1. Warum VPNs Sie überhaupt verlangsamen
Ohne ein VPN nimmt Ihre Daten den direktesten Weg zwischen Ihrem Gerät und dem Zielserver. Fügen Sie ein VPN hinzu, und jedes Paket muss drei zusätzliche Schritte durchlaufen:
Verschlüsselung. Jedes ausgehende Paket wird auf Ihrem Gerät verschlüsselt, bevor es das Gerät verlässt. Je stärker die Verschlüsselung, desto mehr CPU-Zeit benötigt sie – und das summiert sich schnell auf mobilen Geräten.
Umleitung. Anstatt direkt zum Ziel zu gehen, trifft Ihr Datenverkehr zuerst den VPN-Server und wird dann weitergeleitet. Dieser zusätzliche Sprung fügt echte Latenz hinzu – an der Physik führt kein Weg vorbei.
Protokoll-Overhead. Verschiedene Protokolle verpacken Ihre Daten unterschiedlich. Einige sind schlank und effizient; andere packen so viel Handshake- und Header-Daten ein, dass sie Bandbreite verbrauchen, bevor ein einziges Byte Ihres tatsächlichen Inhalts übertragen wird.
Laut Cloudflares technischer Dokumentation zu VPNs sind Verschlüsselungs-Overhead und Protokoll-Effizienz die beiden größten Leistungsvariablen – in den meisten Fällen wirkungsvoller als die Anzahl der Server oder die geografische Abdeckung.
2. Die wichtigsten VPN-Protokolle erklärt
Bevor wir die Geschwindigkeiten vergleichen, hier ist, was jedes Protokoll ist und wofür es entwickelt wurde.
WireGuard
WireGuard ist das schnellste VPN-Protokoll, das heute weit verbreitet ist. Es wurde 2019 veröffentlicht und von Grund auf mit moderner Kryptografie entwickelt – ChaCha20 für die Verschlüsselung, Curve25519 für den Schlüsselaustausch – und läuft direkt im Betriebssystemkern, wodurch eine Verarbeitungsstufe entfällt, die ältere Protokolle nicht vermeiden können. Sein Code umfasst etwa 4.000 Zeilen, im Vergleich zu über 70.000 für OpenVPN. Weniger Code bedeutet weniger Angriffsflächen, einfachere Prüfungen und deutlich geringeren CPU-Overhead. Das WireGuard-Projekt beschreibt sein Designziel als „einfach, schnell und modern“ – und in Benchmarks erfüllt es konsequent alle drei.
IKEv2 / IPsec
IKEv2/IPsec ist der dominierende VPN-Standard in Unternehmens- und mobilen Umgebungen. IPsec kümmert sich um die Verschlüsselung auf der Netzwerkschicht, während IKEv2 den Schlüsselaustausch verwaltet – eine Paarung, die über zwei Jahrzehnte realer Einsätze verfeinert wurde. Die meisten Betriebssysteme implementieren IKEv2 nativ, was bedeutet, dass keine Client-Software auf Windows, macOS, iOS und Android erforderlich ist. Sein herausragendes Merkmal für mobile Benutzer ist MOBIKE: Wenn ein Gerät zwischen WLAN und Mobilfunk wechselt, wird die VPN-Sitzung fast sofort ohne Benutzereingriff wiederhergestellt. Die Leistung ist solide – typischerweise schneller als OpenVPN, mit Hardwarebeschleunigung auf den meisten modernen Geräten. Die IKEv2-Spezifikation (RFC 7296) wird von der IETF gepflegt und ist weit verbreitet in Routern und Firewalls unterstützt.
TUIC / QUIC
TUIC ist ein Proxy-Protokoll, das auf QUIC basiert – der gleichen Transportschicht, die HTTP/3 antreibt, ursprünglich von Google entwickelt. Im Gegensatz zu TCP-basierten Protokollen läuft QUIC über UDP und behandelt Paketverluste streamweise: Wenn ein Datenstrom ein Paket verliert, pausiert nur dieser Strom, während alles andere weiterläuft. Bei Verbindungen über lange Strecken oder mobilen Verbindungen, bei denen Paketverluste und Jitter alltäglich sind, macht dieses Verhalten einen messbaren Unterschied in der wahrgenommenen Geschwindigkeit und Stabilität.
Shadowsocks
Shadowsocks ist ein verschlüsseltes Proxy-Protokoll, das den Datenverkehr durch einen auf SOCKS5 basierenden Tunnel leitet und moderne Stream-Chiffren verwendet – typischerweise ChaCha20-Poly1305 oder AES-256-GCM. Ursprünglich 2012 veröffentlicht, wird es seitdem aktiv gewartet und hat ein großes Open-Source-Ökosystem. Da es auf Anwendungsebene und nicht auf Betriebssystemebene verschlüsselt, ist der Overhead gering und es integriert sich gut in Split-Routing-Setups. Das offizielle Shadowsocks-Projekt ist weit verbreitet und wird von den meisten Multi-Protokoll-VPN-Clients unterstützt.
OpenVPN
OpenVPN ist seit 2001 das Rückgrat der Unternehmens-VPN-Infrastruktur. Es verwendet TLS/SSL zur Verschlüsselung und unterstützt sowohl UDP- als auch TCP-Transport – eine Unterscheidung, die für die Leistung erheblich ist. Die eigene Dokumentation von OpenVPN empfiehlt UDP für die meisten Anwendungsfälle aufgrund des geringeren Overheads, während der TCP-Modus Zuverlässigkeit auf Kosten der Geschwindigkeit priorisiert. Beide Modi hinken modernen Alternativen in Bezug auf den Rohdurchsatz hinterher, aber die unübertroffene Kompatibilität von OpenVPN hält es in Unternehmensumgebungen relevant.
3. Protokollgeschwindigkeitsvergleich
Die folgende Tabelle kombiniert unabhängig getestete Daten mit veröffentlichten Schätzungen aus mehreren Quellen. Die Datenqualität variiert je nach Protokoll – siehe die Legende zur Quelle in den Anmerkungen zur Tabelle.
Shadowsocks Hinweis: Es gibt keinen groß angelegten Gbps-Benchmark für Shadowsocks. Die ~650 Mbps-Zahl ist eine Schätzung basierend auf seiner leichten Architektur (Verschlüsselung auf Anwendungsebene, kein Tunnel-Overhead) im Vergleich zu verifizierten Protokollen. Unabhängige Tests bei Verbindungen mit niedriger Bandbreite zeigen ungefähr 89–92% Geschwindigkeitsbeibehaltung im Vergleich zur Basislinie.
| Protokoll | Geschwindigkeitsbeibehaltung | Zusätzliche Latenz | Am besten für |
|---|---|---|---|
| WireGuard | ~85–92% | +5–15 ms | Alltagsnutzung, Streaming, Gaming |
| TUIC (QUIC) | ~80–88% | +8–20 ms | Mobile Netzwerke, Verbindungen mit hohem Paketverlust |
| IKEv2 / IPsec | ~60–80% geschätzt. | Unternehmen, native OS-Unterstützung, Roaming | |
| Shadowsocks | ~75–85% geschätzt. | Leichtgewichtiges verschlüsseltes Proxying | |
| OpenVPN (UDP) | ~28–45% | +20–50 ms | Unternehmens-VPNs, Firewall-Umgehung |
| OpenVPN (TCP) | ~25–38% | +30–80 ms | Stabilität über Geschwindigkeit, Legacy-Netzwerke |
Geschwindigkeitsbeibehaltung = gemessener Durchsatz mit VPN ÷ Basisdurchsatz ohne VPN, auf einer 1 Gbps-Testverbindung. IKEv2- und Shadowsocks-Zahlen, die mit „geschätzt.“ gekennzeichnet sind, sind Schätzungen aus mehreren Quellen ohne ein einzelnes kontrolliertes Benchmark. Tatsächliche Ergebnisse variieren je nach Serverstandort, Netzwerkbedingungen und Gerätehardware.
4. Weitere Faktoren, die Ihre VPN-Geschwindigkeit beeinflussen
Das richtige Protokoll auszuwählen, ist Schritt eins. Diese Faktoren bestimmen, wie viel von diesem Potenzial Sie tatsächlich in der Praxis sehen.
Serverdistanz
Die Physik setzt die Grenze. Licht durch Glasfaser benötigt etwa 7 ms, um von Singapur nach Japan zu reisen, und rund 170 ms, um die US-Westküste zu erreichen. Die Verbindung zu einem geografisch näher gelegenen Server führt fast immer zu geringerer Latenz und besseren realen Geschwindigkeiten. Daten zur Netzwerk-Infrastruktur der ITU zeigen, dass die grenzüberschreitende Latenz im asiatisch-pazifischen Raum stark von der Verlegung von Unterseekabeln geprägt ist – was die Verfügbarkeit lokaler Server zu einer praktischen Priorität macht, nicht nur zu einem „nice-to-have“.
Serverlast
Je mehr Benutzer sich einen Server teilen, desto weniger Bandbreite erhält jeder Einzelne. Spitzenzeiten – beispielsweise US-Primetime-Abende, wenn die Streaming-Nachfrage ansteigt – können die Leistung selbst bei einem schnellen Protokoll merklich beeinträchtigen. Qualitäts-VPN-Anbieter gehen damit um, indem sie eine Echtzeitlastverteilung verwenden, die Sie automatisch zu einem weniger überlasteten Knoten umleitet.
Qualität Ihres lokalen Netzwerks
Ein VPN verstärkt Instabilität, anstatt sie zu glätten. Wenn Ihre Verbindung hohe Grundpacketverluste hat, leiden TCP-basierte Protokolle überproportional – jedes verlorene Paket löst eine Übertragung aus, die den gesamten Stream stoppt. QUIC-basierte Protokolle wie TUIC behandeln Verluste auf einer pro-Stream-Basis, was sie erheblich widerstandsfähiger bei unzuverlässigen Verbindungen macht.
Geräteleistung
Verschlüsselung und Entschlüsselung sind CPU-intensiv. Auf älteren Handys oder Budget-Routern kann der Prozessor zum Engpass werden, bevor es das Netzwerk tut. Die offiziellen Benchmarks von WireGuard zeigen eine deutlich geringere CPU-Auslastung im Vergleich zu OpenVPN auf identischer Hardware – was sich auch in einer besseren Akkulaufzeit auf mobilen Geräten niederschlägt. IKEv2/IPsec profitiert von der AES-NI-Hardwarebeschleunigung auf den meisten modernen Geräten, wodurch die Lücke zu WireGuard in der realen Nutzung teilweise geschlossen wird.
Serverbandbreite
Kein Protokoll kann einen unterdimensionierten Server reparieren. Deshalb kann dasselbe Protokoll bei verschiedenen VPN-Anbietern sehr unterschiedlich abschneiden – die Bandbreite des Upstream-Pipes ist ebenso wichtig wie die Verschlüsselungsebene. Bei der Bewertung eines Dienstes lohnt es sich, die Spezifikationen der Knotenbandbreite zu überprüfen und ob sie ihre eigene Infrastruktur betreiben oder auf Drittanbieter-Hosting angewiesen sind.
5. Das eine Szenario, in dem ein VPN tatsächlich die Geschwindigkeit erhöhen kann
Es klingt kontraintuitiv, aber es passiert. Einige ISPs drosseln bestimmte Arten von Datenverkehr – P2P-Downloads, grenzüberschreitende Verbindungen oder hochbandbreitiges Streaming – mit einer Technik namens Quality of Service (QoS). Wenn Ihr Datenverkehr innerhalb eines VPN-Tunnels verschlüsselt ist, kann der ISP nicht mehr identifizieren, um welche Art von Datenverkehr es sich handelt, sodass die Drosselungsregeln nicht gelten. Das Ergebnis: Ihre Verbindung wird tatsächlich schneller, wenn das VPN aktiviert ist.
Forschungen von mehreren unabhängigen Organisationen haben diesen Effekt dokumentiert – Netflix- und YouTube-Geschwindigkeiten bei bestimmten ISPs in den USA und Teilen Asiens wurden 20–40% höher durch ein VPN gemessen als ohne, insbesondere weil die Drosselungslogik des ISPs umgangen wird.
Sie werden dies höchstwahrscheinlich sehen bei:
- Wohnheim- oder Büronetzwerken, die P2P-Datenverkehr drosseln
- ISPs mit grenzüberschreitenden Bandbreitenobergrenzen
- Jeder Verbindung, bei der Streaming während der Spitzenzeiten nicht priorisiert wird
6. TUN-Modus vs. System-Proxy – Eine Einstellung, die die meisten Menschen übersehen
Wenn Sie jemals ein VPN aktiviert haben und festgestellt haben, dass bestimmte Apps immer noch langsam waren oder sich nicht verbinden konnten, könnte das Problem nicht das VPN selbst sein – es könnte daran liegen, in welchem Modus es läuft.
System-Proxy-Modus leitet nur den Datenverkehr von Apps, die ausdrücklich Proxy-Einstellungen unterstützen – typischerweise Browser. Spiele, Download-Manager, Systemaktualisierer und die meisten Hintergrundprozesse gehen direkt ins Internet und umgehen den VPN-Tunnel vollständig.
TUN-Modus erstellt einen virtuellen Netzwerkadapter auf Betriebssystemebene, der den gesamten Datenverkehr von jeder App auf dem Gerät erfasst – ohne Ausnahmen. Es ist eine vollständigere Lösung, obwohl es etwas mehr CPU verbraucht und den Akku etwas schneller entleert als der Proxy-Modus.
Wenn sich eine App nicht wie erwartet verhält, während Ihr VPN aktiv ist, überprüfen Sie, ob der TUN-Modus aktiviert ist, bevor Sie annehmen, dass das Problem woanders liegt.
7. Welches Protokoll sollten Sie tatsächlich verwenden?
Hier ist, wie Sie das richtige Protokoll für Ihren Anwendungsfall auswählen:
- Allgemeine Alltagsnutzung: WireGuard ist die Standardwahl. Es ist schnell, gut geprüft und der Leistungsunterschied zu allem anderen ist schwer zu ignorieren.
- Unternehmens- oder Firmennetzwerke: IKEv2/IPsec ist der Standard – nativ auf allen wichtigen Betriebssystemen unterstützt, weitgehend kompatibel mit Firewalls und bewältigt Netzwerkwechsel elegant.
- Mobile oder instabile Verbindungen: TUICs QUIC-Grundlage macht es erheblich stabiler, während Sie zwischen WLAN und Mobilfunk wechseln. IKEv2 bewältigt Roaming ebenfalls gut dank seiner MOBIKE-Erweiterung.
- Leichtgewichtiges Proxying ohne vollständigen Tunnel-Overhead: Shadowsocks ist schnell und verschlüsselt und integriert sich gut in Split-Routing-Setups, bei denen Sie nur bestimmten Datenverkehr proxen möchten.
- Alle Apps abgedeckt: Stellen Sie sicher, dass Ihr Client den TUN-Modus unterstützt – andernfalls werden einige Apps vollständig außerhalb des Tunnels verbunden.
- Stabilität über Geschwindigkeit: OpenVPN über TCP ist die zuverlässigste Option in restriktiven oder unvorhersehbaren Netzwerken, obwohl der Geschwindigkeitsnachteil erheblich ist.
Das Fazit
Jedes VPN verlangsamt Sie bis zu einem gewissen Grad – das ist unvermeidlich. Aber die Lücke zwischen einem gut gewählten Protokoll und einem schlecht passenden kann enorm sein. WireGuard setzt die Leistungsbenchmarks; IKEv2/IPsec ist das Arbeitstier für Unternehmen mit nativer OS-Unterstützung; TUIC hält sich besser bei mobilen und langen Verbindungen; Shadowsocks bietet schnelles verschlüsseltes Proxying mit minimalem Overhead; und OpenVPN über TCP gehört in die enge Auswahl an Szenarien, in denen Kompatibilität alles andere übertrumpft.
Abgesehen vom Protokoll ist die Infrastruktur dahinter ebenso wichtig. Servernähe, verfügbare Bandbreite und Lastverteilung bestimmen, wie viel von der Obergrenze des Protokolls Sie tatsächlich erreichen werden. Bei der Vergleich von VPN-Diensten verdienen diese Faktoren mindestens ebenso viel Aufmerksamkeit wie der Preis.
Über Surflare
Wenn Sie nicht gerne Zeit mit der manuellen Konfiguration von Protokollen verbringen möchten, schauen Sie sich Surflare an. Es verwendet ein Transportprotokoll, das für reale Netzwerkbedingungen optimiert ist – entwickelt, um bei Verbindungen mit hoher Latenz und hohem Paketverlust standzuhalten. Der Client wählt automatisch die beste verfügbare Route aus, sodass Sie nie darüber nachdenken müssen, welches Protokoll oder welchen Knoten Sie auswählen sollen. Verfügbar auf Windows, macOS, iOS und Android.