VPN-Werbung verspricht Unsichtbarkeit. "Schütze deine Privatsphäre mit einem Klick." "100% anonym im Internet." "Militärische Verschlüsselung." Das ist Marketing, kein Bedrohungsmodell.
Ein VPN ist ein Werkzeug. Wie jedes Werkzeug ist es für bestimmte Aufgaben gebaut und für andere völlig ungeeignet. Wer ohne Bedrohungsmodell ein VPN kauft, kauft ein Gefühl von Sicherheit — kein tatsächliches Schutzlevel.
Dieser Artikel beantwortet eine einzige Frage: Schützt ein VPN dich vor dem, wovor du dich tatsächlich schützen willst?
"Ein VPN verschiebt Vertrauen. Es beseitigt es nicht."
Was ein VPN tatsächlich macht
Ein VPN baut einen verschlüsselten Tunnel zwischen deinem Gerät und einem Server des VPN-Anbieters. Der gesamte Datenverkehr läuft durch diesen Tunnel, bevor er das öffentliche Internet erreicht.
Das hat drei konkrete Konsequenzen:
- IP-Maskierung: Websites und Dienste sehen die IP-Adresse des VPN-Servers, nicht deine echte IP. Dein tatsächlicher Standort bleibt verborgen.
- Verschlüsselung gegenüber deinem Internetanbieter: Dein ISP sieht, dass du mit einem VPN-Server verbunden bist. Er sieht nicht, welche Seiten du besuchst oder welche Daten übertragen werden.
- Vertrauensverschiebung: Statt dem ISP vertraust du jetzt dem VPN-Anbieter. Dieser sieht deinen Datenverkehr, sofern er keine echte No-Logs-Policy hat und umsetzt.
Was ein VPN nicht macht: Es verhindert kein Browser-Fingerprinting, kein Cookie-Tracking, keine JavaScript-Analyse und keine Google-Loginverknüpfung. Die IP ist für die Werbeindustrie seit Jahren irrelevant.
Schutzwirkung nach Bedrohungsmodell
Fünf reale Szenarien, ehrlich bewertet:
| Bedrohung | VPN-Schutz | Warum |
|---|---|---|
| Öffentliches WLAN (Hotel, Café, Flughafen) | 10/10 | Daten verlassen dein Gerät bereits verschlüsselt, Angreifer im selben Netz sehen nur Rauschen |
| ISP-Überwachung / DNS-Logging | 9/10 | ISP sieht nur verschlüsselte VPN-Verbindung, keine Inhalte, keine Domains |
| Gezielte Strafverfolgung | 8/10 (Mullvad/Proton) · 0/10 (kostenloses VPN) | No-Logs-Anbieter mit belegter Razzia-Resistenz vs. Anbieter, der Protokolle verkauft |
| Staatliche Massenüberwachung / DPI | 7/10 | Deep Packet Inspection erkennt VPN-Protokolle mit 85–99% Genauigkeit (je nach Methode): Traffic ist erkennbar, Inhalt nicht |
| Werbeindustrie / Google / Meta | 1–2/10 | Browser-Fingerprinting macht die IP-Adresse irrelevant: Tracking läuft über Canvas, Schriften, GPU |
Das wichtigste Ergebnis: Wer ein VPN kauft, um Google oder Meta zu entkommen, hat sein Geld falsch investiert. Wer ein VPN kauft, um im Café-WLAN sicher zu surfen, trifft genau die richtige Entscheidung.
DNS und VPN: das De-Anonymisierungs-Paradoxon
Das ist der Abschnitt, den die meisten VPN-Anleitungen überspringen, und der in der Praxis die meisten Fehler produziert.
Viele Privacy-bewusste Nutzer kombinieren ein personalisiertes NextDNS-Profil mit einem VPN. Die Idee klingt gut: bessere Filterung durch NextDNS, Verschlüsselung durch das VPN. Das Problem liegt im Detail.
Dein NextDNS-Profil ist mit deinem Account verknüpft. Es hat eine eindeutige Konfiguration — welche Blocklisten aktiv sind, welche Domains du whitelistest, welche DNS-Anfragen du sendest. Diese Ja/Nein-Antwortmatrix erzeugt einen logischen Fingerabdruck, der dich einzigartig identifizierbar macht. Wenn diese Anfragen durch den VPN-Tunnel laufen, erfährt NextDNS zwar nicht deine echte IP, aber es erfährt dein Verhaltensmuster und damit praktisch deine Identität.
Selbst wenn du Mullvad nutzt und DNS-Anfragen im Tunnel bleiben: Mullvad zeigt im eigenen Dashboard manchmal eine Warnung "Leaking DNS servers". Das ist meist ein technischer Fehlalarm, wenn die Anfragen korrekt innerhalb des Tunnels bleiben. Trotzdem gilt:
DNS-Empfehlung nach Ziel
- Anonymitätsziel mit VPN: VPN-eigene DNS nutzen (z.B. Mullvad DNS Adblock). Kein NextDNS durch den Tunnel leiten. Das NextDNS-Profil erzeugt sonst einen Fingerabdruck, der die VPN-Anonymität aufhebt.
- Heimnetzwerk ohne VPN: NextDNS auf Router-Ebene ist sinnvoll — gute Filterung, einfache Verwaltung, kein Fingerabdruckproblem (du bist sowieso mit deiner Heim-IP identifizierbar).
- Kombination Heimnetzwerk + VPN: VPN-Traffic nutzt VPN-DNS, lokaler Traffic nutzt NextDNS, getrennte Konfiguration je nach Verbindung.
Mullvad vs. ProtonVPN
Wer einen seriösen VPN-Anbieter sucht, landet meistens bei diesen beiden. Beide sind empfehlenswert. Der Unterschied liegt im Threat-Modell.
| Kriterium | Mullvad | ProtonVPN |
|---|---|---|
| Konto nötig | Nein, nur anonyme Kontonummer | Ja, E-Mail-Adresse erforderlich |
| Anonym bezahlen | Bargeld, Monero, Bitcoin | Bitcoin möglich, aber Konto verknüpft |
| Server-Infrastruktur | RAM-only Server, kein persistenter Speicher | Reguläre Server mit Audit |
| Razzia-Test | 2023: Polizei-Razzia ohne verwertbares Ergebnis | Regelmäßige unabhängige Audits |
| Rechtlicher Rahmen | Schweden | Schweiz (schützt VPN, nicht E-Mail) |
| Preis | Pauschal 5 EUR/Monat | Free-Tier + bezahlte Stufen |
Mullvad ist die klare Wahl für maximale Anonymität: kein Name, keine E-Mail, RAM-only, bewährt unter Druck. ProtonVPN ist sinnvoll, wenn du bereits im Proton-Ökosystem bist (Proton Mail, Proton Drive) und ein Bundle bevorzugst. Das Schweizer Recht schützt dabei das VPN, nicht zwingend die anderen Dienste.
Geldmacherei? Kostenlose vs. bezahlte VPNs
Der VPN-Markt ist voller Anbieter, die mit aggressiver Werbung arbeiten: "100% anonym", "No Logs garantiert", "Militärverschlüsselung". Das ist nicht per se falsch, aber Marketing ist keine Technik, und Werbeversprechen sind keine Audits.
Kostenlose VPNs sind das eigentliche Problem. Server kosten Geld. Wenn du nicht zahlst, bist du das Produkt. Zahlreiche Studien haben belegt, dass kostenlose VPN-Apps Nutzerdaten verkaufen, Datenverkehr injizieren oder DNS-Anfragen protokollieren und weitervermarkten. Finger weg.
Seriöse bezahlte Anbieter liefern echten Mehrwert, aber nur für die richtigen Szenarien. Wer Mullvad für 5 EUR/Monat kauft, bekommt: ISP-Verschlüsselung, öffentliches WLAN-Schutz, IP-Maskierung, RAM-only Infrastructure und einen Anbieter, der unter echtem Druck keine Daten herausgeben konnte, weil keine vorhanden waren.
Was du nicht bekommst: Unsichtbarkeit gegenüber Google, Anonymität trotz Browser-Fingerprint und Schutz vor gezielter Überwachung auf Betriebssystem-Ebene.
Empfehlung je nach Ziel
Ich will öffentliche WLANs sicher nutzen
Jeder seriöse bezahlte VPN-Anbieter reicht. Mullvad oder ProtonVPN sind erste Wahl. Immer aktiv lassen, wenn du nicht im Heimnetzwerk bist.
Ich will meinen ISP aus meinem Browserverlauf heraushalten
Mullvad oder ProtonVPN mit DNS-over-VPN (keine externe DNS durch den Tunnel). RAM-only Server bevorzugen.
Ich will maximale Anonymität
Mullvad: anonym registrieren, mit Monero oder Bargeld bezahlen, RAM-only Server, Mullvad DNS Adblock statt externem DNS-Profil. Ergänzend: Mullvad Browser.
Ich will Google und Meta loswerden
Ein VPN hilft hier kaum. Die wirksamen Maßnahmen sind: Firefox oder LibreWolf mit uBlock Origin, kein Google-Konto im Browser, keine Meta-Apps. Mehr dazu: Privacy Browser im Vergleich.
Auf Android: GrapheneOS + Mullvad VPN
GrapheneOS hat eine eingebaute VPN-Kill-Switch-Funktion auf App-Ebene. Du kannst festlegen, welche Apps das VPN nutzen dürfen und welche nicht, ohne Root, direkt im Betriebssystem. Mullvad VPN aus dem F-Droid-Repository oder dem offiziellen Mullvad-Download installieren, immer-aktiv + Kill Switch aktivieren. Das ist die sauberste Lösung für Mobile.