DNS-Leak-Test: So finden und beheben Sie DNS-Leaks
Ihr VPN kann eine saubere IP-Adresse in einem anderen Land vortäuschen, während es Ihrem Internetanbieter unbemerkt eine Liste aller von Ihnen aufgerufenen Websites übermittelt. Diese Lücke hat einen Namen: DNS-Leak. Das Vorhängeschloss scheint geschlossen, der Datenverkehr privat, und dennoch gelangen die Anfragen, die einen Domainnamen in eine Adresse umwandeln, unverschlüsselt nach außen. Ein kurzer DNS-Leak-Test ist die einzige Möglichkeit, dies festzustellen, und die meisten, die ihn zum ersten Mal durchführen, sind von den Ergebnissen überrascht.
Dieser Leitfaden erklärt, was ein DNS-Leak ist, wie man in etwa dreißig Sekunden nach DNS-Leaks sucht, wie man die Ursache behebt und warum die Folgen für Kryptobesitzer besonders gravierend sind. Letzteres wird in fast keinem anderen Leitfaden ausführlich erläutert.
Was ist ein DNS-Leak und welche Daten werden dadurch übertragen?
Das Domain Name System (DNS) ist wie ein Telefonbuch fürs Internet. Man gibt einen Domainnamen ein, das Gerät sendet eine kurze DNS-Anfrage, und ein DNS-Server liefert die passende IP-Adresse zurück. So weit, so gut. Das Problem entsteht, wenn die Anfrage vom vorgesehenen Pfad abweicht. Anstatt über den verschlüsselten VPN-Tunnel zum DNS-Server des VPN-Anbieters zu gelangen, wird die Anfrage – meist unverschlüsselt – an den DNS-Server des Internetanbieters gesendet.
Im filmischen Sinne wird nichts „gestohlen“. Was durchsickert, sind Metadaten: die geordnete Liste der von Ihnen besuchten Websites, verknüpft mit Ihrer echten IP-Adresse. Das reicht völlig aus. Bei dieser DNS-Methode muss Ihr Internetanbieter kein einziges Byte Ihres tatsächlichen Datenverkehrs lesen, um zu wissen, dass Sie beispielsweise an einem Dienstag um 11:47 Uhr eine bestimmte Börse, einen Wallet-Dienst oder eine Nachrichtenseite geöffnet haben. Jedes Mal, wenn Sie eine Website besuchen, muss die Anfrage irgendwo aufgelöst werden, und genau da liegt das Problem. Das Unangenehme daran: Datenlecks sind eher die Standardeinstellung des Internets als ein seltener Fehler. Laut Cloudflare Radar werden im Februar 2026 weltweit noch immer etwa 86,6 % der DNS-Anfragen unverschlüsselt über UDP übertragen. Verschlüsseltes DNS ist die Ausnahme, nicht die Regel.
Wie es zu einem DNS-Leak kommt: IPv6, WebRTC, Router
Die meisten Sicherheitslücken sind keine ausgeklügelten Angriffe. Es handelt sich um normales Betriebssystemverhalten, das vom VPN nie vollständig unterdrückt wurde. Drei Ursachen sind für die große Mehrheit der fehlgeschlagenen Tests verantwortlich.
IPv6 und das Leck, das Ihr VPN vergessen hat
Dies ist der stille Meister der DNS-Leaks. Viele VPNs wurden so konzipiert, dass sie IPv4 tunneln und IPv6 als fremdes Problem betrachten. Wenn also IPv6 auf Ihrem Betriebssystem aktiviert ist und das VPN nur IPv4 nutzt, gelangen diese IPv6-DNS-Anfragen ungehindert durch den Tunnel. Und das ist keine bloße Theorie. Eine von Experten begutachtete Studie von Cho und Heidemann auf der ACM IMC 2025 deckte auf, dass zwölf kommerzielle VPNs IPv6-Datenverkehr für 5 % bis 57 % ihrer reinen IPv4-Nutzer durchließen. Die Ergebnisse wurden in ihrem Beitrag zur IMC 2025 veröffentlicht . Jahrelang wurde also versucht, die Geräte vor IPv6-Leaks zu schützen, und trotzdem ist das Leck weiterhin in den Daten nachweisbar.
Transparentes DNS-Hijacking durch Ihren Internetanbieter
Manche Internetanbieter fangen alle DNS-Anfragen ab, die Ihr Netzwerk über Port 53 verlassen, und leiten sie über ihren eigenen Resolver weiter, unabhängig vom eingestellten Server. Das ist transparentes DNS-Hijacking. Führen Sie einen Leak-Test durch, und Sie werden sehen, dass der Resolver Ihres Anbieters aktiv ist, obwohl Sie einen anderen konfiguriert haben. Windows verschärft das Problem auf zwei Arten: Smart Multi-Homed Name Resolution (SMHNR), das DNS-Anfragen gleichzeitig über alle Netzwerkadapter sendet, und Teredo, ein IPv6-Tunneling-Dienst, der unbemerkt einen zweiten Pfad um das VPN herum öffnet.
Browser- und WebRTC-Lecks
WebRTC ist die Browserfunktion für Audio- und Videoanrufe in Echtzeit. Praktisch, aber sie kann auch Ihre lokale und öffentliche IP-Adresse durch direkte Verbindungsanfragen offenlegen und dabei DNS komplett umgehen. Streng genommen handelt es sich dabei nicht um ein DNS-Leak. Ein guter DNS-Leak-Test prüft dies ohnehin, da das Ergebnis identisch ist: Ihre echte Adresse wird angezeigt. Wie verbreitet ist dieses Problem? Eine ältere, aber immer noch zitierte Studie der CSIRO und der Macquarie University aus dem Jahr 2016, die 283 Android-VPN-Apps untersuchte, ergab, dass 66 % DNS-Traffic durchließen und 84 % IPv6 nie durch den Tunnel leiteten. Die Ergebnisse wurden in den Proceedings der ACM IMC 2016 dokumentiert . Neun Jahre später hat niemand diese Zahlen widerlegt.
So führen Sie einen kostenlosen DNS-Leak-Test durch und lesen ihn aus
Das Durchführen des Tests ist der einfache Teil. Das Lesen der Ergebnisse bereitet vielen Schwierigkeiten. Verbinden Sie Ihr VPN, öffnen Sie eine kostenlose DNS-Leak-Testseite in Ihrem Browser und führen Sie sowohl den Standard- als auch den erweiterten Test durch. Wenige Sekunden später erhalten Sie eine Liste der DNS-Resolver, die Ihre Anfragen beantwortet haben, jeweils mit Angabe des Betreibers und des Standorts. Nun stellt sich nur noch die Frage: Gehören diese Resolver zu Ihrem VPN oder zu Ihrem Internetanbieter und Google?
Führen Sie den Test zweimal durch. Testen Sie zunächst ohne VPN, um den DNS-Resolver Ihres Internetanbieters zu ermitteln, und anschließend mit aktiviertem VPN-Tunnel. Wird in beiden Durchläufen derselbe Server Ihres Internetanbieters angezeigt? Dann liegt hier eindeutig ein DNS-Leak vor. Wird bei bestehender VPN-Verbindung nur der Resolver Ihres Internetanbieters angezeigt? Dann ist Ihr DNS-Leak in Ordnung, zumindest bis zum nächsten Neustart.
| Was der Test zeigt | Urteil | Was zu tun |
|---|---|---|
| Nur die DNS-Server Ihres VPNs | Kein Leck | Alles in Ordnung; testen Sie es nach den Updates erneut. |
| Der Resolver Ihres Internetanbieters erscheint | DNS-Leak | Beheben Sie die unten stehende Ursache, bevor Sie dem Tunnel vertrauen. |
| Google oder ein Drittanbieter-Resolver, den Sie nicht konfiguriert haben | Teilweise Leckage | DNS manuell einstellen; Routerkonfiguration prüfen |
| Unterschiedlicher IPv6-Server als IPv4-Server | IPv6-Leck | Deaktivieren Sie IPv6 oder verwenden Sie ein VPN, das es durchtunnelt. |
| Ihre echte IP-Adresse, die in einem WebRTC-Feld angezeigt wird | WebRTC-Leck | WebRTC im Browser deaktivieren |
Warum DNS-Leaks für die Krypto-Privatsphäre relevant sind
Hier kommt der Teil, den die VPN-Testseiten auslassen. Für Krypto-Nutzer ist ein DNS-Leak gravierender als für den Durchschnittsnutzer, denn er schließt die einzige Lücke, die die On-Chain-Überwachung allein nicht überbrücken kann: die Verbindung zwischen Ihrer Netzwerkidentität und Ihrer Wallet.
Verknüpfung Ihrer IP-Adresse mit einer Wallet
Blockchain-Analyseunternehmen sind sehr gut darin, Adressen zu gruppieren und Geldflüsse zu verfolgen. Was ihnen jedoch schwerfällt, ist, ohne einen Hinweis außerhalb der Blockchain eine reale Person mit einer Adresse zu verknüpfen. Ein DNS-Leak liefert genau diesen Hinweis. Wenn Ihr Gerät Anfragen an Wallet-Domains, Block-Explorer-Websites oder Node-RPC-Endpunkte sendet und diese Anfragen Ihre echte IP-Adresse mit einem Zeitstempel enthalten, kann ein Beobachter die Netzwerkspur mit gleichzeitig stattfindenden Aktivitäten auf der Blockchain korrelieren.
Exchange-Logins und KYC-Korrelation
Das ist der größte Schwachpunkt. Wenn Sie sich bei einer zentralisierten Börse anmelden, sucht Ihr Gerät nach deren Domain. Gelangt diese Anfrage an Ihren Internetanbieter, wird sie Ihrer echten IP-Adresse zugeordnet. Ihre Börse verfügt bereits über Ihre verifizierte Identität (KYC). Nun kann ein Dritter diese Identität mit einer Sitzung verknüpfen, die eigentlich durch das VPN geschützt werden sollte. Die Blockchain-Analysebranche, die solche Korrelationen kauft und verarbeitet, hatte 2025 einen Wert von 2,99 Milliarden US-Dollar und soll jährlich um 22 % wachsen. Chainalysis bezifferte das illegale Krypto-Handelsvolumen für 2025 in seinem Krypto-Kriminalitätsbericht auf 154 Milliarden US-Dollar – ein Markt mit starken Anreizen, jede verfügbare Information zu verknüpfen.
Was ein DNS-Trail über Sie verrät
Selbst ohne die Inhalte Ihres Datenverkehrs ist die Reihenfolge der von Ihnen aufgerufenen Domains ein aussagekräftiger Fingerabdruck Ihres Nutzerverhaltens. Welche Börse, welche Wallet, welches DeFi-Frontend – in welcher Reihenfolge und zu welcher Uhrzeit? US-Regulierungsbehörden haben das Interesse an diesen Daten bestätigt: Ein Bericht der FTC aus dem Jahr 2021 stellte fest, dass alle sechs großen US-amerikanischen Internetanbieter DNS-Anfragen und Browserdaten protokollierten. Fairerweise muss man sagen, dass bisher noch kein Gerichtsverfahren die Entanonymisierung von Kryptowährungen allein auf ein DNS-Leak zurückgeführt hat. Die Möglichkeit, Daten zu sammeln , ist gut dokumentiert; der eindeutige Beweis fehlt jedoch. Ich würde nicht darauf wetten, dass dies so bleibt.
Wie man DNS-Leaks auf jedem Gerät verhindert
Die gute Nachricht: Die Lösung ist schnell erledigt, kein Marathon. Passen Sie die Einstellungen an die Ergebnisse Ihres Tests an, anstatt aus Paranoia alle sechs durchzuprobieren. In der Praxis reichen meist zwei, maximal drei.
DNS-Leaks unter Windows und macOS beheben
Unter Windows sind die üblichen Verdächtigen die intelligente Namensauflösung für mehrere Netzwerkgeräte und der Teredo-Adapter. Deaktivieren Sie beide. Weisen Sie anschließend Ihrem aktiven Netzwerkadapter einen statischen DNS-Server zu. Unter macOS ist die Vorgehensweise etwas einfacher: Konfigurieren Sie Ihren DNS-Server manuell in den Netzwerkeinstellungen und leeren Sie anschließend den Cache mit `sudo dscacheutil -flushcache`. Stellen Sie in beiden Fällen die Verbindung wieder her und führen Sie den DNS-Leak-Test erneut durch. Wird in der Resolverliste nur Ihr VPN angezeigt? Fertig. Falls Ihr alter ISP-Server noch aktiv ist, liegt die Ursache des Leaks in einer tieferliegenden Ebene der Netzwerkarchitektur.
Sperren Sie Ihren Router und IPv6 ab.
Verweigert Ihr VPN die IPv6-Tunnelung? Dann deaktivieren Sie IPv6 auf Betriebssystemebene, damit keine alternativen Wege für Anfragen zur Verfügung stehen. Vergessen Sie dabei nicht den Router. Solange dieser noch auf den DNS-Server Ihres Internetanbieters zugreift, verlagert sich das Datenleck lediglich um einen Schritt nach oben, und Ihre scheinbar saubere Lösung auf Geräteebene verschleiert das eigentliche Problem. Konfigurieren Sie den Router so, dass er einen vertrauenswürdigen DNS-Server verwendet. Alle angeschlossenen Geräte (Smartphones, Laptops und Konsolen) übernehmen diese Einstellung automatisch.
VPN-Einstellungen und DNS-Leak-Schutz
Öffnen Sie Ihren VPN-Client und überprüfen Sie drei Einstellungen: Eigene DNS-Server werden verwendet, der DNS-Leak-Schutz ist aktiviert und der Kill-Switch ist eingeschaltet. Die letzten beiden sind nicht dasselbe, was häufig zu Fehlern führt. Der Kill-Switch unterbricht Ihre Verbindung sofort, sobald der verschlüsselte Tunnel abbricht. Der DNS-Leak-Schutz leitet Ihre Anfragen über denselben Tunnel zurück, solange dieser noch besteht. Sie benötigen beides. Und Sie sollten diese Einstellungen unbedingt überprüfen, denn „standardmäßig sicher“ ist ein Marketingslogan, kein Versprechen.
| Ursache | Was Sie im Test sehen | Fix | Wo |
|---|---|---|---|
| IPv6-Leck | Der IPv6-Resolver unterscheidet sich vom IPv4-Resolver. | IPv6 deaktivieren oder VPN wechseln | Betriebssystem / VPN |
| ISP-Hijacking | ISP-Resolver trotz manueller DNS-Verwaltung | Verschlüsseltes DNS einrichten (DoH oder DoT) | Betriebssystem / Router |
| Windows SMHNR oder Teredo | Mehrere Resolver, einer davon ist ein ISP | SMHNR und Teredo deaktivieren | Windows |
| Router verwendet ISP-DNS | Dasselbe Leck bei jedem Gerät | Router-DNS manuell konfigurieren | Router |
| WebRTC-Exposition | Reale IP in einem WebRTC-Feld | WebRTC deaktivieren | Browser |
Auswahl eines DNS-Servers, der keine Daten preisgibt
Einen DNS-Leak-Test zu bestehen, ist nur die halbe Miete. Die Wahl des Resolvers ist genauso wichtig wie der Tunnel, denn ein DNS-Anbieter, der Protokolle speichert, ist Überwachung – nur mit einem harmloseren Logo. Cloudflare verwendet 1.1.1.1, Quad9 9.9.9.9 und Google 8.8.8.8. Derselbe Zweck, aber völlig unterschiedliche Protokollierungsrichtlinien. Lesen Sie diese also genau. Wer einfach den in einem Forum empfohlenen Anbieter wählt, ist zwar „leakfrei“, wird aber trotzdem verfolgt.
Verschlüsseln Sie anschließend die DNS-Anfrage selbst. Sowohl DNS over HTTPS (DoH) als auch DNS over TLS (DoT) verschlüsseln die Anfrage, sodass Ihr Internetanbieter sie weder lesen noch abfangen kann. Kaum jemand nutzt diese Möglichkeit jedoch. Verschlüsselte Übertragungen wurden Anfang des Jahres 2019 nur in etwa 11,3 % der Fälle durchgeführt, und die Ende-zu-Ende-DNSSEC-Validierung erreichte im ersten Quartal einen Wert von lediglich 0,47 % – ein vernachlässigbarer Wert. Eine einzige Einstellung. Ändern Sie diese, und Sie gehören stillschweigend zu einer kleinen, aber deutlich besser geschützten Minderheit.
Verhindert Ihr VPN wirklich DNS-Leaks?
Betrachten Sie die Option „DNS-Leak-Schutz“ als Aussage, nicht als Garantie. Die Leak-Raten von 2016 tauchen immer wieder in aktuellen Studien aus dem Jahr 2025 auf. Das zeigt, dass das Problem in der Funktionsweise dieser Clients verankert ist und nicht stillschweigend von der Branche behoben wurde. VPN-Nutzung ist zwar weit verbreitet, aber keineswegs flächendeckend: Laut Security.org gaben 2025 nur noch 32 % der Erwachsenen in den USA an, ein VPN zu nutzen – ein deutlicher Rückgang gegenüber 46 % im Vorjahr. Die Regel ist zwar langweilig, aber wirksam: Führen Sie einen DNS-Leak-Test durch, sobald Sie ein VPN installieren, nach jedem größeren Betriebssystem-Update und immer dann, wenn sich der Client nachts um 3 Uhr von selbst wieder verbindet, während Sie nicht hinschauen.
Was Sie jetzt bezüglich Ihres DNS-Leak-Tests tun sollten
Ein VPN, das DNS-Daten preisgibt, ist ein Datenschutztool, das Sie dreist belügt. Der einzige Weg, dies zu erkennen, ist, genau hinzusehen. Führen Sie den Test jetzt zweimal durch – einmal mit und einmal ohne VPN. Beheben Sie die tatsächlich aufgetretene Ursache, verwenden Sie einen verschlüsselten DNS-Resolver, dessen Richtlinien Sie gelesen haben, und testen Sie nach dem nächsten Update erneut. Wenn Sie Kryptowährungen verwenden, betrachten Sie Ihren DNS-Pfad als Teil Ihres Bedrohungsmodells und nicht als Nebensache. Denn hier wird ein Datenleck anhand verknüpfter Identitäten gemessen, nicht nur anhand des Browserverlaufs. Eine Frage, die zum Nachdenken anregt: Wenn Ihre Konfiguration die ganze Zeit Daten preisgegeben hat, was hat Ihr Internetanbieter bereits protokolliert?
