WebRTC-Leck: Wie es Ihre echte IP-Adresse preisgibt
Ihr VPN ist aktiviert. Der Exit-Node zeigt an, dass Sie sich in Zürich befinden. Ihre Wallet fühlt sich anonym an. Und dann gibt eine einzige Funktion Ihres Browsers unbemerkt Ihre echte IP-Adresse an eine Website weiter – die, die mit Ihrem Wohnsitz und Ihrem Namen verknüpft ist. Diese Funktion heißt WebRTC, und die dadurch entstehende Sicherheitslücke wird als WebRTC-Leak bezeichnet.
Für die meisten Menschen ist das lediglich ein Ärgernis bezüglich ihrer Privatsphäre. Für jeden, der Kryptowährungen besitzt, ist es das erste Glied in einer Kette, die damit endet, dass ein Fremder weiß, welche Wallet zu welchem Unternehmen gehört. Dieser Leitfaden erklärt den Rest dieser Kette: Was ein WebRTC-Leak ist, wie er VPNs umgeht, wie man ihn erkennt und wie man ihn in jedem Browser deaktiviert. Und warum er besonders dann relevant wird, wenn Ihr Browser auf eine Wallet zugreift.
Was ein WebRTC-Leak ist und warum er auftritt
WebRTC steht für Web Real-Time Communication. Vereinfacht gesagt, ermöglicht es Browsern Videoanrufe, Sprachchats und Dateiübertragungen ohne zusätzliche Plugins und ist seit etwa 2011 in allen gängigen Browsern standardmäßig integriert. Und jetzt kommt der Haken: Um zwei Personen direkt zu verbinden, muss jede Seite die IP-Adresse der anderen ermitteln. Das ist kein Fehler, sondern eine notwendige Funktion.
Der Haken ist, dass jede Website dies auslösen kann. Eine Seite öffnet im Hintergrund eine WebRTC-Verbindung und liest die vom Browser übermittelten IP-Adressen aus. Keine Abfrage der Berechtigung, keine sichtbare Markierung. Selbst hinter einem VPN wird Ihre echte IP-Adresse angezeigt – und schon haben Sie ein WebRTC-Leak. Das ist alles nicht neu. Entwickler Daniel Roesler veröffentlichte im Januar 2015 einen funktionierenden Prototyp , der echte IP-Adressen direkt aus den Browsern von VPN-Nutzern auslesen konnte. Zehn Jahre später hat sich der Mechanismus kaum verändert.
Das Tückische daran ist seine Unauffälligkeit. Kein Pop-up. Keine Berechtigungsanfrage. Nichts in der Adressleiste. Die Anfrage taucht nie im Netzwerkprotokoll auf, das ein normaler Nutzer überprüfen würde, und Werbeblocker lassen sie durch, da sie für den Browser wie eine gewöhnliche WebRTC-Verbindung aussieht, nicht wie ein Tracker. Man kann also gleichzeitig ein kostenpflichtiges VPN, einen sauberen Browser und einen Werbeblocker verwenden und trotzdem seine echte Adresse an die erste Seite weitergeben, die danach fragt. Unsichtbar und routinemäßig: Genau deshalb hat das Datenleck zehn Jahre überdauert.
So funktioniert das Datenleck: STUN, NAT und Ihre IP-Adresse
Um zu verstehen, warum ein VPN nicht automatisch vor einem WebRTC-Leak schützt, hilft es, zu sehen, was der Browser tatsächlich im Hintergrund tut.
STUN und ICE, der Mechanismus
Die meisten Geräte befinden sich hinter einem Router mit NAT (Network Address Translation), daher kennt Ihr Computer seine eigene öffentliche IP-Adresse nicht. Um diese zu ermitteln, verwendet WebRTC einen sogenannten STUN-Server. Der Browser stellt dem STUN-Server eine einfache Frage: „Von welcher Adresse aus sehen Sie mich?“ Der Server antwortet mit Ihrer öffentlichen IP-Adresse. WebRTC sammelt mehrere dieser Antworten, sogenannte ICE-Kandidaten, und listet sie auf, damit ein Teilnehmer eine Route auswählen kann. Eine Website, die den Datenverkehr ausspioniert, liest einfach diese Liste. Das war's.
Warum ist das wichtig? Weil der gesamte STUN-Austausch in JavaScript abläuft, das von jeder Seite ausgeführt werden kann. Kein Dialogfeld, wie es beispielsweise für die Kamera oder den Standort angezeigt wird. Das Skript öffnet eine Peer-Verbindung, erfasst die vom Browser generierten ICE-Kandidaten und liest die Adressen aus der Liste. Das alles in Sekundenbruchteilen, und für den Browser war nichts Ungewöhnliches zu erkennen. Es erfüllte einfach seinen Zweck, für den WebRTC entwickelt wurde.
Öffentliche IP-Adresse versus lokale IP-Adresse
WebRTC kann zwei verschiedene Adressen übermitteln, die jeweils unterschiedliche Informationen preisgeben. Ihre öffentliche IP-Adresse gibt Ihren ungefähren Standort und Ihren Internetanbieter an. Ihre lokale IP-Adresse – beispielsweise 192.168.1.7 – bildet lediglich das Netzwerk innerhalb Ihres Hauses oder Büros ab. Beide sollten nicht in den Händen einer beliebigen Website sein. Die öffentliche IP-Adresse ist jedoch das, was Ihnen Sorgen bereiten sollte, denn sie führt zurück in die reale Welt: zu einer Stadt, einem Anbieter und letztendlich zu einer Tür.
Warum ein VPN das nicht verhindert
Ein VPN leitet Ihren normalen Datenverkehr um. Das Problem: Eine STUN-Anfrage kann diesen Tunnel umgehen, den STUN-Server direkt erreichen und Ihre echte öffentliche IP-Adresse zurücksenden. Browser haben dieses Problem 2019 und 2020 teilweise behoben, indem sie die lokale IP-Adresse durch einen verschlüsselten mDNS-Hostnamen ersetzt haben. Das ist zwar hilfreich, verbirgt aber nur die lokale IP-Adresse. Die öffentliche IP-Adresse von STUN kann weiterhin nach außen dringen. Schlimmer noch: Die Verschleierung funktioniert oft nicht mehr, sobald eine Website Zugriff auf Mikrofon oder Kamera hat. So bleibt das Datenleck genau dort bestehen, wo die meisten Nutzer sich sicher wähnen.
Wie man einen WebRTC-Leak-Test richtig durchführt
Die Überprüfung dauert etwa eine Minute, und Sie müssen sich dabei nicht auf die Aussage anderer verlassen.
Beginnen Sie mit deaktiviertem VPN und notieren Sie sich die öffentliche IP-Adresse Ihrer Verbindung. Aktivieren Sie nun das VPN und öffnen Sie eine WebRTC-Leak-Testseite, z. B. browserleaks.com/webrtc oder ipleak.net. Vergleichen Sie die Ergebnisse. Wenn das VPN ordnungsgemäß funktioniert und kein IP-Leak vorliegt, sollte nur die Adresse des VPNs angezeigt werden. Erscheint die Adresse aus Schritt eins irgendwo auf der Seite, haben Sie den Leak gefunden. Um einen umfassenderen Überblick über alle von Ihrem Browser offengelegten Daten zu erhalten, wenden Sie dieselbe Logik auf die ausführlicheren Prüfungen in unserem BrowserLeaks-Leitfaden an.
Bei der Suche nach WebRTC-Leaks können einige Fehler auftreten. Möglicherweise wird eine lokale IP-Adresse angezeigt, die wie eine kryptische Zeichenkette mit der Endung „.local“ aussieht. Keine Panik! Das ist lediglich die mDNS-Maskierung und kein Leck. Entscheidend ist die öffentliche Adresse. Testen Sie mit demselben Browser und Profil, das Sie auch für sensible Daten verwenden. Einstellungen und Erweiterungen werden nicht übernommen. Führen Sie den Test nach jedem Browser-Update erneut durch, da ein Patch diese Einstellungen unbemerkt zurücksetzen kann.
Welche Browser geben Ihre IP-Adresse preis und welche nicht?
Nicht alle Browser gehen mit einem WebRTC-Leak gleich um, und die Unterschiede sind aufgrund der Marktaufteilung von Bedeutung.
| Browser | WebRTC-Leckrisiko | Eingebauter Schutz |
|---|---|---|
| Chrom | Hoch | Keine native Funktion; benötigt eine Erweiterung |
| Firefox | Mittel-hoch | Gibt standardmäßig die öffentliche IP-Adresse preis, lässt sich aber leicht deaktivieren. |
| Mutig | Niedrig | Fingerabdruck- und WebRTC-Schutz sind standardmäßig aktiviert. |
| Tor-Browser | Keiner | RTCPeerConnection vollständig deaktiviert |
Chrome steht aufgrund seiner Reichweite im Zentrum des Problems. Im Mai 2026 hielt der Browser rund 70 % des globalen Marktes und bietet keine integrierte Option, um die Offenlegung der IP-Adresse durch WebRTC zu verhindern. Firefox, mit einem Marktanteil von etwa 2 %, gibt die öffentliche IP-Adresse ebenfalls standardmäßig preis, ermöglicht aber zumindest die Deaktivierung dieser Funktion in den Einstellungen. Brave ist hier die Ausnahme. Der Browser überschritt im September 2025 die Marke von 101 Millionen monatlich aktiven Nutzern und ist der einzige gängige Chromium-Browser, der den WebRTC-Schutz standardmäßig aktiviert. Und Tor? Tor umgeht das Problem, indem es die Peer-to-Peer-Verbindung vollständig deaktiviert. Genau deshalb empfehlen Datenschutzforscher neuen Nutzern Tor.
Wie man WebRTC deaktiviert und Datenlecks verhindert
Es gibt zwei Möglichkeiten, dies zu unterbinden. Entweder Sie deaktivieren WebRTC komplett oder Sie beschränken es so, dass es nur die von Ihnen gewählte Adresse sieht. Welche Methode Sie bevorzugen, hängt davon ab, ob Sie tatsächlich Videoanrufe über Ihren Browser tätigen. Hier finden Sie eine praktische Anleitung, Browser für Browser.
| Browser | Wie man deaktiviert oder einschränkt | Wirkung |
|---|---|---|
| Firefox | about:config, set media.peerconnection.enabled to false | Vollständige Deaktivierung |
| Chrom | Installieren Sie WebRTC Network Limiter oder WebRTC Control. | Begrenzung der Exposition |
| Rand | edge://flags, enable "Anonymize local IPs" | Teilweise |
| Safari | Menü „Entwickler“, „Experimentelle Funktionen“, WebRTC einschränken | Teilweise |
Chrome und Edge
Chrome ist etwas umständlich. Es gibt keinen versteckten Deaktivierungsschalter in den Menüs, daher benötigt man eine Erweiterung, um WebRTC zu blockieren. Google bietet mit dem WebRTC Network Limiter eine eigene Erweiterung an. Diese blockiert riskante Adressen, ohne Ihre Anrufe zu unterbrechen. Eine noch direktere Lösung ist WebRTC Control, das die Funktion mit einem Klick deaktiviert. Microsoft Edge basiert auf derselben Chromium-Engine, daher funktionieren diese Erweiterungen auch dort. Zusätzlich bietet Edge unter edge://flags eine praktische Option zur Anonymisierung Ihrer lokalen IP-Adresse.
Firefox
Firefox macht es Ihnen leicht. Geben Sie about:config in die Adressleiste ein, ignorieren Sie die Warnmeldung, suchen Sie nach media.peerconnection.enabled und stellen Sie den Wert auf false. Fertig. WebRTC ist deaktiviert. Der Haken: Video- und Sprachanrufe im Browser funktionieren nicht, bis Sie WebRTC wieder aktivieren.
Safari und Oper
Safari ist standardmäßig vorsichtiger eingestellt, und Sie können WebRTC über das Entwicklermenü unter „Experimentelle Funktionen“ weiter einschränken. Opera basiert auf Chromium und verwendet daher dieselben Erweiterungen wie Chrome.
Die Nutzung eines VPNs und die damit verbundenen Kompromisse
Dann gibt es noch die VPN-Lösung. Wenn Sie ein VPN mit echtem Schutz vor IP-Leaks verwenden, leitet es den WebRTC-Datenverkehr durch einen eigenen Tunnel, sodass der STUN-Server ausschließlich die VPN-Adresse sieht. Das ist die sauberste Option, da Ihre Anrufe weiterhin funktionieren. Ein vertrauenswürdiger Proxy-Server kann IP-Leaks auf dieselbe Weise verhindern. Der Haken ist das Vertrauen. Nicht jedes VPN hält sich daran. Als VoidSec 2018 70 VPN-Anbieter testete, gaben 16 von ihnen die echte IP-Adresse immer noch über WebRTC preis. Das sind etwa 23 %. Die guten Anbieter haben das Problem inzwischen behoben, aber die Lehre bleibt: Testen statt annehmen. Wollen Sie auf Nummer sicher gehen? Deaktivieren Sie WebRTC komplett. Bedenken Sie aber, dass dadurch alle darauf basierenden Anwendungen nicht mehr funktionieren.
Warum ein WebRTC-Leak Kryptowährungsinhaber bedroht
Für Krypto-Nutzer ist eine offengelegte IP-Adresse keine bloße Randnotiz zum Thema Datenschutz. Sie bildet die Schnittstelle zwischen ihrer digitalen Welt und ihrer physischen. Und in letzter Zeit hat sich diese Schnittstelle als gefährlich erwiesen.
Die IP-zu-Wallet-Kill-Chain
Blockchain-Adressen sind pseudonym, nicht anonym. Jede Ihrer Transaktionen ist öffentlich einsehbar. Nur die fehlende Kennzeichnung – ein Name, ein Standort – verhindert, dass sie zu Ihnen zurückverfolgt werden kann. Eine IP-Adresse ist diese Kennzeichnung. Forscher haben bereits vor über einem Jahrzehnt die Praktikabilität dieser Verbindung nachgewiesen. In einer Studie aus dem Jahr 2014 nutzten Alexandre Biryukov und seine Kollegen einige strategisch platzierte Knoten, um Bitcoin-Pseudonyme mit den IP-Adressen zu verknüpfen, die ihre Transaktionen zuerst veröffentlichten. Ein WebRTC-Leck ermöglicht einem Angreifer genau diese Verbindung. Öffnen Sie einen Block-Explorer oder eine dezentrale Börse (DEX), während Ihre echte IP-Adresse offengelegt ist, und eine einzige Webseite kann die Wallet, die Sie überwachen, mit Ihrem Heimnetzwerk und Ihrem Internetanbieter verbinden.
Und die Gefahr verschärft sich, denn das Datenleck muss nicht mitten in einer Transaktion auftreten. Es genügt ein einziger Auslösevorgang auf einer beliebigen Seite mit einem schädlichen Skript, während Sie Ihren Kontostand prüfen oder auf einem Marktplatz stöbern. Was dann passiert? Die IP-Adresse wird mit den Aufzeichnungen Ihres Internetanbieters, den Profilen von Datenhändlern und alten Datenlecks abgeglichen. Früher oder später bleibt ein Name hängen. Die Wallet war die ganze Zeit öffentlich. Das Datenleck hat ihr lediglich das Etikett verpasst.
Von der De-Anonymisierung bis zum Klopfen an der Tür
Früher war das eine eher abstrakte Sorge. Heute nicht mehr. Sogenannte Wrench-Angriffe, bei denen Inhaber ausgeraubt oder entführt werden, um an ihre Keys zu gelangen, nahmen laut Branchenstatistik bis 2025 um etwa 75 % zu. Es gab bereits 72 bestätigte Vorfälle mit einem Schaden von mindestens 41 Millionen US-Dollar. Das Muster bleibt nahezu unverändert: Angreifer kombinieren sichtbares On-Chain-Vermögen mit einer Off-Chain-Identität, um eine reale Person hinter einer realen Adresse zu platzieren. Ihre IP-Adresse ist eine der sichersten Methoden, diese zweite Identität zu sichern.
Drehen wir den Spieß um und versetzen wir uns in die Lage des Angreifers. Er kann bereits sehen, welche Wallets echtes Geld enthalten; dieser Teil ist öffentlich. Was ihm fehlt, ist die Verbindung von einer komplexen Adresse zu einer Haustür. Eine IP-Adresse schränkt die Suche vom gesamten Internet auf eine Stadt, einen Internetanbieter, oft sogar ein einzelnes Viertel ein. Der Rest ist Routine. Für einen durchschnittlichen Browser ist ein solches Leck kaum der Rede wert. Für jemanden, der siebenstellige Beträge in Blockchains verwaltet, markiert es den entscheidenden Unterschied zwischen einem Pseudonym und einem konkreten Ziel. Genau deshalb sollten Krypto-Nutzer ein WebRTC-Leck unter Sicherheitsdelikten und nicht unter Datenschutzeinstellungen melden.
Ihre IP-Adresse sind personenbezogene Daten.
Es gibt auch eine rechtliche Dimension. Bereits 2016 urteilte der Europäische Gerichtshof im Fall Breyer, dass selbst eine dynamische IP-Adresse als personenbezogene Daten gilt, sofern jemand sie vernünftigerweise zur Reidentifizierung einer Person verwenden könnte. Nach dieser Logik verarbeitet eine Website, die Ihre IP-Adresse unbemerkt über WebRTC erfasst, personenbezogene Daten ohne Ihre Einwilligung. Das behebt das Datenleck zwar nicht, zeigt aber, wie ernst die Aufsichtsbehörden die Informationen nehmen, die Ihr Browser kostenlos preisgibt.
Schließe das Leck, bevor es entsteht.
Ein WebRTC-Leak verläuft unbemerkt, fragt nicht nach Ihrer Zustimmung und ein VPN allein schützt nicht davor. Schützen Sie sich daher mit mehreren Sicherheitsstufen. Wählen Sie einen Browser, der Sie standardmäßig schützt, oder deaktivieren Sie WebRTC, falls dies nicht der Fall ist. Verwenden Sie ein VPN, das einen Leak-Test besteht, um Ihre IP-Adresse zu verschleiern. Überprüfen Sie dies nach jedem Update. Für alle, die Geld transferieren, ist das Ziel klar definiert: Vermeiden Sie unbedingt die Verknüpfung zwischen Ihrer Wallet und Ihrer IP-Adresse, denn sobald diese besteht, lässt sie sich nicht mehr rückgängig machen. Wann haben Sie zuletzt getestet, welche Daten Ihr Browser tatsächlich preisgibt?
