Zum Inhalt springen
NeoGuard

VPN-Kill-Switch

Die Kill-Switch-Funktion eines VPN-Clients blockiert den gesamten Internetverkehr, sobald der verschlüsselte VPN-Tunnel abbricht. Damit wird verhindert, dass echte IP-Adresse und DNS-Anfragen ungeschützt nach aussen gelangen.

Ein VPN-Kill-Switch (VPN-Notausschalter) ist eine Schutzfunktion in VPN-Clients. Bricht der verschlüsselte Tunnel zwischen deinem Gerät und dem VPN-Server unerwartet ab, sperrt der Kill Switch sofort den gesamten ein- und ausgehenden Datenverkehr, bis die Verbindung wiederhergestellt ist.

Warum brauchst du einen VPN-Kill-Switch?

Ohne eine Kill-Switch-Funktion fällt dein Gerät stillschweigend auf die normale Internetverbindung zurück, wenn die Verbindung zu deinem VPN-Tunnel kurz unterbricht. In diesem Sekundenfenster können mehrere Arten von Datenverkehr ungeschützt nach aussen gelangen:

  • IP-Adresse: Webseiten, Tracker oder Peers in einem Torrent-Netzwerk sehen die echte IP-Adresse deines Internetproviders und nicht wie gewollt die des VPN-Servers.
  • DNS-Lookups: Die Anfragen, mit denen dein Gerät Domain-Namen wie neoguard.ch in IP-Adressen übersetzt. Werden diese am VPN-Tunnel vorbei beantwortet, weiss dein Internetprovider, welche Domains du besuchst, auch wenn er die Inhalte nicht sehen kann.
  • IPv6-Verkehr: IPv6 ist das neuere Internet-Protokoll, der Nachfolger von IPv4. Wenn der Kill Switch nur IPv4-Verkehr blockiert, kann IPv6-Verkehr während der Reconnect-Phase am Tunnel vorbei laufen. Forschende haben IPv6-Lecks bei fast allen Anbietern feststellen können, wobei unklar ist, ob das auf fehlerhafte Konfiguration, etwa eine deaktivierte Kill-Switch-Funktion, zurückzuführen ist.

Browser, Mail-Clients, Cloud-Sync und Hintergrunddienste nehmen die Verbindung über den Internetprovider sofort wieder auf, ohne dass du es bemerkst.

Für Geschäftsanwendungen unter nDSG-Pflichten ist das relevant: Eine Übertragung von Personendaten ausserhalb des verschlüsselten Tunnels kann als ungewollte Bekanntgabe an Dritte gewertet werden, auch wenn sie nur Sekunden dauert.

Wie funktioniert ein VPN-Kill-Switch technisch?

Ein VPN-Kill-Switch ist mehr als nur eine Funktion eines VPN-Clients. Es handelt sich vielmehr um eine Firewall-Regel, die der VPN-Client tief im Betriebssystem verankert:

  • Proton VPN nutzt unter Windows die Windows Filtering Platform (WFP), einen Kernel-Paketfilter.
  • Mullvad arbeitet auf macOS mit pfctl, dem nativen Apple-Paketfilter.
  • NordVPN trennt explizit zwischen Internet Kill Switch (sperrt allen Traffic) und App Kill Switch (beendet nur ausgewählte Programme).

Diese Tiefe ist notwendig: Sobald die VPN-App selbst abstürzt oder hängt, soll der Datenverkehr trotzdem gesperrt bleiben. Würde der Kill Switch ausschliesslich innerhalb der VPN-App laufen, wäre er beim Absturz wirkungslos.

System-weit oder nur eine App?

  • System-weiter Kill Switch: Sperrt jeden Datenverkehr ausserhalb des VPN-Tunnels. Das ist die richtige Voreinstellung, wenn du von unterwegs aus ungeschützten Netzwerken arbeitest (z.B. aus einem Coworking Space).
  • App-spezifischer Kill Switch: Beendet oder blockiert nur ausgewählte Programme (z.B. Browser, E-Mail-Client). Das ist sinnvoll, wenn nur ein bestimmter Workload geschützt sein soll.

Proton VPN bietet zusätzlich einen Advanced Kill Switch. Während ein normaler Kill Switch den Datenverkehr nur bei unerwartetem Tunnel-Abbruch sperrt, blockiert der Advanced Kill Switch jeglichen Datenverkehr ohne aktiven VPN-Tunnel. Das gilt auch nach einem Neustart, einem Shutdown oder einem absichtlichen Disconnect. Ohne VPN kommt also keine Verbindung mehr zustande, bis du diese Einstellung in der App wieder deaktivierst.

Limitierungen, die du kennen solltest

  • Standardmässig oft deaktiviert: Bei den meisten Desktop-Clients muss der Kill Switch manuell aktiviert werden. Ausnahme: Bei Mullvad lässt sich die Kill-Switch-Funktion bewusst nicht deaktivieren.
  • iOS und Android verhalten sich anders: Mobile Betriebssysteme verwalten VPNs eigenständig. Auf Android brauchst du zusätzlich zur App-Funktion die OS-Optionen “Always-on VPN” und “Verbindungen ohne VPN blockieren” für echten System-Schutz.
  • VPN-Clients nutzen tiefe System-Hooks: Diese Tiefe bringt Robustheit, aber gelegentlich auch Bugs nach OS-Updates. heise dokumentierte im April 2026, dass die Kill-Switch-Funktion eines populären macOS-Clients zeitweise nicht mehr deaktivierbar war, bis der Anbieter einen Hotfix nachreichte.
  • IPv6 nicht überall abgedeckt: Manche Clients sperren nur IPv4 oder es ist eine Konfiguration für IPv6 erforderlich. Du kannst nach der Aktivierung mit Tools wie ipleak.net prüfen, ob auch IPv6 blockiert wird.

Wann ist ein VPN-Kill-Switch sinnvoll?

Sobald du ein VPN aus Datenschutz- oder Compliance-Gründen einsetzt, ist das Aktivieren der Kill-Switch-Funktion sinnvoll. Das gilt zum Beispiel im Homeoffice, im Coworking Space, im Hotel- oder Flughafen-WLAN und überall, wo eine kurze Verbindungsunterbrechung dazu führen würde, dass deine echte IP-Adresse oder unverschlüsselte Anfragen sichtbar werden. Wenn es dir nur um Geo-Unblocking geht (z.B. für Streaming-Dienste), ist die Funktion kein Muss. Im geschäftlichen Einsatz gehört der Kill Switch zu den angemessenen technischen Schutzmassnahmen.

Quellen

Verwandte Begriffe

VPN (Virtual Private Network)VerschlüsselungFirewall