Top10VPN ist redaktionell unabhängig. Wir können Provisionen erhalten, wenn Sie über Links auf unserer Seite ein VPN kaufen.

Wie funktioniert ein VPN? VPN Verschlüsselung & Tunneling erklärt

JP Jones ist unser CTO. Er besitzt mehr als 25 Jahre Erfahrung in der Softwareentwicklung und im Netzwerkbereich und beaufsichtigt alle technischen Aspekte unseres VPN-Testverfahrens.

Geprüft von Simon Migliano

Unser Urteil

VPN-Software erstellt einen verschlüsselten virtuellen Tunnel zwischen Ihrem Gerät und einem entfernten VPN-Server. Dadurch wird eine sichere Verbindung zwischen Ihnen und dem öffentlichen Internet hergestellt, die Ihre IP-Adresse verbirgt, Ihren Standort verschleiert und Ihre Internetaktivitäten vor Überwachung von außen schützt.

Ein virtuelles privates Netzwerk (VPN) ist ein wertvolles Instrument zum Schutz Ihrer Privatsphäre, Sicherheit und Freiheit im Internet.

In diesem Leitfaden erklären wir, wie VPN-Software funktioniert, um Ihre öffentliche IP-Adresse zu verbergen und Ihre Internetverbindung zu verschlüsseln.

Kurze Zusammenfassung: So funktionieren VPNs

Hier erfahren Sie, was mit Ihrem Internetverkehr passiert, wenn Sie ein VPN verwenden:

  1. Laden Sie die VPN-App auf Ihren Computer, Ihr Smartphone oder Ihrem Fernseher herunter, installieren und aktivieren Sie sie.
  2. In Ihrem Browser geben Sie eine Website ein, auf die Sie zugreifen möchten (z. B. example.com).
  3. Mit der VPN-Software auf Ihrem Gerät wird die Verbindungsanfrage verschlüsselt. Dadurch werden der Standort und der Inhalt Ihrer Anfrage für jeden, der sie ansieht, unverständlich.
  4. Ihre Verbindungsdaten werden an den von Ihnen gewählten VPN-Server gesendet, wo sie entschlüsselt werden.
  5. Der VPN-Server stellt in Ihrem Namen eine Verbindung zur Website her, und die Website sendet die angeforderten Informationen zurück an den VPN-Server.
  6. Diese Informationen werden vom VPN-Server verschlüsselt und an Ihr Gerät weitergeleitet.
  7. Ihre VPN-App entschlüsselt die Informationen und die angeforderte Website erscheint in Ihrem Browser.

Indem Sie den oben beschriebenen Prozess befolgen, können Sie mit einem VPN Ihre IP-Adresse vor den Websites verbergen, die Sie besuchen.

Außerdem können Sie mit VPN-Software Ihre Online-Aktivitäten vor Ihrem ISP, WLAN-Administrator, der Regierung oder anderen Personen, die Ihre Verbindung überwachen, verbergen.

Wie ein Virtual Private Network (VPN) funktioniert

VPN-Software leitet Ihren Internetverkehr durch einen verschlüsselten Tunnel zu einem entfernten Server.

Obwohl alle VPN-Software in gewisser Weise ähnlich ist, gilt dieser Prozess speziell für persönliche oder “Verbraucher”-VPN-Anbieter.

Um zu erfahren, wie Fernzugriff und Standort-VPNs funktionieren, besuchen Sie unseren Leitfaden zu VPN-Typen.

Warum sollten sie uns vertrauen?

Wir sind komplett unabhängig und prüfen VPNs seit 2016. Unsere Empfehlungen basieren auf eigenen Testergebnissen und sind von finanziellen Anreizen unberührt. Erfahren Sie, wer wir sind und wie wir VPNs testen.

Wie verbirgt ein VPN Ihre IP-Adresse?

ZUSAMMENFASSUNG: VPN-Anbieter agieren als Vermittler zwischen Ihrem Gerät und dem Internet. Wenn Sie mit einem VPN im Internet surfen, sehen die Websites, die Sie besuchen, die IP-Adresse des VPN-Servers, mit dem Sie verbunden sind, und nicht Ihre ursprüngliche öffentliche IP-Adresse.

Wenn Sie ohne VPN im Internet surfen, wird Ihre Verbindung direkt von Ihrem Gerät zu dem Server geleitet, der die gewünschte Website oder den gewünschten Dienst hostet.

Damit der Webserver die entsprechenden Inhalte an Sie zurücksenden kann, muss er Ihre IP-Adresse kennen.

Ihre IP-Adresse ist sozusagen Ihr Reisepass im Internet. Sie ist eine eindeutige Kennung, die anderen Computern mitteilt, wohin sie Informationen senden sollen, wenn sie Sie erreichen wollen.

Verwenden Sie unser Tool “Was ist meine IP”, um Ihre öffentliche IP-Adresse zu ermitteln.

Mit Ihrer IP-Adresse sind viele persönliche Informationen verbunden. Sie verrät Ihren geografischen Standort und kann verwendet werden, um ein Gesamtbild Ihrer Online-Aktivitäten zu erstellen.

Aus diesen Gründen verwenden viele Menschen ein VPN, um ihre IP-Adresse zu verbergen.

Wenn Sie mit einem VPN im Internet surfen, wird Ihre Verbindung immer zu einem entfernten VPN-Server geleitet, bevor sie zu dem Webserver geht, der die gewünschte Website oder den gewünschten Dienst hostet.

Wenn der Webserver Informationen an Sie zurücksendet, schickt er sie an den VPN-Server, der sie dann an Sie weiterleitet. Das bedeutet, dass die Websites, die Sie besuchen, nie mit Ihrer echten IP-Adresse in Kontakt kommen.

Diagramm, das zeigt, wie ein VPN Ihre IP-Adresse von der von Ihnen besuchten Website verbirgt

Die Websites, die Sie besuchen, erhalten nur eine Verbindungsanfrage, die von einem VPN-Server kommt. Sie senden dann Informationen an diesen VPN-Server.

EXPERTEN-TIPP: Gute VPN-Anbieter haben Server an Dutzenden von Standorten. Sie können Websites vorgaukeln, dass Sie sich in einem anderen Land befinden, indem Sie sich mit einem VPN-Server dort verbinden. Auf diese Weise verwenden Menschen VPNs, um ihre Region bei Netflix und anderen Streaming-Diensten zu ändern.

Wie verschlüsseln und sichern VPNs Ihre Daten?

ZUSAMMENFASSUNG: VPN-Anbieter verwenden Verschlüsselungscodes und Verbindungsprotokolle, um Ihren Internetverkehr in unverständlichen Code umzuwandeln. Dies verhindert, dass Ihr Internetanbieter, die Regierung und andere Dritte den Inhalt Ihrer Surfaktivitäten einsehen können. Ein sicheres VPN sollte keine schwächere Verschlüsselung als die AES-256-Chiffre verwenden, um Ihre Daten zu verschlüsseln.

Bei der Verschlüsselung werden normale Textdaten in einen geheimen Code umgewandelt, der nur für jemanden verständlich ist, der weiß, wie man ihn entschlüsselt.

Der Zweck der Verschlüsselung besteht darin, unerwünschte Personen daran zu hindern, Ihre Nachrichten zu lesen.

VPNs verwenden Verschlüsselung, um die Details Ihrer Surfaktivitäten zu verbergen, während sie zwischen Ihrem Gerät und dem VPN-Server übertragen werden.

Die Verwendung eines VPNs verhindert, dass Internetanbieter, Regierungen, WLAN-Administratoren, Hacker und andere dritte Parteien Ihre Verbindung ausspionieren können.

Aber wie funktioniert das eigentlich? Wie verschlüsselt und sichert ein VPN Ihre Daten?

Im weiteren Verlauf dieses Abschnitts werden wir uns die verschiedenen Komponenten und Prozesse, aus denen sich die VPN-Verschlüsselung zusammensetzt, genauer ansehen, beginnend mit dem VPN-Tunnel.

Was ist ein VPN Tunnel?

Ein “VPN-Tunnel” ist eine gängige Beschreibung dessen, was passiert, wenn Sie eine VPN-Verbindung einrichten. Einfach ausgedrückt, handelt es sich um die verschlüsselte Kommunikation zwischen Ihrem Gerät und dem VPN-Server.

Diese Kommunikation wird als Tunnel bezeichnet, weil Ihr ursprünglicher Datenverkehr verschlüsselt ist und von einer Schicht unverschlüsselten Datenverkehrs umgeben ist.

Als würde man einen Umschlag mit einem geschriebenen Brief nehmen und ihn in einen zweiten Umschlag mit einer neuen Adresse stecken. Ihre eigentliche Nachricht wird vor der Außenwelt völlig verborgen – als befände sie sich in einem Tunnel.

Dieser Vorgang wird als Verkapselung bezeichnet und von speziellen Tunneling-Protokollen durchgeführt.

Weitere Informationen zu Tunneling-Protokollen finden Sie im Abschnitt VPN-Verschlüsselung weiter unten.

Verschlüsselungs-Chiffre

Die Private Internet Access App zeigt, wie Sie Ihre VPN-Verschlüsselungseinstellungen anpassen können.

Um Ihre Online-Aktivitäten in einen unverständlichen Code umzuwandeln, müssen VPNs eine Verschlüsselungs-Chiffre verwenden.

Eine Chiffre ist lediglich ein bestimmter Algorithmus (d. h. eine Reihe von Regeln), mit dem Daten ver- und entschlüsselt werden können.

BEISPIEL: Eine sehr einfache Chiffre könnte Ihre Daten verschlüsseln, indem sie die Regel “Tausche jeden Buchstaben in der Nachricht mit dem Buchstaben, der ihm im Alphabet vorausgeht” verwendet. Privatsphäre wird also zu oqhußsrogzqd.

Chiffren sind in der Regel mit einer bestimmten Schlüssellänge verbunden. Im Allgemeinen gilt: Je länger die Schlüssellänge, desto sicherer ist die Verschlüsselung. Zum Beispiel gilt AES-256 als sicherer als AES-128.

Die am häufigsten in VPN-Anbietern verwendeten Verschlüsselungen sind:

1Advanced Encryption Standard (AES)

Der Advanced Encryption Standard (AES) ist eine der sichersten verfügbaren Verschlüsselungen. Er ist der Goldstandard für Online-Verschlüsselungsprotokolle und wird in der VPN-Branche häufig verwendet.

AES wurde 2001 vom US-amerikanischen National Institute of Standards and Technology (NIST) entwickelt und ist manchmal auch als Rijndael-Algorithmus bekannt. Er ist so entwickelt worden, dass er aufgrund seiner größeren Blockgröße größere Dateien verarbeiten kann als andere Chiffren, wie z. B. Blowfish.

AES ist in der Regel in 128-Bit- und 256-Bit-Key-Längen erhältlich. Während AES-128 immer noch als sicher gilt, wissen wir, dass Organisationen wie die NSA immer wieder versuchen, Verschlüsselungsstandards zu untergraben. Daher wird AES-256 bevorzugt, da es wahrscheinlich einen viel größeren Schutz bietet.

Wenn Sie auf der Website eines VPN-Anbieters von “militärischer” oder “bankengerechter” Verschlüsselung lesen, bezieht sich das in der Regel auf die Verwendung von AES-256. Die US-Regierung verwendet AES-256-Verschlüsselung, um ihre eigenen sensiblen Daten zu schützen, und darauf achten wir, wenn wir VPNs testen und bewerten.

2Blowfish

Blowfish ist eine Chiffre, die 1993 von dem amerikanischen Kryptografen Bruce Schneier entwickelt wurde. Sie war früher die Standardchiffre für die meisten VPN-Verbindungen, wurde aber inzwischen weitgehend durch AES-256 ersetzt.

In der Regel wird Blowfish mit einer Key-Länge von 128 Bit verwendet, obwohl die Key-Länge von 32 Bit bis 448 Bit reichen kann.

Blowfish weist einige Schwachstellen auf. Am bekanntesten ist seine Anfälligkeit für einen kryptografischen Angriff, der als “Geburtstagsangriff” bekannt ist. Aus diesem Grund sollte Blowfish nur als Ausweichlösung für AES-256 verwendet werden.

3ChaCha20

ChaCha20 wurde 2008 von Daniel Bernstein veröffentlicht und ist eine relativ neue VPN-Verschlüsselungs-Chiffre. Trotzdem wird sie immer beliebter, da sie die einzige Chiffre ist, die mit dem beliebten WireGuard-Protokoll kompatibel ist.

Genau wie AES verwendet ChaCha20 eine Schlüssellänge von 256 Bit, die als sehr sicher gilt. Berichten zufolge ist ChaCha20 außerdem bis zu dreimal schneller als AES.

Gegenwärtig sind keine Schwachstellen bei ChaCha20 bekannt, und es stellt eine willkommene Alternative zu AES dar, da die Verschlüsselungstechnologien in nicht allzu ferner Zukunft die Herausforderung des Quantencomputers annehmen werden.

4Camellia

Camellia ist eine Chiffre, die in Bezug auf Sicherheit und Geschwindigkeit dem AES sehr ähnlich ist. Selbst bei Verwendung der kleineren Key-Länge (128 Bit) gilt es beim derzeitigen Stand der Technik als unmöglich, sie mit einem Brute-Force-Angriff zu knacken. Es sind keine erfolgreichen Angriffe bekannt, die die Camellia-Chiffre effektiv schwächen.

Der Hauptunterschied zwischen Camellia und AES besteht darin, dass es nicht vom NIST zertifiziert ist, der US-Organisation, die AES entwickelt hat.

Obwohl es sicherlich ein Argument für die Verwendung einer Verschlüsselung gibt, die nicht mit der US-Regierung verbunden ist, ist Camellia nur selten in VPN-Software verfügbar und wurde auch nicht so gründlich getestet wie AES.

VPN Protokolle

VPN-Protokolle sind die Regeln und Prozesse, die Ihr Gerät befolgt, um eine sichere Verbindung mit dem VPN-Server herzustellen.

Mit anderen Worten: Das VPN-Protokoll bestimmt, wie der VPN-Tunnel gebildet wird, während der Verschlüsselungscode zur Verschlüsselung der Daten verwendet wird, die durch diesen Tunnel fließen.

Je nach verwendetem Protokoll hat ein VPN unterschiedliche Geschwindigkeiten, Fähigkeiten und Schwachstellen. Bei den meisten Diensten können Sie in den App-Einstellungen auswählen, welches Protokoll Sie verwenden möchten.

Es gibt mehrere VPN-Protokolle, aber nicht alle sind sicher. Hier finden Sie einen kurzen Überblick über die gängigsten

  • OpenVPN: Open-Source, extrem sicher und mit fast allen VPN-fähigen Geräten kompatibel.
  • WireGuard: Es ist unglaublich schnell und sehr effizient, muss aber noch das Vertrauen der VPN-Branche gewinnen, da es erst kürzlich veröffentlicht wurde.
  • IKEv2/IPsec: Ein Closed-Source-Protokoll, das sich hervorragend für mobile VPN-Nutzer eignet, aber im Verdacht steht, von der NSA kompromittiert zu sein.
  • SoftEther: Wird zwar nicht von vielen VPN-Anbietern unterstützt, ist aber schnell, sicher und eignet sich hervorragend zur Umgehung der Zensur.
  • L2TP/IPsec: Ein langsameres Protokoll, das ebenfalls im Verdacht steht, von der NSA gehackt worden zu sein.
  • SSTP: Kommt gut mit Firewalls zurecht, ist aber ein Closed-Source-Programm und potenziell anfällig für Man-in-the-Middle-Angriffe.
  • PPTP: Veraltet, unsicher und sollte auf jeden Fall vermieden werden.

MEHR ERFAHREN: Für einen tieferen Einblick in die verschiedenen Arten von VPN-Protokollen und um zu erfahren, welches das beste ist, lesen Sie unseren Leitfaden zu den VPN-Protokollen.

VPN Handshakes

Zusätzlich zu den Protokollen und Chiffren verwenden VPNs auch Verfahren, die als Handshakes und Hash-Authentifizierungen bekannt sind, um Ihre Verbindung weiter zu sichern und zu authentifizieren.

Ein Handshake bezieht sich auf die erste Verbindung zwischen zwei Computern. Dabei handelt es sich um eine Begrüßung, bei der sich beide Parteien gegenseitig authentifizieren und die Regeln für die Kommunikation festgelegt werden.

Bei einem VPN Handshake baut der VPN-Client (d.h. Ihr Gerät) eine erste Verbindung mit dem VPN-Server auf.

Diese Verbindung wird dann verwendet, um einen Verschlüsselungsschlüssel sicher zwischen Client und Server auszutauschen. Dieser Schlüssel wird zum Ver- und Entschlüsseln der Daten an beiden Enden des VPN-Tunnels für Ihre gesamte Browsing-Sitzung verwendet.

Diagramm des Schritt-für-Schritt-Prozesses eines VPN-Handshakes zwischen VPN-Client und VPN-Server

VPN-Handshakes verwenden in der Regel den RSA-Algorithmus (Rivest-Shamir-Adleman). RSA ist seit zwei Jahrzehnten die Grundlage für die Internetsicherheit.

Es gibt zwar noch keine eindeutigen Beweise dafür, dass RSA-1024 geknackt wurde, aber angesichts der heute verfügbaren Rechenleistung wird es allgemein als Sicherheitsrisiko angesehen.

RSA-2048 ist eine weitaus sicherere Alternative und geht mit einer relativ geringen Verlangsamung der Berechnungen einher. Daher sind die meisten VPN-Anbieter von der Verwendung von RSA-1024 abgerückt.

Sie sollten nur VPN-Anbietern vertrauen, die RSA-2048 oder RSA-4096 verwenden.

Obwohl das Handshake-Verfahren gut funktioniert und eine sichere Verschlüsselung erzeugt, kann jede erzeugte Sitzung mit dem im RSA-Handshake verwendeten privaten Schlüssel entschlüsselt werden. In diesem Sinne ist er wie ein “Generalschlüssel”.

Sollte der Hauptschlüssel jemals kompromittiert werden, könnte er verwendet werden, um jede sichere Sitzung auf diesem VPN-Server zu entschlüsseln, ob in der Vergangenheit oder in der Gegenwart. Ein Angreifer könnte sich in den VPN-Server hacken und Zugriff auf alle Daten erhalten, die durch den VPN-Tunnel fließen.

Um dies zu vermeiden, empfehlen wir die Nutzung von VPN-Anbietern, die mit Perfect Forward Secrecy eingerichtet sind.

Perfect Forward Secrecy

Illustration eines VPN-Clients und eines VPN-Servers in getrennten Räumen erzeugen beide denselben temporären Schlüssel zur Verschlüsselung ihrer Sitzung

Perfect Forward Secrecy ist ein Protokollmerkmal, das entweder den Diffie-Hellman (DH)– oder den Elliptic Curve Diffie-Hellman (ECDH)-Schlüsselaustauschalgorithmus verwendet, um temporäre Sitzungsschlüssel zu erzeugen.

Perfect Forward Secrecy stellt sicher, dass der Verschlüsselungsschlüssel niemals über die Verbindung ausgetauscht wird.

Stattdessen generieren sowohl der VPN-Server als auch der VPN-Client den Schlüssel unabhängig voneinander mit Hilfe des DH- oder ECDH-Algorithmus selbst.

Es ist ein mathematisch komplexer Prozess, aber Perfect Forward Secrecy beseitigt im Wesentlichen die Bedrohung durch einen einzigen privaten Schlüssel, der, wenn er kompromittiert wird, jede sichere Sitzung, die jemals auf dem Server gehostet wurde, offenlegt.

Stattdessen sind die Schlüssel vorübergehend. Das bedeutet, dass sie immer nur eine bestimmte Sitzung offenbaren können, und nichts weiter.

Es ist zu beachten, dass RSA allein kein Perfect Forward Secrecy bieten kann. DH oder ECDH müssen in die RSA-Chiffre-Suite aufgenommen werden, damit sie implementiert werden kann

ECDH kann auch allein – anstelle von RSA – verwendet werden, um einen sicheren VPN-Handshake mit Perfect Forward Secrecy zu erzeugen. Seien Sie jedoch vorsichtig bei VPN-Anbietern, die DH allein verwenden, da es anfällig ist, geknackt zu werden. In Verbindung mit RSA ist dies kein Problem.

Die drei VPN-Protokolle, die wir unseren Lesern immer empfehlen – OpenVPN, WireGuard und IKEv2 – unterstützen alle Perfect Forward Secrecy.

Hash-Authentifizierung

Sichere Hash-Algorithmen (SHA) werden zur Authentifizierung der Integrität von übertragenen Daten und Client-Server-Verbindungen verwendet. Sie stellen sicher, dass die Informationen während der Übertragung zwischen Quelle und Ziel nicht verändert wurden.

SHAs funktionieren, indem sie die Quelldaten mithilfe einer so genannten Hash-Funktion bearbeiten. Die ursprüngliche Nachricht durchläuft einen Algorithmus und das Ergebnis ist eine Zeichenkette fester Länge, die dem Original nicht ähnlich sieht. Dies wird als “Hash-Wert” bezeichnet.

Es handelt sich um eine Einwegfunktion – Sie können keinen De-Hash-Prozess durchführen, um die ursprüngliche Nachricht aus dem Hash-Wert zu ermitteln..

Hashing ist sinnvoll, weil die Änderung von nur einem Zeichen der Eingabedaten den von der Hash-Funktion ausgegebenen Hash-Wert völlig verändert.

Ein VPN-Kunde lässt die vom Server empfangenen Daten zusammen mit dem geheimen Schlüssel durch eine beim VPN-Handshake vereinbarte Hash-Funktion laufen.

Weicht der vom Kunden generierte Hash-Wert vom Hash-Wert in der Nachricht ab, werden die Daten verworfen, da die Nachricht manipuliert wurde.

Die SHA-Hash-Authentifizierung verhindert Man-in-the-Middle-Angriffe, da sie in der Lage ist, jede Manipulation eines gültigen Zertifikats zu erkennen.

Ohne sie könnte sich ein Hacker als legitimer VPN-Server ausgeben und Sie dazu verleiten, sich mit einem unsicheren Server zu verbinden, auf dem Ihre Aktivitäten überwacht werden könnten.

Um maximale Sicherheit zu gewährleisten, empfehlen wir die Verwendung von VPN-Anbietern, die SHA-2 oder höher verwenden. SHA-1 hat nachweislich Schwachstellen, die die Sicherheit beeinträchtigen können.