Zum Hauptinhalt springen

Warum Mullvad-VPN?

Seit 2009 steht Ihr Datenschutz bei uns an erster Stelle. Wir zeigen Ihnen, was Mullvad VPN zu bieten hat.

Two mobile phones using Mullvad VPN

Anonymes Konto

Wir fragen nach keinen persönlichen Informationen – nicht einmal nach Ihrer E-Mail-Adresse – und wir unterstützen anonyme Zahlung per Bargeld oder Kryptowährung.

Kein Logging

Ihre Privatsphäre ist uns wichtig. Deshalb zeichnen wir Ihre Aktivitäten nicht auf. Unser Langzeitziel ist es, künftig auch keine Zahlungsinformationen zu speichern.

Extern kontrolliert

Wir fordern unabhängige Kontrollen von unserer App und Infrastruktur an, um Transparenz anzubieten und unsere Sicherheitsvorkehrungen zu verbessern.

Sichere Rechtsprechung

Die Gesetze, die für uns als VPN-Anbieter aus Schweden wichtig sind, machen unseren Standort sicher für uns und Ihren Datenschutz.

Eingebauter Killswitch

Der eingebaute Killswitch wird jeglichen Netzverkehr blockieren, wenn Sie Verbindungsschwierigkeiten haben, während Mullvad VPN aktiv ist.

Keine erkauften Rezensionen

Wir halten uns von gekauften Rezensionen und Partnern fern und lassen unsere Erfolgsbilanz für sich sprechen.

Firmeninternes Support Team

Wir lagern unseren Support nicht aus. Unser engagiertes Support-Team arbeitet mit unseren Entwicklern zusammen, um Ihre Fragen zu beantworten.

Wegbereiter

Wir haben bei der Entwicklung vieler Technologien und Sicherheitsfunktionen, die heute als Standardverfahren gelten, Pionierarbeit geleistet. Wir arbeiten auch eng mit Universitäten zusammen.

Bekämpft Traffic-Analysen

Selbst wenn Sie Ihren Traffic mit einem VPN verschlüsseln, besteht immer noch das Risiko, dass Ihr Traffic analysiert werden kann. Aus diesem Grund haben wir DAITA (Defense Against AI-guided Traffic Analysis) entwickelt.

Quantenresistente VPN-Tunnel

Sie können auf allen unseren unterstützten Plattformen quantenresistente VPN-Tunnel wählen. Für den Fall, dass es zukünftigen Quantencomputern gelingt, die heutige Verschlüsselung zu knacken.

DNS-Abfragen über verschlüsselten Tunnel

Wenn Sie Mullvad VPN verwenden, werden alle Ihre DNS-Abfragen (bei denen Website-Adressen in IP-Adressen umgewandelt werden) durch den verschlüsselten VPN-Tunnel geleitet.

Multihop

Mit unserer Multihop-Funktion können Sie Ihren Datenverkehr über zwei oder mehr Server an verschiedenen Standorten und in unterschiedlichen Gerichtsbarkeiten leiten.

Features

Windows

macOS

Linux

Android

iOS

Extern kontrolliert

Open Source Code

Split Tunneling

Eigener DNS-Server

Multihop

OpenVPN über Shadowsocks

WireGuard über Shadowsocks

WireGuard über TCP

Automatische Rotation von WireGuard-Schlüsseln

Fehlerberichterstattung in der App

DNS-Inhaltssperren

Quantenresistente Tunnel

DAITA

  1. Split Tunneling ist nur unter macOS 13 und neuer verfügbar
Laptop with Mullvad connected

Die technischen Einzelheiten

Interessieren Sie sich für die Protokolle, Primitive und andere Einzelheiten, auf denen Mullvad VPN aufgebaut ist? Hier, bitteschön!

VPN-Protokolle in der App

Wir unterstützen zwei Protokolle für die VPN-Tunnel – OpenVPN und WireGuard:

  • Wir begrenzen OpenVPN auf TLS 1.3 (für den Kontrollkanal) und AES-256-GCM (für den Datenkanal). Dies ist in OpenSSL implementiert.
  • Für Wireguard benutzen wir die Standard Linux-Kernel-Implementierung, sofern verfügbar. Andernfalls verwenden wir Wireguard-Go.

App API-Verbindung

Die App verwendet TLS 1.2 oder 1.3, implementiert in Rustls*, um die Kommunikation mit der API zu verschlüsseln. Dies hat zwei Funktionen:

  • Die Verbindung verwendet Certificate Pinning um MitM-Angriffe zu verhindern.
  • Zur Vermeidung von DNS-Spoofing verwendet die App kein DNS, um die IP für die API zu erhalten.
*Unter iOS wird das von URLSession unterstützte Standard-TLS verwendet

App-Firewall und Sicherheit

Die App verhindert Leaks und ermöglicht die Killswitch-Funktion, indem sie sich in die Firewall des Systems integriert (WFP in Windows, nftables in Linux und PF in macOS). Erfahren Sie auf unserer GitHub Seite mehr

App-Architektur

Um die Menge an Code zu begrenzen, der als privilegierter Nutzer läuft, ist die App in zwei Teile geteilt:

  • unprivilegierte Front-Ends (inklusive CLI))
  • ein privilegierter Systemdienst, welcher im Hintergrund läuft und die Tunnel und Gerätesicherheit überwacht.
Erfahren Sie auf unserer GitHub Seite mehr

Server

Wir haben in allen unseren Servern eine Standardkonfiguration und Prioritätsreihenfolge zur Verschlüsselung definiert, um die stärkstmögliche verfügbare Verschlüsselung für jedes Tunnelprotokoll zu bieten.

OpenVPN-Server

Unsere OpenVPN-Server haben die folgenden Eigenschaften:

  • Für die Serverauthentifizierung werden 4096-Bit RSA-Zertifikate (mit SHA512) verwendet.
  • Für den Schlüsselaustausch werden 4096-Bit Diffie-Hellman-Parameter verwendet
  • Für Perfect Forward Secrecy wird DHE verwendet.
  • Eine minimale TLS Version von 1.2 wird für den Kontrollkanal erzwungen – auch TLS 1.3 ist verfügbar.

  • Für die neusten OpenVPN-Clientversionen bieten wir die folgenden Chiffren, die in der angegebenen Reihenfolge verwendet werden (solange der Benutzer keine andere Konfiguration anwendet):

    • Chiffren für den Kontrollkanal: TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384.
    • Chiffren für den Datenkanal: CHACHA20-POLY1305, AES-256-GCM.
  • Alle 60 Minuten wird ein Re-keying durchgeführt.

WireGuard-Server

WireGuard ist dogmatisch und bietet nur einen Satz kryptografischer Primitiven. Besuchen Sie die WireGuard Website für weitere Informationen.

Brückenserver

Unsere Brücken vereinfachen die Verbindung mit unserer Website, API, OpenVPN und WireGuard-Servern an Orten, wo der Zugriff auf diese blockiert ist. Unsere Konfiguration macht es schwer bis unmöglich, darüber auf etwas Unverschlüsseltes zuzugreifen. Deshalb ist die Art der Verschlüsselung nicht sonderlich wichtig.

Serverblockierung

Um uns, unsere Kunden und die Qualität unseres Dienstes zu beschützen, behalten wir uns das Recht vor, jegliche IP-Adressen oder Ports zu blockieren. Wir blocken zu jeder Zeit ausgehenden Verkehr auf den folgenden Ports:

  • Port 25 – zum Verhindern von Spam
  • Ports 137, 138, 139, 445 – um Kunden vor einer Microsoft SMB/CIFS Sicherheitslücke zu beschützen
  • Ports 1900 und 2869 – um Kunden vor schädlichen UPnP Konfigurationen zu schützen.