Was ist ein VPN und wozu ist es gut?

Ein VPN verschlüsselt den Datenverkehr, verschleiert den Standort und verbindet Netzwerke sicher miteinander. Wir erklären, was es damit genau auf sich hat und was Sie sonst noch wissen sollten.

Ein VPN ist heute in vielen Situationen sinnvoll – ob im Homeoffice, auf Reisen oder beim Schutz der eigenen Privatsphäre. Es verschlüsselt Ihren Datenverkehr, verbirgt Ihre IP-Adresse und verbindet Netzwerke sicher miteinander. Die Technologie ist ein wichtiger Baustein für die digitale Sicherheit und Privatsphäre – privat wie geschäftlich.

Wir erklären die Grundlagen, Funktionsweise und verschiedenen Typen von VPN. Ausserdem beleuchten wir die wichtigsten Protokolle, kommerzielle Anbieter sowie die Vorteile und Grenzen der Technologie.

Was ist ein VPN?

VPN steht für Virtual Private Network – auf Deutsch: virtuelles privates Netz. Der Begriff setzt sich aus drei Wörtern zusammen, wobei jedes einen wichtigen Aspekt der Technologie beschreibt:

• Virtuell: Die Verbindung läuft nicht über eine fest zugeordnete physische Leitung, sondern baut sich softwarebasiert über bestehende Netzwerkinfrastrukturen auf.
• Privat: Die übertragenen Daten werden verschlüsselt und vor unbefugtem Zugriff geschützt.
• Netz: Die Nutzenden oder Geräte werden zu einem gemeinsamen, in sich geschlossenen Netz verbunden, unabhängig davon, wo sie sich physisch befinden.

Ein VPN baut also eine verschlüsselte, gesicherte Verbindung über ein öffentliches Netz auf – meistens das Internet – und tut so, als wären alle Nutzenden direkt miteinander verkabelt.

Oder einfach erklärt: Kein VPN ist wie eine ohne Umschlag verschickte Postkarte: Alle Personen auf dem Postweg haben die Möglichkeit, den Inhalt zu lesen und den Absender zu identifizieren. Im Gegensatz dazu entspricht ein VPN einem blickdichten, versiegelten Sicherheitsumschlag: Der Brief nimmt denselben Postweg, aber unterwegs kann ihn niemand öffnen oder den Absender erkennen.

VPN werden sowohl von Privatpersonen genutzt, die ihre Privatsphäre schützen oder Geosperren umgehen wollen. Aber auch Unternehmen setzen auf VPN, wenn sie Mitarbeitende sicher ans Firmennetz anbinden oder Standorte miteinander verknüpfen wollen.

Wie funktioniert ein VPN?

Bei einer VPN-Verbindung geschehen im Hintergrund drei Dinge gleichzeitig:

1. Tunneling: Die Datenpakete werden in einen verschlüsselten «Tunnel» verpackt. Von aussen sieht man nur den Tunnel, nicht den Inhalt.
2. Verschlüsselung: Die Daten im Tunnel sind verschlüsselt. Ohne den richtigen Schlüssel sind sie nicht lesbar.
3. Authentifizierung: VPN-Server und Endgerät prüfen gegenseitig ihre Identität, bevor die Verbindung aufgebaut wird.

Welche Typen von VPN gibt es?

Je nach Anwendungsfall unterscheidet man drei grundlegende VPN-Architekturen:

Client-to-Site VPN (Remote Access)

Bei einem Client-to-Site VPN verbindet sich ein einzelnes Gerät (Client) mit einem entfernten Netz (Site) – typischerweise dem Firmennetz. Dabei befindet sich die oder der Nutzende ausserhalb des Büros, das Gerät verhält sich aber so, als wäre es direkt vor Ort.

Typische Anwendungen: 

• Homeoffice
• Zugriff auf Unternehmensdaten von unterwegs
• Kommerzelle VPN-Anbieter

Site-to-Site VPN (Netzwerk-zu-Netzwerk)

Bei einem Site-to-Site VPN sind zwei oder mehrere Netze permanent miteinander verbunden, als ob sie ein einziges grosses Netzwerk wären. Die einzelnen Nutzenden an den jeweiligen Standorten merken davon meist gar nichts. Sie greifen einfach auf die Ressourcen des anderen Standorts zu.

Typische Anwendungen:

• Verbindung von Niederlassungen
• Filialvernetzung
• Rechenzentren untereinander
• Hybrid-Cloud-Anbindung

Client-to-Client VPN (Peer-to-Peer)

Bei einem Client-to-Client VPN verbinden sich einzelne Geräte direkt miteinander, ohne dass ein zentrales Unternehmensnetz involviert ist. Oft läuft ein VPN-Server nur als «Vermittler» für den Verbindungsaufbau. Der eigentliche Datenverkehr fliesst dann direkt von Gerät zu Gerät.

Typische Anwendungen: 

• Gaming-LAN über Internet
• gemeinsames Arbeiten an Projekten
• WireGuard-Mesh-Netz
• Tailscale/Netbird für Entwickler

Was ist ein VPN-Protokoll?

Das VPN-Protokoll bestimmt, wie der Tunnel aufgebaut und die Daten verschlüsselt werden. Hier die wichtigsten:

• WireGuard ist ein modernes, schlankes VPN-Protokoll mit nur rund 4000 Zeilen Code. Es ist sehr schnell und sehr sicher und damit ideal für neue Setups und Mobile. Ausserdem ist es inzwischen im Linux-Kernel integriert.
• OpenVPN ist der langjährige Standard. Es ist Open Source, sehr gut erprobt und konfigurierbar. Dieses Protokoll ist etwas langsamer als WireGuard, aber weit verbreitet und flexibel einsetzbar.
• IKEv2/IPSec ist besonders stabil bei Netzwechseln (z. B. von WLAN auf Mobilfunk) und damit gut für mobile Geräte. Es wird von iOS und macOS nativ unterstützt.
• L2TP/IPSec ist in vielen Geräten eingebaut, gilt aber mittlerweile als veraltet. Dieses Protokoll empfiehlt sich nur noch für Legacy-Systeme.
• PPTP ist ein sehr altes VPN-Protokoll und gilt heute als unsicher. Dieses sollten Sie nicht mehr einsetzen.

Empfehlung: Für Neuinstallationen ist WireGuard in fast allen Fällen die beste Wahl. OpenVPN bleibt eine solide Alternative, wenn Kompatibilität wichtig ist.

Kommerzielle VPN-Anbieter nutzen

Es gibt eine Fülle kommerzieller VPN-Anbieter, die Privatpersonen eine einfache Nutzung ermöglichen. Diese betreiben Server in vielen Ländern und bieten Apps für alle Geräte.

Kommerzielle Anbieter fungieren dabei als Mittelsmänner: Der gesamte Internetverkehr läuft durch deren Server. Das verschleiert die wahre IP-Adresse und erlaubt es, Geosperren zu umgehen (etwa, um im Ausland Inhalte zu streamen, die eigentlich nur in der Schweiz verfügbar sind oder umgekehrt).

Wenn man einen kommerziellen VPN-Anbieter nutzt, muss man diesem Anbieter also vollständig vertrauen. Denn statt des Internetanbieters sieht nun der VPN-Anbieter den ganzen Internetverkehr und kann deshalb auch potenziell Missbrauch betreiben. Es ist daher sehr wichtig, einem seriösen Anbieter zu wählen, der keine Protokolle speichert und von unabhängigen Fachleuten für sicher befunden wurde. 

Eigenen VPN-Server einrichten

Wer keinem kommerziellen Anbieter vertrauen möchte, kann einen eigenen VPN-Server betreiben. Zum Beispiel lässt sich auf der Fritz!Box ein VPN in wenigen Schritten einrichten.

Für Heimwerkende taugt auch ein günstiger Server mit WireGuard oder OpenVPN. Tools wie PiVPN oder Outline machen die Einrichtung auch für Einsteigerinnen und Einsteiger zugänglich.

Was sind die Vorteile und Grenzen eines VPN?

Vorteile eines VPN:

• Verschlüsselt Ihren Datenverkehr im öffentlichen WLAN (Café, Hotel, Flughafen)
• Versteckt Ihre echte IP-Adresse vor Websites und Online-Diensten
• Umgeht geographische Sperren (Streaming, zensierte Inhalte)
• Schützt vor Tracking durch Ihren Internetanbieter
• Ermöglicht sicheren Remote-Zugriff auf Firmennetzwerke (Client-to-Site)
• Verbindet Standorte und Netzwerke sicher miteinander (Site-to-Site)

Was ein VPN nicht kann:

• Macht Sie nicht vollständig anonym (Browser-Fingerprinting, Cookies etc. bleiben)
• Schützt nicht vor Malware, Phishing oder Viren – kein Ersatz für Antivirensoftware oder vorsichtiges Online-Verhalten
• Ist keine Garantie für maximale Privatsphäre, wenn Sie beim Anbieter angemeldet sind
• Kann die Internetgeschwindigkeit verlangsamen (Latenz durch Umleitung)
• Schützt nicht vor eigenen Fehlern: Wer sich mit echtem Namen anmeldet, bleibt identifizierbar

Ein VPN ist ein starkes Werkzeug für die Online-Sicherheit und -Privatsphäre, aber kein Alleskönner. Wer echte Anonymität sucht, braucht zusätzliche Massnahmen wie etwa den Tor Browser.

Henry Salzmann

Datenschutzverantwortlicher

Henry Salzmann ist CISO und seit 2018 bei iWay. Der diplomierte Elektroingenieur begeistert sich für WLAN, TV, Telefonie und Sicherheit. Seine Steckenpferde sind Smart Home, Amateurfunk und Making.