; Anbieter mit Sitz außerhalb (zum Beispiel in Panama oder der Schweiz) haben etwas mehr Spielraum. Vor einer schlechten No-logs-Richtlinie schützt das aber nicht — ein Land ohne Speicherpflicht hilft nur, wenn der Anbieter tatsächlich nichts speichert.

Mehr über Five / Nine / 14 Eyes lesen →

Die Serverzahl ist eine beliebte Werbezahl, sagt aber für sich genommen wenig aus. Dreitausend Server in fünf Ländern sind schwächer als dreihundert Server in fünfzig Ländern. Was zählt, ist, ob es Server in deiner Nähe gibt (Latenz) und in den Ländern, in die du dich verbinden möchtest (Geoblocking). Hohe Zahlen spiegeln auch wider, wie der Anbieter zählt — virtuelle Instanzen und Load Balancer werden oft mitgerechnet.

Die Anzahl der Länder mit Servern bestimmt, aus welchen geografischen Regionen du eine IP-Adresse beziehen kannst. Willst du an BBC iPlayer ran, muss es Server in Großbritannien geben; willst du US-Netflix sehen, müssen welche in den USA stehen. Für die meisten reichen 30–50 Länder bequem aus; alles darüber ist hauptsächlich für Sonderfälle.

Die Serverstandorte zeigen, wo du einen Ausgangspunkt erhalten kannst. Manche Anbieter betreiben in allen gelisteten Ländern physische Server; andere nutzen virtuelle Server, bei denen die Maschine woanders steht, aber eine IP-Adresse aus dem Zielland zugewiesen wird. Für Geoblocking sind beide gleichwertig; für die Latenz ist der physische Standort besser.

Ein Gratis-Tarif ist meist eine Kostprobe, keine vollwertige Alternative. Typische Einschränkungen sind 500 MB bis 10 GB Traffic pro Monat, wenige Server-Länder und reduzierte Geschwindigkeit. Halte dich von Gratis-VPN unbekannter Anbieter fern — der Betrieb ist teuer, und wenn du nicht zahlst, bist du wahrscheinlich das Produkt (Werbe-Tracking oder der Weiterverkauf von Traffic).

Die Garantie ist im Grunde ein kostenloser Testzeitraum: Du zahlst den Jahresbeitrag und forderst das Geld zurück, bevor die Frist abläuft, wenn du unzufrieden bist. Lies das Kleingedruckte — manche Anbieter verweigern die Rückerstattung, wenn du zu viel Traffic verbraucht, über den App Store gebucht oder eine Sonderaktion genutzt hast.

Fast alle VPN-Anbieter werben mit stark rabattierten Erstlaufzeit-Preisen und kehren bei der Verlängerung zu einem deutlich höheren regulären Preis zurück. Der Rabatt im ersten Jahr kann bei 60–80 % liegen. Der Verlängerungspreis ist die langfristige Belastung — diese Zahl solltest du vergleichen.

Das Limit gibt vor, wie viele deiner Geräte gleichzeitig im VPN angemeldet sein können. Ein Router zählt als ein Gerät, deckt aber alles ab, was sich dahinter verbindet — die Installation auf dem Router ist also ein guter Weg, das Limit zu schonen. Teilst du das Konto mit der Familie, brauchst du in der Regel Unterstützung für 5–10 gleichzeitige Geräte.

Bei unbegrenzter Zahl gleichzeitiger Verbindungen kannst du dich auf beliebig vielen Geräten gleichzeitig anmelden. Praktisch für Großhaushalte, Smart-Home-Geräte und wenn du das Konto mit der engeren Familie teilen möchtest. Eine angemessene Nutzung wird vorausgesetzt — kommerzielles Teilen wird üblicherweise unterbunden.

Die meisten VPN-Werbeblocker sind im Kern eine DNS-Blockliste: Der Server weigert sich, bekannte Werbedomains aufzulösen. Das wirkt gegen Banner und Drittanbieter-Tracker, greift aber nicht bei Werbung, die auf derselben Domain liegt wie der Inhalt (zum Beispiel YouTube). Ein spezielles Browser-Plugin wie uBlock Origin arbeitet gründlicher. Zwei Vorteile der VPN-Variante: Sie schützt alle Geräte und funktioniert auch in Apps, nicht nur im Browser.

Eine offizielle App des VPN-Dienstes macht die Einrichtung einfach und kümmert sich automatisch um Details wie Kill switch und DNS-Leak-Schutz. Üblich unterstützt werden Windows, macOS, Linux, iOS und Android. Fehlt eine Plattform (zum Beispiel ein bestimmter Router oder Apple TV), lässt sich oft trotzdem manuell eine Verbindung über OpenVPN- oder WireGuard-Konfigurationsdateien herstellen — dann allerdings ohne Zusatzfunktionen.

Eine VPN-Erweiterung in Chrome oder Firefox ist in den meisten Fällen ein HTTPS-Proxy und kein vollständiger VPN-Tunnel. Geschützt wird nur der Browserverkehr; alles andere im Netzwerk (andere Apps, Systemupdates, E-Mail-Client) läuft auf normalem Weg. Nützlich, wenn du vorübergehend das Ausgangsland wechseln willst, ohne einen System-Tunnel einzurichten — aber kein Ersatz für einen richtigen VPN-Client.

Wir setzen Ja, wenn die eigene Seite des Anbieters Streaming als Funktion erwähnt. Viele Streaming-Dienste pflegen Listen mit VPN-IP-Adressen und blockieren diese. Ein Anbieter, der heute funktioniert, kann nächste Woche aussortiert sein. Eine kurze Geld-zurück-Garantie ist die beste Absicherung, wenn Streaming dein Hauptanliegen ist.

Die Anzahl der Streaming-Dienste, die der Anbieter selbst auf seiner Seite als unterstützt auflistet. Manche listen erschöpfend auf einer eigenen Seite, andere nur eine Auswahl, manche gar nicht.