Wenn man beginnt, sich mit VPNs und digitalem Datenschutz zu beschäftigen, häufen sich die Fachbegriffe schnell: WireGuard, Kill Switch, No-Log, Five-Eyes-Gerichtsbarkeit, Perfect Forward Secrecy... Jeder Vergleich verwendet sie, als wären sie selbsterklärend, ohne sie je zu definieren. Dieses Glossar schafft Abhilfe: 30 kurze, präzise Definitionen, nach Themen geordnet, so geschrieben, dass man sie in unter 30 Sekunden versteht.
Es funktioniert als schnelles Nachschlagewerk zum Griffbereithalten und als Grundlage zum Verständnis der VPN-Audits und der technischen Leitfäden auf dieser Website. Die kritischsten Begriffe — jene, die tatsächlich darüber entscheiden, ob ein VPN Sie schützt oder nicht — sind ausdrücklich hervorgehoben.
Inhaltsverzeichnis
- VPN-Protokolle
- Verschlüsselung und Sicherheit
- Leaks und Schwachstellen
- Datenschutz und Gerichtsbarkeit
- Wichtige Funktionen
- Verwandte Tools und Technologien
VPN-Protokolle
VPN (Virtual Private Network)
Ein VPN ist ein verschlüsselter Tunnel zwischen Ihrem Gerät und einem vom Anbieter verwalteten entfernten Server. Es verbirgt Ihre echte IP-Adresse, verschlüsselt den gesamten Verkehr und lässt Websites glauben, Sie surften vom Standort des Servers aus. Ihr Internetanbieter sieht nur den verschlüsselten Tunnel — nicht, welche Seiten Sie besuchen.
WireGuard
WireGuard ist das modernste VPN-Protokoll (unter 4.000 Zeilen Quellcode gegenüber 400.000 bei OpenVPN). Es nutzt ChaCha20 zur Verschlüsselung und Curve25519 zum Schlüsselaustausch. In Durchsatz-Benchmarks ist es 2- bis 5-mal schneller als OpenVPN, bei geringerer Latenz und minimaler Angriffsfläche. Der empfohlene Standard für 2026.
OpenVPN
OpenVPN ist seit 2001 das quelloffene VPN-Referenzprotokoll. Stark auditiert, sehr flexibel, auf allen Betriebssystemen verfügbar — aber technisch schwergewichtiger als WireGuard. Es nutzt AES-256-GCM und unterstützt TCP (stabil, aber langsam) und UDP (schnell). Weiterhin relevant, um Firewalls zu umgehen, die WireGuard blockieren. Siehe unseren Vergleich WireGuard vs. OpenVPN.
IKEv2/IPsec
IKEv2 (Internet Key Exchange v2) in Kombination mit IPsec ist ein leistungsstarkes Protokoll, nativ unter iOS und macOS und besonders stabil beim Netzwerkwechsel (WLAN → 4G). Etwas langsamer als WireGuard, aber auf Mobilgeräten bewährter. Eine solide Alternative, wenn WireGuard Probleme mit der Netzwerkkompatibilität hat.
Split Tunneling
Split Tunneling erlaubt es, festzulegen, welche Anwendungen oder Domains durch den VPN-Tunnel laufen und welche die Direktverbindung nutzen. Nützlich für den Zugriff auf lokale Ressourcen (Drucker, NAS, Banking-App), während alles andere geschützt bleibt. Deaktivieren Sie Split Tunneling bei technischen Audits, um verzerrte Messungen zu vermeiden.
Verschlüsselung und Sicherheit
AES-256
AES-256 (Advanced Encryption Standard, 256-Bit-Schlüssel) ist der symmetrische Verschlüsselungsstandard, den praktisch alle modernen VPNs verwenden. Ein direkter Brute-Force-Angriff ist mit aktueller Hardware rechnerisch unmöglich — einschließlich Quantencomputern im derzeitigen Bedrohungsmodell. Die GCM-Variante (Galois/Counter Mode) fügt eine integrierte Nachrichtenauthentifizierung hinzu.
Perfect Forward Secrecy (PFS)
Perfect Forward Secrecy erzeugt für jede Verbindung einen einzigartigen Sitzungsschlüssel, unabhängig vom Hauptschlüssel. Wird ein Sitzungsschlüssel kompromittiert, bleiben vergangene und künftige Sitzungen geschützt. Ohne PFS entschlüsselt ein kompromittierter Langzeitschlüssel den gesamten Kommunikationsverlauf. Moderne WireGuard- und OpenVPN-Implementierungen setzen PFS standardmäßig über ECDH um.
Ende-zu-Ende-Verschlüsselung (E2E)
Ende-zu-Ende-Verschlüsselung stellt sicher, dass nur Absender und Empfänger die Nachricht lesen können — nicht der Dienstanbieter oder ein Netzwerkvermittler. Signal, ProtonMail und einige Messenger setzen sie um. Wichtige Unterscheidung: Ein VPN verschlüsselt den Netzwerktransport, aber nicht den Anwendungsinhalt; E2E verschlüsselt die Anwendungsnutzlast selbst.
Obfuskation (Verschleierung)
Obfuskation tarnt VPN-Verkehr so, dass er wie gewöhnlicher HTTPS-Verkehr aussieht, was Erkennung und Sperrung erschwert. Wird genutzt, um Deep-Packet-Inspection-Firewalls (DPI) zu umgehen — insbesondere in China (Great Firewall), Russland und den VAE. ExpressVPN (obfuskiertes Lightway), NordVPN (obfuskierte Server) und Mullvad bieten diese Option.
Zero-Knowledge
Ein Zero-Knowledge-System speichert oder verarbeitet Daten, ohne je Zugriff auf den Klartext zu haben. Im VPN-Kontext bedeutet das, dass der Anbieter technisch nicht auf Ihre Browserdaten zugreifen kann, selbst wenn er dazu gezwungen würde. Unterscheidet sich vom einfachen No-Log: No-Log ist ein Richtlinienversprechen, Zero-Knowledge ist eine architektonische Garantie.
Leaks und Schwachstellen
DNS-Leak
Ein DNS-Leak tritt auf, wenn Anfragen zur Auflösung von Domainnamen (welcher Server entspricht „google.com"?) außerhalb des VPN-Tunnels herausgelangen und über die DNS-Server des Internetanbieters laufen. Folge: Ihr Anbieter sieht jede Domain, die Sie besuchen, selbst wenn der Inhalt verschlüsselt ist. Es ist das häufigste und am wenigsten sichtbare Leak. Vollständiger Leitfaden: DNS-Leaks testen.
WebRTC-Leak
WebRTC ist eine Browser-API für Peer-to-Peer-Kommunikation. Um zu funktionieren, fragt sie alle Netzwerkschnittstellen Ihres Rechners ab — einschließlich Ihrer echten IP, bevor das VPN sie maskiert. Ein bösartiges JavaScript kann so trotz aktivem VPN Ihre echte IP ermitteln. Lösung: WebRTC-Schutz im VPN-Client aktivieren oder WebRTC im Browser deaktivieren.
IP-Leak
Ein IP-Leak legt Ihre echte IP-Adresse trotz aktivem VPN gegenüber einer externen Website offen. Mögliche Ursachen: fehlkonfigurierter Tunnel, Client-Fehler, nicht unterstütztes Protokoll (IPv6, wenn das VPN nur IPv4 tunnelt). In 30 Sekunden mit unserem Leak-Test-Tool überprüfbar. Jedes seriöse VPN-Audit beginnt hier.
IPv6-Leak
Wenn Ihr Internetanbieter IPv6 nativ einsetzt und Ihr VPN nur IPv4 tunnelt, bleibt Ihre echte IPv6-Adresse extern sichtbar. Plattformen wie Google oder Facebook bevorzugen IPv6, wenn verfügbar — sie sehen also Ihre echte Identität. Lösung: IPv6 auf Betriebssystemebene deaktivieren oder ein VPN nutzen, das beide Protokolle handhabt.
Fingerprinting (Browser-Fingerabdruck)
Fingerprinting identifiziert einen Browser oder ein Gerät über die einzigartige Kombination seiner technischen Merkmale: Bildschirmauflösung, installierte Schriftarten, Zeitzone, Canvas/WebGL-Rendering, Erweiterungsliste. Dieser Fingerabdruck überdauert IP-Wechsel — ein VPN maskiert ihn nicht. Gegenmaßnahmen: Firefox mit privacy.resistFingerprinting, Brave Shields oder Tor Browser. Siehe unser vollständiges VPN-Audit für den eigens dafür vorgesehenen Test.
Datenschutz und Gerichtsbarkeit
No-Log (Zero Logs)
Eine No-Log-Richtlinie bedeutet, dass der VPN-Anbieter weder die Quell-IP noch besuchte Seiten noch Verbindungszeitstempel noch Datenvolumina aufzeichnet. Eine unbestätigte Behauptung ist nur ein Marketingargument. Erst ein aktuelles unabhängiges Audit (PwC, Deloitte, Cure53), das vom Anbieter veröffentlicht wird, stellt einen technischen Nachweis dar. NordVPN, ExpressVPN, Mullvad und ProtonVPN haben alle Audits veröffentlicht.
Five/Nine/Fourteen Eyes (5/9/14 Eyes)
Die Five Eyes (USA, Großbritannien, Kanada, Australien, Neuseeland) tauschen aktiv nachrichtendienstliche Daten aus. Die Nine Eyes ergänzen Frankreich, Dänemark, die Niederlande und Norwegen. Die Fourteen Eyes gehen noch weiter. Ein VPN mit Sitz in einem dieser Länder kann rechtlich zur Kooperation gezwungen werden. Gerichtsbarkeiten außerhalb des Bündnisses: Panama (NordVPN), Britische Jungferninseln (ExpressVPN), Schweiz (ProtonVPN).
Gerichtsbarkeit (Jurisdiktion)
Die Gerichtsbarkeit ist das Land, dessen Gesetze für den VPN-Anbieter gelten. Sie bestimmt, welche rechtlichen Anordnungen er erhalten kann, welche Vorratsdatenspeicherungspflichten gelten und mit welchen Nachrichtendiensten er zur Kooperation gezwungen werden kann. Panama, Rumänien, die Schweiz und die Kaimaninseln sind 2026 die datenschutzfreundlichsten Gerichtsbarkeiten.
Warrant Canary
Ein Warrant Canary ist eine öffentliche Erklärung, die ein VPN-Anbieter regelmäßig aktualisiert, um zu signalisieren, dass er keine geheime behördliche Anordnung erhalten hat. Wird die Erklärung nicht mehr aktualisiert oder verschwindet sie, ist das ein indirektes Signal dafür, dass das Unternehmen eine rechtlich versiegelte Anordnung erhalten hat. Mullvad und ProtonVPN veröffentlichen aktive Canaries.
Bedrohungsmodell (Threat Model)
Ein Bedrohungsmodell legt fest, vor wem und wovor Sie sich schützen wollen. Eine Journalistin, die eine Quelle schützt, hat ein ganz anderes Modell als ein Nutzer, der nur der Werbeüberwachung seines Internetanbieters entgehen will. Die Definition Ihres Bedrohungsmodells erlaubt die Wahl passender Werkzeuge: VPN allein, VPN + Tor oder vollständige OPSEC. Ohne diesen Schritt sind Schutzwerkzeuge oft über- oder unterdimensioniert.
Unabhängiges Audit
Ein unabhängiges Audit ist eine technische Prüfung von Code, Infrastruktur und Praktiken eines VPN-Anbieters durch ein anerkanntes externes Unternehmen (PwC, Deloitte, Cure53, Securitum). Es überprüft, ob die No-Log-Richtlinie in der tatsächlichen technischen Umsetzung eingehalten wird, nicht nur in den Nutzungsbedingungen. Das Datum des Audits zählt ebenso viel wie der Prüfer: Ein Bericht von 2019 ist 2026 veraltet.
Wichtige Funktionen
Kill Switch
Ein Kill Switch kappt automatisch Ihre Internetverbindung, wenn der VPN-Tunnel abbricht. Ohne ihn wird Ihre echte IP während der Wiederverbindung offengelegt. Es gibt zwei Stufen: System-Kill-Switch (kappt den gesamten Verkehr) oder pro App (kappt nur gelistete Apps). Für ernsthafte Datenschutznutzung aktivieren Sie die Systemstufe. Detaillierter Leitfaden: VPN-Kill-Switch erklärt.
Double VPN (Multi-Hop)
Double VPN (oder Multi-Hop) leitet Ihren Verkehr nacheinander durch zwei VPN-Server statt durch einen. Der erste Server verschlüsselt und leitet weiter; der zweite entschlüsselt und gibt aus. Vorteil: Selbst wenn ein Server kompromittiert ist, sieht der Angreifer weder die Quell-IP noch das endgültige Ziel. Nachteil: doppelte Latenz, reduzierter Durchsatz. Empfohlen für Hochrisiko-Journalisten und Aktivisten.
RAM-only-Server
Ein RAM-only-Server läuft vollständig im flüchtigen Arbeitsspeicher, ohne Schreibvorgänge auf die Festplatte. Jeder Neustart löscht alle Daten dauerhaft. Beschlagnahmen Behörden den Server physisch, lassen sich keine Nutzerdaten wiederherstellen — was bei festplattenbasierten Servern möglich wäre. ExpressVPN (TrustedServer) und NordVPN haben ihre Infrastruktur auf dieses Modell umgestellt.
Port Forwarding
Port Forwarding erlaubt eingehenden Verbindungen, den VPN-Tunnel zu durchqueren, um Ihr Gerät zu erreichen. Nützlich für Heimserver, aktives P2P-Filesharing und einige Online-Spiele. Nicht alle VPNs bieten das — Mullvad und ProtonVPN unterstützen es, NordVPN nicht (seit 2023). Kann bei Fehlkonfiguration Sicherheitsrisiken einführen.
P2P (Peer-to-Peer)
P2P bezeichnet dezentrale Filesharing-Netzwerke (Torrents, eMule). Manche VPNs blockieren P2P oder beschränken es auf dedizierte Server, um rechtliche Komplikationen in bestimmten Gerichtsbarkeiten zu vermeiden. Für Torrenting empfohlene VPNs verfügen über spezielle P2P-Server, die für Volumen optimiert sind und eine geprüfte No-Log-Richtlinie haben.
Verwandte Tools und Technologien
Tor (The Onion Router)
Tor ist ein Anonymisierungsnetzwerk, das den Verkehr durch drei aufeinanderfolgende, von Freiwilligen betriebene Relais leitet. Jedes Relais kennt nur seine direkten Nachbarn — niemand sieht gleichzeitig Ursprung und Ziel. Tor bietet stärkere Anonymität als ein VPN, ist aber 10- bis 20-mal langsamer. Kernunterschied: VPN = Vertrauensdelegation, Tor = dezentrale Architektur ohne zentrales Vertrauen. Siehe Tor vs. VPN.
Tor over VPN
Tor over VPN bedeutet, sich zuerst mit dem VPN zu verbinden und dann Tor zu starten. Vorteil: Der Tor-Eingangsknoten sieht die IP des VPN-Servers, nicht Ihre echte IP. Nachteil: stark verschlechterte Leistung (kumulative Latenz), und Ihr VPN-Anbieter weiß, dass Sie Tor nutzen. Anwendungsfall: Journalisten unter aktiver Überwachung, Whistleblower. Konfigurationsanleitung: Tor over VPN 2026.
Proxy
Ein Proxy ist ein Netzwerkvermittler, der die Anfragen einer einzigen Anwendung über einen Drittserver umleitet. Anders als ein VPN arbeitet er nur auf der Anwendungsebene, ohne Inhaltsverschlüsselung, und deckt jeweils nur eine Anwendung ab. Wird genutzt, um einfache geografische Sperren zu umgehen oder Unternehmensverkehr zu filtern. Schützt nicht vor dem Abfangen von Datenverkehr.
DoH (DNS over HTTPS)
DNS over HTTPS verschlüsselt DNS-Anfragen innerhalb des Standard-HTTPS-Verkehrs und macht sie so für Netzwerkvermittler (Internetanbieter, Unternehmens-WLAN) unlesbar. Unterscheidet sich von einem VPN: DoH verbirgt weder Ihre IP noch verschlüsselt es den Rest Ihres Verkehrs — es schützt nur DNS-Anfragen vor Überwachung. Kann ein VPN ergänzen oder eigenständig genutzt werden, um die DNS-Privatsphäre zu verbessern.
Digitaler Datenschutz
Digitaler Datenschutz umfasst alle Praktiken und Werkzeuge, mit denen Sie kontrollieren können, welche personenbezogenen Daten online erhoben, gespeichert und geteilt werden. Dazu gehören VPN, Verschlüsselung, Cookie-Verwaltung, Schutz vor Fingerprinting, gesetzliche Rechte (DSGVO in Europa, CCPA in Kalifornien) und Verhaltensentscheidungen. Ein VPN ist eines von vielen Werkzeugen — keine vollständige Lösung. Siehe warum digitaler Datenschutz 2026 wichtig ist.
Was dieses Glossar nicht ersetzt
Die Begriffe zu kennen ist ein Ausgangspunkt, kein Endziel. Echter Schutz entsteht dadurch, zu überprüfen, dass Ihr VPN tatsächlich hält, was es verspricht. Dafür: Unser VPN-Audit in 9 Tests deckt IP-, DNS-, WebRTC- und IPv6-Leaks, den Kill Switch, die Streaming-Geolokalisierung, die Protokollierungsrichtlinie und das Browser-Fingerprinting ab — in etwa 30 Minuten. Und wenn Sie den Schutz gegen Überwachung in öffentlichen WLANs vertiefen möchten, beschreibt der Leitfaden zu Risiken öffentlicher WLANs 2026 reale Angriffsvektoren und Gegenmaßnahmen.
Leitfäden und Tools, um weiterzukommen
- Vollständiges VPN-Audit: 9 Tests →Vierteljährliches Protokoll: IP, DNS, WebRTC, Kill Switch, Logs, Gerichtsbarkeit
- WireGuard vs. OpenVPN in 2026 →Protokollvergleich nach Geschwindigkeit, Sicherheit und Anwendungsfällen
- VPN-Kill-Switch erklärt →Mechanismus, Betriebssystem-Varianten, praktischer Test
- DNS- und IPv6-Leaks testen →Vollständiger Erkennungs- und Behebungsleitfaden nach Betriebssystem
- Tor vs. VPN: Unterschiede und Kombination →Wann das eine, das andere oder beides nutzen
- Risiken öffentlicher WLANs 2026 →Was Netzbetreiber tatsächlich sehen
- Warum digitaler Datenschutz wichtig ist →Reale Zahlen zur Datenerhebung 2025-2026
Artikel veröffentlicht am 11. Juni 2026. Definitionen aus offiziellen technischen Spezifikationen (WireGuard RFC, RFC 8826 WebRTC, NIST AES-256), VPN-Anbieter-Audits (PwC, Deloitte, Cure53) und Empfehlungen der Electronic Frontier Foundation (Surveillance Self-Defense) und PrivacyGuides. Wird laufend aktualisiert, sobald sich Protokolle oder Vorschriften erheblich ändern.
Le VPN orienté vie privée → Proton VPN
No-log audité · juridiction suisse · open-source · offre gratuite
