WireGuard vs. OpenVPN 2026: Kryptografische Primitive, Codebasis-Größe und wann jedes die richtige Standardwahl ist
WireGuard ist neuer, kleiner und nutzt moderne Primitive. OpenVPN ist älter, größer und läuft über TCP 443, um restriktive Netzwerke zu überwinden. Beide sind offene Standards. Hier ist der ehrliche Rahmen zur Protokollwahl.
Was WireGuard und OpenVPN sind, kurz gefasst
WireGuard ist ein VPN-Protokoll, das von Jason A. Donenfeld entworfen und 2020 in den Linux-Kernel integriert wurde. Das Whitepaper unter wireguard.com/papers/wireguard.pdf spezifiziert seine kryptografischen Primitive: Curve25519 für den Schlüsselaustausch, ChaCha20 für die symmetrische Verschlüsselung, Poly1305 für die Authentifizierung, BLAKE2s für das Hashing, HKDF für die Schlüsselableitung und SipHash24 für den Hash-Tabellen-Schlüssel. Die Linux-Kernel-Implementierung umfasst etwa 4.000 Codezeilen. OpenVPN ist älter (erstmals 2001 veröffentlicht), GPL-lizenziert, läuft im Userspace (nicht im Kernel) und verwendet OpenSSL oder mbedTLS für die Kryptografie. Das Referenzhandbuch zu OpenVPN 2.6 ist auf openvpn.net veröffentlicht.
Codebasis-Größe und Audit-Angriffsfläche
WireGuards kleine Codebasis (~4.000 Zeilen in der Linux-Kernel-Implementierung) ist eine bewusste Designentscheidung — je kleiner die Codebasis, desto kleiner die Audit-Angriffsfläche und desto weniger Stellen, an denen sich Fehler verstecken können. OpenVPNs Codebasis ist größer (das vollständige Projekt einschließlich der openvpn-Binärdatei, Plugins und unterstützenden Bibliotheken umfasst weit mehr) — der Kompromiss ist über zwei Jahrzehnte CVE-Historie, was bedeutet, dass jeder häufige Sonderfall gefunden, gepatcht und nun Teil der Testsuite ist. Keines ist eindeutig sicherer; die kleinere Codebasis wurde von weniger Augen über einen kürzeren Zeitraum geprüft.
Transport: UDP vs. TCP
WireGuard verwendet ausschließlich UDP. OpenVPN unterstützt sowohl UDP als auch TCP. Die Konsequenz: Netzwerke, die UDP blockieren — Firmen-WLAN mit restriktiven Ausgangsregeln, manche Hotelnetzwerke, Netzwerke mit Deep Packet Inspection, die Nicht-HTTPS-UDP markieren — blockieren WireGuard. OpenVPNs TCP-Modus läuft auf TCP-Port 443, demselben Port, den HTTPS nutzt, und ist daher schwerer zu blockieren, ohne den normalen Webverkehr zu stören. Wenn Sie sich regelmäßig aus Netzwerken mit restriktiven Ausgangsregeln verbinden, ist OpenVPN-TCP die zuverlässigere Wahl, auch wenn es langsamer ist. Die meisten großen VPN-Clients erlauben den Protokollwechsel ohne Kontoänderung.
Leistungsunterschiede kommen aus dem Kernelspace
WireGuards größter Leistungsvorteil unter Linux ist, dass es im Kernelspace läuft — Pakete müssen bei jeder Ver- oder Entschlüsselung nicht die Grenze zwischen Userspace und Kernel überqueren. OpenVPN läuft im Userspace, was historisch ein spürbarer Overhead war. OpenVPN 2.6 mit Data Channel Offload (DCO) verlagert die symmetrische Chiffrierarbeit in den Kernel und schließt einen Großteil der Lücke. Wir veröffentlichen keine rohen Durchsatzzahlen, weil sie stark von den Netzwerkbedingungen, der Serverlast und der Tageszeit abhängen; das veröffentlichte WireGuard-Whitepaper dokumentiert das Protokolldesign und benchmarkt den Prototyp, doch der reale Durchsatz eines Verbraucher-VPNs hängt ebenso sehr von der Infrastruktur des Anbieters wie vom Protokoll ab.
Welche auditierten VPNs welches Protokoll implementieren
Alle fünf großen auditierten kostenpflichtigen VPNs unterstützen sowohl WireGuard als auch OpenVPN: Mullvad liefert seine eigene WireGuard-Implementierung neben OpenVPN aus (Cure53 prüfte im Juni 2024 beide Serverkonfigurationen). Proton VPN unterstützt WireGuard, OpenVPN und ein Stealth-Protokoll (eine OpenVPN-über-TLS-Variante für restriktive Netzwerke). NordVPNs NordLynx ist eine angepasste WireGuard-Implementierung. ExpressVPNs Lightway ist ein eigenes Protokoll mit eigener Audit-Historie (Cure53 + Praetorian prüften 2024 die Rust-Neufassung von Lightway). Surfshark unterstützt WireGuard und OpenVPN.
Empfehlung
Verwenden Sie standardmäßig WireGuard oder das vom WireGuard abgeleitete, herstellereigene Protokoll des Anbieters (NordLynx, ExpressVPNs Lightway). Wechseln Sie zu OpenVPN-TCP, wenn das Netzwerk UDP blockiert — Firmen-WLAN, Universitäts-WLAN mit restriktiven Ausgangsregeln, Hotelnetzwerke mit DPI. Die Protokollwahl ist selten der Engpass für die Leistung eines Verbraucher-VPNs; die Serverauswahl des Anbieters und die aktuelle Last zählen mehr. Speziell für den Datenschutz spielt das Protokoll keine Rolle — die No-Logs-Eigenschaft ist unabhängig vom Protokoll und ist das, was Audits überprüfen.
Quellen
WireGuard-Whitepaper: wireguard.com/papers/wireguard.pdf. OpenVPN 2.6 Referenzhandbuch: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Mullvad-Infrastruktur-Audit (Cure53 Juni 2024, deckte sowohl OpenVPN- als auch WireGuard-Serverkonfigurationen ab): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. ExpressVPN Lightway-Audits: expressvpn.com/blog/lightway-audits-cure53-praetorian. Alle URLs abgerufen am 2026-04-30.