VPN-Protokolle
WireGuard: Vom Ein-Mann-Projekt zum neuen Branchenstandard? Wir zeigen die Vor- und Nachteile des neuen VPN-Protokolls.
Foto: iStock.com/putilich
Uhr
Thomas Glenk
Schnell, modern und sicher soll es sein: Die Rede ist vom neusten VPN-Protokoll WireGuard, das immer mehr VPN-Anbieter verwenden. Wir erklären, wie WireGuard funktioniert.
Inhaltsverzeichnis
- Die Stärken von WireGuard
- Wie funktioniert WireGuard?
- WireGuard ist sicher, hat aber eine Achillesferse
- VPN-Dienste mit WireGuard
- WireGuardNT: Port für den Windows-Kernel
- WireGuard für FritzBox
- Fazit: Starkes Protokoll mit Potenzial
Mit einem virtuellen privaten Netzwerk (
VPN) leiten Sie Ihre Internetverbindungsdaten über ein Netzwerk aus Servern um. Das hat den Vorteil, dass Ihre IP-Adresse im Heimnetzwerk von außen nicht mehr sichtbar ist – Ihre Daten laufen gewissermaßen durch einen kryptografisch gesicherten Tunnel. Die Verschlüsselung übernehmen
VPN-Protokolle, die dafür sorgen, dass selbst in öffentlichen WLANs eine sichere Verbindung besteht.
Die bekanntesten VPN-Protokolle sind
OpenVPNund die Protokollerweiterung IPsec. Letztere kommt oft in Kombination mit dem Schlüsselmanagement-Protokoll IKEv2 zum Einsatz. Diese Protokolle gelten als besonders sicher – sind aber auch überaus komplex, was sich insbesondere bei OpenVPN in der Gesamtperformance bemerkbar macht. Das neue VPN-Protokoll WireGuard will diese Schwächen ausradieren und mit eigenen Features punkten. Was es kann – und was nicht, lesen Sie im nachfolgenden Ratgeber.
Die besten VPN-Anbieter
Platz
9
Testnote
2,9
befriedigend
Preis-Leistungs-Sieger
Bitdefender
Bitdefender Premium VPN
Die Stärken von WireGuard
WireGuard ist, ähnlich wie OpenVPN, eine Open-Source-Lösung für VPN-Verbindungen und ist für Plattformen wie Windows, macOS, Linux, Android und iOS verfügbar. Entwickelt hat WireGuard der US-Programmierer Jason Donenfeld im Alleingang als Alternative zu OpenVPN & Co. Seit dem Frühjahr 2020 ist WireGuard direkt im Linux-Kernel integriert. Das erlaubt den Einsatz auf einer ganzen Vielzahl von Geräten, die unter Linux laufen.
Eine große Stärke von WireGuard ist seine geringe Programmgröße. Mit nur etwas über 4.000 Code-Zeilen ist WireGuard schlank und aufgeräumt. Zum Vergleich: OpenVPN und IPsec liegt je nach Art der Implementierung zwischen 100.000 und 600.000 Code-Zeilen. Grundsätzlich ist ein kleiner Programm-Code aus Sicherheitsaspekten ideal, lassen sich so doch Schwachstellen schneller ausfindig machen und beseitigen. Ein weiterer Vorteil ist die stärkere Performance. Durch den kleineren Overhead werden Datenpakete schneller verschickt. Das kommt der Übertragungsgeschwindigkeit zugute und sorgt für geringere Latenzen.
Und auch der Akku darf sich freuen: Anders als andere VPN-Protokolle ist WireGuard nämlich nicht ständig aktiv, sondern fällt in einen Ruhezustand, wenn keine Daten versendet werden. Das ist insbesondere für den mobilen Einsatz auf Smartphones nicht zu vernachlässigen. Apropos mobil: WireGuard beherrscht Roaming und ist vor Verbindungsabbrüchen beim Netzwerkwechsel, etwa von einem WLAN zum Handynetz, besser gefeilt als seine etablierten Kollegen. WireGuard agiert hierbei so robust, dass selbst kurzzeitige Netzausfälle – wie sie etwa beim Betreten eines Fahrstuhls auftreten können – das Protokoll nicht aus dem Tritt bringen.
Wie funktioniert WireGuard?
WireGuard nimmt die Rolle eines Netzwerkadapters ein und kann wie ebendieser konfiguriert werden. Die Verschlüsselung erfolgt nach einem mehrstufigen System, wobei unterschiedliche Verschlüsselungstechnologien zum Einsatz kommen:
- Für den Handshake (Schlüsselaustausch): Curve25519 mit Elliptic Curve Diffie-Hellman (ECDHE)
- Für Hashfunktionen: BLAKE2s
- Für die Datenverschlüsselung und den Datenaustausch: ChaCha20 und Poly1305
Keine Sorge, die Namen müssen Sie sich nicht alle merken. Wesentlich interessanter ist das der Verschlüsselung zugrunde liegende Verfahren: Für die Verschlüsselung werden mit WireGuard öffentliche Schlüssel erzeugt, die Server und Client miteinander austauschen. Die Schlüssel dienen der gegenseitigen Berechtigung. Ist die erteilt, werden die ebenfalls verschlüsselten Datenpakete auf der Gegenseite entschlüsselt.
Damit ist das Datenpaket aber noch lange nicht beim Empfänger. Denn im Handshake wurden Regeln festgelegt, welche IP-Adressbereiche im verschlüsselten Tunnel überhaupt zugeordnet werden. Wenn die in beiden Schlüsseln nicht übereinstimmen, wird das Datenpaket verworfen. Dieses Verfahren nennt sich Cryptokey Routing und ist ein Kernfeature von WireGuard.
WireGuard ist sicher, hat aber eine Achillesferse
Auf Sicherheitsebene spielt WireGuard ganz vorne mit. Anders sieht es mit der beim Thema VPN ebenso wichtigen Anonymität aus. Hier ist WireGuard Protokollen wie OpenVPN und IPsec gegenüber (noch) im Nachteil. Denn beim Cryptokey Routing erhalten Server und Client eine statische IP-Adresse, die in der Konfigurationsdatei des Servers hinterlegt wird. Damit lassen sich grundsätzlich Rückschlüsse auf die Identität des Nutzers ziehen, was zwangsläufig mit der No-Log-Policy vieler VPN-Anbieter kollidiert. Findige Hersteller wie NordVPN oder Surfshark haben aber bereits eigene Wege gefunden, diese Achillesferse zu umgehen. Einige Dienste stellen wir Ihnen nachfolgend vor.
VPN-Dienste mit WireGuard
Die Liste, der VPN-Dienste, die WireGuard unterstützen, wächst ständig. Nachfolgend sehen Sie eine Übersicht über die besten VPN-Anbieter, die das Turboprotokoll bereits standardmäßig an Bord haben.
NordVPN
Nord Security
NordVPN
- Sehr einfache Bedienung
- Premium-Sicherheit
- Hohes Tempo
- Sehr gut für Streaming
- Strikte No-Log-Policy
- Beschränkung auf sechs gleichzeitige Verbindungen
- Keine Gratis-Version verfügbar
COMPUTER BILD-Testsieger
NordVPNverwendet WireGuard in einer angepassten Version namens NordLynx. Die Besonderheit: Der Hersteller schaltet mit der aufgebohrten Version ein doppeltes NAT-System dazwischen. Das gibt bei jedem Verbindungsaufbau zu einem VPN-Server eine neue dynamische IP-Adresse aus und verschleiert damit die dahinterliegende statische IP-Adresse.
Surfshark
Surfshark B.V.
Surfshark
- Hervorragende Streaming-Performance
- Unbegrenzt viele gleichzeitige Verbindungen
- Sehr gute Sicherheit
- Gutes Tempo
- Günstiger Preis
- Teils unlogische Ländersortierung
- Keine Gratis-Version verfügbar
Ähnlich wie NordVPN arbeitet auch
Surfsharkin seiner WireGuard-Lösung mit einem doppelten NAT-System, um die Schwächen bei der Anmeldung zu beseitigen. WireGuard ist in den Surfshark-Apps für Windows, macOS, Android und iOS verfügbar und Standard bei den meisten Serververbindungen. Selbstverständlich lassen sich weiterhin Protokolle wie OpenVPN und IKEv2 manuell wählen.
Hide.me VPN
eVenture Ltd.
Hide.me VPN
- 10 gleichzeitige Verbindungen
- Gute Sicherheit
- Stark beim Streaming
- Strikte No-Log-Policy
- Multi Hop und Stealth-VPN
- Keine RAM-Disk-Server
- Kein aktuelles Audit
Die größte Protokollvielfall bietet
Hide.me VPN. Mit WireGuard fügt der Hersteller eine besonders stabile und schnelle Verbindungsmöglichkeit hinzu. In diesem Zusammenhang drehte der Hersteller seine Infrastruktur auf links, um die Vorteile des Protokolls bestmöglich auszureizen, was sich in unseren Geschwindigkeitstests positiv bemerkbar machte. Im Client lässt sich WireGuard als Standardverbindung definieren – auf Wunsch aber auch Alternativen wie OpenVPN, IKEv2, SoftEther.
Proton VPN
Proton Technologies
Proton VPN Plus
- Strenger Schweizer Datenschutz
- Gute Geschwindigkeit
- WireGuard
- Tor-Zugang, Secure Core
- Stark beim Streaming
- Recht teuer
- Keine RAM-Disk-Server
springt erst recht spät auf den WireGuard-Zug auf, macht aber vom Start weg alles richtig und bietet das Protokoll für die wichtigen Plattformen Windows, macOS, Android und iOS an. Sie wählen WireGuard bequem im Client aus oder laden sich eine spezielle Konfigurationsdatei von der Proton-Website herunter. Damit lassen sich auch Clients von Drittanbietern mit WireGuard bestücken, etwa der NetworkManager für Ubuntu.
Mullvad VPN
Mullvad VPN AB
Mullvad VPN
- Sehr gute Sicherheit und Transparenz
- Hohe Anonymität, Bargeldzahlung möglich
- Strikte No-Log-Policy
- Ohne Vertragszwang
- Etwas kleine Geräteauswahl
- Für Streaming ungeeignet
- Bedienung teilweise kompliziert
Der schwedische Anbieter
Mullvad VPNlegt einen starken Fokus auf Privatsphäre und setzt nun ebenfalls voll auf WireGuard. Die Entwickler betonen die vielen Vorteile des Protokolls gegenüber OpenVPN. Unter Windows, macOS und Linux haben Sie die Wahl zwischen beiden Varianten. In den Apps für Android und iOS ist WireGuard dagegen die einzige Option. Wie bei Proton VPN lassen sich Konfigurationsdateien herunterladen, die Sie etwa in der offiziellen WireGuard-Anwendung einbinden, wenn Sie den Mullvad-Client nicht nutzen möchten.
Weitere WireGuard-VPNs
Neben den oben vorgestellten Diensten haben weitere VPN-Anbieter WireGuard im Programm. Die nachfolgende Übersicht ist nicht abschließend, wir aktualisieren sie fortlaufend:
- Atlas VPN
- Azire VPN
- CyberGhost VPN
- IPVanish
- IVPN
- Kaspersky VPN Secure Connection
- Mozilla VPN
- OVPN
- Private Internet Access
- PureVPN
- Trust.Zone
- Strong VPN
- TorGuard
- VyprVPN
- VPN.ac
- VPN Unlimited
- Windscribe
WireGuardNT: Port für den Windows-Kernel
WireGuard Entwickler Jason Donenfeld hat angekündigt, dass er an einem nativen Port für den Windows-Kernel arbeitet. Der Port nennt sich WireGuardNT und stellt nach Angaben des Entwicklers "eine tief integrierte und hochperformante Implementierung von WireGuard für den NT-Kernel" dar. WireGuard läuft schon seit Längerem unter Windows – bislang aber ausschließlich im Userspace des Betriebssystems. Die zum Datenaustausch notwendigen internen Prozesse verursachen laut Donenfeld aber einen Overhead, der sich vor allem im WLAN in einer Latenz bemerkbar macht. Die native Einbindung in den NT-Kernel macht diese Übersetzungsschritte hinfällig, die Geschwindigkeit stieg in internen Tests spürbar an.
Bislang ist WireGuardNT in einem experimentellen Stadium, der Code ist daher für den produktiven Einsatz nicht geeignet. Mutige Nutzerinnen und Nutzer dürfen dennoch einen Blick riskieren. Der aktuelle
Windows-Installer 4.5enthält WireGuardNT bereits, die Komponente ist allerdings nicht von vornherein aktiv. Sie müssen den Port erst über die Windows-Registry scharf schalten. Wie das geht, verrät Donenfeld in einer
Anleitung. Der Entwickler betont, dass weder Sicherheit noch Funktionsfähigkeit ausreichend geprüft sind. Der Einsatz geschieht daher auf eigenes Risiko.
Auch die beliebten FritzBox-Router beherrschen das Turboprotokoll seit Version 7.50 oder höher. Bislang mussten Sie auf den AVM-Routern mit dem langsameren (und auf der FritzBox fehleranfälligen) Standard IPSec vorliebnehmen. Wenn Sie sich nun auf Ihrem Notebook, Smartphone oder Tablet von außerhalb mit der FritzBox verbinden, surfen Sie dank WireGuard nicht nur sicherer, sondern auch deutlich performanter im Internet – egal, wo Sie sich gerade befinden. Die Technik bietet weitere Vorteile: Via WireGuard nutzen Sie im verschlüsselten Tunnel zwischen Gerät und FritzBox auch deutsche Streaming-Dienste, wenn Sie sich im (außereuropäischen) Ausland aufhalten. Und natürlich können Sie dank WireGuard-Router-Lösung jederzeit und von überall sicher auf Ihr Heimnetzwerk zugreifen. In einem Ratgeber beschreiben wir, wie Sie das
VPN auf der Fritzbox einrichten.
Fazit: Starkes Protokoll mit Potenzial
Mit WireGuard ist ein vielversprechendes VPN-Protokoll an den Start gegangen, das immer mehr VPN-Anbietern unterstützen. Besonders die hohe Performance und das stabile VPN-Tunneling machen das Protokoll auch für Privatanwender attraktiv, ermöglicht es doch qualitativ hochwertiges Streaming mit geringen Verbindungsunterbrechungen. Die Sicherheit von WireGuard kann sich sehen lassen und ist in seinem Gesamtkonzept möglicherweise eine Blaupause für zukünftige Entwicklungen in diesem Bereich. Das fehlende dynamische IP-Adressen-Management ist allerdings ein Manko. In der Praxis ist das aber kaum schädlich, wenn es durch ergänzende Maßnahmen ausgeglichen wird.