Die sichersten VPN-Apps: Gegenwart und Zukunft im Überblick

Einleitung

In Zeiten zunehmender Überwachung und Datenrisiken ist ein zuverlässiger VPN-Dienst für deine Privatsphäre Gold wert. Doch welche VPN-Apps sind aktuell – und vermutlich auch in Zukunft – am sichersten? In diesem Artikel schauen wir uns fünf renommierte Anbieter genauer an: Mullvad, ProtonVPN, NordVPN, IVPN und ExpressVPN. Dabei gehen wir auf deren Umgang mit Nutzerdaten (Logs), Verbindungs- und Metadaten, rechtliche Rahmenbedingungen (Sitzland und Gesetzeslage) sowie Transparenzberichte und Open-Source-Aspekte ein.

Zudem erhältst du einen historischen Überblick über Datenschutzprobleme bei VPNs (inklusive Fällen, in denen Anbieter Daten an Behörden weitergaben) und einen Einblick in aktuelle sowie geplante gesetzliche Entwicklungen in Europa und weltweit (Stichworte: Vorratsdatenspeicherung, „Chatkontrolle“, neue EU-Richtlinien usw.). Ein separater technischer Abschnitt liefert versierten Nutzern Details zu Verschlüsselung, Protokollen (WireGuard vs. OpenVPN), RAM-only-Servern und mehr. Abschließend folgt eine kritische Analyse mit Empfehlungen – unter besonderer Berücksichtigung von Datenschutz, Unabhängigkeit, Nutzerfreundlichkeit und Nachhaltigkeit der Sicherheitskonzepte.

Was macht ein VPN sicher?

Bevor wir in die Anbieter-Details gehen, klären wir, welche Kriterien die Sicherheit eines VPN-Dienstes ausmachen:

• Keine Protokollierung (No-Logs-Politik): Ein sicheres VPN speichert keine Verbindungsprotokolle oder Aktivitäten seiner Nutzer. So können weder Anbieter noch Behörden im Nachhinein nachvollziehen, was du online getan hast. Idealerweise ist dies durch unabhängige Audits oder realen Vorfällen bestätigt​.
• Datensparsamkeit: Neben Aktivitäts-Logs sollen auch Metadaten (z.B. Verbindungszeiten, zugewiesene IP-Adressen) möglichst wenig oder gar nicht gespeichert werden. Selbst Registrierungsdaten (wie E-Mail oder Zahlungsinfos) sollten minimal sein oder anonym gehandhabt werden.
• Starke Verschlüsselung & moderne Protokolle: VPN-Verbindungen sollten mit robusten Algorithmen (mindestens AES-256 oder vergleichbar sicher) und aktuellen Protokollen (z.B. OpenVPN, WireGuard) geschützt sein. Dies stellt sicher, dass niemand deinen Datenstrom abhören oder entschlüsseln kann.
• Jurisdiktion & Recht: Das Land, in dem der VPN-Anbieter sitzt, beeinflusst die Gesetzeslage. Anbieter in datenschutzfreundlichen Ländern (z.B. Schweiz, Schweden, Panama, Gibraltar) haben weniger Verpflichtungen zur Vorratsdatenspeicherung​. Wichtig ist auch, ob ein Anbieter im Ernstfall bereit ist, den Betrieb einzustellen oder Server abzuschalten, anstatt Logs zu führen – sprich, wie unabhängig er von behördlichem Druck bleibt.
• Transparenz und unabhängige Prüfung: Regelmäßige Transparenzberichte über Behördenanfragen sowie unabhängige Audits der Infrastruktur (Sicherheits- und No-Logs-Audits) sind Zeichen eines vertrauenswürdigen VPNs. Open-Source-Apps oder Code-Einblicke erhöhen ebenfalls das Vertrauen, da die Community den Code prüfen kann.
• Technische Sicherheitsmaßnahmen: Dazu zählen RAM-only-Server (flüchtiger Speicher statt Festplatten, um Daten nach jedem Reboot zu löschen, vollständige Festplattenverschlüsselung auf Servern, Warrant Canary (stille Warnsignale bei geheimen Anordnungen) und sichere Servernetzwerke (z.B. Multi-Hop oder eigenes DNS).

Alle fünf betrachteten VPN-Anbieter erfüllen diese Kriterien in unterschiedlichem Maße. Schauen wir uns nun an, wie genau jeder Anbieter diese Sicherheitsaspekte umsetzt.

Vergleich der führenden VPN-Anbieter

Zunächst ein kompakter Überblick zu Mullvad, ProtonVPN, NordVPN, IVPN und ExpressVPN sowie deren Eigenschaften:

Hinweis: Alle genannten VPNs verwenden starke Verschlüsselung (AES-256 oder vergleichbar) mit Perfect Forward Secrecy und bieten Kill-Switch-Funktionen. Unterschiede liegen vor allem in Philosophie und Umsetzung: Einige setzen auf maximale Anonymität (Mullvad, IVPN), andere kombinieren Privatsphäre mit Komfort-Features (ProtonVPN, NordVPN, ExpressVPN).

Im Folgenden betrachten wir die fünf Anbieter im Detail, insbesondere hinsichtlich Logs, Datenhandhabung, rechtlicher Situation und Transparenz.

Mullvad – radikale Datenschutzorientierung

Mullvad gilt in Privatsphäre-Kreisen als Goldstandard in Sachen Anonymität und No-Logs. Du benötigst zur Registrierung lediglich eine zufällig generierte Account-Nummer – keine E-Mail, kein Name, kein Passwort. Zahlungsdaten lassen sich durch Bargeld per Post oder Kryptowährung vollständig anonym halten. Mullvad speichert weder Verbindungs- noch Aktivitätslogs. Dies wurde eindrucksvoll im April 2023 bewiesen, als die schwedische Polizei mit einem Durchsuchungsbefehl in das Mullvad-Büro in Göteborg einfiel: Die Beamten wollten Server beschlagnahmen, fanden jedoch nichts. Mullvad hatte ihnen erklärt, dass es schlicht keine Kundendaten gibt – woraufhin die Ermittler unverrichteter Dinge abzogen​. Laut Mullvad-CEO hätten auch beschlagnahmte Rechner keine verwertbaren Informationen enthalten, da Mullvad seit Bestehen des Dienstes (2009) keinerlei Aktivitätsdaten speichert​. Dieses reale Ereignis unterstreicht Mullvads kompromisslose No-Logs-Politik: „Unsere Geschäftstätigkeit dreht sich um den Kampf gegen Vorratsdatenspeicherung – wir speichern niemals irgendwelche Aktivitäts-Logs“, so Mullvad.

Juristisch sitzt Mullvad in Schweden, einem EU-Land. Zwar gehörte Schweden zu den 14-Eyes-Staaten (Nachrichtendienst-Allianz), jedoch gibt es aktuell keine schwedische Gesetzeslage, die VPN-Anbieter zur Speicherung von Nutzerdaten verpflichten würde – Mullvad engagiert sich im Gegenteil aktiv gegen neue Überwachungsgesetze (auf der Website gibt es z.B. eine Kampagne „Stoppt die Chat-Kontrolle“ gegen EU-Pläne zur Durchleuchtung privater Kommunikation). Falls doch eines Tages Gesetze kämen, dürfte Mullvad eher Dienste einstellen als Logs führen – das Vertrauen der Nutzer steht an erster Stelle.

• Metadaten-Handhabung: Mullvad loggt weder Zeitstempel der Verbindungen noch zugewiesene IPs. Auch Verbindungsmetadaten entstehen dank kurzer Accounting-Intervalle kaum. Mullvad verzichtet auf Tracking im Client und auf der Webseite (keine externen Analyse-Skripte). Durch die accountbasierte anonyme Nutzung ist es praktisch unmöglich, einzelne Verbindungen einem Kunden zuzuordnen.
• Transparenz & Technik: Mullvad veröffentlicht kein klassisches Transparenzdokument, wohl aber wichtige Ereignisse (wie die Polizeirazzia) als Blogposts. Der Quellcode der Mullvad-Apps ist vollständig Open Source (GitHub), was unabhängige Sicherheitsprüfungen erleichtert. Darüber hinaus ließ Mullvad Teile der Infrastruktur durch Dritte auditieren (z.B. den VPN-Server-Code und die Desktop-Anwendungen durch Cure53 im Jahr 2020). Seit 2023 betreibt Mullvad alle Server in einem diskless RAM-only Modus, was die Datensicherheit weiter erhöht: Die Server haben keine Festplatten mehr, alle Daten laufen nur im flüchtigen Speicher und werden mit jedem Neustart gelöscht​. Diese Umstellung stellt sicher, dass selbst temporäre Verbindungsdaten nicht persistent gespeichert bleiben. Zusätzlich bietet Mullvad moderne Protokolle wie WireGuard (bereits sehr früh als einer der ersten Provider eingeführt) und OpenVPN an, beide optional sogar in einer „quantenresistenten“ Variante, bei der der Schlüsselaustausch gegen Angriffe zukünftiger Quantencomputer abgesichert ist​.

Fazit Mullvad: Wenn du maximalen Datenschutz suchst, ist Mullvad eine exzellente Wahl. Die Nutzung ist simpel (Apps sind funktional, wenn auch schlicht gehalten) und du brauchst dem Anbieter praktisch nichts von dir preiszugeben. Allerdings musst du auf Komfort-Features wie Benutzerkonten mit Passwort oder viele Serverstandorte verzichten – Mullvad bietet eine überschaubare Anzahl Länder und keinen speziellen Streaming-Unlock. Dafür bekommst du Privatsphäre „by design“.
 

ProtonVPN – Privatsphäre mit Schweizer Rückendeckung

ProtonVPN wurde von den Machern des sicheren E-Mail-Dienstes ProtonMail in der Schweiz gegründet. Das Ziel: Ein vertrauenswürdiger VPN-Dienst, der sich rechtlich auf die starken Schweizer Datenschutzgesetze stützen kann. Schweizer Recht verpflichtet VPN-Anbieter nicht zur Vorratsdatenspeicherung – im Gegensatz zu vielen EU-Ländern gibt es keine Pflicht, Verbindungslogs zu führen​. ProtonVPN macht davon konsequent Gebrauch: Laut eigenem No-Logs-Versprechen werden weder Nutzeraktivitäten noch Verbindungshistorien gespeichert. Unter Swiss law kann ProtonVPN behördliche Anfragen nach Nutzerdaten daher gar nicht erfüllen, da keine Logs existieren​. Tatsächlich veröffentlicht ProtonVPN einen ausführlichen Transparenzbericht, demzufolge alle juristischen Auskunftsersuchen in den letzten Jahren ins Leere liefen – 2023 gab es z.B. 60 behördliche Anfragen und alle wurden abgelehnt​. Ein anschaulicher Fall ereignete sich 2019: Auf Gerichtsanordnung sollte ProtonVPN die IP eines Nutzers herausgeben, aber Proton konnte nichts liefern („wir haben keine Kunden-IP-Informationen“)​. Die Schweizer Behörden mussten dies akzeptieren – ein Beleg, dass ProtonVPN keine verwertbaren Logs führt.

Auch ProtonVPN speichert weder Zeitstempel noch Bandbreitennutzung in einer nutzerbezogenen Form. Einzig für die Account-Sicherheit wird der Zeit der letzten erfolgreichen Login (ohne IP) intern gehalten, um z.B. Brute-Force-Angriffe zu erkennen – dieser Timestamp wird aber bei jedem Login überschrieben und nicht historisch protokolliert.

• Nutzerkonto & Zahlung: ProtonVPN bietet sowohl kostenlose als auch kostenpflichtige Pläne an. Für die Registrierung ist in der Regel eine E-Mail-Adresse erforderlich (insbesondere beim Free-Tarif), was im Vergleich zu Mullvad/IVPN ein kleiner Abstrich bei der Anonymität ist. Allerdings kann man auch eine anonyme ProtonMail-Adresse verwenden. Proton akzeptiert anonyme Zahlungsmittel wie Bitcoin. Da ProtonVPN Teil des größeren Proton-Kosmos ist, hat man mit einem Konto auch Zugriff auf ProtonMail, Proton Drive etc., was für Proton-Nutzer praktisch ist – es bedeutet aber auch, dass Proton etwas mehr Account-Verwaltungsdaten hat (etwa die Login-E-Mail). Dennoch unterliegen diese Daten dem strengen Schweizer Datenschutz und werden nicht zu Werbezwecken genutzt.
• Jurisdiktion Schweiz: Die Schweiz ist bekannt für ihre Neutralität und strenge Datenschutzgesetze. Wichtig zu wissen: Zwar ist die Schweiz kein EU-Mitglied, kooperiert aber bei Strafverfolgung. Wenn ein ausländisches Ersuchen von einem Schweizer Gericht abgesegnet wird, muss ProtonVPN theoretisch mitwirken – praktisch kann ProtonVPN aber nur IP-Zeitstempel liefern, falls überhaupt (bei ProtonMail gab es 2020 einen Fall, wo nach Schweizer Anordnung die IP eines Aktivisten gesammelt wurde; ProtonVPN hätte in so einem Fall dennoch nichts Gehaltvolles liefern können, da keine Logpflicht für VPN besteht). Proton betont, dass VPN in CH nicht als Kommunikationstool klassifiziert ist und daher keine nachträgliche Überwachung angeordnet werden kann​. Die gesetzliche Entwicklung in der Schweiz scheint weiterhin günstig: Jüngste Gerichtsurteile stärkten den Schutz der Privatsphäre, und es gibt Bestrebungen, die Gesetzeslage noch klarer pro-VPN zu formulieren​.
• Transparenz & Open Source: ProtonVPN veröffentlicht jährlich einen Transparenzbericht, in dem Anzahl und Art offizieller Datenanfragen sowie Protons Reaktionen dokumentiert sind. Ergänzend existiert ein Warrant Canary, der anzeigen würde, ob Proton eine geheime Anordnung erhalten hat (aufgrund der Schweizer Rechtslage aber eher pro forma). Alle ProtonVPN-Clients (Windows, macOS, Linux, Android, iOS) sind Open Source und der Code ist öffentlich einsehbar​ Dies ist ein großer Pluspunkt – jeder kann prüfen, wie die Apps funktionieren, und Sicherheitsforscher haben so bereits geholfen, kleine Lücken zu finden (die schnell behoben wurden). Proton hat 2019 in Zusammenarbeit mit SEC Consult alle Apps und die Infrastruktur auditieren lassen und die Ergebnisse veröffentlicht; es wurden nur kleinere Issues gefunden, die geschlossen wurden​. Darüber hinaus wurde ProtonVPNs No-Logs-Policy 2022 durch Securitum bestätigt​. Proton demonstriert damit viel Transparenz und lädt zur Überprüfung ein.
• Besondere Sicherheitsfeatures: ProtonVPN bietet mit Secure Core eine Multi-Hop-Funktion: Dabei wird deine Verbindung zuerst durch einen hochsicheren Server in der Schweiz, Schweden oder Island geleitet und von dort zum eigentlichen Exit-Land geschickt. So wird selbst bei kompromittierten Exit-Servern deine echte IP geschützt, da der Angreifer nur bis zum Secure-Core-Server zurückverfolgen könnte, nicht aber zu dir. Diese verschachtelte Route erhöht die Sicherheit (auf Kosten etwas Geschwindigkeit). Des Weiteren hat ProtonVPN einen NetShield-DNS-Filter (gegen Werbung/Malware) und bietet Tor-VPN-Server an, über die man direkt ins Tor-Netz gelangt.
• Performance und Nutzung: ProtonVPN unterteilt Server teils in Kategorien (Plus-Server für Streaming/P2P etc.). Die Apps sind modern gestaltet und relativ benutzerfreundlich. Der Dienst ist insgesamt etwas langsamer als z.B. Nord/Express, vor allem in der kostenlosen Variante (begrenzte Anzahl von Free-Servern). Aber Sicherheit und Datenschutz stehen im Vordergrund: ProtonVPN verzichtet z.B. auf invasive Tracker in den Apps und hat einen sehr guten Ruf in der Privacy-Community. Proton beteiligt sich auch aktiv an politischen Diskussionen: So kritisierte Proton öffentlich die EU-„Chatkontrolle“ Pläne als Gefahr für die Verschlüsselung und zog 2022 seine physischen Server aus Indien ab, als dort ein neues Überwachungsgesetz Logs vorschrieb​.

Fazit ProtonVPN: ProtonVPN vereint einen strengen No-Logs-Grundsatz (mit Schweizer Rückendeckung) mit einer professionellen Infrastruktur und Zusatzfeatures. Es ist ideal für dich, wenn du einen vertrauenswürdigen Allround-VPN suchst, der Open Source ist und sich aktiv für Privacy einsetzt, aber dennoch Komfort wie Mehrgeräte-Support, Streaming-Funktion und auch einen kostenlosen Einstieg bietet. Bedenke lediglich, dass ProtonVPN zur Account-Erstellung zumindest pseudonyme Daten braucht (E-Mail) und nicht so „blinde“ Anonymität erlaubt wie Mullvad. Nichtsdestotrotz: Deine Aktivitäten bleiben privat – ProtonVPN hat bisher jede Anfrage nach Nutzerdaten mangels Logs abschmettern können.
 

NordVPN – großer Player mit technischem Fokus

NordVPN ist einer der bekanntesten VPN-Dienste weltweit, was nicht zuletzt an massiver Werbung und vielen Sponsoring-Deals liegt. Doch wie sicher ist der Dienst hinter dem Marketing? NordVPN hat seinen rechtlichen Sitz in Panama (Tefincom S.A.), außerhalb des Zugriffs US-amerikanischer oder EU-Gerichte. Panama gehört zu keinem internationalen Surveillance-Allianzverbund und hat keine Gesetze zur Vorratsdatenspeicherung für VPNs. Insofern bietet die Jurisdiktion einen Schutznutzen: NordVPN kann nicht einfach von westlichen Behörden gezwungen werden, Daten herauszugeben, und es ist bisher kein Fall bekannt, in dem Panama Druck auf NordVPN ausgeübt hätte.

• Logging-Politik: NordVPN wirbt mit einer strikten No-Logs-Policy, welche bereits mehrfach unabhängig geprüft wurde. Als einer der ersten großen Anbieter ließ NordVPN 2018 seine Server und Systeme von PricewaterhouseCoopers (PwC) auditieren – mit dem Ergebnis, dass keine Log-Verstöße gefunden wurden und die No-Logs-Versprechen zur damaligen Zeit eingehalten wurden​. 2020 folgte eine zweite Prüfung, ebenfalls durch PwC, und Ende 2022 schließlich eine dritte Audit-Runde, diesmal durch Deloitte. Laut dem Bericht von Deloitte speicherte NordVPN keinerlei Protokolle von Nutzeraktivitäten. Diese regelmäßigen Audits (2023 gab es sogar schon eine vierte Bestätigung) schaffen Vertrauen, dass NordVPNs Systeme so konstruiert sind, dass sie keine sensiblen Daten aufzeichnen. NordVPN selbst formuliert: „Wir überwachen, protokollieren oder speichern deine Internetaktivitäten während der Nutzung unseres Dienstes nicht.“​
• Auch Verbindungsmetadaten (Session-Dauer, Uhrzeiten, IP-Adressen) sollen nicht gespeichert werden. Allerdings erhebt NordVPN minimal Daten zur Serviceverbesserung: So wird z.B. anonym erfasst, an welchen Tagen eine Verbindung stattfand (ohne Uhrzeit/IP) und wieviel Datenvolumen übertragen wurde – laut Nord ausschließlich aggregiert, ohne Personenbezug. Für die Erstellung eines Kontos benötigt NordVPN eine E-Mail-Adresse und Zahlung, wodurch zumindest diese Infos beim Unternehmen liegen (aber getrennt vom VPN-Nutzungsverkehr). Wer maximale Anonymität will, kann bei NordVPN zumindest mit Kryptowährung zahlen, um keine persönlichen Zahlungsdaten zu hinterlassen.
• Sicherheitsvorfälle und -maßnahmen: 2018 wurde NordVPN von einem Vorfall erschüttert: Ein Server eines finnischen Rechenzentrums, den NordVPN nutzte, wurde kompromittiert. Ein Angreifer verschaffte sich über eine unsichere Remote-Management-Konsole der Serververmieters Zugriff und konnte theoretisch Traffic auf diesem einen Server mitlesen​.
  Wichtig: Auf dem betroffenen Server lagen jedoch keine Aktivitätslogs, Nutzer-IDs oder Passwörter – all diese sensiblen Daten speichert NordVPN bekanntlich nicht​. Der Hacker konnte also „nur“ live mitverfolgen, welche Websites über den Server aufgerufen wurden (auch das nur mit Einschränkung, da der konkrete Inhalt durch HTTPS verschlüsselt war)​. Es war kein zentraler Datenbank-Hack, sondern ein isolierter Zwischenfall. NordVPN hat dennoch aus diesem Ereignis Lehren gezogen: Das Unternehmen kündigte den entsprechenden Hosting-Partner sofort und begann, seine gesamte Server-Infrastruktur auf RAM-only umzustellen. Außerdem implementierte Nord ein System namens NordLynx, basierend auf WireGuard mit Double-NAT, um die Privatsphäre bei den superschnellen WireGuard-Verbindungen zu wahren (WireGuard selbst speichert nämlich standardmäßig kurzzeitig die letzte clientseitige IP im RAM; NordLynx umgeht dies durch Zuweisung dynamischer IP-Interfaces). Inzwischen betreibt NordVPN alle Server ohne Festplatten – das bedeutet, jegliche Software und das Betriebssystem laufen nur im RAM, und bei jedem Neustart wird die Maschine frisch aus einem schreibgeschützten Image gebootet​. NordVPN nennt dies analog zu Express „colocated RAM servers“. Dadurch kann auf einem beschlagnahmten oder gehackten Server nichts gefunden werden, was auf Nutzeraktivitäten hinweist. Zusätzlich hat NordVPN Partnerschaften mit Sicherheitsforschern und ein Bug-Bounty-Programm, um Schwachstellen frühzeitig zu finden.
• Features & Besonderheiten: NordVPN bietet neben Standardprotokollen (OpenVPN und IKEv2) auch sein NordLynx-Protokoll an, das – wie erwähnt – eine modifizierte WireGuard-Implementierung ist. Dieses ist meist die schnellste Option und dabei ebenfalls als sehr sicher einzustufen. Im Portfolio von NordVPN finden sich diverse Spezialserver: etwa Double VPN (Kaskadierung über zwei Server, ähnlich ProtonVPNs Secure Core), Onion over VPN (Weiterleitung des Traffics vom VPN direkt ins Tor-Netzwerk), P2P-optimierte Server, obfuskierte Server (gegen VPN-Sperren) und mehr. Die Palette ist also auf technisch versierte Nutzer ausgerichtet, die verschiedene Anwendungsfälle abdecken wollen. Einzig Multi-Hop kann man nicht völlig frei konfigurieren wie bei IVPN – es sind vordefinierte Double-VPN-Routen.
• Transparenz: NordVPN veröffentlichte bisher keinen fortlaufenden Transparenzbericht in Zahlenform wie Proton oder IVPN, hat aber in Blogbeiträgen zumindest über behördliche Anfragen gesprochen. Nach eigenen Aussagen hat NordVPN noch nie verwertbare Nutzerdaten herausgegeben, da es keine gibt. NordVPN betreibt auch Warrant Canaries und informiert Nutzer über rechtliche Änderungen. Allerdings gab es Kritik, dass Nord aufgrund seiner Größe eher reaktiv kommuniziert – z.B. wurde der Server-Hack 2018 erst im Oktober 2019 öffentlich gemacht, was einige als zu spät empfanden. Seitdem bemüht sich Nord um offenere Kommunikation. Die Audit-Berichte (Zusammenfassungen) sind übrigens für Kunden einsehbar, was ein Transparenz-Aspekt ist.
• Nutzerfreundlichkeit & Apps: NordVPNs Apps sind sehr einsteigerfreundlich, mit Weltkarte-Interface und einfachen Schnellverbindungs-Optionen. Das Unternehmen hat über 5000 Server in 60 Ländern – einer der größten Netzwerke –, was stabile Geschwindigkeit und viele Standortwahlmöglichkeiten bietet. Für Streaming-Fans hat NordVPN einen guten Ruf, Netflix & Co. funktionieren meist, und die SmartPlay-Funktion sorgt dafür, dass DNS bei Bedarf umgeleitet wird, um Geoblocking zu umgehen (ohne separate Benutzeraktion). Diese Funktionen sind zwar weniger sicherheitsrelevant, zeigen aber, dass NordVPN versucht, Privatsphäre und Mainstream-Nutzung zu vereinen.
• Kritikpunkte: Trotz all der Technik und Audits gibt es in der Privacy-Community auch skeptische Stimmen. NordVPN wird vorgeworfen, sehr aggressives Marketing zu betreiben und dabei manchmal unsaubere Mittel genutzt zu haben (es gab Debatten über Fake-Review-Seiten oder sehr pushy Werbung). Auch ist NordVPN ein profitables großes Unternehmen, was einigen Puristen weniger sympathisch ist als community-nahe Dienste wie Mullvad/IVPN. Es gab außerdem in der Vergangenheit Verbindungen von NordVPNs Gründern zur Firma Tesonet in Litauen, die Data-Mining betreibt – NordVPN beteuert aber, dass keine Nutzerdaten jemals in falsche Hände gelangten, und versucht durch die unabhängigen Audits solche Bedenken auszuräumen.

Fazit NordVPN: NordVPN zeigt, dass ein großer kommerzieller VPN durchaus hohe Sicherheitsstandards haben kann. Du profitierst von einer sehr leistungsfähigen Infrastruktur, vielen Servern und Extras, ohne auf Kern-Datenschutz verzichten zu müssen. Die No-Logs-Politik wurde mehrfach bestätigt, und ein isolierter Sicherheitsvorfall führte letztlich zu noch besseren Sicherheitsmaßnahmen (RAM-only). Für jemanden, der sowohl Privatsphäre als auch Komfort möchte, ist NordVPN eine gute Wahl – es ist benutzerfreundlich und schnell, gleichzeitig technisch up to date. Allerdings musst du NordVPN ein gewisses Grundvertrauen entgegenbringen (das bei Mullvad/IVPN dank deren Minimaldaten-Ansatz weniger nötig ist). Wenn du mit einem größeren Unternehmen kein Problem hast und die Vorteile (24/7-Support, viele Features) schätzt, bietet NordVPN ein sehr ausgewogenes Gesamtpaket an Sicherheit und Alltagstauglichkeit.
 

IVPN – kompromisslose Transparenz eines Underdogs

IVPN ist vielleicht der kleinste Anbieter in diesem Vergleich, aber in puncto Datenschutz steht er den Großen in nichts nach – im Gegenteil, IVPN hat sich einen Ruf als ehrlicher, transparenter VPN-Service erarbeitet. Gegründet 2009 von Privatus Limited, operiert IVPN aus Gibraltar. Gibraltar gilt als datenschutzfreundliche Jurisdiktion​: Obwohl britisches Überseegebiet, hat es eigene Gesetze. Es gibt keine Pflicht für VPNs, Kundendaten zu loggen. Sollte Gibraltar (oder Großbritannien) dies ändern, könnte IVPN notfalls seinen Sitz verlagern – IVPN zeigt sich sehr unabhängig und würde kaum seine Prinzipien aufgeben.

• No-Logs und Datenvermeidung: IVPN verfolgt eine radikale No-Logging-Philosophie und hat diese durch einen unabhängigen Audit bestätigen lassen. 2019 prüfte Cure53 IVPNs Server und Privacy Policy; das Ergebnis: Alle Datenschutzversprechen waren innerhalb des Prüfungsumfangs als wahr einzustufen. TechRadar kommentierte, IVPN habe eine „geprüfte No-Logging-Policy, der man tatsächlich glauben kann“​. Der Dienst erzeugt keinerlei Logs – weder über Aktivitäten, noch Metadaten wie Sessions. Nicht einmal temporäre Verbindungslogs im RAM werden geschrieben. Dies geht so weit, dass IVPN-Server nicht einmal lokal Authentifizierungsdaten speichern – stattdessen wird jedes Mal gegen eine zentrale Auth gestellt und nichts auf dem Server abgelegt​. Sollte also ein IVPN-Server beschlagnahmt werden, findet sich darauf weder etwas über deine Nutzung noch über deinen Account. Zur Sicherheit laufen alle Server mit vollständiger Festplattenverschlüsselung (LUKS) und werden rund um die Uhr überwacht: Wenn ein Server ungewöhnlich offline geht, werden sofort Zertifikate zurückgezogen, um MITM-Risiken zu bannen​.
• Account- und Zahlungsdaten: IVPN ermöglicht ähnlich wie Mullvad eine anonyme Kontoerstellung: Du kannst ein beliebiges Alias nutzen, eine E-Mail ist optional. Standardmäßig erhältst du eine Account-ID. Für maximale Anonymität kannst du auch hier Bargeld via Post einsenden – IVPN akzeptiert seit 2010 Barzahlungen – sowie diverse Kryptowährungen (inkl. Monero, was echten anonymen Zahlungsverkehr ermöglicht). Falls du eine E-Mail angibst (für Passwort-Reset), wird diese separat und vertraulich behandelt. IVPN verzichtet auf Personalisierung: keine Werbung, keine Tracker, keinerlei Weitergabe von Daten. Selbst auf ihrer Website ist alles Open Source und minimalistisch gehalten, um keine unnötigen Datenpunkte zu erzeugen​.
• Transparenzbericht und Warrant Canary: IVPN veröffentlicht auf seiner Website einen vorbildlichen Transparenzbericht mit einer Tabelle aller Behördenanfragen pro Jahr​. Interessant: In den letzten Jahren gab es nur ganz wenige „valide“ Anfragen (meist ausländische Gerichtsbeschlüsse), aber in keinem einzigen Fall konnten Daten herausgegeben werden – die Spalte „Daten an Behörden geliefert“ steht Jahr für Jahr auf Null​. Zum Beispiel 2024 erhielt IVPN 12 behördliche Anfragen, nur 1 war juristisch zulässig, doch mangels Logs wurden 0 Daten geliefert. IVPN dokumentiert das penibel. Daneben betreibt IVPN eine Warrant Canary, die monatlich aktualisiert wird, um anzuzeigen, dass sie keine geheimen Gag-Order erhalten haben. Bislang ist die Canary stets „grün“ geblieben.
• Open Source & Sicherheitskultur: Sämtliche IVPN-Apps (Windows, macOS, Linux, iOS, Android) sind quelloffen​, genau wie die Website. IVPN legt sogar seine internen Sicherheitsprotokolle offen: auf der Seite „Security Whitepaper“ kann jeder nachlesen, wie sie ihre Server absichern, wie Zugriffe intern kontrolliert werden und welche Maßnahmen im Notfall greifen​. Diese Transparenz ist einzigartig – IVPN zeigt hier „Vertrau mir nicht, prüf selbst!“ Haltung. Zudem engagiert sich IVPN in der Privacy-Community, z.B. durch das Sponsoring von Projekten (überschüssige Gewinne werden an Datenschutz-Projekte gespendet) und sehr offenen Austausch auf Foren wie Reddit.
• Besondere Features: IVPN war einer der ersten Anbieter mit Multi-Hop-VPN. Anders als feste Doppelserver bei NordVPN kannst du bei IVPN jede verfügbare Serverlocation als Eingang und Ausgang frei kombinieren. So sind sogar Kaskaden mit mehr als zwei Hops möglich (theoretisch Netz-Mesh). Dieser Full Mesh Multi-Hop erhöht die Schwierigkeit für einen Angreifer, dich zu deanonymisieren, erheblich, da er in mehreren Ländern gleichzeitig agieren müsste. Darüber hinaus beherrscht IVPN alle modernen Protokolle (OpenVPN, WireGuard) und hat einen eingebauten Tracker- und Werbeblocker (AntiTracker) ähnlich zu Pihole, der auf DNS-Basis Werbung unterbindet. Was IVPN nicht tut, ist Streaming-Optimierung – sie kommunizieren offen, dass sie keine IPs rotieren, um Netflix & Co. zu entsperren. Tatsächlich ist IVPN für Streaming eher unzuverlässig und hat wenige Serverstandorte​. Der Fokus liegt klar auf Privatsphäre, nicht Entertainment.
• Performance & Nutzung: Wegen der geringeren Serveranzahl (rund 80 Server in 45 Ländern) sind Ping-Zeiten manchmal höher, aber die Geschwindigkeit über WireGuard ist generell sehr gut. Die Apps sind schlank und funktional, aber etwas nüchterner im Design. Einsteiger finden sich dennoch gut zurecht, es gibt auch gute Anleitungen. Der Preis ist höher als Durchschnitt (Monatspreis relativ teuer, dafür flexible Laufzeiten ohne Zwang zu 2-Jahres-Abos). Doch IVPN argumentiert, dass man sich keine Rabattschlachten leisten will, sondern einen ehrlichen Preis für ehrliche Leistung nimmt – auch das gehört zur Nachhaltigkeitsstrategie.

Fazit IVPN: IVPN ist das Paradebeispiel eines transparenten, prinzipientreuen VPN-Anbieters. Wenn du bereit bist, für maximale Privatsphäre ein paar Euro mehr auszugeben und auf Massen-Features wie Streaming-IPs zu verzichten, wirst du mit IVPN einen Anbieter finden, der dein Vertrauen wirklich verdient. Die Kombination aus No-Logs-Audit, anonymem Zugang, Open-Source-Code und detaillierter Transparenz ist herausragend. Für Journalisten, Aktivisten oder versierte Nutzer, die dem kleineren Anbieter mehr trauen als großen Firmen, ist IVPN eine ausgezeichnete Wahl. Du kannst darauf vertrauen, dass IVPN auch in Zukunft seinen Werten treu bleibt – das Geschäftsmodell ist auf Datenschutz ausgerichtet, nicht auf maximale Nutzerzahlen. Kurz: Klein, aber oho in Sachen Sicherheit.

ExpressVPN – Etablierter Marktführer mit Top-Technik, aber neuem Eigentümer

ExpressVPN ist ein Urgestein unter den VPN-Services und bei vielen Anwendern beliebt für seine Geschwindigkeit und Zuverlässigkeit. In Sicherheitsfragen hat ExpressVPN in den letzten Jahren ebenfalls stark aufgerüstet – Stichwort TrustedServer-Technologie – jedoch gibt es um das Unternehmen seit der Übernahme durch Kape Technologies auch kritische Stimmen. Schauen wir zunächst auf die technischen Sicherheitsmerkmale:

• Logging-Politik: ExpressVPN bekräftigt seit jeher, keine Aktivitäten-Logs zu führen. Weder die von dir aufgerufenen Webseiten, noch DNS-Anfragen, noch Verkehrsmetadaten sollen gespeichert werden. 2017 geriet ExpressVPN ins Rampenlicht, als türkische Behörden im Rahmen einer Untersuchung einen ExpressVPN-Server beschlagnahmten – doch sie fanden nichts Brauchbares, weil keine Logs vorhanden waren (ExpressVPN konnte den Fall aus rechtlichen Gründen nicht kommentieren, aber die Konsequenz war klar: man konnte nicht helfen, da keine Daten). Dieser indirekte Realtest festigte den Ruf von ExpressVPN als No-Log-Anbieter.
• Um diese Versprechen zu untermauern, hat ExpressVPN 2019 eine Prüfung durch PwC durchführen lassen. Die Prüfer konnten bestätigen, dass ExpressVPNs Infrastruktur den internen Datenschutzrichtlinien entspricht und keine Verbindungsprotokolle aufzeichnet​. Auch in den Folgejahren gab es Audits: Cure53 begutachtete den Source Code des Lightway-Protokolls und anderer Komponenten, und KPMG prüfte 2023 erneut die Server und Datenschutzpraktiken – ohne Befund​. Die Ergebnisse waren positiv: Weder ungewöhnliche Logging-Aktivitäten noch Abweichungen von der Privacy Policy wurden festgestellt.
• TrustedServer (RAM-only): Ein Highlight bei ExpressVPN ist die seit 2019 eingesetzte TrustedServer-Technologie. Alle VPN-Server von Express laufen ausschließlich auf flüchtigem Speicher (RAM); es sind keine Festplatten in den Maschinen verbaut​. Das Betriebssystem und die Server-Software laden beim Booten von einem schreibgeschützten Image ins RAM – dort finden sämtliche Operationen statt. Vorteil: Ein RAM-only-Server kann beim Ausschalten oder Neustart keine Daten persistent behalten​. Selbst wenn ein Server beschlagnahmt wird, sind alle gespeicherten Informationen weg. Zudem verhindert dieser Ansatz, dass Admins versehentlich etwas auf Platte loggen – es geht schlicht nicht. PwC hat 2019 explizit bestätigt, dass TrustedServer wie vorgesehen funktioniert und keine Logs anfallen​. Für dich als Nutzer bedeutet das maximale Datenhygiene: Was nicht im Speicher ist, kann nicht geleakt werden. ExpressVPN war einer der ersten großen Anbieter mit diesem Konzept, dem inzwischen viele (NordVPN, Surfshark, Mullvad) gefolgt sind.
• Sicherheit & Verschlüsselung: ExpressVPN unterstützt OpenVPN (mit AES-256 und 4096-bit RSA Handshake) sowie IKEv2/IPSec – beides Industriestandards. Zusätzlich hat Express ein eigenes Protokoll namens Lightway entwickelt, das 2021 veröffentlicht wurde. Lightway ist ähnlich leichtgewichtig wie WireGuard, nutzt aber die WolfSSL-Bibliothek. Es soll besonders schnell verbinden und stabil bleiben bei Netzwerkswitches. Der Quellcode von Lightway wurde offengelegt und von Cure53 geprüft, um Vertrauen zu schaffen. ExpressVPN setzt also auf modernste Kryptographie, inklusive Perfect Forward Secrecy, um deine Daten zu schützen. Kill-Switch („Netzwerksperre“) ist auf allen Apps verfügbar, um bei Abbruch der VPN-Verbindung jeglichen Datenverkehr zu blockieren.
• Jurisdiktion BVI: ExpressVPN hat seinen Sitz auf den Britischen Jungferninseln, einer kleinen Karibik-Gerichtsbarkeit. Die BVI haben keine verpflichtenden Datenspeicherungsgesetze für VPNs und sind unabhängig von strengen UK/EU Regularien. Zwar sind sie ein britisches Überseegebiet, doch datenschutzrechtlich gelten eigene Regeln. Für Strafverfolgungsanfragen gibt es ein Rechtshilfeabkommen, aber praktisch müssten Behörden den Weg über BVI-Gerichte gehen. Bisher ist kein Fall bekannt, in dem ExpressVPN gezwungen wurde, Daten zu liefern. Der BVI-Standort gilt gemeinhin als vorteilhaft für Privacy – ähnlich wie Panama oder die Schweiz, da hier ein Unternehmen legal eine No-Logs-Praxis durchziehen kann.
• Transparenz und Berichte: ExpressVPN veröffentlicht keinen detaillierten jährlichen Transparenzbericht mit Zahlen, hat aber einen Privacy Hub auf der Website, wo Audit-Zusammenfassungen und Sicherheitsupdates geteilt werden. Außerdem führen sie eine Warrant Canary. In der ExpressVPN Trust Center-Sektion werden alle bisherigen Audits und Sicherheitsmaßnahmen aufgelistet​. So erfährt man, dass ExpressVPN mittlerweile auf 18 unabhängige Audits (Stand 2023) zurückblicken kann – von App-Security-Tests bis hin zu Datenschutzprüfungen. Diese Häufigkeit von Audits zeigt, dass Express den Wert externer Kontrolle anerkennt. Dennoch ist ExpressVPN nicht so offen quelloffen wie Proton oder IVPN – es bleibt ein eher geschlossenes System, in das aber viele Experten mal reinschauen durften.
• Nutzerfreundlichkeit & Sonstiges: ExpressVPN war jahrelang Branchenführer, was Performance und Geoblocking angeht. Die Apps sind extrem einfach gehalten („Ein-Knopf“-VPN), es gibt aber in den Einstellungen alles Nötige (wie Split-Tunneling, Protokollwahl, automatischer Start). Für weniger technikaffine Nutzer ist Express attraktiv, weil es einfach immer funktioniert. Verbindungen sind schnell, es gibt keine nervigen Verbindungsabbrüche, und fast alle Streaming-Dienste funktionieren gut. Das Unternehmen investiert stark in Serverqualität – es werden oft physische eigene Server genutzt (oder virtuelle, wenn physisch nicht möglich, aber dann verschlüsselt). Die Anzahl der Länder (94) ist sehr hoch, sodass man nahezu weltweit eine Präsenz hat.
• Ownership und Vertrauensdiskussion: 2021 wurde ExpressVPN von der Firma Kape Technologies aufgekauft – das war ein Paukenschlag in der VPN-Welt​. Kape (früher Crossrider) war ursprünglich in der AdTech-Branche tätig und hatte einen fragwürdigen Ruf wegen Adware-Software​. Ab 2017 kaufte Kape mehrere VPN-Marken auf (CyberGhost, ZenMate, Private Internet Access) und schließlich ExpressVPN für rund 936 Mio. USD​. Die Ankündigung löste bei einigen Nutzern Sorge aus, ob ExpressVPN unter dem neuen Eigentümer genauso vertrauenswürdig bleibt – schließlich war Kape früher auf das Sammeln und Monetarisieren von Nutzerdaten spezialisiert. ExpressVPN versicherte in einem Blogpost, dass es weiterhin eigenständig operiert, mit BVI-Jurisdiktion und gleicher No-Logs-Policy​. Bisher scheint es keine Anzeichen für negative Veränderungen zu geben: ExpressVPN läuft wie gewohnt, und die KPMG-Audits 2022/2023 haben keine Logging-Verfehlungen festgestellt​. Dennoch behalten Skeptiker das Thema im Auge.

Ein weiterer Vertrauens-Fleck war die Enthüllung, dass ein hochrangiger ExpressVPN-Sicherheitsingenieur (und Miteigentümer) in seiner Vergangenheit an einem Hackerprogramm („Project Raven“) der VAE beteiligt war. Diese Person blieb trotz US-Gerichtsverfahren im Unternehmen. ExpressVPN argumentierte, man trenne klar zwischen damaligem Fehlverhalten und der aktuellen Arbeit des Mitarbeiters, und der Dienst selbst sei davon unberührt. In der Praxis hat sich an der Sicherheit nichts geändert, doch solche Meldungen unterstreichen: Auch bei einem sehr guten VPN lohnt sich ein gesunder kritischer Blick auf die Firmenführung.

Fazit ExpressVPN: ExpressVPN bietet aus Nutzersicht eine hervorragende Kombination aus starker Sicherheitstechnik und einfacher Bedienung. Die RAM-Server-Infrastruktur setzt Branchenmaßstäbe und wurde verifiziert​, die No-Logs-Politik ist glaubwürdig untermauert (gerade durch die vielen externen Prüfungen), und die Jurisdiktion ist datenschutzfreundlich. Für dich bedeutet das: Du kannst ExpressVPN verwenden, ohne dir um Logs große Sorgen zu machen – der Dienst ist so gebaut, dass selbst bei Kompromittierung keine Daten verraten werden. Zugleich profitierst du von exzellenten Geschwindigkeiten und professionellem Support.

Auf der anderen Seite musst du bei ExpressVPN etwas Vertrauen in den Anbieter selbst mitbringen: Der Code ist nicht komplett offen, und seit der Übernahme ist das Unternehmen Teil eines größeren Konzerns, dessen Vergangenheit skeptisch stimmen kann​. Bisher hat Kape jedoch ExpressVPNs Kurs beibehalten. Empfehlung: Wenn du einen rundum ausgereiften VPN-Dienst möchtest, der „einfach funktioniert“ und gleichzeitig technisch auf neuestem Stand ist, liegst du mit ExpressVPN richtig. Für absolute Datenschutz-Puristen, die jedem Großunternehmen misstrauen, mag Mullvad/IVPN sympathischer sein – aber faktisch gibt es an ExpressVPNs Sicherheitskonzept wenig auszusetzen. Es zählt zu den VPNs, die immer wieder in unabhängigen Tests glänzen. Die Zukunft bleibt spannend, doch ExpressVPN hat in der Vergangenheit sein Versprechen auf Privatsphäre gehalten.

Historischer Überblick: Datenschutzprobleme bei VPNs

VPN-Dienste versprechen Anonymität – doch leider haben in der Vergangenheit einige Anbieter dieses Vertrauen enttäuscht. Es ist lehrreich, ein paar Fälle zu betrachten, in denen VPNs Daten preisgaben oder unsicher waren, um die Wichtigkeit der obigen Kriterien zu unterstreichen:

• HideMyAss (2011): Einer der frühesten öffentlich bekannten „No-Logs“-Brüche betrifft den britischen Dienst HideMyAss. Trotz werblicher Beteuerungen, ein anonymisierender VPN zu sein, gab HMA Verbindungslogs an Behörden heraus, was zur Verhaftung eines LulzSec-Hackers beitrug​. Konkret hatte das FBI in Zusammenarbeit mit britischen Stellen einen Court Order erwirkt, und HideMyAss lieferte Daten, die einen der SonyPictures-Angreifer identifizierten​. HMA verteidigte sich damit, dass illegale Aktivitäten gegen die AGB verstoßen und man auf richterliche Anordnung kooperieren müsse. Für die VPN-Nutzer war dies jedoch ein Schock – ein „Anonymisierungsdienst“ hatte geholfen, einen Anonymous-Hacker hochzunehmen. Das Lehrstück daraus: manche VPNs (insb. in UK/USA) loggten zumindest IP-Zuordnungen und Nutzungszeiten, auch wenn sie „no logging“ behaupteten. Seit diesem Vorfall steht bei informierten Nutzern die Frage der Glaubwürdigkeit von No-Logs-Versprechen im Raum. HideMyAss existiert zwar noch, hat aber einen irreparablen Rufschaden erlitten.
• PureVPN (2017): Ein weiterer prominenter Fall war PureVPN. Der Dienst mit Sitz in Hongkong warb groß mit „Zero Logs“. Doch im Oktober 2017 wurde bekannt, dass PureVPN Verbindungslogs an das FBI geliefert hatte, um einen Cyberstalker zu fassen​. In den Gerichtsunterlagen stand schwarz auf weiß: PureVPN hatte Verbindungsdaten, die zwei E-Mail-Konten (darunter das des Täters) über eine gemeinsam genutzte IP-Adresse zusammenführten​. Damit konnte die Identität enttarnt werden. PureVPN geriet unter massiven Beschuss, da sie offensichtlich etwas loggten, das eine Zuordnung ermöglichte – vermutlich IP-Adressen mit Zeitstempel, auch wenn keine Inhaltsdaten protokolliert wurden. PureVPN ruderte zurück und sagte, man habe nur IP-Logins zu Debug-Zwecken gespeichert, nicht die Aktivitäten. Doch der Schaden war angerichtet: Der Fall zeigte, dass schon Verbindungslogs (nicht mal Traffic-Logs) ausreichen, um einen Nutzer zu enttarnen, wenn man an anderer Stelle Daten hat. Für VPN-Kunden war es ein Weckruf, No-Logs-Versprechen kritisch zu hinterfragen. (PureVPN hat nach eigener Aussage seitdem seine Policies geändert und ebenfalls Audits durchführen lassen, um verlorenes Vertrauen zurückzugewinnen.)
• IPVanish (2016): Ähnlich erging es IPVanish, einem US-basierten Anbieter, der jahrelang mit „Zero Logs“ warb. 2018 kam heraus, dass IPVanish bereits 2016 dem US-Heimatschutzministerium Verbindungsinformationen zu einem Nutzer geliefert hatte​. Ein Agent verfolgte über eine kinderpornografische IRC-Session eine IP zu Highwinds (dem damaligen Betreiber von IPVanish). Auf erste Anfrage behauptete Highwinds noch, sie hätten keinerlei Nutzungsinfos. Nach einer zweiten, präziseren Anordnung rückten sie jedoch die Daten heraus: Konkret wurden Logs über einen bestimmten VPN-Server-Port bereitgestellt, darunter die Quelle-IP des Nutzers und Zeitstempel, sowie der Benutzername und die E-Mail des Kunden. Damit konnte der Verdächtige (ein US-Bürger) identifiziert werden. IPVanish dementierte zunächst und meinte, das sei vor der Übernahme durch die neue Firma (StackPath) passiert und entspreche nicht mehr ihrer Praxis​.
  Dennoch: Auch hier zeigte sich, dass dieser VPN-Anbieter auf Druck loggte bzw. Logs hatte, selbst wenn offiziell „nicht geloggt“ wurde. Der neue IPVanish-Besitzer gelobte Besserung – aber Vertrauen kommt abhanden, wenn so etwas publik wird.
• Gratis-VPNs und Datenmissbrauch: Neben diesen Fällen, in denen Logs an Behörden gingen, gibt es auch Beispiele von VPN-Anbietern, die aktiv Nutzerdaten monetarisierten oder gefährdeten. Besonders berüchtigt sind hier viele kostenlose VPN-Apps. So hat etwa Hola VPN (ein kostenloses P2P-VPN aus Israel) die Bandbreite seiner Nutzer weiterverkauft – Nutzerdaten wurden geloggt und die Geräte als Exit-Knoten für zahlende Kunden genutzt​. De facto baute Hola ein Botnet aus seinen Anwendern, was 2015 aufflog. 
  
  Auch Facebooks Onavo VPN (inzwischen eingestellt) nutzte die App, um massiv Nutzeraktivitäten zu Analytics-Zwecken auszuwerten. Studien ergaben, dass die Mehrheit der kostenlosen VPNs in den App-Stores exzessiv Daten sammelt, mit Trackern verseucht ist oder gar Malware enthält. Beispielsweise fanden Forscher heraus, dass über 80% der kostenlosen Android-VPNs unnötige Berechtigungen forderten und 75% irgendwelche Tracking-Bibliotheken hatten​. Manche loggten auch klar die Websites der Nutzer und verkauften diese Infos an Dritte (Werbetreibende). Fazit: Vorsicht vor „kostenloser“ VPN-Software! Meist bezahlt man mit seinen Daten. Seriöse VPNs benötigen ein nachhaltiges Finanzierungsmodell – ein Dienst, der Geld mit VPN verdient, aber nichts vom Nutzer verlangt, muss das Geld anderswo herbekommen. Oft ist das Geschäftsmodell dann der Verkauf von Nutzungsstatistiken oder das Einblenden von Werbung mittels mitgeschnittener Daten. Es gab in der Vergangenheit auch Fälle, in denen ungesicherte Server von Free-VPN-Betreibern selbst gehackt wurden und Millionen von Klartext-Logs ins Netz gelangten (z.B. 2020 die Lecks von UFO VPN, SuperVPN u.a., die 20 Mio. Nutzerdaten offenbarten). Diese Ereignisse sind eindringliche Mahnung: Ein unsicherer VPN ist schlimmer, als gar kein VPN, weil er ein falsches Gefühl von Sicherheit gibt, dabei aber deine Daten abgreift oder gefährdet.

Positive Präzedenzfälle: Zum Glück gibt es auch Gegenbeispiele, die zeigen, dass es anders geht. So hat Private Internet Access (PIA), ein in den USA registrierter Dienst, in zwei Gerichtsverfahren (2016 und 2018) nachweislich keine Logs liefern können​. Einmal ging es um FBI-Anfragen in einem Betrugsfall – PIA hatte nichts. Ein anderes Mal wurden PIA-Server in Russland von Behörden beschlagnahmt; PIA hatte zuvor angekündigt, Russland zu verlassen, da man keine Logs führen wollte, und tatsächlich konnten die Behörden nichts herausfinden​. Diese Fälle stützen PIA’s No-Log-Behauptung. Auch Mullvad und ProtonVPN haben, wie oben erwähnt, bereits real unter Beweis gestellt, dass ihre Versprechen halten (Polizei stand ohne Daten da​; Proton konnte keine IPs geben​).

Lehren aus der Vergangenheit: Die VPN-Branche hat aus den Skandalen gelernt. Heute sind Audits fast unerlässlich für Marktführer, um Glaubwürdigkeit zurückzugewinnen. Anbieter kommunizieren klarer, was sie loggen (siehe VPN-Logging-Richtlinien Übersichten – unabhängige Seiten überprüfen bis zu 100 VPNs und ihre Policies). Dennoch bleibt für uns Nutzer wichtig: Schau dir den Hintergrund eines VPNs genau an. In der Regel sind VPNs in datenschutzfreundlichen Ländern sicherer vor Herausgabebeschlüssen. Und Dienste, die schon lange am Markt sind, konnten ihre Integrität beweisen (oder haben Fehler gemacht, aus denen man lernen kann). Die Vergangenheit zeigt auch, dass No-Logs allein nicht genügt – Aspekte wie Firmensitz, Ownership und wirtschaftliche Interessen spielen hinein. Ein kleiner idealistischer Anbieter hat weniger Motivation, unsaubere Dinge zu tun, als ein Großunternehmen mit Shareholder-Value. Allerdings verfügen große Anbieter über mehr Mittel für state-of-the-art Technik (RAM-Server etc.). Hier gilt es, abzuwägen.

Die guten Nachrichten: Die fünf Anbieter aus unserem Vergleich – Mullvad, ProtonVPN, NordVPN, IVPN, ExpressVPN – haben allesamt in den letzten Jahren keine negativen Logging-Vorfälle gehabt. Im Gegenteil, sie gehören zu denjenigen, die aus den oben genannten Skandalen gelernt haben und höhere Standards etabliert haben (Audits, Transparenz, RAM-Server). Damit sind wir für die Zukunft gerüstet – doch was bringt diese?
 

Gesetzliche Entwicklungen: Europa und weltweit

Die rechtlichen Rahmenbedingungen für VPNs sind in Bewegung. Während einerseits immer mehr Bürger VPNs nutzen, um Zensur und Überwachung zu entgehen, sehen manche Regierungen VPN-Nutzung mit Argwohn. Hier ein Überblick über aktuelle und kommende Gesetze und wie sie VPN-Sicherheit beeinflussen könnten:

Europa: Datenschutz vs. Überwachung

In der EU sind VPNs legal und weit verbreitet, doch es gibt Bestrebungen, verschlüsselte Kommunikation und Anonymität einzuschränken. Zwei große Themen:

Chatkontrolle (EU-CSA-Verordnung): Die EU-Kommission schlug 2022 eine Verordnung vor, die Online-Dienste verpflichten würde, Inhalte auf Kindesmissbrauch zu scannen – auch in privaten Chats, was de facto alle Dienste mit Verschlüsselung betrifft. Das Europaparlament lehnt eine anlasslose Massenüberwachung ab und fordert den Schutz von Verschlüsselung​. In den EU-Mitgliedsstaaten ist die Diskussion jedoch im Gange. Ein internes Protokoll einer Ratssitzung offenbarte, dass einige Länder VPNs und Ende-zu-Ende-Verschlüsselung als „Risiko“ betrachten​. So fragte etwa Deutschland, wie sich die Nutzung von E2E-Verschlüsselung und VPNs auf die Risikobewertung eines Dienstes auswirken – die Antwort der belgischen Ratspräsidentschaft: VPN-Verbindungen erhöhen klar die Risiken für Kinder​. Diese Aussage impliziert, dass VPNs (die ja Überwachung erschweren) einigen ein Dorn im Auge sind. Ein VPN-Verbot steht zwar nicht im Verordnungstext, aber es zeigt die Tendenz: Tools, die Ermittlungen behindern, geraten in die Kritik. Datenschützer laufen Sturm, weil ein solcher Generalangriff auf Verschlüsselung Grundrechte verletzen würde​. Derzeit (Stand 2025) ist die Chatkontrolle-Gesetzgebung noch in Verhandlung. Sollte in Zukunft doch ein Beschluss kommen, der z.B. Anbietern vorschreibt, Hintertüren einzubauen oder VPN-Verkehr zu markieren, würde das einen harten Konflikt mit VPN-Betreibern bedeuten. Anbieter wie Mullvad oder Proton haben klar Stellung dagegen bezogen und würden sich wohl eher aus Märkten zurückziehen, als solche Maßnahmen zu implementieren.

Vorratsdatenspeicherung in Europa: Die EU-Mitgliedstaaten (besonders Deutschland, Frankreich) haben immer wieder versucht, pauschale Vorratsdatenspeicherung von Verbindungsdaten gesetzlich zu verankern. Der Europäische Gerichtshof hat jedoch mehrmals solche Gesetze gekippt (zuletzt 2022 das deutsche Gesetz) mit der Begründung, dass anlasslose Massenüberwachung unverhältnismäßig ist und Grundrechte verletzt. Allerdings ließ der EuGH gewisse Ausnahmen zu, etwa gezielte Speicherung bei ernsthaften Bedrohungen und eine generelle Speicherung von IP-Adressen über einen begrenzten Zeitraum, um schwere Kriminalität zu verfolgen. Einige Länder nutzen diese Spielräume: Frankreich z.B. beharrt auf umfangreicher Speicherung für nationale Sicherheit. Deutschland diskutiert gerade ein „Quick-Freeze“-Verfahren statt Vorratsdatenspeicherung. Für VPN-Anbieter bedeutet das: Sie sind aktuell in der EU nicht verpflichtet, Daten zu loggen (und könnten dem auch durch Sitzverlegung entgehen). Aber sollten Regierungen IP-Logging speziell vorschreiben – etwa, dass VPNs die echten Nutzer-IP-Adressen für X Wochen speichern müssen –, käme das der Abschaffung des No-Logs-Prinzips gleich. Bisher gibt es keine solche konkrete Forderung, aber law enforcement Kreise in der EU arbeiten offenbar an umfassenderen Plänen: Ein im Juni 2024 publik gewordenes Papier eines EU-„High-Level“-Gremiums empfiehlt sogar eine „Re-Introduction of mass telecom data retention“ und „lawful access by design“ (Backdoors) für verschlüsselte Systeme​. Diese Ideen könnten von der nächsten EU-Kommission aufgegriffen werden. Es ist also Wachsamkeit geboten. Würde die EU eine harmonisierte Vorratsdatenspeicherung durchsetzen, müssten VPNs mit EU-Sitz ggf. loggen oder Nutzer über EU-Gateways mitschneiden – was viele, wie Mullvad, in ein Dilemma brächte. Gut möglich, dass einige in diesem Fall EU-Server abschalten würden (ähnlich wie sie es in restriktiven Ländern tun).

Nationales: VPN-Verbot-Debatten: In Frankreich wurde 2023 im Kontext eines Gesetzes zur digitalen Sicherheit ein Abänderungsantrag diskutiert, der Einschränkungen für VPNs forderte​. Abgeordnete schlugen vor, VPN-Nutzung zum Verschleiern der Spur zu begrenzen oder gar VPN-Downloads aus App-Stores zu verbieten​. Argument: Kriminelle würden sich dahinter verstecken, offline Verbotenes müsse auch online verboten sein. Glücklicherweise stieß das auf Widerstand – man verwies auf technische Unmöglichkeit und Grundrechtsverstöße​. Der Vorschlag wurde nicht Gesetz, zeigt aber, dass solche Ideen in der Politik kursieren. Aktuell sind wir weit entfernt von einem VPN-Verbot in Europa​.
Dennoch: Die Debatte um Online-Anonymität hat begonnen. Es gibt Stimmen, die ein „Identifizierbares Internet“ fordern, wo jeder Nutzer eindeutig rückverfolgbar ist. Dem entgegen steht das Menschenrecht auf Privatsphäre. Hier prallen Interessen aufeinander. Für dich heißt das: mittelfristig dürften VPNs in der EU legal bleiben, aber man könnte mit Hürden rechnen (Auflagen, Appstore-Beschränkungen wie in China, etc.). Der Artikel auf Datenschutzticker schließt treffend: VPNs dienen legitimen Zwecken und ein Verbot wäre höchst bedenklich – man sollte die Entwicklungen in Frankreich & Co. aufmerksam verfolgen.

Weltweit: Zensur, Verbote und Rückzugsgefechte

Außerhalb der EU gibt es bereits einige Länder, die VPNs massiv regulieren oder verbieten:

• Russland: Seit 2017 müssen VPN-Dienste in Russland gemäß Gesetz mit den Behörden zusammenarbeiten und den Zugang zu geblockten Webseiten sperren. Dienste, die sich weigern, werden blockiert. Viele westliche VPNs haben daraufhin ihre russischen Server abgeschaltet oder das Land verlassen (z.B. PIA 2016​). Russland geht aktiv gegen VPN-Nutzung vor, zuletzt verstärkte das Regime die Erkennung und Blockade von VPN-Protokollen​. Zwar nutzen viele Russen weiter VPNs, aber offizielle Stellen versuchen, den Datenstrom vollständig zu kontrollieren. Einige VPN-Anbieter haben deshalb russische IPs über virtuelle Server (im Ausland) laufen, damit Nutzer noch russische Exit-Knoten haben, ohne vor Ort präsent zu sein.
• China: In der Volksrepublik sind nur staatlich genehmigte VPNs erlaubt. Eigenmächtige VPN-Nutzung ist illegal, wobei vor allem Anbieter und Firmen ins Visier genommen werden. China betreibt die „Great Firewall“, die gängige VPN-Protokolle erkennt und kappt. Nur mit starker Verschleierung (Stealth/Obfuscation) kann man als Nutzer VPNs verwenden. Internationale VPN-Unternehmen haben in China keine Server (die Gefahr, dass Logs verlangt werden, ist zu hoch). Stattdessen bieten sie oft Hongkong als Location. Für die Chinesen vor Ort sind ausländische VPN-Apps oft gar nicht downloadbar. Trotz Verbot nutzt eine digitale Elite VPNs weiter, doch es bleibt Katz-und-Maus-Spiel. Westliche VPNs wie Express oder Nord geben an, nicht mit der chinesischen Regierung zu kooperieren; folglich werden sie im Land blockiert.
• Indien: Ein wichtiges aktuelles Beispiel ist Indien. 2022 führte das indische Computer-Notfallteam (CERT-In) Regeln ein, die VPN-Anbieter verpflichten, umfangreiche Kundendaten fünf Jahre lang zu speichern und bei Bedarf den Behörden zu übergeben​. Dazu zählen Namen, IP-Adressen, Nutzungsdauer, E-Mails, Telefonnummern und finanzielles. Diese neue Vorschrift stieß auf heftige Kritik. Zahlreiche VPN-Anbieter – u.a. ProtonVPN, ExpressVPN, Surfshark, NordVPN – beschlossen, ihre physischen Server in Indien abzuschalten, anstatt die Regel zu befolgen​. ExpressVPN z.B. entfernte im Juni 2022 alle indischen Server und bietet den Standort nun nur noch via virtuellen Server (in Singapur/UK gehostet) an​. Auch andere gingen diesen Weg. Indiens Regierung reagierte offenbar mit dem Versuch, einige VPN-Apps aus App-Stores entfernen zu lassen​. Ein komplettes Verbot besteht nicht (VPNs an sich sind noch legal), aber die Nutzung wird indirekt erschwert. Für Inder bedeutet das weniger lokale Server und potentiell höhere Latenzen. Für die VPN-Unternehmen stand jedoch Glaubwürdigkeit auf dem Spiel – kein seriöser No-Logs-Anbieter kann in Indien Logs führen, ohne seine Prinzipien zu verraten. Also ziehen sie sich zurück. Dieser Fall zeigt, wie drastisch strengere Gesetze die VPN-Landschaft verändern können: In einem Markt von 1,4 Mrd. Menschen gibt es nun quasi keinen großen VPN-Anbieter mehr mit lokaler Präsenz. Sollte ein anderes Land ähnliches tun, würde vermutlich das Gleiche passieren (die meisten werden sich eher zurückziehen als Logs speichern).
• Arabische Länder: In den VAE und Oman z.B. sind VPNs faktisch illegal, wenn man sie nutzt, um „Verbrechen“ zu begehen (dazu zählt dort schon VoIP sperren umgehen). Strafen können empfindlich sein. Iran blockiert ausländische VPNs ebenfalls und bietet nur regimeeigene VPNs an, um kontrollierten Zugang zu gewähren. Türkei hat zeitweise VPNs blockiert, insbesondere während politischer Unruhen.
• UK & Five Eyes: In Großbritannien sind VPNs legal, jedoch erlaubt der Investigatory Powers Act den Behörden weitreichende Überwachung. Britische VPN-Anbieter könnten in Zwangslagen geraten, aber es gibt kaum große VPNs mit Hauptsitz in UK (die meisten haben sich dem entzogen). Die „Five Eyes“-Staaten (USA, UK, Kanada, Australien, Neuseeland) tauschen Geheimdienstdaten aus; ein VPN mit Sitz dort könnte mehr Beobachtung erfahren. Allerdings: Ein echter No-Log-VPN in diesen Ländern hätte immer noch nichts herauszugeben außer evtl. Kundenkontaktdaten.

Zukunftsausblick: Insgesamt ist zu beobachten, dass autokratische Regime VPNs direkt verbieten oder technisch bekämpfen, während demokratische Staaten eher versuchen, Schlupflöcher zu schließen (z.B. Loggingpflicht). Für die VPN-Branche heißt das vermutlich: Sie werden ihre Infrastruktur flexibler gestalten (schneller Rückzug aus bestimmten Ländern bei Gesetzesänderung, vermehrt virtuelle Standorte anbieten, obfuskation einbauen). Ein möglicher Trend ist auch, dass VPNs verstärkt als Unternehmenslösung oder Cybersicherheits-Service gelten und dann evtl. aus Verbraucher-spezifischer Regulierung herausfallen.
Wichtig ist: Solange es einen freien Markt und Wettbewerb gibt, werden sich immer Anbieter finden, die nicht mitüberwachen. Die Nutzer können im Zweifel zu Anbietern in liberaleren Ländern wechseln.

Für dich als Nutzer könnte es in Zukunft aber etwas unübersichtlicher werden: Eventuell musst du darauf achten, welche Serverstandorte du nutzt (z.B. keine, die in restriktiven Ländern liegen), oder ob ein Anbieter plötzlich bestimmte Regionen einstellt. Insgesamt scheint jedoch das Bewusstsein für Privatsphäre weltweit zu wachsen – die Nachfrage nach sicheren VPNs steigt, und es gibt viele Initiativen (auch Open-Source-Community-VPNs und dezentrale Ansätze), die dich online schützen wollen.

Behalte die Gesetzeslage im Blick, insbesondere innerhalb der EU. Bisher sind VPNs hier dein Freund im Kampf für Datenschutz. Sollte sich das mal ändern, wirst du es vermutlich aus den Medien erfahren (sofern es ein heftiger Schritt wäre). Unsere fünf Top-Anbieter beobachten diese Entwicklungen ebenfalls genau und reagieren in der Regel schnell im Sinne des Nutzerschutzes (Beispiel Indien).

Technische Aspekte für versiertere Nutzer

In diesem Abschnitt tauchen wir etwas tiefer in die Technik ein, die hinter VPN-Sicherheit steckt. Wenn dich vor allem praktische Empfehlungen interessieren, kannst du zum Fazit weiter unten springen. Für alle Crypto-Nerds und IT-Interessierten gilt: Die Implementierung entscheidet mit über die Sicherheit eines VPN – und hier gibt es spannende Unterschiede und Entwicklungen.

Verschlüsselung und Protokolle

Ein VPN etabliert einen verschlüsselten Tunnel zwischen deinem Gerät und dem VPN-Server. Die Stärke der Verschlüsselung ist fundamental: Alle hier vorgestellten VPNs nutzen AES-256 als symmetrischen Verschlüsselungsalgorithmus (oder beim neuen WireGuard-Protokoll den ebenfalls sehr sicheren ChaCha20-Algorithmus). AES-256-GCM gilt als praktisch unknackbar mit heutiger Technik. Perfect Forward Secrecy (PFS) wird bei OpenVPN durch ephemeral Diffie-Hellman-Schlüssel (DHE) erreicht, bei WireGuard und IKEv2 ist PFS ohnehin Bestandteil des Protokolls. PFS garantiert, dass selbst bei Kompromittierung eines aktuellen Schlüssels vergangene Sessions nicht entschlüsselt werden können.

Die VPN-Protokolle sind das „Sprachsystem“, mit dem der Tunnel aufgebaut wird:

• OpenVPN: Quasi der Klassiker, Open Source, seit ~20 Jahren bewährt. Läuft über UDP oder TCP und kann auf nahezu jedem Port getunnelt werden (z.B. TCP/443, um wie HTTPS auszusehen). OpenVPN benutzt TLS 1.2 für den Handshake (RSA/ECDHE) und dann AES für den Tunnel. Es ist sehr sicher, aber etwas schwergewichtig. Durch die jahrelange Nutzung ist es solide und wenig anfällig für Implementierungsfehler. Nachteil: Relativ viel Overhead, daher tendenziell langsamer als neuere Protokolle. Alle Anbieter unterstützen OpenVPN – es ist sozusagen der Fallback, der überall läuft, auch hinter strengen Firewalls (zur Not auf TCP/443).
• IKEv2/IPSec: Ebenfalls etabliert, vor allem bei mobilen Geräten beliebt wegen schnellem Reconnect (z.B. wenn du von WLAN auf Mobilfunk wechselst). IKEv2 setzt auf das IPSec-Protokoll auf, nutzt meist AES und leistungsstarke cryptographische Suiten. Es ist sehr zuverlässig und bietet gute Geschwindigkeit, ist aber weniger flexibel als OpenVPN (festes UDP-Port 500/4500) und nicht so einfach quelloffen für alle Plattformen verfügbar (Windows z.B. hat eigenen Closed-Source-Stack). Einige Anbieter (ProtonVPN, NordVPN) unterstützen IKEv2 als Option, ExpressVPN auch. Mullvad und IVPN setzen hingegen eher auf OpenVPN/WireGuard only.
• WireGuard: Der Newcomer (entwickelt 2016, stabil seit ~2019). WireGuard ist ein ultraschlankes VPN-Protokoll mit nur ~4000 Zeilen Code, was Sicherheitsanalysen erleichtert. Es nutzt modernste Kryptographie (ChaCha20 für Daten, Curve25519 für Handshake) und läuft über UDP. WireGuard erreicht oft deutlich höhere Durchsätze und geringere Latenzen als OpenVPN​, vor allem auf mobilen/Schwachgeräten, weil es effizienter im Kernel arbeitet. Alle hier betrachteten Anbieter unterstützen WireGuard – ProtonVPN hat es 2020 hinzugefügt, ExpressVPN setzt auf eigenes Lightway (dazu gleich), NordVPN hat mit NordLynx eine modifizierte WireGuard-Version. Privacy-Aspekt: Ein Kritikpunkt war anfangs, dass ein WireGuard-Server sich standardmäßig die zuletzt genutzte IP eines Clients merkt, um die Verbindung aufrechtzuerhalten (Design-Entscheidung für Performance). Das ist kein log in dem Sinne, sondern temporär im RAM – aber theoretisch könnte ein kompromittierter Server so gerade verbundene Nutzer-IP erfahren. Anbieter wie Mullvad und IVPN scherten das nicht, da sie RAM-Sicherheit implementieren. ProtonVPN argumentierte, ordentliche Firewall-Regeln und kein Persistieren im FS machen das unkritisch. NordVPN entwickelte NordLynx mit einer doppelten NAT-Schicht: Der Server sieht nur interne pseudo-IDs, nicht die echten Nutzer-IPs, und kann daher nichts loggen, was auf Nutzer schließen lässt. In der Praxis gilt WireGuard mittlerweile als sicher und datenschutzfreundlich, wenn der Anbieter die Implementation gut handhabt (was bei renommierten der Fall ist). Für dich als User bedeutet WireGuard zumeist: schnellere Verbindung und pfeilschneller Datentransfer. Es ist oft die beste Wahl für Performance, ohne Abstriche bei Sicherheit.
• Lightway / andere proprietäre Protokolle: ExpressVPN entwickelte Lightway, was Open Source ist und auf wolfSSL aufbaut. Lightway ähnelt WireGuard in der Architektur (leichtgewichtig, UDP oder TCP möglich) und nutzt ChaCha20 oder AES. Vorteil: Sehr schneller Handshake (auch dank Verwendung von TLS 1.3 intern). Lightway wurde von Cure53 auditiert und in den Apps ausgerollt, um schnellere Verbindungen als OpenVPN zu ermöglichen​. In unabhängigen Tests performt Lightway ähnlich gut wie WireGuard. Andere VPNs (Cisco AnyConnect, Hotspot Shield mit Hydra) haben ebenfalls eigene Protokolle, aber die Top-Anbieter setzen eher auf die offenen Standards plus eigene kleine Twists.

Fazit zu Protokollen: Aus Sicherheitssicht sind alle genannten Protokolle bei korrekter Implementation sehr sicher. Schwachstellen kommen selten vor (OpenVPN hatte mal ein DoS-Problem, IPSec manchmal Konfig-Issues, WireGuard ist noch jung aber formal verifiziert). Die Unterschiede liegen v.a. in Geschwindigkeit und Tarnbarkeit. Für Höchstgeschwindigkeit: Nutze WireGuard/NordLynx/Lightway. Für maximale Stealth (z.B. Deep Packet Inspection umgehen): Oft OpenVPN über TCP/443 oder mit Obfuscation (z.B. Stunnel/Obfsproxy) – ProtonVPN SecureCore tarnt den Traffic etwas, Nord hat Obfuscated-Server. Mullvad bietet auch Shadowsocks-Bridge an für China. ExpressVPN und NordVPN haben eingebaute Mechanismen, die Erkennung erschweren (genaue Methoden sind geheim, damit Zensoren es nicht leicht haben).

Server-Sicherheit: RAM-only vs. Festplatte, physisch vs. virtuell

Wie wir schon gesehen haben, geht der Trend bei Premium-VPNs zu RAM-only-Servern. Mullvad, ExpressVPN, NordVPN, Surfshark, CyberGhost – sie alle haben angekündigt oder bereits umgesetzt, dass neue Server ohne lokale Festplatten laufen. ProtonVPN hat interessanterweise argumentiert, RAM-only biete keine großen Vorteile gegenüber Full-Disk-Encryption​, solange man keine Logs hat. Proton setzt (noch) auf verschlüsselte Festplatten – mit dem Argument, dass wenn ein Server läuft und jemand physischen Zugriff bekommt, es egal ist, ob RAM oder Disk (dann kann er so oder so auf laufende Prozesse zugreifen). Das stimmt zwar – kein Schutz, wenn Server im Betrieb kompromittiert wird –, aber RAM-only verhindert zumindest, dass irgendetwas persistiert. Proton meint, robuste FDE (Full Disk Encryption) erreicht denselben Effekt beim Offline-Zugriff und spart Kosten. Andere Anbieter schwören aber auf RAM-only: es eliminiert eine Fehlerquelle (niemand kann versehentlich was auf Disk schreiben, Logs oder Keys) und vereinfacht Updates (alles per zentralem Image). Aus Nutzersicht ist beides okay, Hauptsache keine Logs. Aber RAM-only hat in der Praxis bewiesen, dass z.B. Behörden beim Abschalten ins Leere greifen​. Proton könnte künftig auch umstellen, je nach Wettbewerb.

Physische Sicherheit: Einige Anbieter (Express, Proton) legen Wert darauf, Server unter eigener Kontrolle zu haben oder zumindest in sicheren Rechenzentren. ProtonVPNs Secure Core Server befinden sich in ehemaligen Militärbunkern in der Schweiz und unterirdischen Anlagen in Island – physisch sehr gut geschützt. ExpressVPN und NordVPN haben begonnen, Colocated Server einzusetzen, d.h. eigene Hardware, die ihnen allein gehört, statt gemietete VMs. Das senkt das Risiko, dass ein böswilliger Hoster eingreift. Allerdings betreiben die meisten VPNs nicht alle tausende Server selbst, dafür gibt es Partner (wichtig ist Vertragsgestaltung, Monitoring und Verschlüsselung von Daten).

Virtuelle Standorte: Manche VPNs bieten „virtuelle Serverstandorte“ an – das heißt, der Server steht physisch woanders, hat aber eine IP aus dem Ziel-Land. ExpressVPN markiert diese, sie haben z.B. „Algerien“ als Option, aber der Server steht in den Niederlanden. Virtuelle Standorte werden eingesetzt, wenn ein Land unsicher ist oder keine gute Infrastruktur hat. Vorteil: Der Anbieter muss keine Server in riskanten Jurisdiktionen betreiben. Nachteil: Höhere Latenz und theoretisch eventuell Regulierungsfragen (wenn eine IP zu einem Land gehört, könnten dort Gesetze gelten, aber da der Server physisch fern ist, schwer durchsetzbar). Mullvad und IVPN verzichten meist auf solche virtuellen Orte und bieten lieber weniger Länder an, dafür physisch.

Warrant Canary & Notfallpläne: Einige Anbieter haben Mechanismen für den Fall von Behördenzugriff. Zum Beispiel betreiben Mullvad, IVPN, ProtonVPN Canary-Seiten, wo regelmäßig erklärt wird, dass kein Geheimgerichtsbeschluss vorliegt. Falls so ein Beschluss kommt, würden sie diese Updates einstellen – ein indirektes Warnsignal an Nutzer. Das ist zwar rechtlich umstritten in manchem Land, aber noch hat kein bekannter VPN die Canary herunternehmen müssen. Mullvad hat auch angekündigt, notfalls den Dienst zu schließen, sollte schwedisches Gesetz Logging erzwingen. Das ist natürlich ultima ratio, aber es unterstreicht die Ideologie.

Zusätzliche technische Goodies

Hier noch einige Stichpunkte zu technischen Features, die sicherheitsbewusste VPN-Nutzer interessieren könnten:

1. Multi-Hop und Kaskadierung: Wie erwähnt, erlauben ProtonVPN (Secure Core), NordVPN (Double VPN) und IVPN/Mullvad (Multi-Hop via WireGuard) die Nutzung von zwei VPN-Servern hintereinander. Das erhöht die Sicherheit, da ein Angreifer zwei Exit-Knoten korrumpieren müsste, um dich zu deanonymisieren. Mullvad bietet offiziell keine Multi-Hop-Auswahl in der App, aber es gibt Anleitungen, wie man manuell zwei Tunnel kombinieren kann (etwa OpenVPN über einen WireGuard-Tunnel). IVPN sticht hier mit seiner freien Mesh-Kombi heraus​. Allerdings kosten Multihops immer Speed und sind meist nur in speziellen Situationen nötig (z.B. man fürchtet der Exit-Server wird überwacht).
2. DNS und Leak-Schutz: Alle besprochenen VPNs betreiben eigene DNS-Server, damit deine DNS-Anfragen (Website-Auflösungen) nicht an den ISP gehen. Das verhindert DNS-Leaks. Sie zwingen den DNS-Verkehr durch den Tunnel. Mullvad und Proton bieten auch an, den VPN-DNS als Systemresolver zu nutzen (Mullvad DNS ohne VPN via HTTPS). Ein weiterer Aspekt ist WebRTC/IP-Leak-Schutz: Das liegt eher am Browser (WebRTC kann lokal IP preisgeben – Browser-Einstellungen/Plugins schaffen Abhilfe). VPNs allein verhindern WebRTC-Leaks nicht unbedingt, außer der Client-App mit Kill-Switch blockiert sie.
3. Kill-Switch: Standardfeature: Wenn die VPN-Verbindung abbricht, blockiert die App sofort jeglichen Internettraffic, sodass keine echte IP versehentlich raussendet. Alle seriösen Anbieter haben das (teils nennt es sich „Netzwerksperre“ etc.). Achte darauf, es zu aktivieren (manchmal optional).
4. Portweiterleitung: Für spezielle Anwendungen (eingehende Verbindungen beim Torrenten oder eigene Serverdienste über VPN) braucht man Port-Forwarding. Mullvad bot das früher an, hat es aber 2020 entfernt (Sicherheitsabwägung, man wollte Missbrauch vermeiden). ProtonVPN bietet Port-Forwarding (aber nur in zahlenden Tarifen). IVPN erlaubt es auch (im „Pro“-Plan). NordVPN und ExpressVPN verzichten darauf – aus Sicherheitsgründen und weil es für Durchschnittsnutzer irrelevant ist. Falls du also ein Seedbox-User oder P2P-Poweruser bist, könnte ProtonVPN oder IVPN interessant sein.
5. Obfuscation (VPN tarnen): Einige VPN-Protokolle erkennt man am Datenmuster. In restriktiven Netzen hilft Obfuscation: z.B. stülpt man einen Stunnel (TLS) oder Shadowsocks (SOCKS5-Proxy mit Verschlüsselung) über das VPN, damit es wie normaler HTTPS-Verkehr aussieht. Mullvad und IVPN unterstützen Shadowsocks-Bridge auf ausgewählten Servern. NordVPN hat separate „Obfuscated Servers“, vermutlich auf OpenVPN mit XOR-Patch oder ähnlichem. ExpressVPN macht das automatisch (Lightway hat eingebaute Obfuskation, Details unbekannt). ProtonVPN hat kein dezidiertes Obfuscation-Feature außer Stealth-VPN via Tor (wenn man Tor-Server nutzt, sieht der ISP nur Tor). Wenn du in zensierten Regionen bist, achte auf diese Features. OpenVPN bietet auch einen --xor-Modus, was manchen hilft.
6. Post-Quantum-Kryptographie: Ein sehr zukunftsorientiertes Thema: Quantentechnologie könnte in 10-20 Jahren gängige Kryptoverfahren brechen (RSA, DH, ECC). Einige VPNs haben vorsorglich „quantum-resistant“ Handshakes implementiert. Mullvad z.B. testet Post-Quantum PFS in Tunnel-Protokollen (gekennzeichnet als „quantum-resistant“ in der App)​. Das kombiniert klassische ECC mit PQ-Algorithmen (wie NTRU, Kyber) für Schlüsselaustausch. So wäre der Traffic auch vor einem künftigen Quantenrechner sicher. ProtonVPN und NordVPN haben solche Funktionen bisher nicht öffentlich ausgerollt (obwohl Proton in Mail experimentiert). IVPN hat mal experimentelle Builds mit PQ-Shim angekündigt. Noch ist das kein Muss, aber wer sehr weit voraus denkt, beobachtet das. Da PQ-Algorithmen noch reifen, sind diese Implementationen vorerst experimentell.
7. Eigenes Hosting vs. Cloud: Einige sind vorsichtig bei VPN-Servern, die in Public-Clouds laufen (AWS, Azure, GCP), da theoretisch der Cloudbetreiber (US-Unternehmen) die Maschine snapshotten könnte. ProtonVPN z.B. versucht, möglichst bare-metal zu nutzen, aber in exotischen Ländern sind’s auch mal Cloud-VMs. ExpressVPN und Nord haben durchaus Cloud-Server (aber mit RAM oder FDE). Mullvad listet die Hoster, die sie verwenden – meist kleinere Hoster, teilweise eigene Hardware. Wenn dich das umtreibt: schau die Serverlisten und deren Infos auf den Webseiten an (Mullvad und IVPN sind hier sehr offen, Proton gibt zumindest Regionen an). Für Top-Sicherheit kannst du Server in privacy-freundlichen Ländern auswählen (z.B. Schweiz, Schweden, Island, etc.). Allgemein gilt aber: Mit RAM-only + Verschlüsselung sind Cloud-Server kaum ein Risiko.

Fazit Technik

Alle angeführten Anbieter setzen moderne Technik ein, um dich zu schützen. Unterschiede gibt es eher in der Philosophie: Mullvad/IVPN gehen offen und minimalistisch ran – keine proprietären Spielereien, dafür Open Source und radikale Transparenz. Nord/Express investieren in eigene Technologien (NordLynx, Lightway) und riesige Servernetzwerke – das kommt der Performance zugute. ProtonVPN versucht, das Beste aus beiden Welten zu bieten (Open Source, aber auch Komfort und Multi-Service-Integration).

Für dich ist wichtig: Setze auf starke Protokolle (OpenVPN/WireGuard), halte die Apps aktuell (denn über Updates werden Sicherheitsfixes eingespielt) und aktiviere die Sicherheitsfeatures (Kill-Switch!). Dann bist du technisch auf der sicheren Seite.

Neben dem VPN selbst vernachlässige nicht die Basics: Ein VPN verschlüsselt „nur“ den Transport. Dein Gerät sollte dennoch firewallen, dein Browser sicher konfiguriert sein, und traue keinem VPN so blind, dass du alle Vorsicht fahren lässt. VPNs schützen vor vielen Dingen (Schnüffel-ISP, öffentliches WLAN abhören, Geo-Restriktionen umgehen), aber kein VPN kann alles (z.B. Malware auf dem PC oder Tracking-Cookies im Browser bekämpft man anders). Im Verbund mit anderen Privacy-Tools (guter Browser, ggf. Tor für spezielle Zwecke, etc.) ist ein VPN jedoch ein mächtiges Element in deinem Sicherheits-Setup.
 

Fazit und Empfehlungen

Abschließend die große Frage: Welches VPN solltest du wählen? Die gute Nachricht ist, dass alle fünf hier untersuchten Dienste – Mullvad, ProtonVPN, NordVPN, IVPN, ExpressVPN – empfehlenswert sind, wenn auch für teils unterschiedliche Zielgruppen. Jedes hat Stärken und Schwächen in Bezug auf Datenschutz, Unabhängigkeit, Nutzerfreundlichkeit und nachhaltige Sicherheitskonzepte. Hier eine Zusammenfassung, die dir helfen soll, je nach Priorität das passende zu finden:

1. Maximale Anonymität & Datenschutz: Wenn dein oberstes Gebot ist, so wenig persönliche Spuren wie möglich zu hinterlassen, dann sind Mullvad oder IVPN erste Wahl. Beide erlauben anonyme Accounts (keine Mail, man kann sogar bar bezahlen) und haben in der Praxis bewiesen, dass sie keine Logs haben​. Mullvad hat den Vorteil des günstigeren Festpreises (5€) und einer längeren Marktpräsenz, IVPN punktet mit absoluter Transparenz und Multi-Hop-Flexibilität. Beide sind unabhängig, klein, und strikt dem Privacy-Ideal verpflichtet – Nachhaltigkeit im Sinne von „bleiben ihren Prinzipien treu“ ist hier am höchsten. Nachteil: Sie verzichten auf manche Komfortmerkmale – z.B. keine spezialisierten Streaming-Server (IVPN ist dafür schlecht geeignet​, Mullvad geht meistens, garantiert aber nichts). 
   
   Empfehlung: Für technisch Versierte, Datenschutz-Enthusiasten, Journalisten etc., die dem VPN-Anbieter maximal vertrauen können wollen, sind Mullvad oder IVPN ideal. Diese Dienste existieren, um Privatsphäre zu schützen, nicht um Marktanteile zu erobern.
2. Balance aus Privatsphäre und Features: ProtonVPN nimmt hier eine besondere Stellung ein. Es bietet ein hohes Datenschutzniveau (Schweizer Gesetz, No-Logs-Audit, Open Source), aber gleichzeitig den Komfort einer großen Plattform: schicke Apps, einen kostenlosen Plan zum Testen, Streaming-Unterstützung in teureren Plänen, etc. ProtonVPN ist gut für dich, wenn du Privacy schätzt, aber nicht auf Usability verzichten willst. Die Integration mit ProtonMail & Proton Drive ist ein Bonus, falls du ein ganzes Privacy-Ökosystem suchst. Durch Secure Core bietet Proton auch extra Sicherheitsschichten, die andere (außer IVPN) so nicht haben. 
   
   Empfehlung: Für den informierten Durchschnittsnutzer, der einen seriösen VPN möchte und bereit ist, ein paar Euro für Qualität zu zahlen, ist ProtonVPN sehr attraktiv. Du bekommst Transparenz ohne dich technisch zu sehr kümmern zu müssen. Proton hat zudem eine engagierte Community und kämpft politisch für Datenschutz – dein Geld unterstützt also „die Gute Sache“. Einzig wenn du absolute Top-Performance willst, ist Proton manchmal hinter Nord/Express, und Mullvad ist bei echter Anonymität nochmal konsequenter. Aber das Gesamtpaket ist sehr rund und zukunftssicher (Proton expandiert, bleibt aber Non-Profit-orientiert in der Grundhaltung).
3. Leistung, globale Abdeckung & Benutzerfreundlichkeit: ExpressVPN und NordVPN bedienen Nutzer, die neben Sicherheit auch viel Komfort und Leistung erwarten. Sie haben die größten Servernetzwerke, 24/7-Kundensupport, intuitive Apps und oft die schnellsten Geschwindigkeiten. Beide haben investiert, um technisch sicher zu sein (Audits, RAM-Server, eigene Protokolle), sodass man auch als anspruchsvoller Nutzer gut abgesichert ist. Allerdings muss man ihnen – als großen Anbietern – ein Stück weit vertrauen, dass sie ihr No-Logs-Versprechen halten. Die durchgeführten Audits und realen Tests sprechen derzeit dafür. Wenn du also Netflix aus aller Welt streamen, unterwegs immer schnellen VPN-Zugang auf jedem Gerät haben und dich nicht tiefer mit der Materie befassen willst, sind NordVPN oder ExpressVPN super Optionen.
   
   Empfehlung: Für Vielnutzer, die ein VPN für alle Lebenslagen wollen (Schutz im Café-WLAN, aber auch beim Gaming keinen großen Lag, oder auf Reisen lokale Inhalte schauen etc.), bieten Nord und Express die beste Erfahrung. NordVPN hat leicht die Nase vorn bei extra Features (Passwort-Manager, Meshnet, etc.), ExpressVPN oft beim Thema „Set and forget“ (kaum Wartung, immer stabil). Beide Dienste sind kommerziell erfolgreich, was ihre Nachhaltigkeit im Sinne von Weiterentwicklung garantiert – aber beobachte die Unternehmens-News (z.B. Express unter Kape) kritisch weiter. Bisher halten sie an hohen Datenschutzstandards fest, was hoffen lässt, dass das so bleibt.

Spezialfälle und andere Erwägungen:

Preis: Mullvad kostet 5€ monatlich (sehr fair, keine Rabatte nötig). IVPN ~6€ (Standard) bis 10€ (Pro) monatlich. ProtonVPN ~5€-10€ je nach Abo, NordVPN effektiv ~3-4€ im 2-Jahres-Plan (ansonsten 11€ monatlich), ExpressVPN ~6-7€ (Jahresplan) oder 12-13€ monatlich. Wenn Budget ein Hauptfaktor ist, fällt ExpressVPN oft raus (teuer ohne Langzeitabo). NordVPN lockt mit günstigen Angebote, Mullvad bleibt am transparentesten. ProtonVPN Free ist gut für Einsteiger, aber langsam und eingeschränkt – für ernsthafte Nutzung sollte man upgraden.

Nutzerfreundlichkeit: ExpressVPN gewinnt hier, dicht gefolgt von NordVPN und ProtonVPN. Mullvad/IVPN sind simpel gehalten, aber verzichten auf Schönheiten – manche Einsteiger fühlen sich da unsicherer, obwohl die Bedienung faktisch auch leicht ist (An/Aus, Länderauswahl).

Unabhängigkeit & Ethik: Mullvad und IVPN sind unabhängig, werden von kleinen Teams geführt, keine externen Investoren bekannt – Fokus rein auf Privacy. ProtonVPN wird von Proton AG (Geneva) getragen, die Community-getrieben ist (teilweise crowdfunded und zahlende Nutzer finanzieren Free-Angebot mit). NordVPN und ExpressVPN sind profitgetriebene Unternehmen mit Marketingbudgets; Nord gehört zu „Nord Security“, die auch andere Produkte verkaufen, Express zu Kape (börsennotiert). Das heißt nicht, dass sie unethisch handeln – aber sie haben andere Wachstumsziele. Einige Nutzer bevorzugen daher die unabhängigen, wenn es um Vertrauen geht.

Nachhaltigkeit der Sicherheitskonzepte: Hiermit ist gemeint, wie zukunftssicher und beständig die Sicherheitsmaßnahmen sind. RAM-only-Server, regelmäßige Audits, schnelle Adaption neuer Standards (z.B. Post-Quantum, IPv6-Support, neue OS-Versionen) – das alles spielt rein. ExpressVPN und NordVPN haben gezeigt, dass sie ständig updaten (Nord bspw. führte schnell RAM-Server nach dem Vorfall ein, Express macht jährlich Audits und Code-Überarbeitungen). ProtonVPN als Teil eines größeren Privacy-Projekts wird vermutlich auch langfristig auf dem neuesten Stand bleiben (sie haben genug Einnahmen durch ProtonMail-Pakete etc.). Mullvad/IVPN sind etwas konservativer, aber gerade Mullvad hat technisch immer wieder Akzente gesetzt (WireGuard early adopter, jetzt eigene Mullvad-OS, etc.). Also alle fünf schauen nach vorne.

Zu guter Letzt noch ein praktischer Hinweis: Du musst dich nicht auf einen einzigen VPN-Anbieter fürs Leben festlegen. Viele Privacy-Profis nutzen mehrere VPNs für unterschiedliche Zwecke (z.B. Mullvad für politisch sensibles, NordVPN für Streaming). Die meisten VPN-Apps kommen sich nicht ins Gehege, solange sie nicht gleichzeitig laufen. Du könntest z.B. Mullvad monatlich nutzen, wenn du besondere Anonymität brauchst, aber ein 2-Jahres-Abo von Nord für Alltag haben. Oder ProtonVPN Free als Fallback in der Hinterhand behalten. Wichtig ist, dass du den Überblick behältst und dich mit den Tools wohlfühlst.

Schlussgedanke: Ein VPN ist ein mächtiges Werkzeug für deine Privatsphäre – aber nur, wenn der Anbieter vertrauenswürdig ist. Die fünf hier analysierten VPNs gehören zur Spitzengruppe, was Sicherheit angeht. Unsere Empfehlung in Kürze:

1. Datenschutz extrem (No Compromise): Mullvad oder IVPN
2. Datenschutz + Komfort ausgewogen: ProtonVPN
3. Top Performance & Features, trotzdem sicher: NordVPN oder ExpressVPN, je nach Präferenz.

Alle fünf werden voraussichtlich auch künftig zu den sichersten VPN-Apps gehören, da sie den Kurs der Transparenz und Verbesserung weiter fortsetzen. Halte dich informiert (z.B. durch Transparenzberichte) und scheue dich nicht, auch mal zu wechseln, wenn dir etwas missfällt.

Quellenverzeichnis

[1] Mullvad Blog zur Polizei-Razzia:
https://mullvad.net/en/blog/2023/4/20/police-raid-we-dont-keep-information/
[2] Mullvad RAM-only-Server-Upgrade (Mullvad Blog):
https://mullvad.net/en/blog/2023/7/03/mullvad-vpn-server-upgrade/
[3] ProtonVPN Transparenzbericht & No-Logs:
https://protonvpn.com/blog/transparency-report/
https://protonvpn.com/support/no-logs-vpn/
[4] NordVPN Audits (2018, 2020, 2022):
https://nordvpn.com/blog/security-audit/
[5] Vorfall & Reaktion NordVPN (Data-Center-Breach 2018):
https://nordvpn.com/blog/official-response-datacenter-breach/
[6] IVPN Transparenzbericht & Open-Source-Apps:
https://www.ivpn.net/transparency-report/
https://github.com/ivpn
[7] ExpressVPN TrustedServer-Technologie (RAM-only):
https://www.expressvpn.com/blog/introducing-trustedserver/
[8] ExpressVPN Trust Center (Audits & Sicherheitsberichte):
https://www.expressvpn.com/trust-center
[9] Übernahme ExpressVPN durch Kape (ArsTechnica):
https://arstechnica.com/information-technology/2021/09/company-notorious-for-malware-buys-expressvpn/
[10] HideMyAss gab Daten an FBI, LulzSec-Fall:
https://www.zdnet.com/article/hide-my-ass-vpn-gave-fbi-lulzsec-hacker-logs/
[11] PureVPN & FBI (The Register):
https://www.theregister.com/2017/10/10/purevpn_helps_fbi_arrest_vpn_user/
[12] IPVanish loggte Daten (Engadget):
https://www.engadget.com/2018-06-06-ipvanish-allegedly-logged-data.html
[13] Hola VPN Botnet (Adios-Hola):
https://adios-hola.org/
[14] Leck bei Free-VPN-Anbietern (Comparitech):
https://www.comparitech.com/blog/vpn-privacy/free-vpn-database-leak/
[15] EU-Chatkontrolle – Überblick bei netzpolitik.org:
https://netzpolitik.org/2022/chatkontrolle-platz-eins-der-netzpolitik-themen-2022/
[16] EU-Ministerstreben nach Datenaufbewahrung (Euractiv):
https://www.euractiv.com/section/data-protection/news/eu-ministers-embark-on-reviving-mass-data-retention/
[17] Urteil des Europäischen Gerichtshofs (zum dt. Gesetz zur Vorratsdatenspeicherung, 2022):
https://curia.europa.eu/jcms/upload/docs/application/pdf/2022-09/cp220157en.pdf
[18] ProtonVPN zum Rückzug aus Indien:
https://protonvpn.com/blog/india-new-vpn-regulations/
[19] ExpressVPN entfernt Indien-Server:
https://www.expressvpn.com/blog/expressvpn-removes-india-based-servers/
[20] Mullvad experimentiert mit Post-Quantum-VPN:
https://mullvad.net/en/help/post-quantum-vpn-tunnel/