„Verbinde dich erst mit dem VPN, bevor du interne Systeme öffnest“ ── dieser Button, den du an jedem Homeoffice-Morgen genau wie angewiesen klickst. Könntest du erklären, was er tatsächlich tut? Wenn dir etwas davon bekannt vorkommt, lies weiter.
- Du klickst jeden Morgen auf „VPN verbinden“, hast aber keine Ahnung, was dabei passiert
- Im Café-WLAN solltest du „das VPN benutzen“ ── warum, hat dir nie jemand erklärt
- Du weißt nicht, ob die „VPN-Apps“ aus der YouTube-Werbung und das Firmen-VPN überhaupt dasselbe sind
- Sobald du dich ins VPN einwählst, fühlt sich das ganze Internet langsamer an
Ein VPN (Virtual Private Network) ist, in einem Satz, eine Standleitung, die deine Firma niemals physisch bis zu dir nach Hause legen könnte ── virtuell gebaut, in Software. Aber dieser eine Satz erklärt weder, warum Verschlüsselung immer Teil der Geschichte ist, noch warum es mehrere Arten von VPN gibt, noch was ein VPN kann und was nicht.
Dieser Artikel fasst keinen einzigen Konfigurationsdialog an und geht durch:
- Die zwei Probleme, die ein VPN löst (§1)
- Tunneling und Kapselung ── ein Umschlag im Umschlag (§2)
- Verschlüsselung und Authentifizierung ── was die paar Sekunden nach dem Verbinden-Button wirklich sind (§3)
- Die Arten von VPN ── drei verschiedene Dinge unter einem Namen (§4)
- Full Tunnel vs. Split Tunnel (§5)
- Was ein VPN nicht kann (§6)
── auf dem kürzesten Weg durch die Logik der Funktionsweise, und sonst nichts.
| Deine Frage | Abschnitt |
|---|---|
| Was tut es eigentlich? | §1 / §2 |
| Was sind die paar Sekunden nach dem Klick? | §3 |
| Ist das Firmen-VPN dasselbe wie eine VPN-App? | §4 |
| Warum wird im VPN alles langsamer? | §5 |
| Macht mich ein VPN sicher und anonym? | §6 |
Dieser Artikel ist die erste Vertiefungsfolge unserer Serie „Wie dein PC wirklich funktioniert“ (IP-Adressen, DNS, Firewalls und warum Firmennetzwerke langsam werden). Er steht für sich, aber wer zuerst die Folgen über Adressen (IP) und Verteidigung (Firewall) liest, bekommt die Ursache-Wirkungs-Kette lückenlos.
1. Die zwei Probleme, die ein VPN löst
Bevor wir in die Mechanik einsteigen, fangen wir bei dem Problem an, für das dieses Werkzeug erfunden wurde. Ein VPN löst zwei Probleme von sehr unterschiedlicher Natur.
1-1. Problem A: Dein Verkehr kann unterwegs belauscht werden
Wenn du dich von zu Hause oder aus dem Café mit einem Firmensystem verbindest, durchqueren deine Daten deinen Provider, öffentliches WLAN, Carrier-Technik ── einen langen Abschnitt Infrastruktur, den weder du noch deine Firma kontrolliert. Hat irgendwer auf diesem Abschnitt böse Absichten, ist dein Verkehr Lauschen und Manipulation ausgesetzt. Gerade öffentliches WLAN ist ── wie wir im Firewall-Artikel gesehen haben ── ein Ort, an dem wildfremde Geräte mit dir ein Netzwerk teilen.
1-2. Problem B: Interne Server sind von außen schlicht unerreichbar
Das andere Problem stellt sich, bevor Sicherheit überhaupt ins Spiel kommt. Interne Dateiserver und Geschäftssysteme haben meist nur private IP-Adressen (die „Adresse drinnen im Haus“ aus dem IP-Adressen-Artikel). Diese internen Adressen sitzen hinter NAT, dem Übersetzungsschalter, und können von der Internetseite aus nicht als Ziel benannt werden ── vergiss also das Lauschen: Von außen können deine Pakete physisch gar nicht ankommen. Und vor alldem steht eine Firewall, die eingehenden Verkehr grundsätzlich abweist.
Problem A ── unterwegs belauscht
Heim-PC ──→ öffentl. WLAN ──→ Provider ──→ ... ──→ Büro
└──── Abschnitt, den weder du noch die Firma kontrolliert ────┘
ein Böswilliger irgendwo = Lauschen, Manipulation
Problem B ── interne Server sind von außen unerreichbar
Heim-PC ──→ Internet ──→ ✕ Firewall („eingehender Verkehr: grundsätzlich nein")
✕ NAT („interne Adressen sind von außen nicht ansteuerbar")
└─ und hinter alldem: der interne Server (192.168.x.x)
1-3. Ein Werkzeug, beide Probleme
Ein VPN löst beide zugleich: Es verschlüsselt deinen gesamten Verkehr und behebt damit Problem A, und es „verkabelt“ deine Maschine virtuell ins Firmennetzwerk und behebt damit Problem B. Die nächsten Abschnitte nehmen sich die beiden Mechanismen einzeln vor.
„Wir haben doch HTTPS ── wozu ein VPN?“ ist eine berechtigte Frage. HTTPS schützt genau ein Gespräch: deinen Browser und diese eine Website. Ein VPN schützt alles, was deinen PC verlässt ── und packt sogar die Zielinformation mit ein, die verrät, wohin du dich verbinden willst. Sein Schutzbereich ist eine Stufe breiter.
2. Tunneling und Kapselung ── ein Umschlag im Umschlag
2-1. Gewöhnlicher Verkehr reist als Postkarte
Daten, die durch ein Netzwerk fließen (Pakete), sind, im Bild gesprochen, eine Postkarte. Empfänger und Absender stehen dort, wo jedes Gerät entlang der Route sie lesen kann. Jedes Gerät liest die Adresse und reicht die Karte weiter. Das ist das Internet, wie es gedacht ist ── aber andersherum betrachtet heißt es: Jeder auf der Route kann die Adresse lesen.
2-2. Kapselung ── die Postkarte wandert in einen Umschlag
Hier dreht das VPN den Spieß um. Statt die Postkarte offen zu verschicken, steckt es die ganze Karte in einen Umschlag und schreibt außen eine andere Adresse drauf. Das nennt man Kapselung (ein Paket in ein anderes Paket einpacken).
Kapselung ── ein Umschlag im Umschlag
Die ursprüngliche Postkarte: [An: interner Server | Inhalt: Arbeitsdaten]
↓ verschlüsselt, in den Umschlag
Der Umschlag: [An: VPN-Gateway der Firma | Inhalt: ●●●●●●●● (unlesbar)]
Was die Route sieht:
„ein Umschlag, adressiert ans VPN-Gateway der Firma" ── sonst nichts
Zwei Dinge zählen hier.
- Der Inhalt (die ursprüngliche Postkarte) ist verschlüsselt ── ohne Schlüssel nicht lesbar
- Außen auf dem Umschlag steht genau eine Adresse: das VPN-Gateway der Firma. An welchen internen Server die Karte darin gerichtet ist ── oder was die Daten überhaupt sind ── bleibt von der Route aus unsichtbar
Diesen Korridor, durch den die Umschläge strömen, nennen wir ── als Bild ── einen Tunnel. Das Wort verführt dazu, sich eine private physische Leitung vorzustellen ── tatsächlich reisen die Umschläge über das ganz normale öffentliche Internet. Auf öffentlicher Straße fahren, ohne dass jemand hineinsehen kann: Genau das lässt es sich wie eine Standleitung verhalten. Und genau das bedeutet „Virtual Private“.
2-3. In der Firma geöffnet ── was „so tun, als wäre man im Büro“ wirklich ist
Erreicht der Umschlag das VPN-Gateway der Firma, schließt das Gateway ihn auf, nimmt die Postkarte heraus und entlässt sie direkt ins interne Netzwerk. Für einen internen Server sieht diese Karte aus wie jedes gewöhnliche Paket, das innerhalb des Büros entstanden ist. Dein PC mag in deinem Wohnzimmer stehen ── dein Verkehr startet von einer internen Adresse. Das ist der ganze Trick hinter „so tun, als hättest du im Büro ein Netzwerkkabel eingesteckt“. Antworten machen dieselbe Reise rückwärts, in Umschläge versiegelt und bis nach Hause getragen.
Tunnel ≠ Standleitung ≠ schnellere Leitung. Der Tunnel ist „in versiegelten Umschlägen über die öffentliche Straße fahren“ ── die Straße selbst wird dadurch nie schneller. Im Gegenteil: Die Umschläge machen jede Fuhre schwerer (§5).
3. Verschlüsselung und Authentifizierung ── das Schloss am Umschlag und der Türsteher am Eingang
3-1. Verschlüsselung ── ein Umschlag, der ohne Schlüssel nicht aufgeht
Was den Inhalt des Umschlags schützt, ist die Verschlüsselung. Die Daten werden mit Schlüsseln transformiert, die nur deine Maschine und das VPN-Gateway der Firma kennen; für jeden Dritten ohne Schlüssel sind sie bedeutungsloses Rauschen. Selbst wenn jemand einen Umschlag von der Route fischt, bleibt der Inhalt versiegelt. VPNs werden oft nach ihrem Verschlüsselungsschema einsortiert (IPsec, TLS-basiert, WireGuard und so weiter), aber die Struktur ── „im verschlossenen Umschlag transportiert“ ── ist bei allen dieselbe.
3-2. Authentifizierung ── der Türsteher am Tunneleingang
Die andere Säule ist die Authentifizierung. Der Tunneleingang ist ein Eingang ins Firmennetzwerk ── solange das Gateway nicht zuerst bestätigt, dass der Absender der Umschläge wirklich ein Mitarbeiter ist, bedeutet die stärkste Verschlüsselung gar nichts. Der aktuelle Standard kombiniert Benutzername und Passwort mit einem Gerätezertifikat und Multi-Faktor-Authentifizierung auf dem Handy.
Die paar Sekunden Warten nach dem Klick auf „VPN verbinden“? In denen laufen Identitätsprüfung und der Austausch der Verschlüsselungsschlüssel. Diese Sekunden sind der Türsteher und der Schlosser, die am Tunneleingang ihre Arbeit tun.
Werden VPN-Zugangsdaten kompromittiert, bekommt der Angreifer das Äquivalent von „im Büro am Netzwerkkabel hängen“. Deshalb gilt Passwort-Wiederverwendung beim VPN-Konto als besonders gefährlich. Beim Bauen starker Passwörter hilft unser Passwort-Generator.
4. Die Arten von VPN ── drei verschiedene Dinge unter einem Namen
Was alles „VPN“ heißt, zerfällt in drei verschiedene Werkzeuge ── je nachdem, wo die beiden Enden des Tunnels sitzen. Der Großteil der Verwirrung löst sich auf, sobald man diese Unterscheidung trifft.
4-1. Remote-Access-VPN ── verbindet eine Person mit einer Firma
Das ist alles, was wir bisher beschrieben haben: ein Tunnel zwischen einem einzelnen PC und dem Firmennetzwerk. Der „VPN verbinden“-Button im Homeoffice gehört zu dieser Art. Ein Tunnelende ist dein PC, das andere das VPN-Gateway der Firma.
4-2. Site-to-Site-VPN ── verbindet ein Büro mit einem anderen Büro
Diese Art hält einen dauerhaften Tunnel zwischen zwei Standorten. Die Router, sagen wir, des Berliner und des Münchner Büros sind durch einen Tunnel verbunden, und die beiden Standorte verhalten sich wie ein einziges internes Netzwerk. Mitarbeitende klicken nichts ── der Tunnel steht permanent am Rand jedes Standorts, und dass die Nutzer seine Existenz gar nicht bemerken, ist der Normalzustand dieser VPN-Art.
4-3. Consumer-VPN-Dienste ── verbinden eine Person mit einem VPN-Anbieter
Die „VPN-Apps“ aus der Werbung gehören hierher. Ein Tunnelende ist dein PC ── aber das andere Ende ist der Server eines VPN-Anbieters, keine Firma von dir. In ein internes Netzwerk bringt dich das nicht. Die Zwecke sind zwei: ① den Abschnitt direkt bei dir verschlüsseln (öffentliches WLAN und Co.), und ② deine sichtbare Adresse gegen den Standort des Anbieter-Servers tauschen.
| Remote-Access-VPN | Site-to-Site-VPN | Consumer-VPN-Dienst | |
|---|---|---|---|
| Enden des Tunnels | Dein PC ↔ Firma | Standort ↔ Standort | Dein PC ↔ VPN-Anbieter |
| Hauptzweck | Interne Systeme von außen erreichen | Standorte zu einem Netz verschmelzen | Route verschlüsseln, Ausgang wechseln |
| Was du tust | Auf Verbinden klicken | Nichts (dauerhaft aktiv) | App einschalten |
| Bringt dich in eine Firma? | Ja | (für Mitarbeitende unsichtbar) | Nein |
Consumer-VPN-Dienst = Anonymisierungswerkzeug. Stimmt nicht. Der VPN-Anbieter sitzt am Tunnelausgang und sieht das Ziel von allem, was du tust. Die Partei, die dich belauschen kann, hat nur gewechselt: von „einer unbestimmten Menge entlang der Route“ zu „einer VPN-Firma“ ── du bist nicht anonym geworden, du hast dein Vertrauen umgezogen. Den Anbieter wählen heißt die eigene Sicherheit wählen.
5. Full Tunnel vs. Split Tunnel ── was in den Tunnel kommt
5-1. Alles einpacken ── oder nur, was ins Büro geht?
Remote-Access-VPNs stehen vor einer großen Designweiche: Wie viel von dem Verkehr, der deinen PC verlässt, kommt in den Tunnel?
Full Tunnel ── jedes Paket kommt in einen Umschlag
Heim-PC ━━━ Tunnel ━━━→ Büro ──→ interne Systeme
└──→ Internet (Web, Video ── alles verlässt das Haus übers Büro)
Split Tunnel ── nur Büro-Pakete bekommen den Umschlag
Heim-PC ━━━ Tunnel ━━━→ Büro ──→ interne Systeme
└─────────────────→ Internet (das Web geht direkt von zu Hause)
- Full Tunnel: Ob fürs Büro oder fürs Internet bestimmt ── alles wird eingetütet und über die Firma hinausgeleitet. Die Firma kann sämtlichen Verkehr am eigenen Ausgang prüfen und protokollieren ── die Verwaltung ist zentralisiert. Der Preis: Selbst gewöhnliches Surfen macht den Umweg übers Büro
- Split Tunnel: Nur Verkehr zu internen Systemen kommt in den Tunnel; alles andere verlässt das Haus direkt. Der Umweg verschwindet und alles fühlt sich flott an ── im Gegenzug entsteht Verkehr, den die Firma nicht sehen kann
5-2. Keiner von beiden ist „richtig“
Eine einzige richtige Antwort gibt es hier nicht, denn die Wahl ist eine Frage der Firmenpolitik: Was muss geschützt, was muss prüfbar sein. Branchen mit strengen Informationskontrollen tendieren zum Full Tunnel; Organisationen, denen Reaktionsschnelligkeit und Leitungskosten wichtig sind, zum Split Tunnel. Welche Variante deine Firma gewählt hat, entscheidet maßgeblich, wie schnell sich Homeoffice anfühlt ── wenn „die VPN-Verbindung macht das ganze Internet langsam“ nach deinem Alltag klingt, ist es fast sicher der Full-Tunnel-Umweg. Die Ursache-Wirkungs-Kette dieser Langsamkeit ist in §4 von „Warum ist das Firmennetzwerk so langsam?“ als Diagramm aufbereitet.
Eintüten (Kapselung) und Verschlüsseln erheben eine Grundgebühr. Der Umschlag belegt Platz, den Nutzdaten hätten nutzen können, und Versiegeln und Öffnen verbrauchen Rechenleistung des VPN-Gateways. „Ein VPN ist etwas langsamer als die nackte Leitung“ ist kein Defekt ── es ist strukturell.
6. Was ein VPN nicht kann ── vier Punkte gegen blindes Vertrauen
Ein VPN ist ein mächtiges Werkzeug, aber „ich bin im VPN, also bin ich sicher“ ist ein gefährliches Maß an Vertrauen. Hier ist, was es nicht kann ── ohne Umschweife.
6-1. Es stoppt keine Malware
Ein VPN transportiert den Inhalt des Umschlags ── ob dieser Inhalt harmlos ist, interessiert es nicht im Geringsten. Ein bösartiger Download wird in denselben verschlüsselten Umschlag gepackt und mit derselben Höflichkeit zugestellt. Virenschutz ist ein eigener Job für eigene Werkzeuge.
6-2. Es verbirgt nicht, was du am Ziel tust
Ein VPN verbirgt „die Route“ ── mehr nicht. Die Website oder der Dienst, mit dem du dich verbindest, sieht nach dem Login alles, was du tust, genau wie immer. Hinter dem Tunnelausgang ist es einfach das gewöhnliche Internet.
6-3. Im Firmen-VPN wird deine Aktivität sichtbarer, nicht unsichtbarer
In einem Remote-Access-VPN (besonders Full Tunnel) passiert dein gesamter Verkehr den Ausgang der Firma. Aus Sicht der Administratoren ist dein Verkehr kein bisschen versteckt ── er ist sichtbar und wird protokolliert, als säßest du an deinem Schreibtisch im Büro. Das ist keine Überwachungsgeschichte; die Maschinerie, die Firmenwerte und -daten schützt, ist schlicht so konstruiert.
6-4. Das VPN-Gateway selbst wird zur Zielscheibe
Der VPN-Eingang ist eine der wenigen Türen, die eine Firma nach außen offen lässt. Die Logik aus dem Firewall-Artikel ── jede offene Tür ist Angriffsfläche ── gilt hier in vollem Umfang, und das Ausnutzen von Schwachstellen in VPN-Geräten ist zu einer Standardroute für Firmeneinbrüche geworden. Ein VPN ist Verteidigungsausrüstung, die ungepatcht zur größten Schwachstelle wird.
Zusammenfassung ── das Wesentliche in 4 Zeilen
- Ein VPN löst zwei Probleme auf einmal ── „unterwegs belauscht“ und „von außen unerreichbar“ ── mit Verschlüsselung plus virtueller Verkabelung
- Der Kernmechanismus ist die Kapselung: Die Postkarte wandert in einen verschlüsselten Umschlag mit Firmenadresse und reist über die öffentliche Straße (das Internet). Weil die Firma ihn öffnet, kann dein PC „so tun, als wäre er im Büro“
- „VPN“ benennt drei verschiedene Dinge, unterschieden nach den Tunnelenden (Person↔Firma / Standort↔Standort / Person↔Anbieter). Ein Consumer-VPN-Dienst ist kein Anonymisierungswerkzeug ── er ist ein Umzug des Vertrauens
- Full Tunnel vs. Split Tunnel ist ein Tempo-Kontrolle-Zielkonflikt. Und ein VPN stoppt keine Malware, während sein eigenes Gateway Angriffe anzieht ── es ist kein Universalschild
Adressen und NAT wohnen in Was ist eine IP-Adresse?, die Abwehr eingehenden Verkehrs in Was passiert ohne Firewall?, und die Wahrheit hinter der Langsamkeit mit VPN-Geschmack in Warum ist das Firmennetzwerk so langsam?. Zusammen mit diesem Artikel fügt sich das Gesamtbild von „sich von außen mit der Firma verbinden“ zu einer einzigen Karte.
Häufige Fragen
F1. Macht mich ein VPN anonym?
A. Nein. Im Firmen-VPN sehen die Administratoren deinen Verkehr wie im Büro (§6-3). Bei einem Consumer-VPN-Dienst sieht der Anbieter am Tunnelausgang jedes Ziel ── und jede Website, auf der du dich einloggst, weiß selbstverständlich, wer du bist. Das Einzige, was ein VPN ändert, ist, ob Dritte entlang der Route dich sehen können. Ein Anonymisierungswerkzeug ist es nicht (siehe die Falle in §4).
F2. Wenn ich nur HTTPS-Websites besuche, brauche ich dann noch ein VPN?
A. Sie schützen verschiedene Bereiche. HTTPS schützt den Inhalt eines Gesprächs zwischen deinem Browser und einer Website ── es verbirgt nicht, mit welcher Website du dich verbindest, und tut nichts für Anwendungen, die es nicht nutzen. Ein VPN packt allen Verkehr ein, der deinen PC verlässt, Ziele inklusive (der Tipp in §1). Und Problem B ── ins Firmennetzwerk hineinkommen (§1-2) ── kann HTTPS überhaupt nicht lösen.
F3. Sieht die Firma meinen privaten Verkehr, während ich im Firmen-VPN bin?
A. Beim Full Tunnel strukturell ja ── alles passiert den Ausgang der Firma, ist also sichtbar, wenn jemand hinsehen will (§5, §6-3). Beim Split Tunnel berührt nicht-dienstlicher Verkehr die Firma nie. Welches Design du hast und was tatsächlich protokolliert wird, ist Firmenpolitik ── wirf einen Blick in die Regelungen, wenn es dir wichtig ist. Die sichere Annahme: Verkehr auf einem Arbeits-PC ist sichtbar, Punkt.
F4. Sind kostenlose VPN-Apps unbedenklich?
A. Sei vorsichtig. Wie §4 gezeigt hat, ist ein Consumer-VPN-Dienst ein Umzug des Vertrauens ── der Anbieter sieht das Ziel deines gesamten Verkehrs. Ist der Dienst kostenlos, muss man fragen, was die Betriebskosten deckt: Werbung, Analyse oder Verkauf von Verkehrsdaten, oder etwas anderes. Am Ende reichst du womöglich genau die Information, die du schützen wolltest, freiwillig an eine einzige Firma weiter.
F5. Warum wird das Internet langsamer, während ich im VPN bin?
A. Zwei Hauptursachen. ① Beim Full Tunnel nimmt selbst gewöhnliches Surfen den physischen Umweg „Zuhause → Büro → Website → Büro → Zuhause“ (§5). ② Zur Grundgebühr von Kapselung und Verschlüsselung kommt hinzu, dass sich die Rechenleistung des VPN-Gateways selbst staut, wenn sich die Homeoffice-Belegschaft darauf drängt. Für die vollständige „Karte der Langsamkeit“ eines Firmennetzwerks lässt dich dieser Artikel von den Symptomen rückwärts arbeiten.
Schreibe einen Kommentar