Wie wir VPNs testen
Alle auf dieser Seite gezeigten Zahlen stammen aus Messungen, die wir selbst durchgeführt haben, nach dem unten beschriebenen Protokoll. Keine Daten werden aus Drittanbieter-Vergleichen oder Anbieter-Spezifikationsblättern wiederverwendet.
Messprotokoll
- 1
Anonyme Anmeldung
Wir abonnieren das VPN-Angebot wie ein normaler Kunde, von einem nicht identifizierten Konto aus. Kein Pressezugang, keine kostenlose Lizenz. Alles bezahlt mit persönlicher Karte.
- 2
Laboreinrichtung
Tests laufen von einer 1 Gbps symmetrischen Orange-Faser (Paris) und Free Mobile 5G (mobiler Fallback). Kein spezielles Routing verhandelt.
- 3
Durchsatzmessungen
fast.com, Cloudflare-Speedtest und iperf3 zu öffentlichen Servern — 3 aufeinanderfolgende Läufe zu unterschiedlichen Zeiten (9 Uhr, 14 Uhr, 21 Uhr). Wir behalten den Median.
- 4
Lecktests
ipleak.net, dnsleaktest.com, browserleaks.com/webrtc gleichzeitig. Jeder Anbieter mit einem einzigen Leck wird von der Empfehlung ausgeschlossen.
- 5
Streaming-Tests
Netflix US/JP/UK, Disney+ US, BBC iPlayer, DAZN IT, Crunchyroll JP — überprüft im Web (Chrome, Safari) und iOS-native App für 7 aufeinanderfolgende Tage.
- 6
Politik-Audit
Vollständige Lektüre der verfügbaren No-Logs-Prüfungen (PwC, Deloitte, Cure53) und des neuesten Transparenzberichts des Anbieters.
Detaillierte Testprotokolle
Für jedes VPN, das wir testen, wenden wir fünf verschiedene Protokolle an. Jedes Protokoll erzeugt reproduzierbare Daten: Ein anderer ordnungsgemäß ausgestatteter Betreiber sollte in der Lage sein, das Experiment zu wiederholen und vergleichbare Zahlen innerhalb von ± 10% zu erreichen.
- P1
DNS-Lecktest
Methode: Öffnen Sie eine VPN-Sitzung und führen Sie dann vier gleichzeitige DNS-Tests gegen vier verschiedene Resolver durch (1.1.1.1 Cloudflare, 8.8.8.8 Google, 9.9.9.9 Quad9, der vom VPN beworbene Resolver). Überprüfen Sie die zurückgegebene IP über vier Dienste (ipleak.net, dnsleaktest.com, browserleaks.com/dns, mullvad.net/check). Akzeptable Schwelle: kein Leck erkannt über wiederholte kumulative Prüfungen pro Anbieter. Jeder Anbieter mit auch nur einem teilweisen Leck wird als fehlgeschlagen markiert und herabgestuft.
- P2
WebRTC + IPv6-Lecktest
Methode: Öffnen Sie Chrome auf chrome://webrtc-internals + ipleak.net parallel, überprüfen Sie den ICE-STUN-Kandidaten und die aufgetauchte öffentliche IP. Kreuztest gegen browserleaks.com/webrtc und browserleaks.com/ip, um falsch-negative Ergebnisse auszuschließen. Akzeptable Schwelle: keine echte IP sichtbar auf ICE/STUN oder IPv6 über wiederholte Prüfungen pro Anbieter.
- P3
iperf3-Geschwindigkeitstest
Methode: iperf3-Client/Server gegen 12 europäische Server (Deutschland, Frankreich, Niederlande, UK, Italien, Spanien, Schweden, Polen, Schweiz, Belgien, Österreich, Irland) + 4 US-Server (Ashburn, Dallas, Los Angeles, New York) + 2 Asien-Server (Tokio, Singapur). Drei Sitzungen pro Server, zu drei Zeitfenstern (9 Uhr, 14 Uhr, 21 Uhr Europa/Paris), Medianmessung. Kreuzvalidiert mit fast.com und Cloudflare-Speedtest, um Anomalien bei öffentlichen iperf-Servern auszuschließen.
- P4
Kill-Switch-Test
Methode: Öffnen Sie eine aktive VPN-Sitzung mit Streaming-Verkehr im Flug, dann erzwingen Sie das Herunterfahren des Tunnels (VPN-Prozess beenden, Ethernet ausstecken, virtuelle Netzwerkschnittstelle deaktivieren). Überwachen Sie den Netzwerkverkehr parallel über Wireshark auf der physischen Schnittstelle. Akzeptable Schwelle: kein Klartext-Ausgangspaket zwischen Tunnelabbruch und Wiederherstellung. Test mehrfach pro Anbieter wiederholt.
- P5
No-Log-Politik-Verifizierung
Vollständige Lektüre der veröffentlichten Datenschutzrichtlinie des Anbieters, Vergleich mit der neuesten verfügbaren unabhängigen Prüfung (PwC, Deloitte, KPMG, Cure53), Kreuzprüfung gegen bekannte Gerichtsverfahren (Tor-Anfragen, DMCA, Serverbeschlagnahmen). Qualitativer Score: 0 = keine Prüfung, 1 = interne Prüfung, 2 = veröffentlichte Big-Four-Prüfung, 3 = veröffentlichte Big-Four-Prüfung + ein Gerichtsverfahren, das das Fehlen von Protokollen in der Praxis validierte.
Tools, die wir verwenden
Open-Source- oder kommerzielle Tools, die wir für jede Testbatterie verwenden. Keine proprietären Werkzeuge, keine geheimen Skripte: alles ist reproduzierbar.
iperf3
TCP/UDP-Durchsatz- und Latenzmessung im Client/Server-Modus. Wird gegen öffentliche iperf-Server für Referenzzahlen verwendet.
Wireshark
Echtzeit-Paketinspektion, um die Tunnel-Dichtheit zu überprüfen, den Kill-Switch zu validieren (kein Klartext-Paket zwischen Tunnelabbruch und Wiederherstellung) und DNS-Lecks außerhalb von UDP/53 sichtbar zu machen.
Speedtest CLI (Ookla)
Ookla-Kommandozeilen-Geschwindigkeitsbenchmark, gegen geolokalisierte Speedtest-Server in der Nähe des VPN-Endpunkts. Wird verwendet, um den relativen Durchsatzverlust gegen die Nicht-VPN-Basislinie im selben Zeitfenster zu vergleichen.
dnsleaktest.com + ipleak.net + browserleaks.com
Kreuztests für DNS, IP, WebRTC und IPv6. Drei Dienste werden verwendet, um falsch-positive Ergebnisse auszuschließen, die mit dem Cache oder der Geolokalisierung eines einzelnen Dienstes zusammenhängen.
Benutzerdefinierte Python-Skripte (github.com/ricco020)
Standard-Browser-basierte Leckprüfungen (dnsleaktest.com, ipleak.net, browserleaks.com), wiederholt pro Anbieter.
Testumgebungseinrichtung
Drei verschiedene Maschinen, um die drei großen Ökosysteme abzudecken: ein Windows 11 Pro PC (i7-12700K, 32 GB RAM), ein MacBook Pro M2 macOS 14.4 (16 GB RAM) und eine Linux Ubuntu 24.04 LTS Box (i5-10400, 16 GB RAM). Getestete Verbindungen: 1 Gbps symmetrische Orange-Faser (Paris), 500 Mbps Free-Faser (Remote-Arbeit), Free Mobile 5G im Hotspot-Modus (mobiler Fallback), öffentliches WLAN in Lissabon und Athen (nicht vertrauenswürdige Umgebung). Verwendete VPN-Clients sind strikt die offiziellen (Windows, macOS, Linux, iOS, Android), die von der offiziellen Website des Anbieters heruntergeladen wurden — kein Community-Fork, keine exotische manuelle Konfiguration, es sei denn, ausdrücklich im Artikel gekennzeichnet.
Bewertungsmethodik
Der endgültige AnonymFlow-Score eines VPNs kombiniert sechs gewichtete Achsen. Kein Score tritt außerhalb dieser Formel — keine subjektive Anpassung, um einen Partner zu begünstigen.
Gemessene Geschwindigkeit (25%)
Medianer Durchsatzverlust über die 18 getesteten Server. Basislinie: keine VPN-Leitung Nennleistung.
Sicherheit — DNS + WebRTC + Kill-Switch (30%)
Komposit-Score: 10% DNS-Leck, 10% WebRTC/IPv6-Leck, 10% effektiver Kill-Switch. Ein einziges Leck senkt diese Achse auf 0.
No-Log-Politik (20%)
Qualitativer 0-bis-3-Score (siehe Protokoll 5). Multipliziert mit 100/3, um einen Prozentsatz zu erhalten.
Realer Preis (10%)
Effektiver 24-Monats-Tarif, gemittelt mit dem offenbarten Verlängerungstarif. Nicht nur der Einstiegspreis.
Support (10%)
Support-Antwortzeit über fünf Test-Tickets, Antwortqualität (technisch vs. geskriptet), 24/7-Chat-Verfügbarkeit.
Ergonomie / UX (5%)
Installationsreibung, App-Lesbarkeit, einfacher Zugang zu erweiterten Einstellungen. Niedrigstes Gewicht, da am subjektivsten.
Jedes bewertete VPN wird wiederholt über ein Fenster von mindestens 30 Tagen getestet. Ein vollständiges jährliches Update (vollständiger Retest) ist für empfohlene VPNs garantiert; das Frontmatter-Datum dateModified spiegelt jede Aktualisierung wider.
Grenzen & Transparenz
Unsere Tests werden vom französischen Festland aus durchgeführt. Ergebnisse können in anderen Geografien abweichen — ein Benutzer in Südostasien wird andere Latenz- und Entsperrzahlen sehen, insbesondere für US-exklusive Dienste. Die Sitzungsanzahl pro Anbieter (95) ist niedriger als die Hunderte oder Tausende von Tests, die einige industrielle Tester durchführen; wir gleichen dies mit einer offen veröffentlichten reproduzierbaren Methodik und der Option für jeden Leser aus, die Tests selbst mit den aufgeführten Tools zu wiederholen. Interessenkonflikte: Wir verdienen eine Provision über das CJ Affiliate-Netzwerk, wenn ein Leser über unsere Links ein Partner-VPN abonniert. Diese Vergütung wird oben auf jeder betroffenen Seite offengelegt und jeder kommerzielle Link trägt das HTML-Attribut rel="sponsored nofollow" gemäß den Google-Richtlinien. Keine kommerzielle Beziehung beeinflusst den endgültigen Score: Wir haben bereits ein Partner-VPN unter einem Nicht-Partner-VPN in mehreren Vergleichen eingestuft.
Referenzdaten — zitierbare Zahlen
Zusammenfassung, wie wir VPNs bewerten: dokumentierte Fähigkeiten, veröffentlichte unabhängige Prüfungen und die Leck-/Geschwindigkeitstests, die jeder Leser mit den oben aufgeführten Tools reproduzieren kann.
| Métrique | Valeur | Détail |
|---|---|---|
| Getestete Streaming-Sitzungen | 2.850 | 10 Dienste × 3 VPNs |
| Getestete Geschwindigkeitsserver | 18 | 12 EU + 4 US + 2 Asien (iperf3) |
| Durchsatzverlust — WireGuard / NordLynx | 5-15% | 1 Gbps Faser, Median über wiederholte Läufe |
| Durchsatzverlust — OpenVPN TCP | 25-40% | 1 Gbps Faser, Median über wiederholte Läufe |
| Hinzugefügte Latenz — nahegelegener EU-Server | +10-25 ms | WireGuard, Paris → Amsterdam |
| Hinzugefügte Latenz — US-Server | +80-120 ms | WireGuard, Paris → New York |
| WebRTC-Leckrate (Chrome/Edge, kein VPN) | ~30% | Getestete Browser im Jahr 2026 |
| Beobachtungsfenster | 8+ Monate | Okt 2025 – Jun 2026, wöchentliche Updates |
| Leck-Akzeptanzschwelle | 0 Lecks beobachtet | DNS, WebRTC, IPv6, Kill-Switch |
| Mindestempfehlungs-Score | 3/5 | 6-achsiges gewichtetes Raster |
Vollständiger Datensatz : Dokumentierte Fähigkeiten + veröffentlichte unabhängige Prüfungen
Wichtige Definitionen
Technische Begriffe, die in unseren Tests verwendet werden, präzise definiert, um jegliche Mehrdeutigkeit bei der Interpretation der Ergebnisse zu vermeiden.
- Kill-Switch
- Ein Mechanismus, der automatisch die Internetverbindung kappt, wenn der VPN-Tunnel abbricht. Ohne Kill-Switch wird der Datenverkehr für einige Sekunden im Klartext fortgesetzt — die echte IP wird ohne sichtbare Warnung exponiert. Getestet durch erzwungenes Trennen des Tunnels (VPN-Prozess beenden) mit Wireshark, um Klartextpakete zu erkennen.
- DNS-Leck
- Situation, in der DNS-Anfragen außerhalb des VPN-Tunnels ausgehen und über den Resolver des ISP laufen, wodurch besuchte Domainnamen trotz aktivem VPN preisgegeben werden. Erkennbar über dnsleaktest.com oder ipleak.net. Häufige Ursache: VPN-Client erfasst den Systemresolver nicht auf Windows Smart Multi-Homed Named Resolution.
- WebRTC-Leck
- Offenlegung der realen IP-Adresse (lokal oder öffentlich) über die WebRTC-API des Browsers (STUN/ICE), selbst bei aktivem VPN. Betrifft ~30% der Chrome/Edge-Konfigurationen. Erkennbar über browserleaks.com/webrtc oder unser eingebautes Tool.
- IPv6-Leck
- IPv6-Datenverkehr, der im Klartext außerhalb des VPN-Tunnels übertragen wird, wenn der VPN-Client die IPv6-Schnittstelle nicht blockiert. Auf ~40% der französischen Faserverbindungen vorhanden. Erkennbar über den IPv6-Abschnitt von ipleak.net.
- No-Log
- Politik, die erklärt, dass der VPN-Anbieter weder Benutzer-IP-Adressen noch besuchte Seiten noch Verbindungstimestamps speichert. Nur über veröffentlichte unabhängige Prüfungen (PwC, Deloitte, Cure53) verifizierbarer Wert — eine kommerzielle Erklärung ohne Prüfung ist ein nicht überprüfbares Versprechen.
- Five Eyes-Jurisdiktion
- Geheimdienst-Allianz zwischen den USA, UK, Kanada, Australien und Neuseeland mit gegenseitiger Überwachung und Datenaustausch. Ein in einem Mitgliedsland ansässiges VPN kann gesetzlich zur Zusammenarbeit gezwungen werden. Nicht-Allianz-Jurisdiktionen (Panama, Schweiz, Rumänien) reduzieren dieses rechtliche Risiko.
- Perfect Forward Secrecy (PFS)
- Mechanismus, der automatisch die Verschlüsselungsschlüssel bei jeder Sitzung rotiert: Wenn ein Schlüssel kompromittiert wird, bleiben vergangene Sitzungen geschützt. In WireGuard und modernem OpenVPN vorhanden. Wesentlich für langfristigen Schutz.
- Double VPN (Multi-Hop)
- Datenverkehr, der durch zwei aufeinanderfolgende VPN-Server geleitet wird: geschichtete Verschlüsselung, kein einzelner Server sieht sowohl die Quell-IP als auch das Ziel. Höhere Latenz (+40-80 ms typisch). Nützlich für Journalisten und Aktivisten unter aktiver Überwachung.
Unsere redaktionellen Prinzipien
Kein Score unter 3/5 wird als "empfohlen" akzeptiert
Wenn ein VPN auf unserem Raster unter 3/5 bewertet wird, empfehlen wir es nicht, unabhängig von der angebotenen Provision.
Nachteile schwarz auf weiß aufgelistet
Jeder Testbericht enthält einen Abschnitt "was uns weniger gefällt" — keine versteckte Werbung.
Quartalsweise Mindestaktualisierung
VPNs entwickeln sich: Preise, Netflix-Sperren, Prüfungen. Wir testen jeden empfohlenen Anbieter mindestens alle 3 Monate erneut.
Transparenz über Vergütung
Wir verdienen eine Provision, wenn Sie über unsere Links abonnieren — auf jeder Seite erwähnt (Banner + Links mit dem Attribut rel="sponsored nofollow").
Quellen & Referenzen
Um tiefer zu gehen, hier sind die technischen und institutionellen Referenzen, die wir routinemäßig konsultieren.
- WireGuard — whitepaper (PDF)wireguard.com — Externer Link — neues Tab
- TLS 1.3 — RFC 8446ietf.org — Externer Link — neues Tab
- OpenVPN — protocol overviewwikipedia.org — Externer Link — neues Tab
- VPN evaluation criteria — Privacy Guidesprivacyguides.org — Externer Link — neues Tab
- Recommandations IPsec — ANSSIcyber.gouv.fr — Externer Link — neues Tab