Wie funktioniert ein VPN?

Sie tippen in der VPN-App auf „Verbinden“, ein kleines Symbol leuchtet auf – und plötzlich gilt Ihr Internetverkehr als geschützt. Doch was geschieht in diesen Sekunden eigentlich im Hintergrund? In diesem Ratgeber zeigen wir ohne Fachjargon, wie ein VPN technisch funktioniert: vom verschlüsselten Tunnel über den Schlüsselaustausch bis zur maskierten IP-Adresse.

Sie müssen kein Informatiker sein, um das Prinzip zu verstehen. Wir erklären jeden Schritt anhand von Analogien und zeigen am Ende auch ehrlich auf, wo ein VPN an seine Grenzen stößt.

Die Grundidee: ein verschlüsselter Tunnel

Im Kern macht ein VPN eine einzige, aber wirkungsvolle Sache: Es legt einen geschützten Tunnel zwischen Ihrem Gerät und einem entfernten Server. Alles, was Ihr Laptop oder Smartphone ins Internet sendet, läuft zuerst durch diesen Tunnel.

Stellen Sie sich Ihren normalen Internetverkehr wie ein offenes Förderband vor, das durch ein großes Gebäude läuft. Jeder, der an diesem Band vorbeikommt – Ihr Internetanbieter, der Betreiber eines öffentlichen WLANs oder neugierige Dritte – kann sehen, welche Pakete darauf liegen und wohin sie gehen. Ein VPN baut um dieses Förderband eine blickdichte Röhre. Von außen erkennt niemand mehr, was darin transportiert wird oder welches Ziel die Pakete haben. Sichtbar ist nur noch, dass irgendetwas zwischen Ihnen und dem Tunnelausgang fließt.

Kurz gesagt: Ein VPN verschlüsselt Ihren Datenverkehr und verbirgt Ihre echte IP-Adresse. Nach außen erscheinen Sie mit der Adresse des VPN-Servers – nicht mit Ihrer eigenen.

Zwei Bausteine sorgen für diesen Schutz: die Verschlüsselung, die den Inhalt unleserlich macht, und das Umrouten über einen fremden Server, das Ihre Herkunft verschleiert. Wie diese beiden Mechanismen zusammenspielen, sehen wir uns nun Schritt für Schritt an. Wenn Sie zunächst die grundlegende Definition nachholen möchten, hilft Ihnen unser Beitrag Was ist ein VPN? weiter.

Wie ein VPN Schritt für Schritt funktioniert

Eine VPN-Verbindung entsteht nicht magisch, sondern durchläuft eine feste Abfolge. Vier Phasen sind dabei entscheidend: der Verbindungsaufbau, die Verschlüsselung der Daten, das Routing über den Server und schließlich die Maskierung Ihrer Identität nach außen.

Verbindungsaufbau und Handshake

Bevor auch nur ein einziges Datenpaket geschützt verschickt werden kann, müssen sich Ihr Gerät und der VPN-Server gegenseitig „kennenlernen“. Dieser Vorgang heißt Handshake (zu Deutsch: Händedruck).

Während des Handshakes prüft Ihr Gerät zunächst, ob der Server tatsächlich der ist, für den er sich ausgibt. Das geschieht über digitale Zertifikate und Schlüssel – vergleichbar mit einem Ausweis, der nicht gefälscht werden kann. Anschließend einigen sich beide Seiten auf einen gemeinsamen, geheimen Sitzungsschlüssel. Dieser Schlüssel ist einzigartig für genau diese Verbindung und nur Ihrem Gerät und dem Server bekannt.

Das Clevere daran: Selbst wenn jemand den gesamten Handshake mitschneidet, kann er den Sitzungsschlüssel nicht ableiten. Moderne Protokolle nutzen ein Verfahren, bei dem der eigentliche Schlüssel nie direkt über die Leitung geschickt wird, sondern auf beiden Seiten unabhängig berechnet wird. Der Handshake dauert in der Praxis nur Sekundenbruchteile – Sie bemerken davon nichts außer dem kurzen Wechsel des Verbindungssymbols.

Verschlüsselung (AES-256)

Ist der Tunnel erst aufgebaut, wird jedes Datenpaket, das Ihr Gerät verlässt, verschlüsselt. Seriöse Anbieter setzen dafür auf AES-256 – einen Verschlüsselungsstandard, der weltweit als praktisch unknackbar gilt und auch von Banken, Militär und Behörden verwendet wird.

Was bedeutet die Zahl 256? Sie steht für die Länge des Schlüssels in Bit. Bei 256 Bit gibt es so viele mögliche Schlüsselkombinationen, dass selbst ein Zusammenschluss aller heutigen Computer Milliarden von Jahren bräuchte, um sie systematisch durchzuprobieren. Ohne den passenden Schlüssel sind die abgefangenen Daten daher nichts weiter als unbrauchbares Rauschen.

Wichtig zu verstehen: Verschlüsselung schützt den Inhalt. Ein Angreifer, der Ihren Verkehr abfängt, sieht zwar, dass Daten fließen, kann aber nicht erkennen, welche Webseiten Sie besuchen, welche Passwörter Sie eingeben oder welche Nachrichten Sie schreiben.

In den Apps der Anbieter müssen Sie sich um die Verschlüsselung in der Regel nicht kümmern – sie ist standardmäßig aktiv. Wichtiger ist, dass der Anbieter überhaupt einen anerkannten Standard wie AES-256 oder die moderne ChaCha20-Verschlüsselung einsetzt.

Routing über den VPN-Server

Die verschlüsselten Pakete reisen nun durch den Tunnel zum VPN-Server. Dieser Server ist der Mittelsmann zwischen Ihnen und dem offenen Internet. Er entschlüsselt Ihre Anfrage, leitet sie an das eigentliche Ziel weiter – etwa eine Webseite oder einen Streaming-Dienst – und schickt die Antwort denselben Weg wieder zurück.

Der entscheidende Punkt: Die Webseite empfängt die Anfrage nicht von Ihnen, sondern vom VPN-Server. Aus ihrer Sicht stammt der Zugriff also vom Standort des Servers. Verbinden Sie sich mit einem Server in den Niederlanden, erscheint Ihr Besuch so, als kämen Sie aus den Niederlanden – obwohl Sie tatsächlich in Deutschland, Österreich oder der Schweiz sitzen.

Der gesamte Ablauf in der Übersicht:

1. Sie öffnen eine Webseite. Ihr Gerät verschlüsselt die Anfrage.
2. Die verschlüsselte Anfrage wandert durch den Tunnel zum VPN-Server.
3. Der Server entschlüsselt sie und leitet sie unter seiner eigenen IP-Adresse ins Internet weiter.
4. Die Antwort der Webseite geht an den Server zurück.
5. Der Server verschlüsselt die Antwort erneut und schickt sie durch den Tunnel zu Ihnen.
6. Ihr Gerät entschlüsselt die Antwort und zeigt die Webseite an.

Für Sie als Nutzer geschieht all das unsichtbar – Sie surfen genauso wie ohne VPN, nur eben mit zwei zusätzlichen Stationen unterwegs.

IP-Maskierung und DNS-Schutz

Ihre IP-Adresse ist so etwas wie die Postanschrift Ihres Internetanschlusses. Ohne VPN sieht jede besuchte Webseite Ihre echte IP – und daraus lassen sich oft Region und Internetanbieter ableiten. Sobald das VPN aktiv ist, ersetzt der Server Ihre IP durch seine eigene. Ihre tatsächliche Adresse bleibt verborgen.

Eng damit verbunden sind die DNS-Anfragen. Jedes Mal, wenn Sie einen Domainnamen wie eine Webseite eingeben, muss dieser in die zugehörige IP-Adresse übersetzt werden. Diese Übersetzung übernimmt ein DNS-Server. Ohne VPN laufen diese Anfragen typischerweise über die DNS-Server Ihres Internetanbieters – der dadurch eine vollständige Liste der von Ihnen besuchten Seiten erhält, selbst wenn der übrige Verkehr verschlüsselt wäre.

Ein gutes VPN leitet auch diese DNS-Anfragen verschlüsselt durch den Tunnel und beantwortet sie über eigene DNS-Server. Damit verhindert es DNS-Leaks, also das versehentliche Durchsickern Ihrer Anfragen an den Internetanbieter. Achten Sie bei der Auswahl darauf, dass der Anbieter einen integrierten DNS-Leak-Schutz bietet – fast alle namhaften Anbieter tun dies inzwischen standardmäßig.

VPN-Protokolle: der Motor der Verbindung

Ein Protokoll ist das Regelwerk, nach dem der Tunnel aufgebaut und betrieben wird. Es legt fest, wie der Handshake abläuft, welche Verschlüsselung genutzt wird und wie die Datenpakete verpackt werden. Man kann es sich wie den Motor eines Fahrzeugs vorstellen: Das Ziel bleibt gleich, aber je nach Bauart sind Sie schneller, sparsamer oder robuster unterwegs.

Sie müssen die technischen Details nicht beherrschen – die meisten Apps wählen automatisch ein passendes Protokoll. Zur Orientierung lohnt sich dennoch ein Blick auf die drei heute verbreitetsten Varianten:

Protokoll	Geschwindigkeit	Sicherheit	Besonderheit
WireGuard	Sehr hoch	Hoch (moderne Verschlüsselung)	Schlanker Code, ideal für Streaming und Mobilgeräte
OpenVPN	Mittel	Sehr hoch (langjährig bewährt)	Robust und flexibel, gut in restriktiven Netzen
IKEv2	Hoch	Hoch	Stabil bei Wechsel zwischen WLAN und Mobilfunk

WireGuard ist das modernste der drei Protokolle. Sein Programmcode ist bewusst klein gehalten, was nicht nur die Geschwindigkeit erhöht, sondern auch die Überprüfung auf Sicherheitslücken erleichtert. Einige Anbieter haben WireGuard für ihre Zwecke angepasst – etwa NordVPN mit seiner Variante NordLynx, die auf WireGuard aufbaut. ExpressVPN setzt mit Lightway auf ein selbst entwickeltes, ebenfalls sehr schlankes Protokoll.

OpenVPN ist der bewährte Klassiker. Es ist seit vielen Jahren im Einsatz, ausgiebig geprüft und gilt als äußerst zuverlässig. Dafür ist es etwas langsamer und ressourcenhungriger als WireGuard. Seine Stärke spielt es vor allem in Netzen aus, die VPN-Verkehr blockieren möchten, da es sich gut tarnen lässt.

IKEv2 schließlich punktet auf dem Smartphone: Es hält die Verbindung stabil, wenn Sie unterwegs vom WLAN ins Mobilfunknetz wechseln, ohne dass der Tunnel jedes Mal neu aufgebaut werden muss. Eine tiefergehende Einordnung der Protokolle und weiterer Grundbegriffe finden Sie in unserem Ratgeber Was ist ein VPN?.

Wer sieht was? Internetanbieter, Webseite, VPN-Anbieter

Um zu verstehen, was ein VPN bringt, lohnt sich der Blick darauf, welche Partei welche Informationen erhält – mit und ohne aktiviertes VPN.

• Ihr Internetanbieter (ISP): Ohne VPN sieht er jede aufgerufene Webseite und kann ein detailliertes Profil Ihres Surfverhaltens anlegen. Mit aktivem VPN erkennt er nur noch, dass Sie mit einem VPN-Server verbunden sind – nicht aber Inhalte oder Ziele.
• Die besuchte Webseite: Ohne VPN sieht sie Ihre echte IP-Adresse und damit Ihre ungefähre Region. Mit VPN sieht sie nur die IP des Servers.
• Der VPN-Anbieter: Hier liegt die entscheidende Vertrauensfrage. Da Ihr gesamter Verkehr über seine Server läuft und dort entschlüsselt werden muss, könnte der Anbieter theoretisch mitlesen.

Genau deshalb ist die No-Logs-Richtlinie so zentral. Sie ist das Versprechen eines Anbieters, keine Aktivitäts- und idealerweise auch keine Verbindungsprotokolle zu speichern. Doch ein Versprechen allein genügt nicht – aussagekräftig wird es erst durch eine unabhängige Prüfung. NordVPN etwa ließ seine No-Logs-Richtlinie 2024 von der Wirtschaftsprüfungsgesellschaft PwC bestätigen.

Faustregel: Verlassen Sie sich nicht auf das bloße Marketing-Versprechen „No-Logs“. Achten Sie auf ein unabhängiges Audit und den Gerichtsstand des Anbieters – Länder ohne Vorratsdatenspeicherung wie Panama, die Schweiz oder die Britischen Jungferninseln sind hier im Vorteil.

Welche Anbieter beim Datenschutz besonders überzeugen und worauf Sie im Detail achten sollten, lesen Sie in unserem Ratgeber zum besten VPN für Datenschutz.

Wo ein VPN an seine Grenzen stößt

So nützlich die Technik ist – ein VPN ist kein Allheilmittel. Wer seine Grenzen kennt, nutzt es bewusster und macht sich keine falschen Hoffnungen.

• Kein Schutz vor Malware. Ein VPN sichert den Übertragungsweg, nicht das Gerät. Klicken Sie auf einen schädlichen Link oder laden Sie eine infizierte Datei herunter, hilft der Tunnel nicht. Gegen Viren und Trojaner brauchen Sie weiterhin Vorsicht und gegebenenfalls eine Sicherheitssoftware.
• Kein Schutz vor Phishing. Eine gefälschte Login-Seite bleibt gefährlich, ob mit oder ohne VPN. Die Verschlüsselung überträgt Ihre eingegebenen Daten zuverlässig – auch an einen Betrüger, wenn Sie sie ihm freiwillig geben.
• Keine totale Anonymität. Ein VPN verbirgt Ihre IP-Adresse, macht Sie aber nicht unsichtbar. Sobald Sie sich bei einem Konto anmelden, Cookies akzeptieren oder über sogenanntes Browser-Fingerprinting wiedererkannt werden, sind Sie identifizierbar – ganz gleich, über welchen Server Sie laufen.
• Mögliche Geschwindigkeitseinbußen. Verschlüsselung und der Umweg über den Server kosten ein wenig Tempo. Mit einem modernen Protokoll und einem nahegelegenen Server ist der Unterschied meist kaum spürbar, ganz verschwinden tut er jedoch nicht.

Ein VPN schützt also den Weg Ihrer Daten – nicht Ihr Verhalten und nicht das Ziel, mit dem Sie kommunizieren. Es ist ein wichtiger Baustein der digitalen Sicherheit, aber eben nur einer von mehreren.

Fazit

Ein VPN funktioniert über einen verschlüsselten Tunnel zwischen Ihrem Gerät und einem entfernten Server. Beim Verbindungsaufbau handeln beide Seiten über den Handshake einen geheimen Schlüssel aus, anschließend werden alle Daten mit einem starken Standard wie AES-256 verschlüsselt, über den Server umgeleitet und unter dessen IP-Adresse ins Internet geschickt. Hinzu kommt der Schutz Ihrer DNS-Anfragen, damit auch Ihre Browser-Historie nicht beim Internetanbieter landet.

Welches Protokoll dabei den Tunnel antreibt, übernimmt in der Regel die App automatisch – für die meisten Nutzer ist das schnelle und sichere WireGuard die beste Wahl. Entscheidend für den Datenschutz bleibt eine geprüfte No-Logs-Richtlinie, denn Ihr Verkehr läuft technisch über die Server des Anbieters.

Wenn Sie diese Grundlagen verstanden haben und nun einen konkreten Anbieter suchen, finden Sie in unserem großen VPN-Vergleich die aktuellen Top-Empfehlungen. Welche Kriterien bei der Auswahl wirklich zählen – von der Servergröße über den Gerichtsstand bis zum Preis – fasst unser Ratgeber Wie wähle ich einen VPN aus? übersichtlich zusammen.