VPN-Kill-Switch erklärt: Was er bewirkt, warum er wichtig ist und wie Sie Ihren überprüfen
Ein VPN-Kill-Switch blockiert allen Nicht-VPN-Datenverkehr, wenn der Tunnel abbricht, und verhindert so, dass Ihre echte IP mitten in der Sitzung durchsickert. Hier erfahren Sie, was jedes große auditierte VPN bietet und wie Sie es selbst testen.
Was ein VPN-Kill-Switch ist
Ein VPN-Kill-Switch ist eine Funktion, die den gesamten Internetverkehr auf einem Gerät blockiert, sobald der VPN-Tunnel nicht aktiv ist. Der Zweck besteht darin, zu verhindern, dass Ihre echte, vom ISP zugewiesene IP in dem kurzen Zeitfenster zwischen einem Tunnelabbruch und einer Wiederverbindung zu einem Zieldienst durchsickert. Tunnel brechen aus ganz gewöhnlichen Gründen ab — Netzwerkwechsel, Server-Neustart, Ruhezustand des Laptops — und ohne Kill-Switch fällt das Betriebssystem in den offenen Zustand zurück und leitet Pakete über die ungeschützte Schnittstelle, bis das VPN wieder verbunden ist. Mit einem Kill-Switch werden diese Pakete verworfen. Der Zieldienst sieht entweder die VPN-Ausgangs-IP oder gar nichts.
Welche auditierten VPNs einen Kill-Switch bieten
Alle fünf großen auditierten kostenpflichtigen VPNs bieten in ihren offiziellen Client-Apps einen Kill-Switch: Mullvad (der Firewall-Modus ist die Kill-Switch-Implementierung; dokumentiert auf mullvad.net), Proton VPN (Kill-Switch- und permanente Kill-Switch-Optionen auf jeder Plattform), NordVPN (systemweiter Kill-Switch unter macOS / Windows / Linux; iOS nutzt das Always-On-VPN-Profil von Apple), ExpressVPN (Network Lock — der markenrechtlich geschützte Kill-Switch) und Surfshark (Kill-Switch in den App-Einstellungen dokumentiert). Die Implementierung unterscheidet sich je nach Plattform: Unter macOS / Windows / Linux ist eine Firewall-Regel auf Betriebssystemebene die stärkste Implementierung; unter iOS hängt das Kill-Switch-Verhalten davon ab, ob die Konfiguration als Per-App-VPN oder als Always-On-Profil installiert ist.
Das Kill-Switch-Verhalten ist Teil des Prüfumfangs
Das Kill-Switch-Verhalten ist nicht nur eine Funktion — es ist ein Standardtestziel in den veröffentlichten Infrastruktur-Audits. Das Cure53-Audit von Mullvad (Juni 2024) umfasste White-Box-Sicherheitstests, die 'alles, was die Privatsphäre beeinträchtigt' auf den Produktions-OpenVPN- und WireGuard-Servern abdeckten; ein Versäumnis, sich von einer abgebrochenen Verbindung ohne Datenleck zu erholen, wäre eine Feststellung. Praetorian und Cure53 prüften die Rust-Neufassung von ExpressVPNs Lightway im Sep–Okt 2024; das Ergebnis des Nachtests im Dezember 2024 bestätigte die Behebung aller gemeldeten Probleme. Die Korrektheit des Kill-Switch ist implizit Teil jeder 'No-Logs / No-Leak'-Aussage — wenn ein Kill-Switch-Ausfall die echte IP preisgibt, ist die No-Logs-Eigenschaft für diese Verbindung hinfällig.
Wie sich Kill-Switch-Implementierungen unterscheiden
Es gibt drei Muster. (1) Firewall-Regeln auf Betriebssystemebene — am stärksten. Der VPN-Client installiert PF-/iptables-/Windows-Firewall-Regeln, die allen Nicht-Tunnel-Verkehr verwerfen. Mullvads Firewall-Modus gehört zu dieser Kategorie. (2) Kill-Switches auf App-Ebene — schwächer. Der VPN-Client beendet nur den Verkehr aus einer konfigurierten App-Liste. Nützlich, um etwa einen Torrent-Client gezielt zu stoppen, wenn der Tunnel abbricht, schützt aber nicht den Hintergrundverkehr anderer Apps. (3) iOS Always-On-VPN — stark, aber bedingt. Die Always-On-Konfiguration auf Betriebssystemebene stellt sicher, dass kein Verkehr ohne VPN fließt, funktioniert aber nur, wenn sie als verwaltetes Profil konfiguriert ist, nicht als Ein-Tipp-Verbraucherinstallation. Die Always-On-VPN-Dokumentation findet sich auf Apples Entwicklerseite (developer.apple.com).
So überprüfen Sie, ob Ihr Kill-Switch funktioniert
Verbinden Sie sich mit Ihrem VPN, öffnen Sie ein Terminal und führen Sie `curl ifconfig.me` aus, um zu bestätigen, dass die VPN-Ausgangs-IP erscheint. Deaktivieren Sie dann Ihre Netzwerkschnittstelle (WLAN aus / Ethernet abgezogen) und aktivieren Sie sie erneut. Während die Netzwerkverbindung wiederhergestellt wird, führen Sie denselben curl-Befehl in einer engen Schleife aus. Wenn Sie während des Wiederverbindungsfensters Ihre echte ISP-IP sehen, ist der Kill-Switch fehlgeschlagen. Wenn Sie nichts sehen (curl meldet 'no route to host' oder Ähnliches), bis das VPN wieder verbunden ist, hat der Kill-Switch funktioniert. Dieser Test ist nur für die laufende VPN-Sitzung destruktiv — er erfordert weder ein Konto noch einen Testaufbau. Wiederholen Sie ihn für jedes VPN-Protokoll, das Ihr Client unterstützt (WireGuard und OpenVPN verhalten sich beim Wiederverbinden unterschiedlich).
Wann der Kill-Switch ausreicht — und wann nicht
Ein Kill-Switch schützt das kurze Zeitfenster eines Tunnelabbruchs. Er schützt nicht vor DNS-Lecks, während der Tunnel aktiv ist (das ist ein separates Thema, das von der DNS-Konfiguration des VPNs abgedeckt wird), und er macht keine Daten rückwirkend ungeleckt, die geflossen sind, bevor der Tunnel stand. Starten Sie das VPN stets, bevor Sie die Aktivität beginnen, die vom VPN abhängt — Kill-Switches haben kein Gedächtnis.
Quellen
Mullvad-Audit (Cure53 Juni 2024): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Proton VPN No-Logs-Audits: protonvpn.com/blog/no-logs-audit. NordVPN-Audits: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN Lightway-Audits: expressvpn.com/blog/lightway-audits-cure53-praetorian. Apple Always-On-VPN: developer.apple.com (Suche nach 'Always-On VPN'). Alle URLs abgerufen am 2026-04-30.