Wie VPN-Verschlüsselung wirklich funktioniert: AES-256, der Handshake und Tunneling entmystifiziert
Wie VPN-Verschlüsselung wirklich funktioniert: AES-256, der Handshake und Tunneling entmystifiziert
Die meisten Erklärungen zur VPN-Verschlüsselung enden bei einem beruhigenden Werbeslogan: „Ihr Datenverkehr wird mit militärtauglicher AES-256-Verschlüsselung geschützt.“ Das sagt fast nichts darüber aus, was tatsächlich mit Ihren Daten geschieht. Der spannende Teil — den nahezu jeder konkurrierende Artikel überspringt — ist der erste Schritt jeder sicheren Verbindung, bei dem sich zwei Computer, die einander nie begegnet sind, auf einen geheimen Schlüssel einigen, während ein feindseliges Netzwerk jedes ausgetauschte Byte beobachtet.
Dieser Artikel verfolgt ein einzelnes Datenpaket durch seinen gesamten Lebenszyklus: den Handshake, den Schlüsselaustausch, die symmetrische Verschlüsselung, die die eigentliche Arbeit leistet, das Tunneling, das alles einpackt, und die Entschlüsselung am anderen Ende. Unterwegs erklären wir, was AES-256 wirklich ist, warum der Ausdruck „militärtauglich“ Marketing und keine technische Spezifikation darstellt und wo Ihr Schutz tatsächlich beginnt und endet. Ohne Schaumschlägerei, ohne Panikmache.
Die zwei Arten der Kryptografie und warum ein VPN beide braucht
Bevor wir ein Paket verfolgen, brauchen Sie einen grundlegenden Gedanken: Es gibt zwei grundverschiedene Familien der Verschlüsselung, und ein VPN nutzt jede für eine andere Aufgabe.
Symmetrische Verschlüsselung verwendet einen einzigen gemeinsamen Schlüssel zum Ver- und Entschlüsseln. Dasselbe Geheimnis verschlüsselt die Daten und entschlüsselt sie wieder. Sie ist extrem schnell — moderne CPUs verschlüsseln symmetrische Daten mit Gigabytes pro Sekunde dank dedizierter AES-Befehle (Intel- und AMD-Chips liefern seit etwa 2010 die Hardwarebeschleunigung AES-NI). Der Haken liegt auf der Hand: Beide Seiten benötigen denselben Schlüssel, und man kann einen geheimen Schlüssel nicht einfach über ein nicht vertrauenswürdiges Netzwerk schicken, in dem Lauscher mithören.
Asymmetrische Verschlüsselung (Public-Key-Kryptografie) verwendet ein mathematisch verbundenes Schlüsselpaar: einen öffentlichen Schlüssel, den jeder kennen darf, und einen privaten Schlüssel, der geheim bleibt. Was mit dem einen verschlossen wurde, lässt sich nur mit dem anderen öffnen. Das löst das Problem der Schlüsselverteilung elegant — man kann einen öffentlichen Schlüssel offen weitergeben —, ist aber weitaus langsamer und für die Verschlüsselung eines kontinuierlichen Datenstroms nicht praktikabel.
Der elegante Kniff im Kern jedes VPN (und jeder HTTPS-Website) besteht darin, beide zu kombinieren: die langsame asymmetrische Mathematik einmal zu Beginn zu nutzen, einzig um sich auf einen schnellen symmetrischen Schlüssel zu einigen. Anschließend wird die schwere Maschinerie weggeworfen und die schnelle Chiffre erledigt die gesamte Massenarbeit. Diese einleitende Verhandlung nennt man den Handshake.
Schritt 1: Der Handshake und der Schlüsselaustausch
Wenn sich Ihre VPN-App verbindet, führen Ihr Gerät und der VPN-Server einen Handshake durch, bevor auch nur ein einziges Byte Ihres Surfens geschützt ist. Das Ziel ist eng umrissen und genau festgelegt: Am Ende soll auf beiden Maschinen ein identischer symmetrischer Schlüssel stehen, den kein Beobachter hätte berechnen können, und es soll bestätigt sein, dass der Server der ist, der er zu sein vorgibt.
Zuerst kommt die Authentifizierung. Der Server legt ein Zertifikat mit seinem öffentlichen Schlüssel vor, und Ihr Client überprüft eine digitale Signatur, um sich zu vergewissern, dass er mit dem echten Server spricht und nicht mit einem Hochstapler, der einen Machine-in-the-Middle-Angriff ausführt. Hier verrichten typischerweise RSA- oder ECDSA-Signaturen ihre Arbeit.
Dann folgt die Schlüsseleinigung, und das ist der Schritt, den es zu verstehen lohnt. Moderne VPNs verwenden Diffie-Hellman, fast immer dessen Variante auf elliptischen Kurven, ECDH. Diffie-Hellman ist ein bemerkenswertes Stück Mathematik: Beide Parteien tauschen öffentliche Werte im Klartext aus, jede kombiniert den öffentlichen Wert der Gegenseite mit ihrem eigenen privaten Geheimnis und — dank der zugrunde liegenden Zahlentheorie — gelangen beide unabhängig voneinander zum gleichen gemeinsamen Geheimnis. Ein Lauscher, der alles über die Leitung Geschickte aufgezeichnet hat, kann dieses Geheimnis dennoch nicht ableiten, denn die privaten Hälften reisen niemals irgendwohin.
Der einzige Zweck des Handshakes ist es, ein gemeinsames Geheimnis vor aller Augen zu erzeugen — einen Schlüssel, den beide Enden identisch berechnen und den dennoch kein Beobachter aus dem mitverfolgten Datenverkehr rekonstruieren kann.
Aus diesem gemeinsamen Geheimnis leiten beide Seiten die symmetrischen Sitzungsschlüssel ab, die Ihren eigentlichen Datenverkehr verschlüsseln. Der aufwendige Public-Key-Schritt ist nun abgeschlossen. Bei WireGuard baut dieser Austausch auf Curve25519 auf; bei OpenVPN und IKEv2/IPsec wird er als Teil des TLS- bzw. IKE-Handshakes ausgehandelt. Die konkreten Namen unterscheiden sich, doch die Grundform ist bei allen identisch.
Schritt 2: Was AES-256 wirklich ist
Mit einem gemeinsamen symmetrischen Schlüssel in der Hand wechselt das VPN zu seiner Arbeitspferd-Chiffre — meist AES, dem Advanced Encryption Standard. AES wurde 2001 vom US-amerikanischen National Institute of Standards and Technology (NIST) standardisiert und in einem offenen öffentlichen Wettbewerb ausgewählt; der Siegeralgorithmus hieß ursprünglich Rijndael und wurde von den belgischen Kryptografen Joan Daemen und Vincent Rijmen entworfen.
Folgendes erklärt das Marketing nur selten. AES ist eine Blockchiffre: Sie verschlüsselt Daten in festen 128-Bit-Blöcken (jeweils 16 Byte). Die „256“ bezieht sich auf die Schlüssellänge — 256 Bit — und nicht auf die Blockgröße. AES verarbeitet jeden Block durch mehrere Runden aus Substitution, Permutation und Durchmischung: AES-128 nutzt 10 Runden, AES-192 nutzt 12 und AES-256 nutzt 14 Runden. Mehr Runden und ein längerer Schlüssel bedeuten eine größere Sicherheitsreserve bei nur geringen Leistungseinbußen.
Blockgröße: 128 Bit, identisch für jede AES-Variante.
Schlüssellänge: 128, 192 oder 256 Bit — das ist der einzige Unterschied, auf den sich die Zahl bezieht.
Runden: 10 / 12 / 14 — entsprechend mehr Transformationsdurchläufe für längere Schlüssel.
Der Modus zählt: Rohes AES braucht einen Betriebsmodus (wie GCM oder CBC), um Datenströme sicher zu verschlüsseln; ein VPN nutzt einen authentifizierten Modus, niemals reine Blockverschlüsselung.
„Militärtaugliche Verschlüsselung“: Das Etikett entzaubert
„Militärtaugliche Verschlüsselung“ ist ein Werbespruch, keine technische Zertifizierung. Es gibt keine Normungsstelle, die Software als militärtauglich abstempelt. Anbieter meinen damit, dass AES-256 von der US-amerikanischen National Security Agency zum Schutz von Verschlusssachen bis hinauf zu TOP SECRET zugelassen ist — was stimmt, aber dieselbe NSA-Vorgabe lässt auch AES-128 für Daten der Stufe SECRET zu. Beides ist AES; beides gilt als sicher.
Die ehrliche Fassung lautet so: AES-128 und AES-256 sind beide, soweit die öffentliche Kryptoanalyse weiß, durch Brute-Force praktisch unknackbar. Ein 128-Bit-Schlüssel hat 2^128 mögliche Werte — etwa 340 Sextillionen. Selbst wenn Sie jeden Computer der Erde requirieren würden, hätten Sie einen einzigen AES-128-Schlüssel nicht per Brute-Force geknackt, bevor die Sonne erlischt. Der 2^256 große Schlüsselraum von AES-256 ist nicht „doppelt“ so stark; er ist abermals astronomisch größer, doch Sie waren schon längst jenseits jedes praktisch durchführbaren Angriffs. Der reale Unterschied zwischen AES-128 und AES-256 gegenüber Brute-Force ist für alle praktischen Zwecke gleich null — beide liegen außer Reichweite.
Warum dann AES-256 vorziehen? Teils als Reserve gegen künftige kryptoanalytische Fortschritte, teils weil Quantencomputing (dazu unten mehr) die effektive Schlüsselstärke theoretisch halbiert, wodurch AES-256 einen komfortableren Puffer behält. Doch wenn ein VPN Sie schützt, dann nicht wegen des Unterschieds zwischen 128 und 256 Bit. Es liegt an allem, was rund um die Chiffre geschieht — dem Handshake, der Schlüsselverwaltung, der Implementierung. Eine makellose Chiffre mit einem fehlerhaften Handshake schützt gar nichts.
Schritt 3: Tunneling — das Paket einpacken
Nun zu den eigentlichen Daten. Angenommen, Sie rufen eine Webseite ab. Ihr Gerät baut ein normales IP-Paket: einen Header mit der Zieladresse und eine Nutzlast mit Ihrer Anfrage. Ohne VPN reist dieses Paket durch das Netz Ihres Internetanbieters, wobei sein Ziel — und oft auch sein Inhalt — sichtbar ist.
Mit einem VPN findet Kapselung statt. Der VPN-Client nimmt Ihr gesamtes ursprüngliches Paket — samt Header — und verschlüsselt es mit dem symmetrischen Sitzungsschlüssel zu einem unlesbaren Klumpen. Dann packt er diesen Klumpen in ein neues äußeres Paket. Der Header des äußeren Pakets verrät der Außenwelt nur eine einzige Sache: Dies ist Datenverkehr, der zum VPN-Server geht. Ihr ursprüngliches Ziel ist in der verschlüsselten Nutzlast versiegelt.
Das ist der „Tunnel“. Er ist kein physisches Rohr; er ist diese Matrjoschka-Anordnung, bei der Ihr echtes Paket zur verschlüsselten Fracht eines neuen wird. Jeder, der Ihr lokales Netzwerk beobachtet — Ihr Internetanbieter, jemand im selben Café-WLAN, ein Netzbetreiber —, sieht verschlüsselte Pakete zur IP-Adresse eines VPN-Servers fließen und nichts darüber, was darin steckt oder wohin sie letztlich gehen.
Ursprüngliches Paket: Ihr echtes Ziel + Ihre Daten — ohne VPN sichtbar.
Verschlüsselte Nutzlast: dieses ganze Paket, mit dem Sitzungsschlüssel verwürfelt.
Neuer äußerer Header: nur an den VPN-Server adressiert — alles, was ein Lauscher lesen kann.
Ergebnis: Beobachter erfahren, dass Sie ein VPN nutzen und wie viele Daten fließen, aber nicht deren Inhalt oder endgültiges Ziel.
Schritt 4: Entschlüsselung am Server und der Rückweg
Das eingepackte Paket erreicht den VPN-Server. Der Server besitzt den passenden symmetrischen Sitzungsschlüssel, entschlüsselt also die äußere Nutzlast, stellt Ihr ursprüngliches Paket wieder her und liest dessen wahres Ziel. Anschließend leitet er diese Anfrage in Ihrem Namen ins weite Internet weiter — doch nun scheint die Anfrage von der IP-Adresse des Servers zu stammen, nicht von Ihrer. Deshalb ändert ein VPN Ihren scheinbaren Standort.
Die Website antwortet dem VPN-Server. Der Server verschlüsselt diese Antwort mit demselben Sitzungsschlüssel, kapselt sie und schickt sie durch den Tunnel zurück an Ihr Gerät, das sie entschlüsselt. Jeder Hin- und Rückweg wiederholt dies: verschlüsseln, kapseln, übertragen, entkapseln, entschlüsseln. Da die symmetrische Chiffre hardwarebeschleunigt ist, entsteht dadurch nur ein geringer Mehraufwand — die Verzögerung, die Sie bemerken, rührt überwiegend vom physischen Umweg her, den Ihr Datenverkehr über den Server nimmt, nicht von der Mathematik.
Es geht nicht nur um Geheimhaltung: Integrität und Authentifizierung
Verschlüsselung verbirgt Ihre Daten, beweist aber für sich genommen nicht, dass die Daten unverändert ankamen. Ein raffinierter Angreifer kann mitunter Bits im Chiffretext umkippen, um den Klartext zu beschädigen oder zu manipulieren, ohne ihn jemals zu entschlüsseln. Sichere VPNs wehren das mit Integritäts- und Authentifizierungs-Prüfungen ab, nicht nur mit Vertraulichkeit.
Ältere Konstruktionen setzen einen separaten HMAC (Hash-based Message Authentication Code) obendrauf: ein kryptografisches Prüfzeichen, das über das Paket berechnet wird, sodass der Empfänger jede Manipulation erkennen kann. Moderne Konstruktionen nutzen AEAD-Chiffren — Authenticated Encryption with Associated Data —, die Verschlüsselung und Integrität in einem Vorgang vereinen. AES-GCM und ChaCha20-Poly1305 sind die beiden vorherrschenden AEAD-Konstruktionen. Wird auch nur ein einziges Bit eines AEAD-Pakets unterwegs verändert, schlägt die Prüfung des Authentifizierungs-Tags fehl und das Paket wird verworfen, statt ihm zu vertrauen.
ChaCha20-Poly1305 verdient eine Erwähnung, weil WireGuard sie ausschließlich verwendet und sie auf Geräten ohne AES-Hardwarebeschleunigung der Standard ist — viele Smartphones und schwächere Prozessoren führen ChaCha20 schneller und gleichmäßiger in der Laufzeit aus als AES. Sie ist nicht schwächer als AES; sie ist eine andere, ebenso angesehene moderne Chiffre, entworfen von Daniel J. Bernstein.
Perfect Forward Secrecy: Warum ein gestohlener Schlüssel kein Generalschlüssel ist
Es gibt eine Eigenschaft, die seriöse VPN-Konfigurationen von schludrigen trennt: Perfect Forward Secrecy (PFS). Die während des Handshakes abgeleiteten Sitzungsschlüssel sind ephemer — vorübergehend, für jede Sitzung frisch erzeugt, regelmäßig erneuert und danach verworfen. Sie werden niemals als langfristige Geheimnisse auf die Festplatte geschrieben.
Die Folge ist bedeutsam. Angenommen, ein Gegner zeichnet heute Ihren gesamten verschlüsselten Datenverkehr auf und speichert ihn, kompromittiert dann Jahre später den VPN-Server und stiehlt dessen langfristigen privaten Schlüssel. Mit Forward Secrecy entschlüsselt dieser gestohlene Schlüssel Ihre vergangenen Sitzungen nicht rückwirkend, denn die tatsächlichen Sitzungsschlüssel waren ephemer und längst verschwunden — sie ließen sich nie allein aus dem langfristigen Schlüssel ableiten. Jede Sitzung ist in ihrem eigenen Moment versiegelt. Genau deshalb verwendet der Handshake ephemeres Diffie-Hellman (oft als ECDHE geschrieben, das abschließende E für „ephemer“) und nicht die Wiederverwendung eines statischen Schlüssels.
Wo die Verschlüsselung endet: Der Ausgangs-Hop ist entscheidend
Ein weitverbreiteter Irrtum besagt, ein VPN verschlüssele Ihren Datenverkehr bis zur Website hin. Das tut es nicht. Die VPN-Verschlüsselung schützt die Strecke zwischen Ihrem Gerät und dem VPN-Server — Punkt. Sobald der Server Ihr Paket entschlüsselt und an sein echtes Ziel weiterleitet, setzen Ihre Daten ihren Weg durch das öffentliche Internet fort — und zwar unter dem Schutz, den auch immer das Ziel bietet.
Deshalb ist HTTPS auch mit einem VPN weiterhin wichtig. Wenn Sie eine https://-Seite besuchen, trägt dieser Datenverkehr seine eigene unabhängige TLS-Verschlüsselung Ende-zu-Ende, sodass er auch hinter dem VPN-Ausgang geschützt bleibt. Senden Sie jedoch etwas über einfaches http://, verlässt es den VPN-Server im Klartext und ist für jeden zwischen Server und Ziel lesbar. Ein VPN verschiebt nur, wer Ihren unverschlüsselten Ausgangsverkehr sehen kann — vom lokalen Internetanbieter hin zum VPN-Anbieter und dem nachgelagerten Netz —, es macht Klartext nicht auf magische Weise sicher. Wählen Sie einen Anbieter, dem Sie diese Position anzuvertrauen bereit sind, und nutzen Sie weiterhin HTTPS.
Verbreitete Mythen, richtiggestellt
„AES-256 ist unknackbar.“ Kein ernstzunehmendes System ist für immer unknackbar, und Angriffe zielen ohnehin selten auf die Chiffre — sie zielen auf schwache Schlüssel, fehlerhafte Implementierungen, geleakte Zugangsdaten oder den Menschen, der die Software bedient. Die Mathematik ist das stärkste Glied; alles drumherum ist weicher.
„Die brechen das einfach per Brute-Force.“ Einen 128-Bit-Schlüssel per Brute-Force zu knacken ist nicht etwa langsam — es ist physikalisch undurchführbar. Die Zahlen sprengen das Energie- und Zeitbudget des beobachtbaren Universums. Echte Einbrüche entstehen, indem man die Chiffre umgeht, nicht indem man sie bezwingt.
„Quantencomputer brechen mein VPN sofort.“ Das ist die am stärksten überzeichnete Behauptung. Grovers Algorithmus könnte die effektive Stärke eines symmetrischen Schlüssels theoretisch halbieren und AES-256 auf eine immer noch komfortable Reserve von ~128 Bit reduzieren. Die größere langfristige Sorge ist der asymmetrische Handshake (RSA/ECDH), den Shors Algorithmus bedroht — weshalb die Branche zu Post-Quanten-Schlüsselaustausch migriert. Doch ein Quantencomputer, der dazu fähig wäre, existiert heute nicht, und „Harvest now, decrypt later“ ist ein künftiges Risiko, kein gegenwärtiger Bruch.
„Mehr Bits bedeuten immer mehr Sicherheit.“ Jenseits einer gewissen Schwelle spielt die Schlüssellänge gegen Brute-Force keine Rolle mehr. Protokolldesign, Forward Secrecy und saubere Implementierung bestimmen die reale Sicherheit weit stärker als 128 gegenüber 256.
Das praktische Fazit
Streift man die Slogans ab, ist die Verschlüsselung eines VPN eine klare, gut verstandene Pipeline: Ein Public-Key-Handshake bringt einen gemeinsamen symmetrischen Schlüssel auf den Weg, dieser Schlüssel treibt eine schnelle authentifizierte Chiffre wie AES-GCM oder ChaCha20-Poly1305 an, Ihre Pakete werden in verschlüsselte äußere Pakete gekapselt, und ephemere Schlüssel sorgen dafür, dass die Geheimnisse von heute geheim bleiben, selbst wenn ein Server morgen kompromittiert wird.
Die Chiffre (AES-128 vs. AES-256) ist selten der ausschlaggebende Faktor — beide liegen weit jenseits von Brute-Force.
Setzen Sie auf ein modernes Protokoll (WireGuard oder gut konfiguriertes OpenVPN/IKEv2), authentifizierte AEAD-Verschlüsselung und Perfect Forward Secrecy.
Denken Sie daran, dass die Verschlüsselung am VPN-Server endet — nutzen Sie weiterhin HTTPS für echten Ende-zu-Ende-Schutz.
Behandeln Sie „militärtauglich“ und „unknackbar“ als Marketing-Geräusch; beurteilen Sie ein VPN nach seiner Implementierung, seinem Umgang mit Schlüsseln und dem Vertrauen, das Sie in seinen Betreiber setzen.
Häufig gestellte Fragen
Ist „militärtaugliche Verschlüsselung“ echt oder nur Marketing?
Es ist Marketing. Es gibt keine offizielle „militärtaugliche“ Zertifizierung. Der Ausdruck bezieht sich meist auf AES-256, das die US-amerikanische NSA tatsächlich für Verschlusssachen bis hinauf zu TOP SECRET zulässt — aber die NSA lässt AES-128 auch für Daten der Stufe SECRET zu. Die Chiffre ist real und stark; das Etikett ist nur ein Verkaufsbegriff drumherum.
Was ist AES-256-Verschlüsselung, einfach erklärt?
AES-256 ist der Advanced Encryption Standard mit einem 256-Bit-Schlüssel. Es ist eine Blockchiffre, die Daten in 128-Bit-Blöcken durch 14 Runden mathematischer Transformation verwürfelt. Die „256“ bezieht sich nur auf die Schlüssellänge, nicht auf die Blockgröße, und AES gehört zu den am gründlichsten analysierten und vertrauenswürdigsten Chiffren im heutigen Einsatz.
Was geschieht eigentlich während eines VPN-Handshakes?
Der VPN-Handshake authentifiziert den Server (über ein Zertifikat und eine digitale Signatur) und führt einen Schlüsselaustausch durch — meist Diffie-Hellman auf elliptischen Kurven —, sodass beide Seiten unabhängig denselben geheimen symmetrischen Schlüssel berechnen, ohne ihn jemals über das Netzwerk zu senden. Dieser symmetrische Schlüssel verschlüsselt dann Ihren gesamten echten Datenverkehr, womit die langsame Public-Key-Mathematik zu einem einmaligen Einrichtungsschritt wird.
Wie funktioniert VPN-Tunneling?
VPN-Tunneling, auch Kapselung genannt, nimmt Ihr ursprüngliches Datenpaket, verschlüsselt es vollständig und packt es in ein neues äußeres Paket, das nur an den VPN-Server adressiert ist. Beobachter in Ihrem lokalen Netzwerk sehen verschlüsselten Verkehr zum Server fließen und nichts über dessen Inhalt oder wahres Ziel. Der Server packt es aus, entschlüsselt es und leitet es dann an das echte Ziel weiter.
Ist AES-256 für ein VPN besser als AES-128?
In der Praxis ist der Unterschied gegenüber Brute-Force-Angriffen vernachlässigbar — beide sind rechnerisch undurchführbar zu knacken, da schon der 2^128 große Schlüsselraum von AES-128 jede realistische Rechenleistung übersteigt. AES-256 bietet eine größere Sicherheitsreserve und einen besseren Puffer gegen künftige Quantenfortschritte, doch die reale VPN-Sicherheit hängt weit stärker von Protokolldesign, Forward Secrecy und Implementierungsqualität ab als von der Schlüsselgröße.
Was ist Perfect Forward Secrecy und warum ist sie wichtig?
Perfect Forward Secrecy bedeutet, dass jede Sitzung vorübergehende, ephemere Schlüssel verwendet, die frisch erzeugt und danach verworfen werden. Stiehlt ein Angreifer später den langfristigen privaten Schlüssel des VPN-Servers, kann er Ihre früheren aufgezeichneten Sitzungen dennoch nicht entschlüsseln, weil diese Sitzungsschlüssel nicht mehr existieren und sich nie allein aus dem langfristigen Schlüssel ableiten ließen. Sie schützt Ihre Vergangenheit gegen eine künftige Kompromittierung.
Verschlüsselt ein VPN meinen Datenverkehr bis zur Website hin?
Nein. Die VPN-Verschlüsselung schützt nur die Strecke zwischen Ihrem Gerät und dem VPN-Server. Sobald der Server Ihren Datenverkehr entschlüsselt und weiterleitet, hängt der Schutz vom Ziel ab — HTTPS-Seiten bleiben Ende-zu-Ende verschlüsselt, aber einfacher HTTP-Verkehr verlässt den VPN-Server als lesbaren Klartext. Deshalb sollten Sie auch mit einem VPN weiterhin HTTPS nutzen.
