1. Was ist WireGuard – und warum ist es besser?

WireGuard ist ein modernes VPN-Protokoll, das 2019 vom Linux-Kernel-Entwickler Jason Donenfeld vorgestellt und 2020 in den Linux-Kernel aufgenommen wurde. Im Gegensatz zu seinen Vorgängern wurde es mit dem Ziel entwickelt, radikal einfach, schnell und sicher zu sein – und dabei trotzdem in der Realwelt zuverlässig zu funktionieren.

Der entscheidende Unterschied zu OpenVPN und IKEv2 liegt in der Codebasis: OpenVPN umfasst rund 70.000 bis 100.000 Codezeilen – eine riesige Angriffsfläche für potenzielle Sicherheitslücken. WireGuard hingegen kommt mit nur etwa 4.000 Zeilen aus. Weniger Code bedeutet weniger Fehlerquellen, einfachere Sicherheitsaudits und eine grundsätzlich überschaubarere Angriffsfläche.

Hinzu kommen die Vorteile in der Kryptographie: WireGuard setzt auf moderne, battle-tested Algorithmen wie ChaCha20 für Verschlüsselung, Curve25519 für den Schlüsselaustausch und BLAKE2s für Hashing. Statt einer langen Liste konfigurierbarer Cipher-Suites – wie bei OpenVPN – gibt es nur eine Kombination. Das klingt einschränkend, ist aber ein bewusstes Sicherheitsdesign: Keine veralteten Algorithmen, die versehentlich aktiviert werden könnten.

In der Praxis spüren Nutzer den Unterschied vor allem bei der Verbindungsgeschwindigkeit und Latenz: WireGuard stellt Verbindungen in Millisekunden her, wechselt nahtlos zwischen WLAN und Mobilnetz, und liefert auf schnellen Anschlüssen Durchsatzraten, die oft kaum vom Wert ohne VPN zu unterscheiden sind. Zum Vergleich: OpenVPN-Verbindungsaufbau dauert Sekunden, und OpenVPN verursacht bei gleichem Anschluss deutlich höhere CPU-Last.

IKEv2 ist zwar ebenfalls schnell und in Mobilnetzwerken beliebt, weil es Netzwechsel gut verträgt – aber die Implementierungsvielfalt führt zu Interoperabilitätsproblemen, und das Protokoll ist weniger transparent als WireGuard.

Kurzfazit: WireGuard ist kleiner, schneller und moderner als OpenVPN und IKEv2 – und wird mittlerweile von allen renommierten VPN-Anbietern unterstützt. Für die meisten Nutzer sollte WireGuard das Standard-Protokoll sein.

2. Welche VPN-Anbieter unterstützen WireGuard?

WireGuard hat sich in der VPN-Branche als de-facto-Standard für performante Verbindungen durchgesetzt. Die meisten seriösen Anbieter haben es bereits integriert – teils unter eigenem Namen, teils in angepasster Form:

  • ProtonVPN – WireGuard nativ auf allen Plattformen, kombiniert mit dem VPN Accelerator
  • NordVPN – eigene Implementierung „NordLynx" auf Basis von WireGuard mit doppeltem NAT für mehr Privatsphäre
  • Mullvad – einer der ersten kommerziellen Anbieter mit WireGuard-Support, streng anonym
  • Surfshark – WireGuard auf allen Plattformen, integriert in das Nexus-Routing-Netzwerk
  • ExpressVPN – nutzt stattdessen das eigene Lightway-Protokoll (auf OpenSSL-Basis), kein natives WireGuard

ExpressVPN ist ein interessanter Sonderfall: Das Unternehmen hat mit Lightway ein eigenes Protokoll entwickelt, das ebenfalls auf Geschwindigkeit optimiert ist und ähnliche Ziele wie WireGuard verfolgt. Lightway ist Open Source und wurde auditiert – aber es ist eben kein WireGuard, was die Vergleichbarkeit einschränkt.

3. WireGuard-Implementierungen im Vergleich

Nicht jeder Anbieter setzt WireGuard auf die gleiche Weise um. Die Unterschiede liegen im Detail – und das Detail ist beim Datenschutz und bei der Leistung entscheidend.

ProtonVPN: WireGuard + VPN Accelerator

ProtonVPN nutzt WireGuard als natives Protokoll auf Windows, macOS, Linux, Android und iOS. Besonderheit: ProtonVPNs VPN Accelerator-Technologie arbeitet unabhängig vom Protokoll und optimiert die Geschwindigkeit durch Multi-Threading und fortschrittliches Routing. Auf WireGuard-Verbindungen erzielt ProtonVPN damit besonders auf schnellen Internetanschlüssen herausragende Durchsatzraten.

Ein weiterer Pluspunkt: ProtonVPN erlaubt es, WireGuard auch mit Secure Core zu kombinieren – dem Multi-Hop-Feature, das Traffic durch ein zweites Land leitet, bevor er den Zielserver erreicht. Das erhöht die Sicherheit weiter, auf Kosten etwas niedrigerer Geschwindigkeit.

NordVPN: NordLynx

NordVPN vermarktet seine WireGuard-Implementierung unter dem Namen NordLynx. Das Besondere daran: NordVPN hat WireGuard um ein doppeltes NAT-System ergänzt. Das ursprüngliche WireGuard-Protokoll speichert IP-Adressen im Arbeitsspeicher des Servers, solange eine Verbindung aktiv ist – was theoretisch Rückschlüsse auf Nutzer ermöglicht. NordLynx verhindert dies durch eine Zwischenschicht.

In Geschwindigkeitstests belegt NordLynx regelmäßig Spitzenpositionen. Das Protokoll ist auf allen Plattformen verfügbar und wird von NordVPN als Standard empfohlen.

Mullvad: WireGuard in Reinform

Mullvad gehört zu den Pionieren kommerzieller WireGuard-Nutzung und war einer der ersten Anbieter, der das Protokoll einsetzte. Mullvad nutzt WireGuard in möglichst reiner Form ohne proprietäre Erweiterungen – was maximale Transparenz und Kompatibilität bedeutet. Mullvad löst das IP-Speicher-Problem durch regelmäßige Server-seitige Rotation der Schlüssel.

Mullvad ist für seine konsequente Datenschutzphilosophie bekannt: kein Konto, keine E-Mail-Adresse, anonyme Zahlungen. Wer maximale Anonymität sucht und technisch versiert ist, ist bei Mullvad gut aufgehoben.

Surfshark: WireGuard + Nexus

Surfshark bietet WireGuard auf allen Hauptplattformen an und hat es in sein Nexus-Netzwerk integriert. Nexus ermöglicht Dynamic MultiHop – Nutzer können zwei beliebige Serverstandorte zu einer Verbindungskette kombinieren, ähnlich wie Secure Core bei ProtonVPN. Surfshark ist für unbegrenzte Geräte bekannt und eignet sich gut für Familien oder Nutzer mit vielen Endgeräten.

4. Vergleichstabelle: VPN-Anbieter mit WireGuard 2026

Anbieter WireGuard-Name Plattformen Besonderheiten Preis/Monat (Jahresabo)
ProtonVPN WireGuard Win, Mac, Linux, Android, iOS VPN Accelerator, Secure Core, Open Source ca. 4–5 €
NordVPN NordLynx Win, Mac, Linux, Android, iOS, Android TV Doppel-NAT für mehr Privatsphäre, sehr schnell ca. 3–5 €
Mullvad WireGuard Win, Mac, Linux, Android, iOS Keine Konten nötig, maximale Anonymität ca. 5 € (fix)
Surfshark WireGuard Win, Mac, Linux, Android, iOS, Fire TV Nexus-Netzwerk, Dynamic MultiHop, unbegrenzte Geräte ca. 2–4 € (2 Jahre)
ExpressVPN Lightway (kein WireGuard) Win, Mac, Linux, Android, iOS, Router Eigenes Protokoll, OpenSource, kein natives WireGuard ca. 6–8 €

5. Warum WireGuard nicht überall aktiviert ist

WireGuard nutzt das UDP-Protokoll – konkret den UDP-Port 51820 als Standard. Das ist einer der Gründe für seine außergewöhnliche Geschwindigkeit: UDP hat weniger Overhead als TCP, da keine aufwändige Bestätigungsprozedur für jedes Datenpaket stattfindet.

Allerdings hat UDP einen Nachteil: Es lässt sich leichter blockieren als TCP-Port-443-Traffic (der normale HTTPS-Verkehr). Netzwerke, die ausgehendes UDP einschränken, können WireGuard-Verbindungen damit effektiv unterbinden. Das betrifft vor allem:

  • Unternehmensnetzwerke: Viele IT-Abteilungen sperren UDP-Traffic auf nicht-standardmäßigen Ports grundsätzlich.
  • Hotels und öffentliches WLAN: Restriktive Hotspot-Konfigurationen erlauben oft nur HTTP/HTTPS-Traffic.
  • China, Iran, Russland: State-level-Firewalls wie Chinas Great Firewall identifizieren und blockieren VPN-Protokolle aktiv – inklusive WireGuard.

In solchen Fällen bieten die meisten VPN-Anbieter einen automatischen Fallback auf OpenVPN über TCP (Port 443) an. ProtonVPN geht noch weiter und bietet das Stealth-Protokoll, das VPN-Traffic als normalen TLS/HTTPS-Traffic tarnt und damit auch Deep Packet Inspection (DPI) übersteht.

6. WireGuard bei ProtonVPN aktivieren – Schritt für Schritt

In der ProtonVPN-App ist WireGuard seit Version 3.0 auf allen Plattformen verfügbar und oft bereits als Standard voreingestellt. So aktivierst du es manuell:

  1. App öffnen und Einstellungen aufrufen: Klicke auf deinen Profilnamen oder das Einstellungsrad. Auf Mobilgeräten findest du die Einstellungen über das Hamburger-Menü oder das Zahnradsymbol.
  2. „Protokoll" oder „Verbindung" wählen: Je nach Plattform heißt der Bereich „Protokoll", „Connection" oder „VPN-Protokoll". Dort siehst du eine Auswahl: Smart (automatisch), WireGuard, OpenVPN, Stealth.
  3. „WireGuard" auswählen und speichern: Wähle WireGuard manuell aus. Die App zeigt das aktive Protokoll beim nächsten Verbindungsaufbau an der VPN-Statusanzeige an.

Tipp: Mit der Einstellung „Smart" wählt ProtonVPN das beste verfügbare Protokoll automatisch aus – in der Regel WireGuard, mit automatischem Fallback auf Stealth oder OpenVPN, wenn WireGuard blockiert ist.

7. Wann WireGuard die falsche Wahl ist

WireGuard ist für die meisten Anwendungsfälle die beste Wahl – aber nicht für alle. Hier sind die Szenarien, in denen du bewusst ein anderes Protokoll wählen solltest:

  • Blockierende Firewalls: In Unternehmensnetzen oder restriktiven Ländern mit UDP-Blockade funktioniert WireGuard nicht. Stealth (ProtonVPN) oder OpenVPN TCP sind der richtige Ersatz.
  • China und ähnliche Länder: WireGuard-Traffic wird von der Great Firewall erkannt und blockiert. Hier ist ProtonVPNs Stealth-Protokoll die einzig verlässliche Option.
  • Sehr restriktive Hotel-WLANs: Manche Hotspot-Systeme erlauben nur TCP-Port-80/443. In diesem Fall auf OpenVPN TCP oder Stealth wechseln.
  • Legacy-Systeme ohne WireGuard-Unterstützung: Ältere Router-Firmware oder bestimmte VPN-Clients unterstützen WireGuard noch nicht. Hier ist IKEv2 oder OpenVPN die Alternative.
WireGuard ist der neue Standard – aber in China und manchen Firmen-WLANs wird UDP geblockt. ProtonVPNs Stealth-Protokoll ist der beste Fallback: Es tarnt VPN-Traffic als normalen HTTPS-Traffic und übersteht auch tiefgehende Paketanalyse.

ProtonVPN jetzt testen

30 Tage Geld-zurück-Garantie · WireGuard + Stealth auf allen Plattformen

ProtonVPN holen

Häufige Fragen

WireGuard und OpenVPN sind beide sehr sicher, bieten jedoch unterschiedliche Sicherheitsprofile. WireGuard nutzt moderne Kryptographie (ChaCha20, Curve25519, BLAKE2s) und hat mit rund 4.000 Codezeilen eine deutlich kleinere Angriffsfläche als OpenVPN mit über 70.000 Zeilen. OpenVPN gilt als kampferprobt und wurde jahrelang intensiv analysiert. Für die meisten Nutzer ist WireGuard heute die empfehlenswertere Wahl – schneller, schlanker und mit moderner Kryptographie.

Das hängt von deinen Prioritäten ab. ProtonVPN bietet WireGuard in Kombination mit dem VPN Accelerator und Secure Core für maximale Sicherheit. NordVPN setzt mit NordLynx auf eine angepasste WireGuard-Implementierung, die in Geschwindigkeitstests oft Spitzenwerte erreicht. Mullvad gilt als die datenschutzorientierteste WireGuard-Implementierung. Für die meisten Nutzer ist ProtonVPN die beste Wahl, da es Geschwindigkeit, Datenschutz und Benutzerfreundlichkeit vereint.

Ja, WireGuard nutzt UDP und kann von Firewalls, Unternehmensnetzen und in restriktiven Ländern wie China blockiert werden. In solchen Fällen sollte man auf ein alternatives Protokoll wechseln. ProtonVPN bietet dafür das Stealth-Protokoll (VPN über TLS/HTTPS-Tunneling), das auch in blockierenden Umgebungen zuverlässig funktioniert.
Das könnte dich auch interessieren: