Ein VPN zu aktivieren ist eine Sache. Zu prüfen, ob es hält, was es verspricht, eine andere. Die meisten Nutzer klicken auf „Verbinden", sehen einen grünen Haken und betrachten die Sache als erledigt. Nur sagt diese Kontrollleuchte in der App nichts darüber aus, was dein Datenverkehr besuchten Seiten tatsächlich preisgibt. Dieses methodische 7-Schritte-Audit dauert etwa 10 Minuten und zeigt dir genau, wo du stehst — nicht das, was der Anbieter in seiner Marketing-Oberfläche zeigen will.
Schritt 1 — Beobachtete öffentliche IP prüfen
Der grundlegendste Test, aber auch der, der größere Konfigurationsprobleme am schnellsten aufdeckt. Öffne das Meine-IP-Tool ohne VPN, notiere die angezeigte Adresse und den Namen des Anbieters (Orange, Free, SFR, Bouygues in Frankreich). Aktiviere dein VPN, lade die Seite neu: Die IP muss sich geändert haben, und der Anbieter muss zu einem Namen wie Tefincom (NordVPN-Tochter), Tata Communications, M247 (von mehreren VPNs genutzt) oder einem anderen Rechenzentrums-Host wechseln.
30-Sekunden-Warnsignal: Wenn sich die IP nach der Aktivierung nicht geändert hat, ist dein VPN nicht verbunden oder es leitet deinen Datenverkehr weiter, ohne die IP zu maskieren — seltener, aber existierender Fall bei bestimmten schlecht konfigurierten Unternehmens-Setups (Proxy + VPN, die sich gegenseitig neutralisieren). Lösung: Starte den VPN-Client neu, prüfe die aktive Netzwerkverbindung.
Notiere auch das erkannte Land: Es muss zu dem von dir gewählten VPN-Server passen. Eine Abweichung (gewählter Server „Niederlande", aber erkanntes Land „Deutschland") deutet entweder auf einen geografisch falsch ausgewiesenen Server hin oder auf eine ungenaue Geolokalisierung aus der MaxMind/IP2Location-Datenbank — an sich nicht kritisch, aber beachtenswert, wenn du einen bestimmten Streaming-Katalog anvisierst (das Freischalten hängt von der von Netflix erkannten Geolokalisierung ab, nicht vom deklarierten Server).
Schritt 2 — DNS-Lecks testen
Du kannst eine vom VPN maskierte IP haben und dennoch deine DNS-Anfragen direkt an die Server deines Anbieters gehen sehen. Ergebnis: Dein Anbieter weiß, welche Seiten du besuchst (DNS-Auflösungs-Logs), selbst wenn die Seiten selbst die IP des VPNs sehen. Es ist das häufigste und am wenigsten sichtbare Leck — daher seine Kritikalität in jedem ernsthaften Audit.
Schnelltest: Besuche dnsleaktest.com, starte einen „Extended Test" (nicht den unzureichenden „Standard Test"), warte 10-20 Sekunden. Das Tool listet die DNS-Server auf, die geantwortet haben. Vergleiche sie mit den DNS-Servern deines Anbieters: Bei Übereinstimmung ist das Leck bestätigt.
Für die vollständige Methodik und Lösungen je Betriebssystem (Windows SMHNR deaktivieren, Browser-DoH deaktivieren, IPv6 tunneln) siehe unseren vollständigen DNS-Leak-Test-Leitfaden. Die meisten seriösen VPNs erzwingen ihre eigenen DNS-Server, wenn aktiv; bei weniger zuverlässigen VPNs entscheidet das Betriebssystem — und das Betriebssystem nimmt standardmäßig meist den DNS-Server des Anbieters.
Schritt 3 — WebRTC-Lecks auditieren
WebRTC ist für P2P-Kommunikation im Browser konzipiert (Videokonferenzen, Live-Dateifreigabe, Online-Spiele). Um zu funktionieren, versucht es, alle deine IP-Adressen zu ermitteln — einschließlich derer, die dein VPN verbergen soll. Wenn nichts es blockiert, kann ein JavaScript-Skript auf einer bösartigen Seite deine echte IP trotz aktivem VPN auslesen. Es ist das heimtückischste Leck unter den sieben Auditpunkten.
Der Test: Starte unser DNS-Leak-Test-Tool — es prüft die WebRTC-ICE-Kandidaten deines Browsers und zeigt, ob eine andere öffentliche IP als der VPN-Ausgang auftaucht, also ein bestätigtes Leck. Wenn die angezeigte IP von der in Schritt 1 notierten VPN-Server-IP abweicht, ist sofortiges Handeln erforderlich.
Lösungen in der Reihenfolge ihrer Wirksamkeit: (1) aktiviere den WebRTC-Schutz in den Einstellungen deines VPNs (die meisten guten VPNs haben diese Option), (2) installiere die offizielle VPN-Browsererweiterung, die WebRTC nativ deaktiviert, (3) deaktiviere WebRTC manuell in Firefox about:config (setze media.peerconnection.enabled auf false) oder per uBlock Origin in Chrome (Einstellungen → Datenschutz → WebRTC verhindern).
Schritt 4 — Fehlen eines IPv6-Lecks prüfen
Das ist das vergessene Leck oberflächlicher Audits. Viele VPNs leiten nur IPv4-Verkehr und lassen IPv6 direkt zu deinem Anbieter durch. Ergebnis: Wenn die besuchte Seite IPv6 unterstützt (Google, Facebook, Cloudflare tun es alle), sieht sie deine echte IPv6, während das VPN nur deine IPv4 verbirgt. Die Seite kennt also deine echte Geolokalisierung.
Schnelltest: Besuche test-ipv6.com. Wenn der IPv6-Bereich eine Adresse zeigt und diese nicht die des VPN-Servers ist, hast du ein IPv6-Leck. Die besten VPNs bieten in den erweiterten Einstellungen eine Option „Block IPv6" oder „Tunnel IPv6". Aktiviere diese Option oder, als letzter unsauberer-aber-wirksamer Ausweg, deaktiviere IPv6 systemweit (Windows-Einstellungen → Netzwerk → Adapter → Eigenschaften → IPv6 abwählen).
NordVPN unterstützt IPv6-Tunneling seit 2024, ExpressVPN blockiert IPv6 standardmäßig, Surfshark hat eine dedizierte Option. VPNs, die IPv6 gar nicht verwalten, sind 2026 technisch veraltet — Free und Orange rollen IPv6 nativ aus, viele Nutzer sind betroffen, ohne es zu wissen.
Schritt 5 — Den Kill Switch testen
Der Kill Switch ist das, was deine Internetverbindung kappt, falls das VPN abbricht. Ohne ihn reicht ein einsekündiger VPN-Abbruch, um deine echte IP an aktive Seiten preiszugeben, sogar um Verbindungen im Klartext fortzusetzen (Netflix, Banking usw.). Es ist ein essenzieller passiver Sicherheitsmechanismus.
Einfacher Test: Starte im Hintergrund einen langen Download (ISO der Ubuntu-Linux-Distribution, 4 GB), dann erzwinge in den VPN-Einstellungen ein Trennen oder beende den VPN-Client-Prozess über den Task-Manager. Der Download muss schlagartig stoppen. Läuft er weiter, ist dein Kill Switch nicht aktiv — oder dein VPN hat schlicht keinen.
Prüfe auch das Verhalten beim Systemstart: Verbindet sich dein VPN wieder, bevor der Browser seine ersten Anfragen sendet? Falls nicht, kann das Zeitfenster zwischen Systemstart und VPN-Aktivierung deine IP an Tracker preisgeben, die automatisch laden (Google Analytics, Facebook Pixel auf gebookmarkten Seiten). Lösung: Aktiviere „Beim Start ausführen" + „Automatisch verbinden" im VPN-Client UND deaktiviere den automatischen Browserstart mit der vorherigen Sitzung.
Schritt 6 — Geschwindigkeitsverlust messen
Ein gut konfiguriertes VPN verliert auf einem nahen Server typischerweise 5 bis 15 % Durchsatz und fügt je nach Entfernung 10 bis 40 ms Latenz hinzu. Darüber hinaus ist entweder der Server überlastet, das Protokoll schlecht gewählt (OpenVPN statt WireGuard) oder dein VPN ist technisch nicht auf dem Stand des Marktes von 2026.
Nutze das Speedtest-Tool in reproduzierbarer Abfolge: (1) miss einmal ohne VPN, notiere Download/Upload/Latenz über 3 aufeinanderfolgende Versuche (Median), (2) aktiviere das VPN auf dem geografisch nächsten Server, (3) miss erneut unter denselben Bedingungen, (4) berechne den Verlust in Prozent. Wenn du mehr als 30 % Durchsatz oder mehr als 80 ms Latenz auf einem lokalen Server verlierst, wechsle den Server (deiner ist überlastet) oder das Protokoll (WireGuard/NordLynx erzwingen). Unsere vollständige NordVPN-Geschwindigkeitsanalyse beschreibt die je Konfiguration erwartbaren Benchmarks.
Moderne Protokolle (WireGuard, NordLynx, Lightway, IKEv2) sind deutlich effizienter als ältere (OpenVPN UDP, besonders OpenVPN TCP). Erzwinge WireGuard, wenn im VPN-Client verfügbar.
NordVPN testen — besteht das 7-Schritte-Audit zuverlässig
Natives WireGuard/NordLynx · Threat Protection · 30 Tage Geld-zurück
Schritt 7 — Log-Richtlinie prüfen (und ihr unabhängiges Audit)
Das ist der Schritt, den du technisch nicht selbst testen kannst, aber indirekt über vertrauenswürdige Dritte überprüfen kannst. Ein VPN, das sich ohne öffentliches Audit als „No-Log" bezeichnet, ist nur ein Marketingversprechen — kein technischer Beweis.
Suche auf der Website des VPNs nach der Erwähnung eines aktuellen unabhängigen Audits durch eine anerkannte Firma: PwC, Deloitte, KPMG, Cure53, Securitum. NordVPN veröffentlichte mehrere PwC-Audits (2018, 2020, 2022) und Deloitte (2023, 2024). ExpressVPN wurde 2022 von KPMG auditiert. Mullvad hat eine Cure53-Auditreihe von 2020 bis 2023. ProtonVPN wurde 2023 von Securitum auditiert.
Die No-Log-Richtlinie eines VPNs ist nur so stark wie seine Jurisdiktion. Ein VPN mit Sitz in einem Land ohne gesetzliche Datenspeicherungspflicht und unabhängig auditiert bietet die stärksten Garantien — aber keine Garantie kann absolut sein. Gesunde Skepsis bleibt die Regel.
Prüfe auch die Jurisdiktion. Ein VPN mit Sitz in Panama (NordVPN) oder auf den Britischen Jungferninseln (ExpressVPN) unterliegt nicht denselben Speicherpflichten wie ein VPN mit Sitz in den USA (Five Eyes) oder Frankreich (Militärprogrammgesetz). Das garantiert nicht, dass sie in der Praxis nicht loggen, aber es verringert den rechtlichen Druck, der sie dazu zwingen könnte. Siehe unseren vollständigen NordVPN-Test für Details zu Audit + Jurisdiktion.
Zusammenfassung — deine 10-Minuten-Audit-Checkliste
Damit dir nichts entgeht, hier die genaue Abfolge, die in methodischer Reihenfolge anzuwenden ist. Jeder Schritt muss ein den Standards von 2026 entsprechendes Ergebnis liefern, sonst ist das VPN nicht für ernsthafte Privatsphäre-Nutzung geeignet.
| Schritt | Tool | Warnsignal |
|---|---|---|
| 1. Öffentliche IP | Meine-IP-Tool | IP unverändert oder Anbieter unverändert |
| 2. DNS-Leck | DNSLeakTest.com | DNS-Server = dein Anbieter |
| 3. WebRTC | DNS-Leak-Test-Tool | Öffentliche IP weicht vom VPN-Ausgang ab |
| 4. IPv6 | test-ipv6.com | Echte IPv6 sichtbar |
| 5. Kill Switch | Manueller Download-Test | Download läuft nach VPN-Abbruch weiter |
| 6. Geschwindigkeit | Speedtest-Tool | Verlust > 30 % oder Latenz > 80 ms |
| 7. Logs | VPN-Seite + öffentliches Audit | Kein aktuelles unabhängiges Audit |
Wiederhole dieses vollständige Audit nach jedem größeren Update: Windows-11-Feature-Updates, macOS-Releases, größere Firefox-/Chrome-Versionen und natürlich nach einem VPN-Client-Update. Einmal pro Quartal genügt für den privaten Gebrauch. Unser dokumentiertes VPN-Testprotokoll systematisiert diese Abfolge bei auditierten VPNs.
Was du dir merken solltest
Ein VPN, das die 7 Schritte besteht, schützt dich gegen die häufigsten Lecks — essenziell für tägliche Privatsphäre, VPN-Streaming oder das Surfen in nicht vertrauenswürdigen WLANs (Cafés, Hotels, Flughäfen). Bei kostenlosen VPNs ist das selten der Fall und bei den drei oder vier führenden bezahlten VPNs des Marktes 2026 in der Regel der Fall — NordVPN, ExpressVPN, Surfshark sowie Mullvad oder ProtonVPN für strikter auf Privatsphäre ausgerichtete Nutzungen. Wenn dein aktuelles VPN an mehreren Schritten scheitert, testet unser Vergleich der besten NordVPN-Alternativen 5 Optionen anhand derselben Kriterien.
Wenn du auf „journalistische Anonymität" oder „Whistleblower"-Modus aus bist, musst du über diese 7 Schritte hinausgehen — Tor zusätzlich zum VPN, dedizierte Linux/Tails-Maschine, strikte OPSEC. Aber das ist kein einfaches VPN-Audit-Thema mehr, es ist vollständige OPSEC jenseits des Rahmens dieses Leitfadens.
Für die meisten Alltagsnutzungen ist die obige Kette aus 7 Prüfungen weitgehend ausreichend. Einmal pro Quartal dauert sie 10 Minuten und lohnt sich allemal, um zu bestätigen, dass dein Privatsphäre-Werkzeug seine Arbeit tut.
NordVPN testen — vollständige Threat Protection
PwC-2023- + Deloitte-2024-Audits bestätigt · 30 Tage Geld-zurück
Weiterlesen zur VPN-Sicherheit
- Kostenloser DNS- + WebRTC-Leck-Test →Führe die Diagnose in 30 Sekunden durch
- Meine-IP-Tool — öffentliche IP und Geolokalisierung →Prüfe, was Seiten von dir sehen
- Integriertes Speedtest-Tool →Miss deinen tatsächlichen Durchsatzverlust mit und ohne VPN
- Vollständiger DNS-Leak-Test-Leitfaden →Ursachen, Lösung je Betriebssystem, reproduzierbare Methode
- Prüfen, ob dein VPN wirklich funktioniert →Schnelltests ergänzend zu diesem Audit
- Unser NordVPN-Test 2026 →Audit + Freischalten + Geschwindigkeit
- Beste NordVPN-Alternativen 2026 →5 VPNs anhand derselben 7 Kriterien getestet, falls NordVPN nicht passt
Unabhängige redaktionelle Einschätzung auf Basis dokumentierter Dienstleistungsmerkmale, veröffentlichter unabhängiger Audits und öffentlicher Benchmarks, mit Prüfungen über Standard-Tools (iperf3, dnsleaktest.com, browserleaks). Kommerzielle Links tragen das Attribut rel="sponsored nofollow"; eine Affiliate-Provision kann anfallen, ohne Mehrkosten für die Leserschaft und ohne Einfluss auf die Bewertung.
Corrige la fuite — chiffre tout avec NordVPN
DNS sécurisé · kill switch · Threat Protection · 30 jours remboursé
