Ein VPN einzuschalten ist trivial. Zu überprüfen, dass es tatsächlich hält, was es verspricht – das ist eine ganz andere Sache. Die meisten Nutzer klicken auf „Verbinden“, sehen ein grünes Häkchen und halten es damit für erledigt. Der Client zeigt eine ausländische IP, also muss alles in Ordnung sein. Nur sagt dieses grüne Licht nichts über DNS-Anfragen aus, die im Klartext zu Ihrem Provider hinausgehen, über die echte IP, die WebRTC jeder Website preisgibt, die den Browser abfragt, oder über den Kill-Switch, der nie auslöst, weil ein OS-Update die Erweiterung stillschweigend deaktiviert hat.
Dieses Audit aus neun Tests dauert beim ersten Mal etwa eine halbe Stunde, danach als vierteljährliche Routine fünfzehn bis zwanzig Minuten. Es geht über die klassischen Lecks (IP, DNS, WebRTC, IPv6) hinaus – es prüft auch die plattformseitige Geolokalisierung beim Streaming, das Browser-Fingerprinting (das das VPN überlebt) und die Gesamtstabilität über zehn Minuten realer Bedingungen. Es ist anspruchsvoller als die meisten schnellen 7-Schritte-VPN-Checks, und es ist genau das Protokoll, das wir auf die VPNs anwenden, die wir intern für unsere veröffentlichte Methodik testen.
Warum ein auf „AN“ gestelltes VPN allein nie ausreicht
Der verschlüsselte Tunnel zwischen Ihrem Gerät und dem VPN-Server ist solide. Er nutzt OpenVPN, WireGuard oder IKEv2 mit modernen Cipher-Suites (AES-256-GCM, ChaCha20-Poly1305) – die kryptografische Schicht selbst hat seit 2018 im Wesentlichen aufgehört, das schwache Glied zu sein. Das schwache Glied ist heute alles, was den Tunnel ohne Ihr Wissen umgeht.
Vier Schwachstellen machen den Großteil defekter VPN-Konfigurationen aus. Erstens stille DNS-Lecks: Ihr Betriebssystem löst Domainnamen weiterhin über den DNS-Server Ihres Providers auf, der somit jede besuchte Seite sieht, obwohl der Inhalt verschlüsselt ist. Zweitens browserseitige WebRTC-Lecks: Ein JavaScript-Schnipsel auf einer beliebigen Seite sondiert ICE-Kandidaten und ruft trotz aktivem VPN Ihre lokale und echte öffentliche IP ab. Dies ist in RFC 8826 zu WebRTC-Sicherheitsüberlegungen dokumentiert und der am meisten ausgenutzte De-Anonymisierungsvektor verhaltensbasierter Marketing-Netzwerke.
Drittens unverwaltetes IPv6: Ihr Provider stellt IPv6 nativ bereit (BT, Sky, Virgin Media in Großbritannien; Comcast, Verizon in den USA), Ihr VPN tunnelt nur IPv4, und das Ergebnis ist, dass Google, Cloudflare und Facebook Ihre echte IPv6 sehen, während Sie sich hinter der IPv4 des VPN geschützt wähnen. Viertens ein fehlender oder defekter Kill-Switch: Bei jedem VPN-Abbruch (WLAN-Wechsel, Bildschirm-Suspend, Client-Update) läuft Ihr Datenverkehr im Klartext weiter, ohne sichtbare Warnung, manchmal minutenlang vor der automatischen Wiederverbindung.
Die Electronic Frontier Foundation bringt es auf den Punkt: Ein VPN ist ein Werkzeug zur Delegation von Vertrauen, nicht zur absoluten Anonymisierung. Sie verlagern das Vertrauen von Ihrem Provider auf Ihren VPN-Anbieter, unter der Bedingung, dass dieser den Tunnel korrekt konfiguriert, clientseitige Lecks behandelt und seine Logging-Richtlinie einhält. Diese drei technischen Bedingungen zu überprüfen, ist Sinn der folgenden Tests.
Test 1 — Ist Ihre öffentliche IP tatsächlich maskiert?
Dies ist der grundlegendste Test und derjenige, der die plumpsten defekten Konfigurationen in unter 30 Sekunden auffängt. Öffnen Sie unser My-IP-Tool zuerst ohne das VPN. Notieren Sie die angezeigte IPv4-Adresse, die IPv6 falls vorhanden und – entscheidend – den Namen des Internetanbieters (BT, Sky, Virgin Media, Comcast, Verizon, Spectrum in den USA; usw.). Das ist Ihre Ausgangsbasis.
Aktivieren Sie nun das VPN auf einem Server Ihrer Wahl – wählen Sie einen geografisch nahen Server, um die Testlatenz niedrig zu halten. Laden Sie die Seite neu. Die IPv4 muss völlig anders sein. Der angezeigte Anbieter muss auf einen Rechenzentrums-Hostnamen wechseln: Tefincom S.A. (NordVPN-Tochter, Panama), Datacamp Limited (CDN77, ebenfalls von NordVPN genutzt), M247 Europe (von mehreren VPNs genutzt), Tata Communications, Leaseweb, Hetzner Online, DigitalOcean oder OVH. Auch die erkannte Geolokalisierung sollte sich auf das Land des gewählten Servers verschoben haben.
Hat sich die IP nach der Aktivierung nicht geändert, ist entweder der VPN-Client nicht wirklich verbunden (prüfen Sie den Schnittstellenstatus) oder Ihr Firmennetzwerk leitet den Verkehr über einen Proxy, der das VPN übersteuert. Ein selteneres Fall: Bei manchen falsch eingerichteten Split-Tunnel-Konfigurationen lässt der Client den Browser im Klartext, während er andere Apps tunnelt – deaktivieren Sie für diesen Test das Split-Tunneling.
Notieren Sie auch das erkannte Land: Es muss mit dem gewählten Server übereinstimmen. Eine Diskrepanz (Server als Niederlande gelistet, Geolokalisierung zeigt Deutschland) deutet entweder auf einen schlecht referenzierten Server in der MaxMind GeoIP2 oder den IP2Location-Datenbanken hin oder auf eine Transitroute, die trotz der niederländischen Ansage in Deutschland austritt. Nicht kritisch für den Datenschutz, aber wichtig, wenn Sie einen bestimmten Streaming-Katalog anvisieren – Netflix liest die MaxMind-Geolokalisierung, nicht das vom VPN deklarierte Land.
Test 2 — DNS-Lecks: die stille Falle
Eine korrekt maskierte IP garantiert nichts über DNS. Das klassische Szenario: Der Tunnel verschlüsselt allen ausgehenden HTTPS-Verkehr, aber Ihr Betriebssystem löst netflix.com, bbc.co.uk oder nytimes.com weiterhin über den DNS-Server des Providers auf, der beim Beitritt zum WLAN konfiguriert wurde. Ihr Provider sieht also Ihren Domainverlauf, chronologisch indiziert, auf die Sekunde genau zeitgestempelt. Kein sichtbares Signal in Ihrem VPN-Client.
Dies ist das häufigste und am wenigsten sichtbare Leck – daher seine absolute Kritikalität. Der schnelle Test: Besuchen Sie dnsleaktest.com bei aktivem VPN, klicken Sie auf „Extended Test“ (niemals den „Standard Test“, der unzureichend ist) und warten Sie 10 bis 20 Sekunden. Das Tool sendet rund zwanzig eindeutige DNS-Anfragen und listet jeden Server auf, der geantwortet hat. Stimmt auch nur einer dieser Server mit Ihrem Provider überein (BT, Sky, Virgin Media, Comcast, Verizon…), haben Sie ein bestätigtes Leck.
Ergänzender Test: unser internes DNS-Leak-Tool, das DNS-, WebRTC- und IPv6-Erkennung in einem Durchgang kombiniert. Es ist die schnellste Prüfung, um in 30 Sekunden zu bestätigen, dass die drei Haupttypen von Lecks neutralisiert sind. Für die detaillierte Methode pro Betriebssystem – wie man Smart Multi-Homed Name Resolution unter Windows 11 deaktiviert, wie man das VPN-DNS unter macOS erzwingt, wie man systemd-resolved unter Linux behandelt – siehe unseren vollständigen Leitfaden zum DNS-Leak-Test, der jede Korrektur im Detail behandelt.
Bei guten bezahlten VPNs besteht dieser Test ohne jede Konfiguration: NordVPN, ExpressVPN, Surfshark, ProtonVPN und Mullvad schieben bei Aktivierung ihre eigenen rekursiven DNS-Server vor. Bei kostenlosen oder Billig-VPNs entscheidet das Betriebssystem – und das Betriebssystem nimmt standardmäßig den Server des Providers, was ein Leck garantiert.
Test 3 — WebRTC-Lecks: die Browser-Falle
WebRTC ist für Peer-to-Peer-Kommunikation im Browser konzipiert – Google-Meet-Videoanrufe, Echtzeit-Dateifreigabe, Online-Gaming. Um zu funktionieren, versucht es, alle IP-Adressen Ihres Geräts zu entdecken: lokale IP (192.168.x.x), öffentliche IPv4, öffentliche IPv6, STUN- und TURN-Kandidaten. Einschließlich der IPs, die Ihr VPN maskieren soll. Wenn nichts es auf VPN-Client- oder Browser-Seite blockiert, kann jeder JavaScript-Schnipsel auf jeder Seite im Hintergrund Ihre echte IP auslesen, ohne Benutzerinteraktion und ohne angefragte Berechtigung.
Dies ist das heimtückischste Leck der neun Tests. Von außen zeigt das VPN „verbunden“, die über das Web-Tool gesehene öffentliche IP ist maskiert, DNS besteht. Aber WebRTC verrät stillschweigend Ihre echte IP an jede Seite, die den Browser abfragt – es wird massiv von Werbenetzwerken und Betrugserkennungsplattformen genutzt.
Der Test: Führen Sie unser DNS-Leak-Test-Tool aus, das die WebRTC-ICE-Kandidaten aus Ihrem Browser sondiert und jede offengelegte IP auflistet. Vergleichen Sie mit der in Test 1 notierten VPN-Austritts-IP. Erscheint in der WebRTC-Liste eine andere öffentliche IP, ist das Leck bestätigt. Erscheint nur die IP des VPN-Servers, ist der Schutz wirksam.
Lösungen in abnehmender Wirksamkeit. Erstens: WebRTC-Schutz im VPN-Client aktivieren – die meisten guten VPNs haben diese Option, manchmal „WebRTC Leak Protection“ oder „Disable WebRTC“ genannt. Zweitens: die offizielle Browser-Erweiterung des Anbieters installieren, die WebRTC auf Browser-Ebene deaktiviert und robuster ist als eine clientseitige Sperre. Drittens: WebRTC manuell deaktivieren: In Firefox about:config eingeben und media.peerconnection.enabled auf false setzen; in Chrome uBlock Origin verwenden, mit aktivierter Option „Prevent WebRTC from leaking local IPs“ in den Datenschutzeinstellungen.
Hinweis: Brave hat einen gut konfigurierten nativen WebRTC-Schutz und ist einer der wenigen Mainstream-Browser, die diesen Test ohne zusätzliche Erweiterung bestehen. Tor Browser blockiert WebRTC per Design vollständig.
Test 4 — Löst der Kill-Switch tatsächlich aus?
Der Kill-Switch kappt automatisch Ihre Internetverbindung, wenn der VPN-Tunnel abbricht. Ohne ihn genügt eine einsekündige Trennung – WLAN-Wechsel, Aufwachen aus dem Ruhezustand, Client-Update, CPU-Suspendierung –, um Ihre echte IP allen gerade genutzten Anwendungen und Seiten preiszugeben. Bei einem langen Download oder einer Streaming-Sitzung kann die Preisgabe mehrere Minuten dauern, bevor der VPN-Client sich automatisch wiederverbindet.
Der einfache Test, und derjenige, den wir in internen Audits systematisch anwenden. Starten Sie im Hintergrund einen langen Download: Das Ubuntu-LTS-ISO (4 GB) eignet sich perfekt dafür, oder jeder legale Linux-Distributions-Torrent. Prüfen Sie, dass die Geschwindigkeit stabil ist. Klicken Sie dann entweder im VPN-Client abrupt auf „Trennen“ oder beenden Sie den Client-Prozess über den Task-Manager (Strg+Umschalt+Esc unter Windows, Aktivitätsanzeige unter macOS, killall unter Linux). Der Download muss binnen einer Sekunde schlagartig stoppen.
Läuft er weiter, ist Ihr Kill-Switch nicht aktiv. Prüfen Sie die Option in den erweiterten Einstellungen des Clients (manchmal „Network Lock“, „Internet Kill Switch“ oder „App Kill Switch“ genannt). Bei manchen Clients existieren zwei Stufen: System-Kill-Switch (kappt alles) oder App-Kill-Switch (kappt nur gelistete Apps). Für strenge Datenschutz-Audits aktivieren Sie die Systemstufe.
Sekundärtest – oft übersehen, aber kritisch: Verhalten beim Systemstart. Verbindet sich Ihr VPN wieder, bevor der Browser seine ersten Hintergrundanfragen sendet? Wenn nicht, kann das Zeitfenster zwischen OS-Start und VPN-Aktivierung Ihre IP an die automatisch ladenden Tracker preisgeben (Google Analytics auf gebookmarkten Tabs, Facebook Pixel auf Nachrichtenseiten, Push-Benachrichtigungen verbundener Dienste). Lösung: Aktivieren Sie „Beim Start starten“ + „Beim Start automatisch verbinden“ + „Verkehr blockieren, bis das VPN verbunden ist“ im Client. Deaktivieren Sie außerdem die Browser-Sitzungswiederherstellung, wenn sie sensible Tabs öffnet.
Test 5 — Echte Geschwindigkeit: was ein VPN wirklich an Leistung kostet
Ein gut konfiguriertes VPN auf einem modernen Protokoll verliert typischerweise 5 bis 15 % Durchsatz auf einem geografisch nahen Server und fügt je nach physischer Entfernung zum Server 10 bis 40 ms Latenz hinzu. Jenseits dieser Schwellen ist entweder der Server zu Stoßzeiten überlastet, das gewählte Protokoll veraltet (insbesondere OpenVPN TCP, das zwei Neuübertragungsmechanismen stapelt und die Latenz ruiniert), oder Ihr VPN liegt technisch unter dem Marktstandard von 2026.
Eine korrekte Messmethodik zählt ebenso viel wie die reinen Zahlen. Verwenden Sie unser Speed-Test-Tool in einer reproduzierbaren Abfolge. Erster Durchgang ohne VPN: drei aufeinanderfolgende Messungen im Abstand von 30 Sekunden, nehmen Sie den Median für Download, Upload und Latenz. Notieren Sie die Zahlen. Zweiter Durchgang mit VPN aktiv auf dem nächstgelegenen Server (London von Großbritannien aus, New York von der US-Ostküste usw.): drei aufeinanderfolgende Messungen unter denselben Bedingungen, Median. Berechnen Sie den prozentualen Verlust: (Geschwindigkeit ohne VPN − Geschwindigkeit mit VPN) / Geschwindigkeit ohne VPN × 100.
Alarmschwellen. Liegt der Verlust > 30 % des Durchsatzes auf einem geografisch lokalen Server, ist Ihr VPN-Server wahrscheinlich überlastet: Wechseln Sie den Server (gute Clients listen die Auslastung in Prozent) oder das Protokoll – erzwingen Sie WireGuard oder dessen proprietäre Ableitung (NordLynx bei NordVPN, Lightway bei ExpressVPN), die 2026 deutlich effizienter sind als OpenVPN. Liegt die zusätzliche Latenz > 80 ms auf einem lokalen Server, ist das anormal – die Latenz bei einer Glasfaserverbindung zu einem inländischen Server sollte unter 30 ms Zusatz bleiben.
Nützlicher ergänzender Test: Messen Sie die Geschwindigkeit auch auf einem entfernten Server (US-Ost, Japan), um die Nutzung für geoentsperrtes Streaming vorwegzunehmen. Der Verlust ist dort legitim höher (40–60 %) aufgrund der physischen Entfernung, muss aber stabil und reproduzierbar bleiben. Für die Benchmark-Erwartungen pro Protokoll und das vollständige Vorgehen siehe unseren Leitfaden zum VPN-Geschwindigkeitstest, der die Messmethode Schritt für Schritt dokumentiert.
NordVPN testen — gebaut, um die 9 Tests zu bestehen (DNS/WebRTC/IPv6, Kill-Switch, unabhängiges Audit)
Natives WireGuard (NordLynx) · Threat Protection · 30 Tage Geld-zurück-Garantie
Test 6 — Plattform-Geolokalisierung (und warum Ihr VPN bei Netflix „nicht funktioniert“)
Dies ist der Test, der ein VPN, das „technisch funktioniert“, von einem trennt, das „in der Praxis funktioniert“. Sie können eine perfekt maskierte US-IP, sauberes US-DNS, null WebRTC-Leck haben und trotzdem Netflix' „Streaming-Fehler M7111-5059“ mit der Meldung „Sie scheinen einen Unblocker oder Proxy zu verwenden“ sehen. Warum? Weil Netflix, Disney+, BBC iPlayer und Hulu nicht einfach die geografische IP auslesen: Sie gleichen sie mit einer Datenbank von IP-Bereichen ab, die als „Rechenzentrum“ markiert und von ihren Anti-VPN-Teams gepflegt wird, und sie prüfen Verhaltenssignale (Übereinstimmung zwischen Systemsprache / Browsersprache / OS-Zeitzone, unerwartete Latenz).
Der Test: Öffnen Sie eine geosperrte Plattform von einem VPN-Server im Zielland. Netflix US von einem US-VPN-Server: Der Katalog muss US-exklusive Titel zeigen („Seinfeld“, „It's Always Sunny in Philadelphia“, HBO-lizenzierte US-Inhalte) und Trailer in Englisch ohne deutsche Untertitel als Voreinstellung. BBC iPlayer von einem UK-VPN-Server: Die Startseite muss ohne „BBC iPlayer only works in the UK“ laden, und mindestens eine Episode muss starten. Disney+ Japan von einem japanischen VPN-Server: Der Katalog muss Inhalte auf Japanisch zeigen, die für den JP-Markt exklusiv sind.
Erscheint der „Proxy“-Bildschirm, gibt es zwei mögliche Ursachen. Entweder ist der IP-Pool des VPN-Servers von der Plattform vollständig als Rechenzentrum markiert – der Fall bei den meisten kostenlosen VPN-Servern und vielen Billig-Servern. Oder der Server wurde vom Anbieter nicht fürs Streaming optimiert – manche VPNs bieten dedizierte „streaming-optimierte“ oder „SmartPlay“-Server, die diese Erkennungen umgehen sollen.
Um die Streaming-Abdeckung auf den von Ihnen tatsächlich genutzten Plattformen zu validieren, führen Sie unseren Geoblocking-Test aus, der die Zugänglichkeit von Netflix US/UK/JP, BBC iPlayer, Disney+ US/JP, Max und anderen in einem Durchgang prüft. Scheitert ein VPN an der Plattform, die Sie brauchen, scheitert es für Ihren Anwendungsfall – ungeachtet des Bestehens der anderen 8 Tests. Für methodische Details und NordVPN-Entsperr-Benchmarks gegenüber Alternativen siehe unseren NordVPN-Test.
Test 7 — Logging-Richtlinie und Gerichtsstand des Anbieters
Dies ist der Schritt, den Sie selbst nicht technisch testen können, aber indirekt über vertrauenswürdige Dritte und etwas Recherche überprüfen können. Ein VPN, das „No-Logs“ behauptet, ohne ein veröffentlichtes öffentliches Audit, ist nur ein Marketingversprechen – kein technischer Beweis, der einer gerichtlichen Anordnung standhält.
Suchen Sie auf der Website des VPN nach Erwähnung eines aktuellen unabhängigen Audits durch eine anerkannte Firma. Namen, auf die man achten sollte: PwC, Deloitte, KPMG, Cure53, Securitum, VerSprite. Das Datum zählt ebenso viel wie der Prüfer: Ein Audit von 2019 sagt nichts über die Richtlinie von 2026. NordVPN hat mehrere PwC-Audits (2018, 2020, 2022) und Deloitte-Audits (2023, 2024) veröffentlicht. ExpressVPN wurde 2022 von KPMG geprüft und 2024 von Cure53 erneut auditiert. Mullvad hat seit 2020 eine Reihe jährlicher Cure53-Audits. ProtonVPN wurde 2023 von Securitum geprüft.
Prüfen Sie auch den Gerichtsstand des eingetragenen Hauptsitzes des Anbieters. Ein VPN mit Sitz in Panama (NordVPN), den Britischen Jungferninseln (ExpressVPN), der Schweiz (ProtonVPN) oder Rumänien (CyberGhost) unterliegt nicht denselben Vorratsdatenspeicherungspflichten wie eines mit Sitz in den Vereinigten Staaten (ein Mitglied der Five Eyes, Geheimdienst-Teilungs-Gerichtsstand), im Vereinigten Königreich (Five Eyes; Investigatory Powers Act 2016 mit aktiven staatlichen Überwachungspflichten) oder Australien (Five Eyes; Technical Assistance and Access Act). Das garantiert nicht, dass sie in der Praxis nicht protokollieren, aber es verringert den rechtlichen Druck, der sie dazu zwingen könnte.
Zur weiteren Gegenprüfung sehen Sie die unabhängigen Empfehlungen von PrivacyGuides, der Community-Referenzseite, die Anbieter regelmäßig auditiert und ihre minimalistische Liste veröffentlicht. Sie nehmen nur VPNs auf, die Kriterien rund um Transparenz, unabhängiges Auditing und günstigen Gerichtsstand erfüllen.
Die No-Log-Richtlinie eines VPN ist nur so stark wie sein Gerichtsstand und seine Historie unabhängiger Audits. Ein VPN mit Hauptsitz in einem Land ohne verpflichtende Vorratsdatenspeicherung, das regelmäßig von einer anerkannten Firma geprüft wird und nachweislich seine Richtlinie unter früheren Anordnungen eingehalten hat – das sind die drei Säulen vernünftigen Vertrauens. Eine absolute Garantie kann es nicht geben; gesunde Skepsis bleibt angebracht, besonders bei Anwendungsfällen mit hohem Risiko.
Test 8 — Browser-Fingerprinting (was das VPN nicht auslöscht)
Dies ist der Test, der erklärt, warum ein perfekt konfiguriertes VPN Sie nicht anonym macht. Browser-Fingerprinting ist die Sammlung eindeutiger Signale, die Ihr Browser an jede Seite sendet, völlig unabhängig von Ihrer IP. Präziser User-Agent, Systemsprache, Browsersprache, Zeitzone, Bildschirmauflösung, Farbtiefe, installierte Schriftarten, installierte Plugins, Canvas-Rendering, WebGL-Rendering, AudioContext-Fingerprint, Hash der Erweiterungsliste. Kombiniert reichen diese Signale aus, um Ihren Browser quasi eindeutig unter Millionen zu identifizieren – selbst wenn Sie täglich die IP wechseln.
Der Test: Führen Sie AmIUnique oder EFF Cover Your Tracks zuerst ohne VPN aus, dann mit aktivem VPN. Vergleichen Sie. Ist Ihr Fingerprint als „unique“ oder „almost unique“ mit einem Wert von mehreren Millionen Bit Entropie markiert, ist Ihr Browser ungeachtet des VPN fingerabdruckfähig. Die IP-Maskierung des VPN bewirkt nichts gegen diesen Tracking-Vektor.
Praktische Lösungen. Erstens: Verwenden Sie Firefox mit Resistenzmodus: about:config, privacy.resistFingerprinting auf true setzen. Das erzwingt standardisierte Werte (Auflösung, Schriftarten, UTC-Zeitzone), die Ihren Browser ununterscheidbar von anderen Firefox-Instanzen im Resistenzmodus machen. Leichte UX-Reibung (Zeitzone manchmal falsch angezeigt, standardisierte Bildschirmgröße), aber ein massiver Datenschutzgewinn. Zweitens: Tor Browser: die vollständigste Implementierung von Fingerprinting-Resistenz, per Design. Rechtfertigt Ihr Bedrohungsmodell Tor über VPN, ist dies das Werkzeug. Drittens: Brave bietet nativen Fingerprinting-Schutz („Shields“ → „Fingerprinting“ → „Block“), der Signale bei jeder Sitzung randomisiert.
Das VPN allein löst dieses Problem nicht – und das ist wichtig zu verstehen. Ist Ihr Ziel lediglich, Ihre IP vor Ihrem Provider und vor Websites für den privaten Alltag zu maskieren, genügt ein VPN, das die ersten 7 Tests besteht. Ist Ihr Ziel strenge Anonymität (Journalist, geschützte Quelle, sensible Recherche), müssen Sie VPN + gehärteten Browser + vollständige OPSEC stapeln. Das ist die Nuance, die kein VPN-Marketing je klar ausspricht.
Test 9 — Kombinierter Realtest (der, der alles enthüllt)
Die ersten acht Tests validieren jede Dimension isoliert in einer statischen Umgebung: eine Testseite, eine Messung, ein Häkchen. Das ist notwendig, aber nicht ausreichend. Test 9 reproduziert ein reales Nutzungsszenario über 10 ununterbrochene Minuten, um zu überprüfen, dass der Schutz im Zeitverlauf hält. Es ist der aufschlussreichste Test und derjenige, der zwei auf dem Papier gleichwertige VPNs trennt.
Das Protokoll. Innerhalb desselben 10-Minuten-Fensters: (1) HD-Streaming auf einer geosperrten Plattform starten, die Ihr VPN erfordert – Netflix US von einem US-Server, BBC iPlayer von einem UK-Server; (2) drei Seiten, die Sie normalerweise nutzen, in getrennten Tabs öffnen (Nachrichten, Suche, E-Commerce) und normal surfen; (3) im Hintergrund einen langen Download starten (Linux-ISO 4 GB oder eine Ansammlung legaler Torrent-Dateien). Halten Sie während der 10 Minuten unser DNS-Leak-Test-Tool in einem Tab offen und laden Sie es alle 2–3 Minuten neu, um zu überprüfen, dass im Zeitverlauf kein Leck auftritt.
Was dieser Test enthüllt. Erstens Tunnelstabilität: Ein Billig-VPN kann mitten in der Sitzung den Server wechseln (IP-Pool-Rotation auf Anbieterseite), was Ihre echte IP kurz preisgeben kann, wenn der Kill-Switch nicht schnell genug reagiert. Zweitens Verhalten unter Last: Die Kombination aus HD-Streaming + Herunterladen + Surfen kann einen unterdimensionierten VPN-Server überlasten, die Geschwindigkeit nichtlinear verschlechtern oder sogar eine Trennung erzwingen. Drittens Kill-Switch in Echtzeit: Er muss bei einer abrupten Trennung auslösen (Test 4), aber auch im Normalbetrieb still bleiben – ein übermäßig aggressiver Kill-Switch, der alle 30 Sekunden auslöst, ist im Alltag unbeherrschbar.
Erfolgskriterien. Kein Leck bei aufeinanderfolgenden Tool-Aktualisierungen erkannt. Stabiles Streaming ohne anormales Buffering. Flüssiges Surfen. Download, der eine konstante Geschwindigkeit mit den Ergebnissen aus Test 5 hält. Bricht einer dieser Punkte zusammen, ist das VPN nicht für die kombinierte Datenschutz- + Streaming-Nutzung geeignet – also genau das, was die meisten Menschen in der Praxis tun.
Von den rund zehn intern im Frühjahr 2026 getesteten VPNs bestehen nur NordVPN, ExpressVPN, Surfshark, ProtonVPN und Mullvad diesen kombinierten Test reproduzierbar. Kostenlose VPNs scheitern fast alle vor der 5-Minuten-Marke am Kriterium Geschwindigkeit + Stabilität.
Zusammenfassung — Ihre 9-Test-Audit-Checkliste
Um im operativen Modus nichts zu übersehen, hier die Abfolge in optimaler methodischer Reihenfolge. Jeder Test muss ein Ergebnis liefern, das dem Standard von 2026 entspricht; andernfalls ist das VPN nicht für ernsthafte Datenschutz- oder anspruchsvolle Multimedia-Nutzung geeignet. Die Abfolge ist von am schnellsten zu am langsamsten geordnet, um Zeit zu optimieren: Scheitert ein Test früh, hat es keinen Sinn, mit diesem VPN fortzufahren.
| Test | Tool / Methode | Warnsignal |
|---|---|---|
| 1. Öffentliche IP | My-IP-Tool | IP unverändert, ISP unverändert oder falsches Land |
| 2. DNS-Leck | DNSLeakTest.com (Extended) | DNS-Server = Server des echten ISP |
| 3. WebRTC | DNS-Leak-Test-Tool | IP weicht vom sichtbaren VPN-Austritt ab |
| 4. Kill-Switch | Download + VPN-Prozess beenden | Download läuft nach der Trennung weiter |
| 5. Geschwindigkeit | Speed-Test-Tool | Verlust > 30 % oder Latenz > 80 ms lokal |
| 6. Geoblocking | Geoblocking-Test | „Proxy erkannt“-Bildschirm auf Zielplattform |
| 7. Logs + Gerichtsstand | Öffentliches Audit + Wikipedia | Kein Audit < 2 Jahre ODER Five-Eyes-Gerichtsstand |
| 8. Browser-Fingerprint | EFF Cover Your Tracks | Eindeutiger Fingerprint trotz VPN |
| 9. Reale Bedingungen | Streaming + Surfen + DL über 10 Min. | Jegliches Leck oder Instabilität im Zeitverlauf |
Erneuern Sie dieses vollständige Audit nach jedem größeren Update: halbjährliche Windows-11-Funktionsupdates, jährliche macOS-Releases, Firefox- und Chrome-Hauptversionen und natürlich nach jedem VPN-Client-Update. Einmal pro Quartal genügt für nicht sensible private Nutzung. Monatlich für Journalismus oder Recherche. Unsere veröffentlichte Testmethodik beschreibt die exakte Abfolge, die wir auf die intern getesteten VPNs anwenden.
Wichtigste Erkenntnisse
Ein VPN, das alle neun Tests besteht, schützt Sie vor gängigen Lecks (IP, DNS, WebRTC, IPv6), deckt reale Nutzungsszenarien ab (Streaming, Surfen, Herunterladen) und widersteht plattformseitigem Profiling angemessen. Das ist der Mindeststandard für einen datenschutzbewussten Nutzer im Jahr 2026, und er beschreibt im Großen und Ganzen die drei oder vier Marktführer – NordVPN, ExpressVPN, Surfshark, ergänzt durch Mullvad oder ProtonVPN für datenschutzorientiertere Anwendungsfälle.
Kostenlose VPNs erfüllen diesen Standard selten, und ebenso wenig die VPNs, die Sie nicht schnell überprüfen können mit 3 schnellen Tests – die Lücke zwischen einem 3-Test-Audit und einem 9-Test-Audit ist genau das, was „scheint zu funktionieren“ von „ich weiß, dass es seine Aufgabe erfüllt“ trennt. Wenn Sie im Modus journalistischer Anonymität oder als Whistleblower arbeiten, müssen Sie über diese 9 Tests hinausgehen – Tor über VPN, eine dedizierte Linux- oder Tails-Maschine, vollständige OPSEC über die Zeit. Das ist dann kein VPN-Audit-Thema mehr; es ist OPSEC, außerhalb des Rahmens dieses Leitfadens.
Für die überwiegende Mehrheit alltäglicher Anwendungsfälle – täglicher Datenschutz, Vermeidung der Datensammlung durch den Provider, geoentsperrtes Streaming, Sicherheit im öffentlichen WLAN – sind die neun obigen Prüfungen mehr als ausreichend. Einmal pro Quartal dauert es etwa zwanzig Minuten, sobald die Routine eingespielt ist, und es lohnt sich absolut, um zu bestätigen, dass Ihr Datenschutz-Werkzeug jenseits des Marketings tatsächlich seine Aufgabe erfüllt.
NordVPN testen — gebaut, um die 9 Tests zu bestehen (DNS/WebRTC/IPv6, Kill-Switch, unabhängiges Audit)
PwC-Audit 2022 + Deloitte 2024 · Natives WireGuard (NordLynx) · 30 Tage Geld-zurück-Garantie
So vervollständigen Sie Ihren Sicherheits-Stack: Passwort-Manager
Ein VPN verschlüsselt Ihren Netzwerkverkehr, schützt aber nicht Ihre Passwörter, sobald sie auf einer kompromittierten Seite eingegeben oder über Dienste hinweg wiederverwendet wurden. NordPass vervollständigt logisch den defensiven Stack: 256-Bit-XChaCha20-Verschlüsselung, Cure53-Audit 2024, geräteübergreifende Synchronisierung, kostenloser Plan für den unverbindlichen Einstieg. Premium für 1,69 €/Monat bei 2-Jahres-Bindung. Es ist ein vom VPN getrenntes, ergänzendes Werkzeug – kein Ersatz.
Tools und Leitfäden für dieses Audit
- My-IP-Tool — echter beobachteter Austritt →Sehen Sie genau, was Seiten von Ihrem Browser sehen
- Kombinierter DNS- + WebRTC- + IPv6-Test →Alle 3 Hauptlecks in einem 30-Sekunden-Durchgang geprüft
- Integriertes Speed-Test-Tool →Reproduzierbare Methode mit/ohne VPN
- Geoblocking-Test pro Plattform →Netflix US, BBC iPlayer, Disney+ JP
- Vollständiger DNS-Leak-Leitfaden →Ursachen pro OS, detaillierte Korrekturen
- Schnelles 7-Schritte-VPN-Audit →Kurzfassung, wenn Sie nur 10 Minuten haben
- VPN-Kill-Switch erklärt →Test 4 im Detail — OS-Varianten und Fallstricke
- Risiken öffentlicher WLANs 2026 →Warum dieses Audit in offenen Netzen noch wichtiger ist
- Ihre IP-Adresse verstehen →IPv4, IPv6, Geolokalisierung, ISP
- Unser NordVPN-Test 2026 →Detaillierte, reproduzierbare Bewertung
- Unsere veröffentlichte Audit-Methodik →Reproduzierbares Protokoll für alle unsere Tests
Artikel veröffentlicht am 29. Mai 2026, aktualisiert am 13. Juni 2026. Dieser Leitfaden beschreibt ein Audit-Protokoll, das Sie selbst durchführen an Ihrem VPN — es ist nicht der Bericht eines privaten Testlabors. Die genannten Schwellen (5–15 % Durchsatzverlust, 10–40 ms Latenz, Alarme jenseits von 30 %/80 ms) sind allgemeine technische Referenzpunkte, abgeleitet aus dem dokumentierten Verhalten der Protokolle, keine proprietären Messungen. Der Punkt zu kostenlosen VPNs stützt sich auf die zitierte öffentliche Forschung (ACM-IMC-2016-Studie zu 283 Apps). Affiliate-Hinweis: Diese Website erhält eine Provision, wenn Sie über die NordVPN-Links abonnieren — das beeinflusst die beschriebene Methode nicht.
Corrige la fuite — chiffre tout avec NordVPN
DNS sécurisé · kill switch · Threat Protection · 30 jours remboursé
