Was ist ein virtuelles privates Netzwerk? VPN-Server-Leitfaden

Im Februar 2025 verhängte das US-Justizministerium gegen die Kryptobörse OKX eine Geldstrafe von über 500 Millionen US-Dollar wegen Verstößen gegen die Geldwäsche- und Identitätsprüfungsbestimmungen. Sieben Monate später gab OKX bekannt, innerhalb eines Monats über 14.000 Konten wegen Geodatenbetrugs geschlossen zu haben. CoinDesk berichtete im November 2024, dass Bybit, Bitget und OKX zusammen rund eine Million monatlich aktive Nutzer in den USA hatten, die meisten davon über VPN. Keiner dieser Nutzer ahnte, dass er etwas Riskantes tat. Sie nutzten dasselbe handelsübliche VPN für Endverbraucher, das auch ihr Arbeitgeber zum Schutz von Slack im Hotel-WLAN verwendete. Das Produkt war identisch. Der rechtliche Rahmen jedoch nicht.

Früher gab es nur eine Art von virtuellem privaten Netzwerk. Im Jahr 2026 sind es mindestens drei, und welches das richtige ist, hängt davon ab, was man erreichen möchte.

Was ist ein virtuelles privates Netzwerk (VPN) in einfachen Worten?

Ein virtuelles privates Netzwerk ist ein Dienst, der zwei Aufgaben gleichzeitig erfüllt. Die meisten Erklärungen vermischen diese beiden Funktionen.

Der erste Schritt ist die Umleitung des Datenverkehrs. Anstatt dass Ihr Laptop sich direkt über Ihren Internetanbieter mit einer Website verbindet, läuft die Verbindung über einen VPN-Server an einem anderen Ort und dann zur Website. Die Website sieht die IP-Adresse des VPN-Servers; Ihr Internetanbieter sieht zwar eine Verbindung, kann aber den darüber liegenden Datenverkehr nicht einsehen. Das ist die datenschutzrelevante Hälfte.

Die zweite Aufgabe ist die VPN-Verschlüsselung. Innerhalb des VPN-Tunnels wird der Datenverkehr kryptografisch verschlüsselt: ChaCha20-Poly1305 bei Verwendung von WireGuard, AES-256 bei OpenVPN, dem am weitesten verbreiteten Open-Source-VPN. Jeder, der ein Datenpaket zwischen Ihnen und dem VPN-Server abfängt, erhält Störungen. Das ist die Sicherheitskomponente.

Zwei Dinge werden in der Werbung oft ignoriert. Erstens: Ihr Internetanbieter sieht weiterhin, dass Sie ein VPN nutzen; er kann nur nicht mehr sehen, was sich darin befindet. Zweitens: Der VPN-Dienst selbst kann alles sehen, was Ihr Internetanbieter früher gesehen hat. Vertrauen verschwindet nicht, wenn Sie sich mit einem VPN verbinden. Es verlagert sich.

So funktioniert ein VPN: Servernetzwerke, Tunnel, IP-Hop

Stellen Sie sich vor, ein Datenpaket verlässt Ihren Laptop in Brooklyn, während Sie mit einem VPN-Server in Frankfurt verbunden sind. Das Paket trifft zunächst auf eine Software namens VPN-Client. Dieser verpackt es mithilfe eines Tunnelprotokolls in ein äußeres Paket, verschlüsselt den Inhalt und sendet das äußere Paket an den Server in Frankfurt. Ihr Heimrouter und Ihr Internetanbieter leiten dieses äußere Paket über das öffentliche Internet – sie können den Inhalt nicht lesen, sondern nur das Ziel.

Der Frankfurter Server entpackt das Paket, entschlüsselt es, liest das ursprüngliche Ziel – beispielsweise eine Nachrichtenseite in London – und leitet es weiter. Die Nachrichtenseite antwortet Frankfurt; Frankfurt verschlüsselt die Daten erneut; Brooklyn entpackt sie. Der Vorgang ist abgeschlossen. Für die Nachrichtenseite ist es sichtbar, dass Sie von Deutschland aus surfen.

Jeder hier beschriebene „Server“ ist ein realer Rechner in einem realen Rechenzentrum, keine Cloud-Abstraktion. Rechenzentren können angegriffen, beschlagnahmt oder einfach schlecht betrieben werden. Hochwertige Anbieter reagieren darauf mit RAM-basierten Servern: Das Betriebssystem wird beim Start in den Arbeitsspeicher geladen und schreibt nichts auf die Festplatte. Im Falle einer physischen Beschlagnahme bleibt also nur ein ausgeschalteter Briefbeschwerer übrig. NordVPN stellte seine Serverflotte nach dem Vorfall im finnischen Rechenzentrum 2018 auf RAM-basierte Systeme um, und Mullvad setzt seit 2020 auf diese Technologie.

Das Tunnelprotokoll bestimmt die Art der Datenübertragung. Laut Wikipedia wurde IPSec 1996 eingeführt, TLS/SSL wurde 1999 für Tunneling und SSL-VPN angepasst, OpenVPN folgte 2001 und WireGuard 2015. Ein IPsec-VPN ist weiterhin der Standard für Site-to-Site-VPNs, die zwei Büros über ein öffentliches Netzwerk verbinden. WireGuard wurde 2020 mit Version 5.6 in den Linux-Kernel integriert und ist auf Linux-Servern deutlich schneller als alle Vorgängerversionen. Dies erklärt, warum fast alle VPN-Lösungen für Endverbraucher darauf aufbauen. NordLynx und Lightway sind proprietäre Abspaltungen mit angepasster Sitzungsverwaltung.

VPN-Protokolle: WireGuard, OpenVPN, IKEv2 im Vergleich

WireGuard hat gewonnen. Die interessante Frage ist, warum OpenVPN immer noch ausgeliefert wird, und die kurze Antwort lautet: Firewalls.

Unabhängige Benchmarks, die ZhuqueVPN im Jahr 2025 veröffentlichte, ermittelten für WireGuard eine durchschnittliche Downloadgeschwindigkeit von 892 Mbit/s bei einem Bandbreiten-Overhead von etwa 5,6 %. OpenVPN erreichte auf derselben Hardware durchschnittlich 702 Mbit/s mit einem Overhead von 25,7 %. Auch die Latenzwerte bestätigten dies: WireGuard lag mit 8,2 ms deutlich länger als OpenVPN mit 22,7 ms. WireGuard ist somit rund 57 % schneller, und der Quellcode ist mit weniger als 4.000 Zeilen so klein, dass unabhängige Prüfer ihn vollständig analysiert haben.

OpenVPN ist älter, langsamer und zwanzigmal so groß. Es kann jedoch über TCP auf Port 443 laufen, demselben Port, den auch HTTPS verwendet. Dadurch ist es auf der Netzwerkschicht nicht von normalem Webverkehr zu unterscheiden und kann daher von den meisten Unternehmensfirewalls und vielen nationalen Filtern umgangen werden. WireGuard verwendet standardmäßig nur UDP; aggressive Filter können es blockieren. Anbieter lösen dieses Problem mit proprietären Verschleierungsschichten. Wenn Sie jedoch in einem Land, das VPNs nicht duldet, über ein Hotelnetzwerk eine Verbindung herstellen, ist OpenVPN-TCP nach wie vor das Protokoll Ihrer Wahl.

IKEv2/IPsec ist die dritte Option und dominiert den Mobilbereich. Sein Vorteil liegt in der Mobilität: Wechselt ein iPhone von WLAN zu Mobilfunk, kann IKEv2 die Verbindung in weniger als einer Sekunde wiederherstellen, ohne dass der Nutzer sich neu verbinden muss. WireGuard kann das nicht, zumindest nicht ohne eine herstellerseitige Anpassung. Deshalb verwenden die meisten nativen iOS-VPN-Clients immer noch IKEv2 als Standard.

Quelle: ZhuqueVPN-Benchmark 2025; vom Anbieter veröffentlichte Zahlen.

Arten der VPN-Nutzung: Mobiles VPN, Site-to-Site-VPN, Remote-VPN

Der Begriff „VPN“ umfasst drei Produkte, deren Funktionen sich nur selten überschneiden. Durch diese Verwechslung zahlen Nutzer am Ende für das falsche Produkt.

Ein Remote-Access-VPN verbindet einen Benutzer mit einem Unternehmensnetzwerk. Der Laptop wählt sich in das VPN-Gateway des Unternehmens ein, stellt eine kurze VPN-Verbindung her und erhält eine IP-Adresse innerhalb des Büronetzwerks, als wäre er physisch dort. Diese Art von VPN wird Ihnen von Ihrer IT-Abteilung bereitgestellt. Ein SSL-VPN, das direkt im Browser ohne separaten VPN-Client funktioniert, ist eine Unterart.

Ein Site-to-Site-VPN verbindet zwei Standorte miteinander. Es gibt keinen Client pro Benutzer; die Verschlüsselung erfolgt an den Routern beider Standorte, und jedes Gerät in einem Netzwerk hinter diesen Routern sieht den anderen Standort als lokales Netzwerk. Site-to-Site-VPNs werden von multinationalen Unternehmen eingesetzt, um Rechenzentren über verschiedene Regionen hinweg zu vernetzen, häufig über VPN-Appliances von Anbietern wie Cisco oder Fortinet, deren Netzwerkprotokolle auf IPsec basieren.

Ein VPN für Privatnutzer verbindet einen Benutzer mit einem Server, der die Anfrage ins offene Internet weiterleitet. Das Firmen-VPN Ihres Arbeitgebers ermöglicht Ihnen nicht den Zugriff auf BBC iPlayer; mit Ihrem Surfshark-Konto, das Sie für BBC iPlayer nutzen, gelangen Sie nicht ins Firmenintranet. Nutzer, die VPNs sowohl beruflich als auch privat verwenden, bezahlen in der Regel für zwei separate Produkte. Ein mobiles VPN wird in der Werbung als vierte Kategorie dargestellt, ist aber technisch gesehen lediglich ein VPN für Privatnutzer oder für den Fernzugriff mit verbessertem Roaming, meist basierend auf IKEv2.

Vorteile der Nutzung eines VPNs und wann es nicht mehr funktioniert

Ein VPN kann vier Dinge gut. Die meisten Listenartikel übertreiben den Rest.

Der erste wirkliche Vorteil ist der Schutz Ihrer Online-Privatsphäre vor Ihrem Internetanbieter. Nachdem der US-Kongress 2017 die Datenschutzbestimmungen der FCC für Breitbandverbindungen aufgehoben hatte, konnten Internetanbieter in vielen Bundesstaaten DNS-Abfrageprotokolle bündeln und verkaufen. Ein sicheres VPN mit verbessertem Datenschutz verlagert diesen gesamten Netzwerkverkehr vor den Augen Ihres Internetanbieters. Ihr Internetanbieter weiß zwar, dass Sie mit NordVPN verbunden sind, kann aber nicht feststellen, ob Sie die Financial Times lesen oder nach Laufschuhen suchen.

Der zweite Aspekt ist der Schutz vor feindlichen Netzwerken. Hotel-WLAN, Flughafenlounges, Konferenzzentren, Café-Netzwerke – all diese Netzwerke können passiv abgehört oder von Angreifern kontrolliert werden, die beispielsweise ein WLAN-Netzwerk mit der SSID „Marriott Free WiFi“ einrichten, ohne zu Marriott zu gehören. Mit einem VPN wird jedes Datenpaket verschlüsselt, bevor es den Laptop verlässt, und das lokale Netzwerk wird undurchsichtig. Die Verbindung zu einem öffentlichen WLAN-Netzwerk ohne VPN ist genau der Anwendungsfall, für den diese Technologie entwickelt wurde.

Die dritte Möglichkeit ist die Geo-Umgehung. Die Website geht davon aus, dass Sie sich dort befinden, wo der VPN-Server steht. Dies ist nützlich für Streaming-Angebote, regionale Preisvergleiche, den Zugriff auf gesperrte Nachrichten und – zunehmend mit Konsequenzen – für Kryptobörsen, die Ihr Land sperren.

Der vierte Punkt ist die Fernarbeit. Die meisten Firmen-VPNs dienen genau diesem Zweck – sie ermöglichen authentifizierten Mitarbeitern den verschlüsselten Zugriff auf interne Systeme von außerhalb des Büros.

Was ein VPN nicht leistet: Es blockiert weder Schadsoftware noch Phishing-Angriffe, es anonymisiert Sie nicht gegenüber Websites, die Ihren Browser identifizieren, und es legalisiert keine illegalen Aktivitäten. Laut einer Verbraucherumfrage von Security.org aus dem Jahr 2025 nutzen 60 % der Nutzer ein VPN aus Datenschutzgründen, 57 % für Sicherheit, 23 % für Streaming, 21 % um ihre Identität vor dem Internetanbieter zu verbergen und 59,3 % beruflich. Die Kategorien überschneiden sich, da die meisten Nutzer ein VPN für verschiedene Zwecke verwenden.

Anwendungsfall Kryptowährung: Warum VPNs und Börsen jetzt aufeinandertreffen

Diesen Abschnitt meiden Listenartikel normalerweise. Fast das gesamte letzte Jahrzehnt lang galt die Nutzung eines VPNs zum Einloggen in eine Kryptobörse, die im eigenen Land nicht verfügbar war, als risikoarme, aber illegale Notlösung. Diese Zeiten sind vorbei.

Im Februar 2025 zahlte OKX über 500 Millionen US-Dollar an das US-Justizministerium, um Geldwäsche- und KYC-Vorwürfe im Zusammenhang mit US-Nutzern beizulegen, die das Unternehmen nie hätte registrieren dürfen. Allein im September 2025 gab OKX die Schließung von über 14.000 Konten wegen Geolocation-Betrugs bekannt, da die KYC-Dokumente der Nutzer nicht mit ihrem tatsächlichen Zugriffsort übereinstimmten. Binance blockiert nun Auszahlungen, wenn eine VPN-Verbindung ohne entsprechende Wohnsitzdokumente festgestellt wird. Bybit und Bitget haben ihre Kontrollen im Laufe des Jahres 2025 ebenfalls verschärft.

Das US-Justizministerium hat nun mit einem Vergleich in Höhe von einer halben Milliarde Dollar bewiesen, dass die Börse unabhängig davon haftet, wie der Nutzer dorthin gelangt ist. Die logische Reaktion jeder Börse ist die dauerhafte Schließung des Kontos und das Einfrieren der Gelder bei Entdeckung.

Wenn Sie ein VPN nutzen, um auf einen Finanzdienst zuzugreifen, der Ihre Gerichtsbarkeit explizit gesperrt hat, sollten Sie die rechtlichen Risiken genauso behandeln wie jede andere nicht lizenzierte Finanzaktivität. Die Erkennungstechnologie ist nicht mehr so einfach. Börsen gleichen IP-Standorte mit KYC-Dokumenten, Metadaten des Zahlungsverkehrs und Verhaltensmustern ab. Ein Proxy mit einer sauberen IP-Adresse ist keine Lösung; er liefert im Falle seiner Entdeckung einen Beweis für die Absicht.

Für alle anderen kryptonahen Anwendungen, wie den Schutz der Wallet-Verbindung im Hotel-WLAN, das Verbergen des besuchten On-Chain-Dashboards vor dem Internetanbieter oder die Verhinderung der Offenlegung der Heimadresse über WebRTC während eines Anrufs, ist ein VPN nach wie vor ein nützliches Werkzeug. Es bietet jedoch keinen Schutz vor regulatorischen Bestimmungen.

Das richtige VPN auswählen: Checkliste für Käufer 2026

Fünf Fragen sind bei der Auswahl eines VPNs wirklich wichtig. Drei Marketingaussagen hingegen nicht.

Beginnen Sie mit dem Audit. Die Aussage „Wir speichern keine Protokolle“ ist ohne die Bestätigung eines externen Prüfers bedeutungslos. NordVPN hat im Februar 2026 sein sechstes No-Logs-Audit durch Deloitte gemäß ISAE-3000-Standard erfolgreich abgeschlossen. ExpressVPN bestand sein drittes Audit durch KPMG im Juni 2025. Proton VPN absolvierte sein viertes Audit durch Securitum im September 2025. Surfsharks letztes Audit wurde im Juni 2025 von Deloitte durchgeführt. Mullvad führt Infrastruktur-Audits von Cure53 durch. Alles, was älter als 18 Monate ist, sollte Anlass zur Sorge geben.

Als nächstes kommt es auf die Gerichtsbarkeit an. Der Sitz des Unternehmens entscheidet darüber, welche Regierung Daten anfordern kann und ob diese Anforderung im Rahmen einer Geheimhaltungsanordnung erfolgen kann. Mullvad operiert von Schweden aus, Proton von der Schweiz, ExpressVPN von den Britischen Jungferninseln und NordVPN von Panama. Mitglieder der Five Eyes und Fourteen Eyes können die Offenlegung von Daten im Rahmen von Abkommen zum Austausch von Geheimdienstinformationen erzwingen.

Achten Sie auf Server, die ausschließlich RAM nutzen und über einen getesteten Kill-Switch verfügen. Der Kill-Switch unterbricht die Internetverbindung sofort, sobald der VPN-Tunnel abbricht, sodass Ihr echter IP-Tunnel niemals über Sie nach außen dringt. Beide Funktionen sollten standardmäßig verfügbar sein und keine kostenpflichtigen Zusatzoptionen darstellen.

Prüfen Sie die Protokollunterstützung. WireGuard oder ein abgeleitetes Protokoll (NordLynx, Lightway) sollte standardmäßig eingestellt sein; OpenVPN für restriktive Netzwerke; IKEv2 für Mobilgeräte. Seriöse VPN-Apps bieten alle drei Protokolle an, sodass Nutzer je nach Serverstandort und Bedarf wählen können.

Achten Sie schließlich auf den Preis. Die Angebote für Langzeitabonnements reichen von Mullvads Pauschalpreis von 5 €/Monat (seit 2009 unverändert, keine E-Mail-Adresse erforderlich, Zahlung per Bargeld und Monero möglich) über NordVPNs vergünstigten Zweijahresplan für ca. 1,78 $/Monat, Surfsharks Langzeitabo für ca. 2,99 $ und Proton VPNs kostenpflichtige Tarife von 4 $ bis 8 $ bis hin zu ExpressVPN für 12,99 $ pro Monat. Entscheidend ist der Preis bei der Verlängerung, nicht der Einführungspreis.

Marketingversprechen, die keine Rolle spielen: „Verschlüsselung auf Militärniveau“ (jeder verwendet AES-256, der Begriff ist bedeutungslos), unbegrenzte Bandbreite (Standard) und die reine Anzahl der Server. Entscheidend ist, ob die Server nur mit RAM betrieben werden und wo sie sich befinden.

Kostenlose VPNs und der andere Datenschutzabgrund

Ein kostenloses VPN stellt das gesamte Produktprinzip auf den Kopf. Bandbreite und Server kosten echtes Geld; wenn Sie nicht dafür bezahlen, tut es jemand anderes, und dieser Jemand bezahlt für Ihre Daten.

Ein Audit von Top10VPN aus dem Jahr 2024, bei dem 100 kostenlose Android-VPN-Apps untersucht wurden, ergab, dass fast 90 % Daten in irgendeiner Form preisgaben – von DNS-Anfragen bis hin zu vollständigen Sitzungsmetadaten. Eine Branchenstudie aus dem Jahr 2024, die vom Privacy Report zitiert wird, zeigte, dass 38 % der Apps Schadsoftware oder aktiven Code zum Sammeln von Daten enthielten. Die australische Wettbewerbs- und Verbraucherschutzkommission (ACCC) kam 2023 zu dem Schluss, dass 75 % der kostenlosen VPNs Nutzerdaten an Dritte weitergaben. Kaspersky meldete im dritten Quartal 2024 einen 2,5-fachen Anstieg schädlicher Apps, die sich als kostenlose VPNs tarnten, im Vergleich zum Vorquartal. Die App Urban VPN Proxy wurde 2025 dabei ertappt, wie sie unbemerkt KI-Chat-Konversationen von Nutzern sammelte, die ihr Netzwerkzugriff gewährt hatten, da sie annahm, die App würde lediglich Datenpakete weiterleiten.

Es gibt Ausnahmen. Die kostenlosen Versionen von Proton VPN und Windscribe werden durch den Verkauf kostenpflichtiger Abonnements finanziert und wurden geprüft. Sie sind zwar langsamer und haben eine begrenzte Bandbreite, verkaufen aber nicht Ihren Datenverkehr. Alle anderen VPN-Dienste, die als „100 % kostenlos und unbegrenzt“ beworben werden, insbesondere in den Top 100 des Google Play Stores und des App Stores, sollten als potenziell schädliche Software betrachtet werden.

Wo die Nutzung eines VPN im Jahr 2026 eingeschränkt oder illegal ist

Die Nutzung eines VPNs ist in den USA, Großbritannien, Kanada, Australien, der EU und den meisten lateinamerikanischen Ländern völlig legal. In einer kleineren, aber wachsenden Zahl von Staaten ist sie eingeschränkt, strafbar oder staatlich monopolisiert.

Fünf Länder verhängen vollständige Verbote: Nordkorea, Belarus, Oman, Turkmenistan und Irak. Vier Länder – China, Russland, Iran und Myanmar – erlauben ausschließlich staatlich zugelassene Anbieter. Der Iran hat im Februar 2024 ein Gesetz verabschiedet, das diese Regelung weiter verschärft. Russland entfernte im Laufe des Jahres 2025 über 100 VPN-Apps aus den App-Stores. Die Türkei, die Vereinigten Arabischen Emirate, Ägypten und Vietnam fallen in die Kategorie „Verbote werden zwar nicht empfohlen, aber nicht immer strafrechtlich verfolgt“, in der der Staat bei Bedarf eingreifen kann.

Indien stellt einen Sonderfall dar. Das Land ist eine Demokratie, die Nutzung von VPNs ist legal, doch die CERT-In-Richtlinie vom Juni 2022 verpflichtet VPN-Anbieter, Nutzeridentität, IP-Adresse und Sitzungsdaten fünf Jahre lang zu speichern und auf Anfrage herauszugeben. ExpressVPN, NordVPN, Surfshark und andere reagierten darauf, indem sie ihre physischen Server in Indien abzogen und durch „virtuelle Indien“-Server im Ausland ersetzten. Die Nutzererfahrung bleibt weitgehend unverändert; das rechtliche Risiko ist jedoch deutlich höher.

Fazit: Wann ein VPN seine 5 Dollar pro Monat verdient

Für Reisen, den Schutz vor unsicheren Netzwerken und die Wahrung der Privatsphäre seitens des Internetanbieters ist ein kostenpflichtiges, geprüftes VPN einige Euro im Monat wert. Für ortsunabhängiges Arbeiten im Unternehmen ist es unverzichtbar. Und um regionale Netflix-Sperren zu umgehen, ist es ein lohnender Schritt.

Um Finanzaufsichtsbehörden, Kryptobörsen, Zahlungsplattformen und Banken zu umgehen, sind die Kosten schneller gestiegen als der Preis. Ein VPN ist ein Datenschutz- und Sicherheitstool. Es war nie ein Schlupfloch für regulatorische Zwecke, und im Jahr 2026 werden die Verantwortlichen für die Durchsetzung der Regeln dies beweisen können.

Mathis Curcio

Mathis Curcio is a senior content strategist and NFT specialist at Plisio. With over 5 years of experience in the Web3 space, Mathis focuses on the evolution of NFT ecosystems, digital collectibles, and decentralized ownership models. He creates accessible, insight-driven content that bridges the gap between blockchain innovation and mainstream adoption. His expertise spans NFT market trends, use cases across art and gaming, and the infrastructure powering next-generation tokenized assets.