Navigation und Service

Wie funktioniert ein Virtual Private Network (VPN)?

Was ist eine VPN-Verbindung?

Bei einem Virtual Private Network, kurz VPN, handelt es sich um ein virtuelles, nicht-öffentliches Netzwerk. "Virtuell" bedeutet, dass die verschiedenen Endgeräte in diesem Netzwerk – anders als z.B. in Ihrem Heimnetzwerk – nicht direkt physisch miteinander oder mit einem zentralen Router verbunden sind. Eine VPN-Verbindung dient dazu, über das ungeschützte Internet eine geschützte (verschlüsselte) Verbindung zwischen zwei Endpunkten herzustellen.

Ein VPN nutzt hierfür in der Regel die unsicheren Verbindungswege im öffentlichen Internet, indem der darüber laufende Netzwerkverkehr innerhalb des VPNs verschlüsselt wird. Hierfür wird eine Verbindung von einem Endgerät – zum Beispiel Ihrem Smartphone – zu einem VPN-Server aufgebaut. Der VPN-Server weist Ihrem Endgerät dann eine neue (interne) IP-Adresse zu. Beim Surfen im Internet ist dann für das Gegenüber (z.B. die besuchte Webseite) statt der Original-IP-Adresse Ihres Geräts die externe IP-Adresse des VPN-Servers sichtbar. Somit wird Ihr tatsächlicher Standort sowie Ihre Online-Identität gegenüber Dritten verschleiert. Gleichzeitig werden alle zwischen dem Endgerät und dem VPN-Server übertragenen Daten durch Verschlüsselung vor Zugriffen aus dem restlichen Internet geschützt.

Warum Sie ein VPN verwenden sollten, erfahren Sie in unserem YouTube-Shorts-Video zum Thema 'VPN'.

Was passiert bei einer VPN-Verbindung?

Ein VPN nutzt verschlüsselte Datenleitungen, die umgangssprachlich VPN-Tunnel genannt werden, da durch die Verschlüsselung ein abhörsicherer "Tunnel" durch das ungeschützte Internet "gegraben" wird – zum Beispiel von Ihrem Laptop zu einem externen VPN-Server. Am Tunneleingang werden sämtliche Informationen in verschlüsselte Datenpakete eingepackt und am Ende des Tunnels wieder ausgepackt – respektive entschlüsselt. Somit liegen sie auf der Gegenseite wieder in ihrer ursprünglichen Form vor.

Der dafür erforderliche Schlüsselaustausch erfolgt automatisch bereits beim Verbindungsaufbau. Ein großer Vorzug von VPN: Via Tunnelleitung lassen sich schutzwürdige Daten von jedem beliebigen Ort aus – sogar in anderen Ländern oder auf einem anderen Kontinent – auf gesicherte Art und Weise mit einem lokalen Netzwerk austauschen. Allerdings gibt es auch Länder, in denen die Nutzung von VPNs verboten ist.

Durch eine VPN-Verbindung verringert sich technologiebedingt meist die Übertragungsgeschwindigkeit. Dafür ermöglichen verschlüsselte VPN-Tunnel eine sichere Kommunikation über ein vergleichsweise unsicheres und wenig vertrauenswürdiges Medium wie das öffentliche Internet. Welche Möglichkeiten moderne Verschlüsselungsverfahren darüber hinaus bieten, um Cyber-Risiken zu minimieren, haben wir auf einer gesonderten Themenseite "Verschlüsselung" für Sie zusammengefasst.

VPNs dürfen nicht verwechselt werden mit dem verschlüsselten Übertragungsprotokoll HTTPS (Hypertext Transfer Protocol Secure): Dieses Protokoll sichert im World Wide Web die Integrität und Vertraulichkeit bei der Kommunikation zwischen einem bestimmten Webserver und Ihrem Webbrowser. Ein VPN hingegen verschlüsselt die Datenkommunikation zwischen zwei Endpunkten – zum Beispiel zwischen Ihrem Endgerät und einem VPN-Server. Folglich kann ein VPN Ihre Informationen auch dann schützen, wenn Sie keinen Browser, sondern beispielsweise eine Smartphone-App verwenden. Zudem kann ein VPN Ihren kompletten Internetverkehr verschlüsseln, sodass Ihre Kommunikation nicht ohne weiteres mitgelesen oder verändert werden kann.

Wofür setzte ich eine VPN-Verbindung ein?

Sie kann für unterschiedliche Anwendungsfälle eingesetzt werden:

  • Im Berufsleben dient ein VPN häufig zur sicheren Anbindung von Home-Office-Arbeitsplätzen an das Unternehmensnetzwerk oder dazu, Außendienstmitarbeitern von unterwegs den mobilen Zugriff auf zentrale Anwendungen und Datenbestände im Unternehmen zu ermöglichen - Stichwort mobiles Arbeiten.
  • Ein weiteres VPN-Anwendungsfeld betrifft die virtuelle Vereinigung räumlich getrennter Standortnetze – was nicht nur für Wirtschaftsunternehmen interessant ist, sondern zum Beispiel auch für Universitäten, staatliche Verwaltungseinrichtungen oder Nichtregierungsorganisationen. Ergänzend zur Verschlüsselung der Datenübertragung kann die Standortanbindung dabei zusätzlich durch einen speziell gehärteten Einwahlknoten (VPN-Gateway) gesichert werden, um einen noch höheren Schutz vor Cyberangriffen zu gewährleisten.
  • Bei der Nutzung öffentlicher WLAN-Hotspots kann durch eine VPN-Verbindung das Risiko eines unbefugten Zugriffs, Ausspähens oder Abflusses von Daten minimiert werden, da ein VPN sämtliche Daten via Internet in verschlüsselter Form überträgt. Möglichen Ausspähversuchen durch andere Nutzerinnen und Nutzer im öffentlichen WLAN wird somit ein Riegel vorgeschoben.
  • Zu empfehlen ist die VPN-Nutzung außerdem dann, wenn Sie via WLAN-Hotspot auf Ihr Heimnetzwerk zugreifen wollen – zum Beispiel auf persönliche Dokumente, private Fotos oder Ihre Musiksammlung.
  • Außerdem können VPNs bei Smart-Home-Anwendungen eine sichere Alternative zur Steuerung via Cloud sein: Wer seine intelligenten Haushaltsgeräte, vernetzte Türen, Rollläden oder Heizungsthermostate ohne den Umweg über eine Cloud direkt über den eigenen Heimnetz-Router ansteuert, kann das Risiko umgehen, dass solche Smart-Home-Daten von den Herstellern, Cloud-Betreibern oder unbefugten Dritten für die Erstellung eines Profils der privaten Lebensgewohnheiten genutzt werden.
  • Darüber hinaus macht ein VPN die direkte Erreichbarkeit Ihrer Haushaltsgeräte aus dem Internet über freigegebene Ports (Schnittstellen) oder UPnP unnötig, was vor Zugriffsversuchen durch Dritte schützt. Da manche Smart-Home-Geräte zur korrekten Funktionalität zwingend einen Zugriff auf die Cloud des Herstellers benötigen, sollte man sich jedoch bereits beim Produktkauf vergewissern, dass die intelligenten Haushaltsgeräte nicht aus dem Internet erreichbar sein müssen.
  • Sehr nützlich kann eine VPN-Anbindung auch während eines Auslandsurlaubs sein – zum Beispiel, wenn Sie dort einen Beitrag aus der Mediathek eines Fernsehsenders sehen wollen. Denn außerhalb der Landesgrenzen wird das Streaming vieler deutscher Medienangebote aus lizenzrechtlichen Gründen unterbunden. Dieses sogenannte Geo-Blocking funktioniert über eine Sperre all jener IP-Adressen, die nicht der Bundesrepublik zugeordnet sind. Mit einer VPN-Software auf Ihrem Tablet oder Notebook funktioniert eine solche IP-Sperre nicht: Sobald Ihre VPN-Verbindung über einen VPN-Server mit Standort in Deutschland aufgebaut wird, erhält Ihr Smartphone oder Tablet auch im Ausland automatisch eine hierzulande nicht blockierte IP-Adresse. Die Geo-Blockade ist somit ausgehebelt. Innerhalb der Europäischen Union verliert Geo-Blocking jedoch mehr und mehr an Bedeutung: Seit dem ersten Quartal 2018 gelten hier neue Vorschriften, die eine EU-weite Portabilität von digitalen Diensten vorantreiben sollen. Mit anderen Worten: Wer im Heimatland für Filme, Sportberichte, Musik, E-Books oder Spiele bezahlt hat, soll darauf auch in anderen EU-Ländern zumindest für eine befristete Dauer nicht verzichten müssen. Außerhalb der Europäischen Union gibt es bislang noch keine Anzeichen für die Lockerung von Geo-Blocking.

    Bitte beachten Sie bei der Planung von Fernreisen, dass VPNs in manchen Staaten verboten sind und Sie durch einen unbedachten Einsatz in Konflikt mit dem dortigen Gesetz geraten könnten. VPN-Verbote gibt es insbesondere in Ländern mit Internetzensur wie beispielsweise China.

Welche Arten von VPN gibt es?

In der Praxis haben sich je nach Einsatzszenario unterschiedliche VPN-Spielarten herausgebildet. Die Einrichtung eines VPN-Clients für einen sicheren Fernzugriff kann z.B. für das Heimnetzwerk zu Hause sinnvoll sein. Weniger versierte Anwenderinnen und Anwender können sich auf diese Weise schnelle Hilfe von technikaffinen Freunden oder Verwandten holen – etwa, wenn es um die Konfiguration ihres Routers oder die Installation einer neuen Software geht. Diese können sich von zu Hause aus über eine abgesicherte VPN-Verbindung mit dem entsprechenden Endgerät verbinden und dort die erforderlichen Einstellungen vornehmen, ohne dass sie vor Ort sein müssen.

Ein anderes Einsatzbeispiel sind Netzwerkspeicher mit integriertem Webserver: Mit solchen Systemen, die auch Network Attached Storage – kurz NAS – heißen, lassen sich gespeicherte Filme, Musik und Fotos bequem auf unterschiedliche Endgeräte wie Tablets oder Smartphones bringen. Allerdings steht der Funktionsumfang vieler NAS-Webserver nur dann vollständig zur Verfügung, wenn der Router so konfiguriert wird, dass alle eingehenden Anfragen an einen bestimmten Ziel-Port des NAS-Geräts weitergeleitet werden.

Dieses sogenannte Port-Forwarding wiederum setzt voraus, dass jeder Port (Schnittstelle), der aus dem öffentlichen Internet erreichbar sein soll, im Router freigeschaltet und auf die betreffende IP-Adresse umgeleitet ist. Das Problem dabei: Solche freigeschalteten Ports sind via Internet auch für Fremde ansprechbar. Eben dies könnte ein potenzieller Angreifer ausnutzen, um in Ihr Heimnetzwerk einzudringen und die dortigen Geräte mit einem Schadprogramm zu infizieren.

Generell empfiehlt das BSI, mit Portfreigaben äußerst sparsam umzugehen. Geben Sie einen Port nur dann frei, wenn Sie die technischen Auswirkungen tatsächlich abschätzen können. Ziehen Sie im Zweifel lieber einen fachlich versierten Freund oder Bekannten zu Rate oder wenden Sie sich gegebenenfalls an einen Dienstleister. Speziell beim Einsatz von NAS-Webservern und ähnlichen Anwendungen ist es das Beste, auf riskante Port-Freigaben komplett zu verzichten. Dazu können Sie entweder ein VPN-fähiges NAS-Gerät nutzen oder ein VPN auf Ihrem Heimnetz-Router einrichten. Weil dabei alle Zugriffe aus dem nicht vertrauenswürdigen Internet über verschlüsselte VPN-Verbindungen erfolgen, bleibt Ihr Netzwerk vor kriminellen Fremdzugriffen aus dem Internet geschützt.

Wie kann ich ein VPN einrichten?

Was im Einzelfall zur technischen Realisierung empfehlenswert ist, richtet sich sowohl nach dem geplanten Einsatzzweck als auch nach dem individuellen Nutzungsverhalten der jeweiligen VPN-Anwender oder Anwenderinnen.

VPN über den Heimnetz-Router einrichten

Manche Router-Hersteller erlauben inzwischen die Einrichtung eines VPN-Servers direkt im Herzen des Heimnetzwerks. Das spart Zeit und Aufwand, weil nicht mehr ein gesonderter VPN-Zugang (VPN-Server) im Heimnetzwerk sowie die bereits erwähnte Portweiterleitung auf dem Router konfiguriert werden muss: Sobald ein zentraler Router verschlüsselte Tunnelverbindungen aufbaut, profitieren sämtliche Geräte im Heimnetzwerk automatisch von der verschlüsselten Kommunikation. Das betrifft auch solche vernetzten Geräte, für die ursprünglich keine eigenständige VPN-Konfiguration vorgesehen ist, wie etwa bei einem Anrufbeantworter oder einer im Haus eingesetzten IP-Kamera.

Das Vorgehen zur Aktivierung der VPN-Funktionalität im Router lässt sich kaum allgemein beschreiben, da die konkrete Schrittfolge vom jeweiligen Router-Modell abhängt. Meist finden sich detaillierte Anleitungen auf der Website des betreffenden Herstellers. Manche von ihnen bieten auch eine App für den Zugriff vom Endgerät auf den VPN-Router an.

Außer auf einem Router lässt sich ein VPN-Server prinzipiell sogar auf einem Netzwerkspeicher (NAS) oder einem Rechner im Heimnetzwerk installieren. Weil dafür allerdings oft auch risikobehaftete Portweiterleitungen nötig sind, sollte diese Option nur von sehr versierten Anwenderinnen und Anwendern umgesetzt werden, die genau wissen, was sie tun. Theoretisch lassen sich auch solche Router, die von Hause aus keine VPN-Funktionalität mitbringen, dennoch in einen VPN-Zugangspunkt verwandeln. Dies gelingt aber nur mit relativ hohem Aufwand und fundierten IT-Kenntnissen.

VPN über Smartphone, Tablet & Co.

Ein möglicher Weg zur VPN-Nutzung ist die Installation einer entsprechenden App auf Ihrem Endgerät. Solche Apps stehen mittlerweile für alle verbreiteten Betriebssysteme zur Verfügung – für Windows und Android ebenso wie für iOS und Linux. Unabhängig davon, ob Sie ein Smartphone oder Tablet, einen PC oder Laptop bevorzugen – die Funktionsweise der meisten VPN-Apps und -Programme ist immer dieselbe: Um eine verschlüsselte Verbindung zu einem VPN-Server herzustellen, benötigt die App oder das Programm die IP-Adresse oder den Domainnamen des jeweiligen VPN-Servers und die für die Nutzung notwendigen Zugangsdaten. Als VPN-Server kommt dabei entweder ein entsprechend konfigurierter Heimnetz-Router oder aber der Server eines VPN-Anbieters in Frage. Dass die Kommunikation in einem gegebenen Moment über das VPN läuft, signalisiert eine VPN-App dann zum Beispiel durch ein kleines Schlüsselsymbol am Displayrand bei Android-Geräten beziehungsweise durch den Schriftzug „VPN“ auf einem iPad oder iPhone.

Auswahl eines passenden VPN-Anbieters

Bei der Auswahl eines geeigneten Anbieters kommt es in der alltäglichen Nutzung zunächst einmal auf eine schnelle Anbindung des VPN-Servers an. Auch bei hoher Auslastung sollte eine hinreichende Internetgeschwindigkeit gewährleistet sein. Dazu muss der VPN-Betreiber über mehrere Serverstandorte verfügen, um Spitzenlasten bei hohem Nutzungsaufkommen abfangen zu können. Zu beachten ist weiterhin, dass für ausländische Server kein deutsches Datenschutzrecht gilt. In vielen Ländern außerhalb der Europäischen Union haben Datenschutz und informationelle Selbstbestimmung bei weitem nicht den Stellenwert wie hierzulande. Die Auswahl eines VPN-Anbieters ist immer Vertrauenssache, da Ihr gesamter Datenverkehr über dessen Server läuft und dort theoretisch überwacht und manipuliert werden könnte.

Neben kostenpflichtigen Accounts für kommerzielle VPN-Server hält der Markt auch etliche Gratis-Angebote bereit. Im Einzelfall kann es durchaus sinnvoll sein, mehrere Angebote auszuprobieren. Bei einem Gratis-VPN müssen Sie meist Funktionseinschränkungen hinnehmen oder mit einer vergleichsweise schlechten Verbindungsqualität leben. Überdies bezahlt man ein kostenloses VPN nicht selten mit seinen persönlichen Daten, welche z.B. zu Marketingzwecken ausgewertet werden können.

Eine andere VPN-Variante stellen entsprechende Browser-Plug-Ins dar. Allerdings wird in diesem Fall nur der Transfer von Webseiten über verschlüsselte Tunnelleitungen abgewickelt. Ihre E-Mails etwa werden weiterhin unverschlüsselt übertragen. Wollen Sie Ihren kompletten Netzwerkverkehr verschlüsseln, benötigen Sie dazu in der Regel eine separate VPN-Software. Bei der Mehrzahl kommerzieller VPN-Server-Angebote werden passende Apps in den App-Stores der jeweils unterstützten Betriebssysteme zum Download angeboten. Nach erfolgreicher Installation lässt sich der VPN-Modus dann meist über einen einfachen Button-Klick aktivieren. Technisch versierte Benutzer können die VPN-Funktionalität zumeist auch ohne die Software des Anbieters direkt über die Systemeinstellungen des Betriebssystems einrichten.

Sicherheit von VPNs

Wer sich beispielsweise über einen WLAN-Hotspot via App oder Browser-Plug-In bei einem VPN-Server einloggt, sollte bedenken, dass die Kommunikation nur ab/bis zu diesem VPN-Server verschlüsselt ist. Auch beim Fernzugriff auf einen VPN-fähigen Heimnetz-Router endet die Verschlüsselung beim Router – die weitergehende Datenübertragung von dort aus zu einem NAS oder zu Internetseiten erfolgt unverschlüsselt. Da ein VPN-Router gleichwohl einen sicheren Fernzugriff auf das Heimnetzwerk zulässt, brauchen Sie unterwegs beim Upload Ihrer Daten nicht mehr den Umweg über eine Cloud zu gehen.

Ganz unabhängig von der jeweiligen VPN-Variante erhält Ihr Gerät bei der VPN-Einwahl meist die sichtbare externe IP-Adresse des VPN-Servers. Dadurch wird es für Internetfirmen schwieriger, Ihr Surfverhalten per Tracking nachzuverfolgen. Ist zum Beispiel der eigene Router das VPN-Gateway, d.h. der Einwahlknoten, dann erhält das hierüber verbundene Endgerät im Internet immer die sichtbare IP-Adresse, als wäre es im eigenen Heimnetznetz hinter dem eigenen Router eingebunden – egal, wo die Einwahl tatsächlich erfolgt. Höhere Abhörsicherheit geht bei VPNs also Hand in Hand mit dem Schutz Ihrer Privatsphäre. Darüber hinaus können Sie die Sicherheit Ihrer Kommunikation noch weiter erhöhen, indem Sie beim Surfen Webangebote mit HTTPS-Verschlüsselung bevorzugen und beim Chatten auf verschlüsselte Messenger-Apps achten.

Außerdem gilt für alle zum Surfen im Internet genutzten Endgeräte, dass sie mit einem Basisschutz abgesichert sein sollten.

Newsletter: Alle 14 Tage auf Nummer sicher gehen:
Mit dem Newsletter 'Sicher Informiert' und den Sicherheitshinweisen des BSI erhalten Sie regelmäßig Informationen zu aktuellen Sicherheitslücken und wichtigen Ereignissen rund um IT-Sicherheit. Sowohl leicht verständliche Erklärungen, praxisnahe Tipps, aber auch tiefergehende technische Details bringen Sie auf den aktuellen Stand. Zum Newsletter 'Sicher Informiert'.