Ist der Kill-Switch bei NordVPN standardmäßig aktiviert?

Nein — und das solltest du gleich nach der ersten Installation in Ordnung bringen. In der NordVPN-Desktop-App (Windows, macOS, Linux) ist der Kill-Switch bei der Installation deaktiviert und muss manuell unter Einstellungen → Kill Switch eingeschaltet werden. Du findest dort zwei getrennte Schalter: „Internet Kill Switch“ (systemweit, blockiert allen Datenverkehr, falls der Tunnel abbricht) und „App Kill Switch“ (auf Anwendungsebene, beendet nur die Apps, die du auflistest). Auf iOS und Android ist die Logik anders, weil die Betriebssysteme ihre eigenen VPN-Einschränkungen durchsetzen — unter iOS übernimmt das „On-Demand“-VPN-Profil in den erweiterten Einstellungen diese Rolle auf Systemebene; unter Android ist die Systemeinstellung „Always-on VPN“ + „Verbindungen ohne VPN blockieren“ (Einstellungen → Netzwerk → VPN → NordVPN-Zahnradsymbol) robuster als der in die App integrierte Kill-Switch. Praktische Empfehlung: Internet Kill Switch auf dem Desktop ab der allerersten Sitzung aktivieren und Always-on auf Systemebene unter Android.

App-Kill-Switch vs. System-Kill-Switch — wo liegt der Unterschied?

Der App-Kill-Switch (manchmal „App Kill Switch“ oder „Per-App-Kill-Switch“ genannt) beendet nur die bestimmten Prozesse, die du einer Liste hinzufügst. Wenn du Chrome und qTorrent aufführst, werden diese beiden Apps beendet, sobald das VPN abbricht; alles andere — Spotify, dein Mail-Client, dein Cloud-Sync-Tool — kommuniziert weiterhin im Klartext über deinen Internetanbieter. Der System-Kill-Switch (Internet Kill Switch bei NordVPN, Network Lock bei ExpressVPN, System-Modus bei Mullvad) arbeitet auf Firewall-Ebene: Er fügt iptables-, netfilter- oder pf-Regeln ein, die **allen** ausgehenden Datenverkehr außerhalb der Tunnel-Schnittstelle blockieren. Bricht das VPN ab, geht nichts mehr nach draußen, Punkt. Das ist die einzige Ebene, die in öffentlichen WLANs und beim Torrent-Seeding wirklich schützt. Der App-Kill-Switch ist in bestimmten Situationen nützlich (etwa um einen Firmen-Mail-Client außerhalb des Tunnels erreichbar zu halten), sollte aber nie die Standardeinstellung sein.

Was passiert, wenn der Kill-Switch ohne Vorwarnung auslöst?

Aus Sicht des Nutzers hören deine Webseiten auf zu laden, Downloads pausieren und VoIP-Gespräche brechen ab. Der Browser zeigt typischerweise „ERR_NETWORK_CHANGED“ oder „DNS_PROBE_FINISHED_NO_INTERNET“. Das ist bewusst abrupt — der ganze Sinn des Kill-Switch besteht darin, zu verhindern, dass du das Netz unwissentlich weiter im Klartext nutzt. Im Hintergrund versucht der VPN-Client eine automatische Wiederverbindung zum selben oder zu einem Ersatzserver; die meisten modernen Clients (NordVPN, ExpressVPN, ProtonVPN) stellen den Tunnel bei stabiler Verbindung innerhalb von 3 bis 10 Sekunden wieder her. In einem instabilen Netz (überlasteter Hotspot, bewegtes 4G/LTE) kann die Wiederverbindung länger dauern — es fühlt sich an wie ein „Internetausfall“ von 15–30 Sekunden. Das ist der erwartete Preis des Schutzes; ein stiller Kill-Switch, der nie auslöst, ist keiner.

Funktioniert der Kill-Switch auch für IPv6?

Nicht immer — und das ist eines der subtilsten Lecks, das du prüfen solltest. Viele VPN-Clients kapseln nur IPv4-Verkehr und lassen IPv6 im Klartext über die native Netzwerkschnittstelle hinaus — das nennt man ein „IPv6-Leck“. Bei einem korrekt umgesetzten Kill-Switch blockieren die Firewall-Regeln sowohl IPv4 als auch IPv6 außerhalb des Tunnels; bei einem fehlerhaften oder veralteten Kill-Switch fließt IPv6 weiter, selbst wenn IPv4 gekappt ist. NordVPN deaktiviert IPv6 unter Windows und macOS automatisch, solange der Tunnel aktiv ist (die „IPv6-Disable“-Richtlinie) — ein pragmatischer, wenn auch unelegante Behelf. ExpressVPN und Mullvad blockieren IPv6 außerhalb des Tunnels ausdrücklich über ihre Network-Lock-/pf-Regeln. Praktischer Test: Besuche ipv6leak.com (oder unser DNS-Leak-Test-Tool, das IPv6 in einem Durchgang abdeckt), nachdem du dein VPN manuell getrennt hast — wenn eine öffentliche IPv6-Adresse erscheint, während der Tunnel ausgefallen ist, deckt dein Kill-Switch IPv6 nicht ab.

Brauchst du einen Kill-Switch, wenn du das VPN nicht aus Sicherheitsgründen nutzt?

Ja — und die Feinheit lohnt sich auszubuchstabieren. Der Kill-Switch ist nicht den „harten Sicherheits“-Anwendungsfällen vorbehalten; er schützt auch Streaming und alltägliche Privatsphäre. Wenn du NordVPN nutzt, um US-Netflix zu schauen, und der Tunnel 20 Sekunden lang abbricht, erkennt Netflix deine echte deutsche oder US-IP, wechselt den Katalog und markiert dein Konto für folgende Sitzungen womöglich vorübergehend als „VPN erkannt“. Beim Torrenting ist das Fehlen eines Kill-Switch noch problematischer: Jede Tunnel-Unterbrechung legt deine echte IP gegenüber Trackern und Peers offen, und manche Internetanbieter verschicken auf Grundlage dieser Offenlegung Abmahnungen. Beim alltäglichen Privatsphäre-Surfen verhindert der Kill-Switch, dass dein Internetanbieter deinen Browser-Verlauf während Tunnel-Mikroaussetzern rekonstruiert. Fazit: Kill-Switch immer, ganz gleich warum du das VPN nutzt. Es ist eine einmalige Einstellung, die du aktivierst und vergisst.

Was ist ein VPN-Kill-Switch?

Ein VPN-Kill-Switch ist eine Sicherheitsfunktion, die automatisch allen Internetverkehr von deinem Gerät blockiert, falls die VPN-Verbindung unerwartet abbricht — und so verhindert, dass deine echte IP, DNS-Anfragen oder Anwendungsdaten während des Wiederverbindungsfensters im Klartext durchsickern. Ohne Kill-Switch legt ein 3–30 Sekunden langer Tunnel-Abbruch deinen Datenverkehr stillschweigend gegenüber deinem Internetanbieter und besuchten Websites offen. Es gibt zwei Typen: auf App-Ebene (beendet nur aufgelistete Apps) und auf Systemebene (blockiert allen Verkehr an der OS-Firewall). Nur die Systemebene garantiert Schutz.

Verlangsamt ein Kill-Switch dein VPN?

Nein. Ein Kill-Switch fügt dem normalen VPN-Betrieb keine Latenz hinzu — er wird nur aktiv, wenn der Tunnel abbricht. Die Regeln des System-Kill-Switch (WFP unter Windows, pfctl unter macOS, iptables/nftables unter Linux) sind Firewall-Regeln, die im Kernel ausgewertet werden, keine In-Path-Proxys. Der einzige Nebeneffekt ist: Stürzt der VPN-Client ab, ohne seine Regeln aufzuräumen, bleibt aller Verkehr blockiert, bis der Client neu startet. Bei ausgereiften Clients wie NordVPN, ExpressVPN und Mullvad wird das innerhalb von 3–10 Sekunden automatisch erledigt.

VPN-Kill-Switch erklärt: wie er funktioniert und warum er unverzichtbar ist

Die Einstellungsseite eines VPN-Clients zeigt typischerweise ein Dutzend Schalter. Von dieser Liste macht nur einer den Unterschied zwischen echtem Schutz und einem trügerischen Sicherheitsgefühl: der Kill-Switch. Wenn der Tunnel abbricht — und er bricht ab, in manchen Netzen mehrmals pro Sitzung — verlässt dein Datenverkehr ohne Kill-Switch 5 bis 30 Sekunden lang weiterhin im Klartext über deinen Internetanbieter. Diese Sekunden genügen, um deine echte IP an Netflix zu lecken, eine sensible DNS-Anfrage an deinen Internetanbieter zu senden oder deinen Torrent-Client gegenüber Trackern offenzulegen.

Dieser Leitfaden behandelt die genaue Mechanik auf Firewall-Ebene, die zwei Varianten (App vs. System), das Aktivierungsverfahren für die vier großen VPNs im Jahr 2026, Sonderfälle für Linux / Router / Mobilgeräte und die Situationen, in denen der Kill-Switch kontraproduktiv wird.

TL;DR

Ein Kill-Switch ist eine Sicherheitsfunktion, die automatisch allen Netzwerkverkehr von deinem Gerät blockiert, falls die VPN-Verbindung abbricht — und so verhindert, dass deine echte IP, DNS-Anfragen oder Anwendungsinhalte in den Sekunden bis zur Wiederverbindung im Klartext erscheinen. Es gibt zwei Varianten: den App-Kill-Switch (per App), der nur aufgelistete Prozesse beendet (Chrome, qTorrent) und alles andere im Klartext passieren lässt; und den System-Kill-Switch (Internet Kill Switch bei NordVPN, Network Lock bei ExpressVPN), der auf Firewall-Ebene arbeitet und allen ausgehenden Verkehr außerhalb des Tunnels blockiert. Nur der System-Modus schützt wirklich in öffentlichen WLANs, für geoblockiertes Streaming und beim Torrenting. Bei NordVPN ist der Kill-Switch standardmäßig nicht aktiv — du musst ihn ab deiner allerersten Sitzung unter Einstellungen aktivieren. Auf Mobilgeräten ist die Always-on-VPN-Einstellung auf Systemebene (iOS und Android) robuster als der in die App integrierte Kill-Switch. Praktischer Test: Trenne den Tunnel während eines Downloads manuell und prüfe, dass aller Verkehr sofort stoppt, ohne ein verbleibendes IPv6-Leck. Den Schutz zu aktivieren ist kostenlos, der Aufwand gleich null, und das Fehlen eines Kill-Switch ist ein gravierender Schwachpunkt in unserem vollständigen VPN-Audit in 9 Tests.

Warum es einen Kill-Switch gibt — das Problem der stillen Trennung

Das Szenario, das den Kill-Switch rechtfertigt, ist trivial leicht zu reproduzieren und unsichtbar, wenn es eintritt. Du bist von deinem Hotel in Bangkok aus mit einem VPN-Server in Amsterdam verbunden. Serverüberlastung, ein Mikro-Ausfall auf Seiten des Hotels, ein WLAN-Kanalwechsel — dein Tunnel trennt sich für drei Sekunden. Ohne Kill-Switch sendet dein Betriebssystem den Verkehr weiterhin über die Standardroute, also über die direkte WLAN-Schnittstelle. In diesen drei Sekunden verlässt deine HTTPS-E-Mail das Gerät mit deiner echten IP, deine DNS-Anfrage für Netflix läuft über den DNS des Hotspots, und dein BitTorrent-Tracker erhält deine echte öffentliche IP aus Thailand.

Du siehst nichts. Der VPN-Client verbindet sich im Hintergrund neu, die Oberfläche zeigt wieder „Verbunden". Doch diese drei Sekunden Leck wurden bereits von Trackern, Internetanbieter-Logs und potenziell den Anti-VPN-Zählern von Streamingdiensten protokolliert. Eine einzige nicht getunnelte Peer-to-Peer-Verbindung kann ausreichen, um eine Abmahnung auszulösen — die Verteidigung „Ich hatte ein VPN" hält gegen ein zeitgestempeltes Log nicht stand.

Der Kill-Switch ist die strukturelle Antwort. Statt sich auf die Tunnel-Stabilität zu verlassen (die nie zu 100 % garantiert werden kann), installiert er Firewall-Regeln, die jeglichen Verkehr außerhalb des Tunnels unmöglich machen. Tunnel oben: Verkehr fließt. Tunnel unten: nichts geht hinaus, dein Internet erscheint gekappt, du behebst es manuell. Dieselbe Logik wie bei einer Brandschutztür — du nimmst eine kurzzeitige Unannehmlichkeit in Kauf, um eine luftdichte Abschottung zu garantieren. Das Konzept ist auf Wikipedia: Internet kill switch dokumentiert.

Was sind die 2 Typen von VPN-Kill-Switch?

App-Kill-Switch blockiert nur die Prozesse, die du auflistest (Chrome, qTorrent) — alles andere passiert während Tunnel-Aussetzern im Klartext. System-Kill-Switch (Internet Kill Switch bei NordVPN, Network Lock bei ExpressVPN) blockiert allen ausgehenden Verkehr auf OS-Firewall-Ebene — nichts geht außerhalb des Tunnels hinaus. Nur der System-Modus schützt wirklich. Der App-Modus ist eine Komfortfunktion, kein Sicherheits-Standard.

Die Verwirrung zwischen den beiden Typen wird durch das Marketing der Anbieter geschürt, das den „Per-App-Kill-Switch" oft als Premium-Funktion präsentiert, obwohl er dem System-Modus technisch unterlegen ist. Den Unterschied zu verstehen entscheidet darüber, ob dein VPN dich tatsächlich schützt.

Der App-Kill-Switch — auch „App Kill Switch" oder „Per-App-Kill-Switch" — arbeitet auf OS-Ebene. Du definierst eine Liste von Prozessen (chrome.exe, qbittorrent.exe), und der VPN-Client überwacht deren Netzwerkstatus. Bricht der Tunnel ab, werden diese Prozesse über OS-Hooks beendet oder blockiert. Vorteil: Du kannst andere Apps über die normale Verbindung weiterlaufen lassen (einen Firmen-Mail-Client, der erreichbar bleiben muss). Großer Nachteil: Alles, was nicht auf der Liste steht, passiert im Klartext. Wenn du nur deinen Browser auflistest, aber Dropbox im Hintergrund synchronisiert, legt Dropbox während Tunnel-Aussetzern deine echte IP offen. Trügerisches Sicherheitsgefühl in der überwiegenden Mehrheit der Anwendungsfälle.

Der System-Kill-Switch — Internet Kill Switch bei NordVPN, Network Lock bei ExpressVPN und Mullvad, „Permanent Kill Switch" bei ProtonVPN — arbeitet auf OS-Firewall-Ebene. Unter Windows fügt er WFP-Regeln (Windows Filtering Platform) ein, die allen ausgehenden Verkehr außerhalb der Tunnel-Schnittstelle blockieren. Unter macOS programmiert er pfctl. Unter Linux manipuliert er iptables oder nftables, um jede Route außerhalb von tun0 oder wg0 zu verbieten. Vorteil: struktureller Schutz, unabhängig von der App-Liste und von Client-Bugs. Nachteil: Stürzt der VPN-Dienst ab, ohne seine Regeln aufzuräumen, bleibt das Internet bis zum manuellen Eingreifen blockiert. Bei ausgereiften Clients selten, aber gut zu wissen.

Allgemeine Regel. Sofern du keinen spezifischen Anwendungsfall hast (separates Firmen-VPN, legitim außerhalb des Tunnels laufender Verkehr), ist der System-Modus die einzige wirklich schützende Option. Der App-Modus ist eine Komfortfunktion, kein sinnvoller Standard.

Wie aktiviert man den Kill-Switch bei NordVPN, ExpressVPN, Surfshark, ProtonVPN?

In Blau beleuchtete Serverschränke in einem Rechenzentrum

NordVPN: Einstellungen → Kill Switch → „Internet Kill Switch" aktivieren (nicht nur App Kill Switch — standardmäßig deaktiviert). ExpressVPN: Einstellungen → Allgemein → „Network Lock" (seit 2023 standardmäßig aktiviert). Surfshark: Einstellungen → VPN → Kill Switch. ProtonVPN: Einstellungen → Verbindung → „Permanent Kill Switch" für maximalen Schutz. Aktiviere unter Android immer das systemweite „Always-on VPN" + „Verbindungen ohne VPN blockieren" für bessere Abdeckung.

Die vier großen VPNs im Jahr 2026 setzen alle einen Kill-Switch um, aber mit unterschiedlichen Benennungen und Standardeinstellungen. Hier das genaue Vorgehen für jedes, Stand Mai 2026.

NordVPN

Windows/macOS-Desktop: Einstellungen → Kill Switch. Zwei getrennte Schalter — „Internet Kill Switch" (System-Modus, muss aktiviert werden) und „App Kill Switch" (App-Modus, optional). Der Internet Kill Switch ist bei der Installation standardmäßig deaktiviert — das ist der häufigste Fehler. Linux: nordvpn set killswitch on, prüfen mit nordvpn status. Android: Die Systemeinstellung Einstellungen → Netzwerk → VPN → NordVPN-Zahnradsymbol → „Permanentes VPN" + „Verbindungen ohne VPN blockieren" ist zuverlässiger als die in die App integrierte Option. iOS: keine eigene Schaltfläche, aber das „Connect on demand"-Profil in den erweiterten Einstellungen übernimmt diese Rolle auf Systemebene.

ExpressVPN

ExpressVPN nennt seinen System-Kill-Switch Network Lock. Windows/macOS: Einstellungen → Allgemein → „Allen Internetverkehr stoppen, falls das VPN unerwartet trennt". Seit 2023 standardmäßig aktiviert — ein bemerkenswerter Unterschied zu NordVPN. Linux (CLI expressvpn): Network Lock ist bei Verbindung automatisch aktiv. Android: Option „Network Protection". iOS: „On-Demand"-Profil, wie bei allen anderen.

Surfshark

Surfshark bietet einen einfachen Kill Switch, ohne Varianten — System-Modus standardmäßig. Einstellungen → VPN → Kill Switch → aktivieren. Linux: surfshark-vpn killswitch on. Ein in puncto Optionen minimalistischerer Client, was das Risiko von Fehlkonfigurationen senkt, aber die Granularität begrenzt.

ProtonVPN

ProtonVPN bietet zwei verschiedene Modi. Der Standard-Kill Switch blockiert den Verkehr nur, wenn die Verbindung unerwartet abbricht. Der Permanent Kill Switch ist strenger — er blockiert allen Verkehr außerhalb des Tunnels, selbst wenn der Nutzer freiwillig trennt — nützlich für Journalisten oder Aktivisten, die jedes Risiko des Vergessens ausschließen wollen. Einstellungen → Verbindung → Kill Switch oder Permanent Kill Switch. Siehe die ProtonVPN-Kill-Switch-Seite für Umsetzungsdetails je Betriebssystem.

Sonderfälle: Linux, Router, iOS/Android-Mobilgeräte

Nicht-standardmäßige Setups verdienen eine gesonderte Behandlung, weil die Kill-Switch-Logik dort anders umgesetzt ist — manchmal gänzlich ohne Einstellung in der App.

Linux. Offizielle Clients (NordVPN, ExpressVPN, ProtonVPN) verwenden iptables oder nftables, die beim Tunnelstart eingespielt werden. Wenn du WireGuard oder OpenVPN direkt ohne proprietären Client nutzt, konfiguriere es manuell über PostUp/PostDown in der WireGuard-Konfiguration. Mullvad veröffentlicht hervorragende Open-Source-Anleitungen, die diese Konfiguration reproduzieren. Die Tails-Distribution setzt einen gleichwertigen Kill-Switch nativ über vorkonfigurierte iptables um.

Router. Ein VPN auf Router-Ebene (DD-WRT, OpenWRT, AsusWRT-Merlin, pfSense) schützt jedes Gerät im Netzwerk, erfordert aber eine ausdrückliche Kill-Switch-Konfiguration — nie standardmäßig aktiv. Lege auf pfSense eine Gateway-Gruppe mit dem VPN als primär und ohne Fallback an: Bricht das VPN ab, schlägt das Routing fehl, statt auf das Klartext-WAN zurückzufallen. Die robusteste Konfiguration für einen Haushalt, in dem Fernseher, Konsolen und IoT-Geräte alle durch den Tunnel laufen. Für die zugrunde liegende Funkverschlüsselung erklärt unser Leitfaden zur WLAN-Sicherheit WPA2 vs. WPA3, warum WPA3 die KRACK-Lücke schließt und die Schicht unter dem VPN-Tunnel härtet.

iOS. iOS stellt keine direkte Kill-Switch-API bereit. Die Clients stützen sich auf das „Connect on Demand"-Profil aus dem Network-Extensions-Framework, das bei jeglichem ausgehenden Verkehr eine Wiederverbindung erzwingt. In den meisten Fällen funktional gleichwertig, mit einem Fenster von einigen hundert Millisekunden während der Wiederverbindung. Für den Alltag ausreichend, mit Einschränkungen für strenge Privatsphäre.

Android. Seit Android 8 gibt es die Systemeinstellung „Always-on VPN" + „Verbindungen ohne VPN blockieren" unter Einstellungen → Netzwerk → VPN → Zahnradsymbol der App. Dies ist der robusteste auf Mobilgeräten verfügbare Kill-Switch — auf OS-Ebene übersteht er App-Abstürze. Systematische Empfehlung: Always-on auf Systemebene zusätzlich zum App-Kill-Switch; die beiden Schichten ergänzen einander.

Redaktionelle Wahl

4.6 / 5

NordVPN testen — Internet Kill Switch + Auto-Connect inklusive

Deloitte-No-Log-Audit 2024 · NordLynx (WireGuard) · App Kill Switch + Internet Kill Switch · 30-Tage-Geld-zurück-Garantie

Deloitte-Prüfung 202430-Tage-Garantie14M+ Nutzer

Angebot ansehen

Wann der Kill-Switch kontraproduktiv sein kann

Der Kill-Switch ist kein Absolutum — es gibt drei betriebliche Kontexte, in denen er zum Ärgernis oder gar zum Blocker wird. Sie zu kennen erlaubt dir, ihn vorübergehend und gezielt zu deaktivieren, statt in Panik.

Captive Portal in Hotel oder Flughafen. Der Betreiber des öffentlichen WLANs fängt deine erste HTTP-Anfrage ab und leitet sie auf eine Bestätigungsseite um. Dieses Abfangen geschieht bevor der Tunnel aufgebaut ist — ein strikter System-Kill-Switch blockiert die Anfrage an das Captive Portal, sodass du dich nicht authentifizieren und somit nicht ins Internet gelangen kannst. Moderne Clients (NordVPN, ExpressVPN, ProtonVPN) handhaben das über eine temporäre Ausnahme für erkannte Captive-Portal-Anfragen. Schlägt die Erkennung fehl, deaktiviere den Kill-Switch vorübergehend, bestätige das Portal, verbinde das VPN neu und aktiviere ihn wieder. Vorgehen in unserem Leitfaden zu öffentlichem WLAN 2026. Unterwegs bleibt der Wechsel zum Tethering deines Telefons die einfachste Option: siehe Sicherheit von mobilem Hotspot vs. öffentlichem WLAN für den Kompromiss zwischen Durchsatz und Exposition.

Firmennetzwerk mit Proxy. In manchen Firmennetzwerken läuft der Internetzugang über einen Unternehmens-Proxy (SSL-Inspektion, DLP). Ein kommerzielles VPN mit Kill-Switch zu aktivieren kappt den Zugang zu diesem Proxy. Die beiden sind unvereinbar; deaktiviere das kommerzielle VPN während dieser Sitzungen.

802.1X-Konferenz-Authentifizierung. Manche Fachveranstaltungen setzen 802.1X mit zertifikatsbasierter Authentifizierung ein. Ein zum Zeitpunkt des EAP-Handshakes aktiver Kill-Switch kann das Protokoll scheitern lassen — bestimmte 802.1X-Varianten erfordern Anfragen außerhalb des Tunnels. Ein seltener, aber dokumentierter Sonderfall.

Pragmatische Regel: Wenn der Kill-Switch dich blockiert, vorübergehend deaktivieren, verstehen warum, so bald wie möglich wieder aktivieren. Struktureller Schutz ist mehr wert als eine dauerhafte Ausnahme.

Deinen Kill-Switch in 30 Sekunden testen

Die Funktion ist nutzlos, wenn sie nie wenigstens einmal überprüft wurde. Hier das minimale Vorgehen, um zu bestätigen, dass dein Kill-Switch seine Aufgabe erfüllt — in unter einer Minute durchführbar.

Schritt 1 — Einen großen Download starten. Beginne, eine mehrere hundert Megabyte große Datei (Linux-ISO, Docker-Image, Video) über deinen Browser oder einen legalen Torrent-Client herunterzuladen. Prüfe, dass die Übertragungsrate seit 10–15 Sekunden stabil ist.

Schritt 2 — Den Tunnel manuell trennen. Klicke im VPN-Client auf Trennen. Schließe den Client nicht; trenne dich nur vom Server. Genau das passiert bei einem echten Netzausfall.

Schritt 3 — Den Download beobachten. Ist der Kill-Switch aktiv und funktioniert er, muss der Download sofort stoppen — nicht in 5 Sekunden, sofort. Der Browser zeigt typischerweise „Verbindung verloren" oder „ERR_NETWORK_CHANGED". Läuft der Download weiter, ist dein Kill-Switch falsch konfiguriert oder inaktiv. Stoppt nur der Download, aber eine andere App (Spotify, Slack) lädt weiter, bist du im App-Modus statt im System-Modus.

Schritt 4 — Kein verbleibendes Leck prüfen. Während der Tunnel noch ausgefallen ist, öffne unser DNS-Leak-Test-Tool oder einen gleichwertigen Dienst (ipleak.net, dnsleaktest.com). Es sollte keine öffentliche IP-, DNS- oder IPv6-Adresse erscheinen — alles sollte mit einem Netzwerkfehler fehlschlagen. Taucht deine echte IP auf, deckt die Kill-Switch-Firewall nicht den gesamten Verkehr ab. Typischer Fall: IPv6 nicht blockiert, während IPv4 es ist.

Schritt 5 — Wieder verbinden und bestätigen. Verbinde das VPN neu. Die vom Tool angezeigte IP sollte zur Adresse des VPN-Servers zurückwechseln. Teste nach einigen Minuten ein zweites Mal, um sicherzustellen, dass kein verbleibender Zustand das Ergebnis verfälscht. Das vollständige Vorgehen ist in unserem Leitfaden zum Prüfen, ob dein VPN funktioniert ausführlich beschrieben, der die minimalen Checks zu Beginn jeder Sitzung abdeckt.

Noch weiter gehen

Der Kill-Switch ist eine Einstellung, die du einmal aktivierst und vergisst — wie einen Sicherheitsgurt. Auf 99 % der Fahrten sinnlos, auf dem einen Prozent unverzichtbar, wo er ein unsichtbares und irreversibles Leck verhindert. Bei modernen VPNs ist die Umsetzung ausgereift und die laufenden Kosten gleich null; es gibt keinen guten Grund, ihn nicht ab deiner allerersten Sitzung im System-Modus zu aktivieren.

Für Profile jenseits des Alltagsgebrauchs (Journalisten in sensiblen Umgebungen, geschützte Quellen) bildet die Schichtung von Kill-Switch + Android-Always-on + VPN-Router + einer dedizierten Maschine das Standard-OPSEC. Für 95 % der Anwendungsfälle — Streaming, Privatsphäre-Surfen, öffentliches WLAN, legales Torrenting — schließt System-Kill-Switch + Auto-Connect in unsicheren WLANs alle strukturellen Expositionsvektoren. Ohne Kill-Switch ist der Tunnel eine Bequemlichkeit; mit ihm ist er ein Schutz.

Das NCSC und ähnliche nationale Cybersicherheitsbehörden betonen in ihren Hinweisen für Remote- und Mobilarbeitende die Bedeutung einer ununterbrochenen Vertrauenskette in nicht vertrauenswürdigen Netzen — genau das garantiert der Kill-Switch auf Client-Seite. Unser vollständiges Audit in 9 Tests behandelt ihn als vorrangige Kontrolle, die einmal pro Quartal zu überprüfen ist.

Tools und Leitfäden rund um den Kill-Switch und VPN-Sicherheit

Artikel veröffentlicht am 29. Mai 2026. Dieser Leitfaden beschreibt, wie Kill-Switches dokumentiert bei NordVPN (Internet Kill Switch + App Kill Switch), ExpressVPN (Network Lock), Surfshark (Kill Switch) und ProtonVPN (Kill Switch + Permanent Kill Switch) unter Windows, macOS, Linux und Android arbeiten, und erklärt die selbst durchführbare Überprüfung (Datenverkehr mit Wireshark oder tcpdump mitschneiden, während der Tunnel manuell gekappt wird) — er ist nicht der Bericht eines privaten Prüfstands. Quellen: öffentliche ProtonVPN-Dokumentation, Mullvad-WireGuard-Anleitungen, NCSC-Hinweise zur Remote-Arbeit.