Im Hotel-WLAN sicher — und mit zu Hause verbunden

Wer im eigenen Land mit dem eigenen Mobilfunktarif bleibt und keine sensiblen Konten über fremdes WLAN nutzt, kommt ohne VPN aus. Für so gut wie jede Auslandsreise mit WLAN oder Fernzugriff auf eigene Konten gehört es in dieselbe Essential-Schublade wie Reiseversicherung und Reise­stecker.

• Du loggst dich irgendwo aus Hotel-, Flughafen- oder Café-WLAN ein: Offene und geteilte Netzwerke sind der wichtigste Grund, warum Reisende ein VPN brauchen. Alles, was du eintippst — Passwörter, Banking-Sitzungen, E-Mails — kann ohne richtige Vorkehrungen von anderen im selben Netz abgegriffen werden. Ein VPN verschlüsselt jedes Byte, bevor es dein Gerät verlässt, und macht solche Mitschnitte unlesbar.
• Banking, Bezahl-Apps und Heim-Dienste sollen weiterlaufen: Viele Banken und Zahlungsanbieter erkennen eine fremde IP und sperren die Sitzung wegen Verdacht auf Betrug. Ein VPN leitet deine Verbindung über einen Server in deinem Heimatland, damit die Bank eine vertraute Adresse sieht und dich durchlässt. Sonst stehst du im Ausland vor einem gesperrten Konto, einer abgelehnten Kartenzahlung oder einer Zwei-Faktor-Abfrage, die du nicht weiterbringst.
• Dir liegt am gewohnten Streaming, an Nachrichten oder Sport: Streaming­dienste tauschen ihren Katalog je nach Region wegen Lizenzen. Nachrichtenseiten und Sportübertragungen tun dasselbe. Eine VPN-Verbindung über dein Heimatland stellt die Bibliothek wieder her, für die du bezahlst, inklusive der Live-Übertragungen, die du sonst verpassen würdest.
• Dein Zielland hat ein restriktives Netz: Manche Netze blockieren beliebte Messaging-Apps, soziale Plattformen oder Cloud-Dienste. Ein VPN tunnelt da durch, weil der lokale Filter nur verschlüsselten Verkehr zum VPN-Server sieht, nicht welche Dienste du tatsächlich nutzt.

Ein VPN — Virtual Private Network — baut einen verschlüsselten Tunnel zwischen deinem Gerät und einem Server des Anbieters auf. Alles, was du sendest, läuft durch diesen Tunnel, bevor es ins eigentliche Internet weitergereicht wird. Von außen — fürs Hotel-WLAN-System, andere Gäste im selben Funknetz, den lokalen Internet­anbieter — ist dein Verkehr verschlüsselter Datenmüll, der zu einem Server irgendwo fließt. Niemand kann die Inhalte lesen, sehen welche Seiten du besuchst oder Passwörter abgreifen.

Der VPN-Server ist dann der Mittler. Er empfängt deine verschlüsselte Anfrage, entschlüsselt sie, leitet sie an die Webseite oder App weiter, die du wirklich erreichen wolltest, nimmt die Antwort entgegen, verschlüsselt sie wieder und schickt sie durch den Tunnel zurück. Aus Sicht der Webseite kommt die Anfrage vom Standort des VPN-Servers, nicht von deinem. Genau deshalb funktionieren Bank und Streaming weiter: aus ihrer Sicht bist du nach wie vor zu Hause.

All das läuft ständig und unsichtbar. Sobald das VPN verbunden ist, nutzt du Telefon oder Laptop ganz normal weiter. Seiten laden, Apps funktionieren, E-Mails kommen rein und raus. Der einzige Unterschied: alles ist unterwegs verschlüsselt, dein tatsächlicher Standort verborgen.

Öffentliches WLAN ist der wichtigste Grund, warum Reisende zum VPN greifen, und das Risiko ist nicht theoretisch. Hotelhallen, Flughafen-Terminals, Bahnhofs­bereiche und Cafés betreiben offene oder geteilte Netze. Dort kann sich jemand mit einfachen Mitteln zwischen dich und den Router schieben — der sogenannte Man-in-the-Middle-Angriff — und liest deine Daten still im Vorbeigehen mit. Die häufigere Variante ist der Evil Twin: ein gefälschtes WLAN mit einem Namen wie Hotel_Guest_WiFi, das echt aussieht, aber in Wirklichkeit dem Angreifer gehört. Dein Gerät verbindet sich automatisch mit dem stärksten Signal, und ab da geht alles durch Geräte, die du nicht kontrollierst.

Moderne Webseiten nutzen meist HTTPS, das den Inhalt einer einzelnen Browser-Sitzung verschlüsselt. Aber HTTPS deckt nicht alles ab. Es deckt nicht die Mail-App ab, die im Hintergrund neue Nachrichten abruft. Es deckt nicht die Metadaten der meisten Messaging-Apps ab. Es deckt nicht die DNS-Abfragen ab, die leise jede Domain verraten, die du besuchst. Ein VPN verschlüsselt all das schon auf Geräteebene, bevor das Netzwerk überhaupt etwas davon sieht. Selbst in einem kompromittierten WLAN bekommt der Betreiber nichts Lesbares.

Die andere Kategorie sind standortbewusste Dienste. Die Bankenseite erkennt eine fremde IP und löst Betrugs­prävention aus, sperrt dein Konto bis du beim Kundenservice anrufst — was unpraktisch ist, wenn sechs Zeitzonen dazwischen liegen. Streaming­plattformen zeigen eine andere Bibliothek oder sperren dich ganz aus. Flug- und Hotelportale schubsen Preise mit deinem erkannten Standort. Eine VPN-Verbindung über einen Server in einem Land deiner Wahl hebelt all das aus. Die Bank sieht dich zu Hause. Der Streamingdienst zeigt deine gewohnte Bibliothek. Die Buchungs­seiten können ihre standortbasierte Preisgestaltung nicht mehr auf dich anwenden.

Und in Netzen, die aggressiv filtern — manches Firmen-WLAN, manche Hotelnetze, bestimmte überregionale Filter­systeme — tunnelt ein gutes VPN sauber durch, weil der Filter nur verschlüsselten Verkehr zu einem VPN-Server sieht. Welche Dienste du tatsächlich nutzt, bleibt für den Filter unsichtbar.

• Ein VPN macht dich nicht anonym: Dein VPN-Anbieter sieht deine echte IP und mit welchen Seiten du dich verbindest. Seriöse Anbieter verpflichten sich auf No-Logging-Richtlinien, die von unabhängigen Firmen geprüft werden, aber das ist ihr Wort — du vertraust ihnen. Wenn echte Anonymität tatsächlich dein Ziel ist (für die meisten Reisenden ist sie es nicht), reicht ein VPN allein nicht.
• Ein VPN bremst die Verbindung leicht: Verschlüsselung kostet ein bisschen Rechenleistung, und der Umweg über einen entfernten Server kostet Strecke. Ein guter Anbieter nimmt dir typischerweise 10 bis 30 Prozent Rohgeschwindigkeit ab — beim Browsen und bei Mails kaum spürbar, bei Videoanrufen und großen Downloads schon. Wähl einen Server, der nahe an deinem tatsächlichen Standort liegt, um den Verlust klein zu halten.
• Manche Netze blockieren VPNs aktiv: Manches Firmen-WLAN, manche Hotel-Captive-Portale und manche Filter­systeme nutzen Deep Packet Inspection, um VPN-Verkehr zu erkennen und zu droppen. Premium-Anbieter kontern mit Obfuscation, die VPN-Verkehr als gewöhnliches HTTPS tarnt. Wenn eine Verbindung scheitert, hilft Protokollwechsel oder Obfuscation in den meisten Fällen.
• Manche Dienste erkennen VPN-Nutzung: Banken und Streamingdienste pflegen Listen von IP-Bereichen bekannter VPN-Anbieter. Manche sperren diese Bereiche komplett, andere lassen dich rein, markieren die Sitzung aber für zusätzliche Prüfung — ein weiterer Code, eine vorübergehende Sperre, eine Folgemeldung. Das ist Sicherheit, die wie vorgesehen funktioniert, kein Fehler. Wer der Bank die Reisedaten vorab meldet, reduziert die Reibung deutlich.

• Auf jedem Reisegerät installieren: Telefon, Laptop, Tablet. Premium-Anbieter erlauben fünf bis zehn gleichzeitige Verbindungen pro Konto, du musst also nicht jonglieren. Installiere die native App statt einer Browser-Erweiterung — Erweiterungen verschlüsseln nur Browser-Tabs, native Apps verschlüsseln alles, was das Gerät sendet.
• Gegen reale Anwendungen testen: Verbinde dich mit einem Server in deinem Heimatland und prüfe genau das, was du wirklich brauchst: Bank-Login geht, die Zwei-Faktor-Abfrage kommt rein, die Streaming-Bibliothek spielt, die Arbeitstools laden. Dann probier einen Server nahe dem Zielort und prüfe dasselbe. Was zu Hause scheitert, scheitert auch unterwegs — beheb es jetzt.
• Kill Switch einschalten: Der Kill Switch ist die wichtigste Funktion auf Reisen. Er blockt allen Internet­verkehr, sobald die VPN-Verbindung plötzlich abbricht — das passiert, wenn der Laptop aus dem Ruhe­zustand erwacht, wenn du WLAN wechselst oder wenn das Hotel-Netz wackelig wird. Ohne ihn fällt das Gerät stillschweigend auf das ungeschützte Netz zurück, und die Banking-App schickt vielleicht eine Anfrage mit deiner echten IP, bevor du es bemerkst.
• DNS-Leak-Schutz prüfen: DNS-Anfragen übersetzen Webseiten­namen in Adressen. Wenn diese Anfragen am Tunnel vorbeilaufen, sieht jeder, der das Netz beobachtet, jede Domain, die du besuchst — selbst wenn die Inhalte verschlüsselt sind. Gute VPN-Apps leiten DNS automatisch durch den Tunnel, aber es lohnt sich, das mit einer Leak-Test-Seite zu bestätigen, während du verbunden bist.
• Ein Ausweich-Protokoll bereithalten: Wenn das Standardprotokoll am Zielort nicht baut, ist es wichtig zu wissen, wie man wechselt. Die meisten Anbieter haben mehrere Optionen — WireGuard, OpenVPN, manchmal einen eigenen Obfuscation-Modus. Der Standard-Rettungsschritt ist von WireGuard auf OpenVPN über TCP-Port 443 zu wechseln, was für die meisten Filter wie normaler Web-Verkehr aussieht.

• Ein kostenloses VPN nutzen: Kostenlose VPN-Anbieter brauchen Einnahmen, und wenn du nicht mit Geld zahlst, zahlst du mit Daten. Sie monetarisieren meist, indem sie Browser-Daten an Werbenetzwerke verkaufen, Werbung in Webseiten injizieren oder ressourcen­hungrige Prozesse auf deinem Gerät laufen lassen. Bei mehreren bekannten Gratis-Apps wurde alles drei nachgewiesen. Das Sicherheitstool, das du installiert hast, schürft selbst deine Daten. Ein bezahltes Reise-VPN kostet pro Monat weniger als ein Kaffee am Flughafen.
• Vor der Reise nicht testen: Unterwegs zu merken, dass die App sich nicht installiert, das Abo abgelaufen ist oder der Dienst am Zielort blockiert wird, ist der schlechteste Zeitpunkt überhaupt. Apps neu herunterladen und Verbindungen reparieren in einem fremden Netz mit möglichen Sprach- und Bandbreiten­hürden ist deutlich schwieriger als vom Sofa zu Hause.
• Im öffentlichen WLAN das VPN ausgeschaltet lassen: Das VPN schützt nur, wenn es wirklich verbunden ist. Viele Reisende schalten es fürs Banking ein und surfen sonst ohne — dabei werden DNS-Anfragen, Browser-Historie und der Hintergrund­verkehr nicht individuell verschlüsselter Apps offengelegt. In öffentlichem WLAN bleibt das VPN am besten dauerhaft an.
• Den Kill Switch nicht aktivieren: Das VPN läuft, du surfst sicher, dann fällt das Hotel-WLAN drei Sekunden aus. Ohne Kill Switch verbindet sich dein Gerät stillschweigend ungeschützt neu, die Banking-App schickt eine Anfrage mit deiner echten IP, und das kurze Fenster reicht für ein Leck. Kill Switches existieren genau für dieses Szenario — schalte sie ein.
• Auf totale Anonymität hoffen: Ein VPN schützt dich vor lokalen Netzbedrohungen und schaltet geosperrte Dienste frei. Es macht dich nicht unsichtbar im Netz. Dein VPN-Anbieter, die Seiten, in die du dich einloggst (über Cookies und Konten), und dein Gerät selbst können dich weiter identifizieren. Für Reisezwecke ist das Schutzniveau mehr als ausreichend — es lohnt sich aber, die Grenze zu kennen.

Wenn du auf «Verbinden» tippst, führen dein Gerät und der VPN-Server einen kryptografischen Handshake aus. Beide Seiten tauschen Schlüssel über asymmetrische Kryptografie aus — ein Verfahren, das ein gemeinsames Geheimnis etabliert, ohne dieses Geheimnis je übers Netz zu schicken. Sobald der Handshake fertig ist, läuft aller weitere Verkehr über schnelle symmetrische Algorithmen wie AES-256 oder ChaCha20.

Die beiden Protokolle, denen du am häufigsten begegnest, handhaben das unterschiedlich. WireGuard ist der moderne Standard: eine minimale, prüfbare Codebasis (rund 4 000 Zeilen, verglichen mit Hunderttausenden bei älteren Protokollen), nur UDP, und besonders effizient auf Mobilgeräten, wo Akkulaufzeit zählt. Genau dieses Nur-UDP ist seine Hauptgrenze — ein Netzadmin kann es blockieren, indem er Nicht-TCP-Verkehr auf unüblichen Ports verwirft.

OpenVPN ist die ältere, flexiblere Alternative. Es läuft über UDP oder TCP, und wenn es auf TCP-Port 443 konfiguriert ist — dem Port, den jede HTTPS-Webseite nutzt — wird es für einfache Firewalls sehr schwer, es von normalem Browsen zu unterscheiden. Das macht OpenVPN zur besseren Wahl in restriktiven Netzen, auch wenn es etwas Tempo gegenüber WireGuard kostet.

Deep Packet Inspection ist die Technik, mit der fortgeschrittene Filter­systeme VPN-Verkehr selbst auf Standard-Ports erkennen. Jedes Protokoll hat charakteristische Bytemuster in den Paket-Headern — DPI prüft diese Muster, um VPN-Verbindungen zu erkennen und zu blockieren. Obfuscation kontert das, indem sie Paket-Header zufällig macht und den Verkehr so polstert, dass er statistisch wie gewöhnliches HTTPS aussieht. Es ist ein laufendes technisches Wettrüsten zwischen VPN-Anbietern und den Systemen, die sie aufzuspüren versuchen.

Ein DNS-Leak passiert, wenn dein Gerät Namens­abfragen am Tunnel vorbeischickt. Normalerweise fragt das Gerät beim Besuch einer Webseite einen DNS-Server, der den Domain­namen in eine IP übersetzt. Wenn diese Anfrage statt zum VPN-DNS zum DNS des Internet­anbieters geht, sehen Anbieter — und alle, die das Netz beobachten — jede besuchte Seite, auch wenn die Inhalte verschlüsselt sind. Gute VPN-Apps leiten alle DNS-Anfragen automatisch durch den Tunnel, aber eine Leak-Test-Seite ist der einfachste Weg zur Bestätigung.

• Macht mein iPhone das nicht schon über iCloud Private Relay?: Nicht ganz. Private Relay ist eine Funktion für Safari und Mail, kein systemweites VPN — es verschlüsselt nicht den Verkehr deiner Banking-App, deines E-Mail-Programms außer Apple Mail, deiner Messenger oder von sonst etwas außerhalb von Safari. Es ändert auch deinen scheinbaren Standort nicht so, dass die Bank zufrieden ist oder deine heimatliche Streaming-Bibliothek freigeschaltet wird. Private Relay ist ein nützliches Extra; es ist kein Ersatz für ein Reise-VPN.
• Funktionieren Netflix und andere Streamingdienste weiter?: Meistens ja, manchmal zickig. Streamingdienste pflegen Sperrlisten für IP-Bereiche bekannter VPN-Anbieter — ein bestimmter Server kann gesperrt sein, während ein anderer im selben Land sauber durchgeht. Der Standardgriff ist, in deinem Heimatland einen anderen Server zu wählen, bis einer durchkommt. Premium-Anbieter rotieren ihre IPs regelmäßig, das ist Teil dessen, wofür du bezahlst.
• Brauche ich ein VPN, wenn ich nur Mobilfunk nutze?: Mobilfunk ist deutlich sicherer als offenes WLAN — die Strecke zwischen Telefon und Funkmast ist bereits verschlüsselt, also greifen Man-in-the-Middle- und Evil-Twin-Angriffe nicht. Aber Mobilfunk löst nicht das Geoblocking-Problem (die Bank sieht weiterhin eine fremde IP, die Streaming-Bibliothek rotiert weiterhin) und ändert nichts daran, dass dein Roaming-Provider oder der lokale Mobilfunk­betreiber weiterhin sieht, mit welchen Seiten du dich verbindest. Der Anlass für ein VPN ist auf Mobilfunk schwächer als auf Hotel-WLAN, aber nicht null.
• Soll ich das VPN im Ausland dauerhaft an lassen?: In öffentlichem oder geteiltem WLAN ja — durchlaufen lassen. Auf deinem eigenen Mobilfunktarif weniger kritisch, aber es bringt Privatsphäre und hält Banken und Streamingdienste davon ab, dich aus der Norm zu nehmen. Der Preis sind ein wenig Tempo und etwas Akku. Viele erfahrene Reisende lassen es als Standard an und trennen nur für bestimmte Aufgaben, die eine lokale IP brauchen, etwa Navigations-Apps, die durchs VPN nicht funktionieren.
• Saugt ein VPN den Telefonakku leer?: Etwas. Verschlüsselung kostet Rechenleistung, Rechenleistung kostet Akku. Auf einem modernen Telefon mit einem effizienten Protokoll wie WireGuard liegt der Mehrverbrauch ungefähr bei 5 bis 15 Prozent über einen vollen Tag — spürbar, aber nicht lähmend. Wenn der Akku an einem Tag knapp wird, schalt das VPN bei WLAN-Nutzung oder beim Zugriff auf sensible Dienste ein und im Mobilfunk in einem Netz deines Vertrauens wieder aus.