Zurück zum Blog
Erklärt·16 Min. Lesezeit

WireGuard vs. OpenVPN — was der Protokollwechsel wirklich verändert hat

OpenVPN ist seit 2001 das Standard-Open-Source-VPN-Protokoll. WireGuard erschien 2016 und verdrängt es seitdem still und leise überall — der Linux-Kernel hat es aufgenommen, jeder große VPN-Anbieter bietet es an, und die Sicherheitsforschung hat es abgesegnet. Hier erfährst du, was sich verändert hat, was gleich geblieben ist und wo OpenVPN nach wie vor die Nase vorn hat.

Von Casper's Cloak Security Team

Die Kurzfassung: OpenVPN funktioniert. Es wurde über zwei Jahrzehnte hinweg geprüft, eingesetzt und unter realen Bedingungen getestet. WireGuard erledigt dieselbe Aufgabe — verschlüsselter, authentifizierter Tunnel zwischen zwei Endpunkten — mit einem kleineren Code-Footprint, modernen kryptografischen Primitiven und deutlich besserer Performance auf Mobilgeräten. Für die überwiegende Mehrheit der Consumer-Anwendungen und die meisten Enterprise-Szenarien ist WireGuard 2026 die bessere technische Wahl. OpenVPN gewinnt noch in spezifischen Nischensituationen: restriktive Netzwerke, in denen TCP-Datenverkehr wie HTTPS aussehen muss, zertifikatsbasierte PKI-Integrationen sowie Umgebungen mit einer langen Compliance-Geschichte, die WireGuard noch nicht zertifiziert hat. Der Rest dieses Beitrags liefert die technischen Details hinter dieser Zusammenfassung.

Was jedes Protokoll eigentlich ist

OpenVPN, 2001 von James Yonan veröffentlicht, ist ein SSL/TLS-basiertes VPN-Protokoll. Es läuft auf den meisten Plattformen im User Space und nutzt die Bibliothek OpenSSL oder mbedTLS für die Kryptografie. Sein Datenkanal kann jeden Cipher verwenden, den OpenSSL unterstützt — AES-256-GCM ist der moderne Standard. Der Steuerkanal verwendet TLS, was bedeutet, dass er das gesamte X.509-Zertifikat-Ökosystem zur Authentifizierung nutzen kann. Es unterstützt sowohl UDP (Standard, geringerer Overhead) als auch TCP (langsamer, aber kommt durch restriktive Firewalls). Das Konfigurationsmodell ist reichhaltig und flexibel — du kannst Routen, DNS, dynamische IP-Zuweisung, Push-Richtlinien und Dutzende weiterer Parameter konfigurieren.

WireGuard, von Jason Donenfeld entworfen und 2016 veröffentlicht, ist ein deutlich schlankeres und meinungsstärkeres Design. Die kryptografischen Primitive sind fest vorgegeben — es gibt keine Aushandlung, keine Cipher-Suite-Liste. Das Protokoll läuft auf Linux, macOS und Windows im Kernel Space (und in einer User-Space-Implementierung auf iOS). Es unterstützt nur UDP — kein TCP-Fallback. Die Authentifizierung erfolgt ausschließlich über statische öffentlich-private Schlüsselpaare — kein Zertifikat-Ökosystem, kein Benutzername/Passwort, keine PKI. Das Konfigurationsmodell ist minimal: eine Liste von Peers, jeder mit einem öffentlichen Schlüssel und einem erlaubten IP-Bereich. Die Schlichtheit ist Programm.

Diese Vereinfachung ist kein "Feature-Abbau aus Spaß an der Freude". Es ist ein bewusster Tausch — die Flexibilität des vollständigen Konfigurationsraums von OpenVPN aufzugeben, um eine drastisch kleinere Angriffsfläche, eine drastisch kleinere Code-Basis und eine deutlich höhere Performance zu erhalten. Das ursprüngliche WireGuard-Whitepaper macht das explizit: Das Design soll eine Sache gut machen, kein Schweizer Taschenmesser sein.

Code-Umfang und Audit-Oberfläche

Das ist der am häufigsten zitierte und am meisten unterschätzte Unterschied. WireGuards Referenzimplementierung umfasst rund 4.000 Zeilen Code. OpenVPNs Code-Basis liegt weit über 100.000 Zeilen — plus der gesamte OpenSSL-Code, der selbst rund 500.000 Zeilen umfasst. Die Audit-Oberfläche — also die Menge an Code, die geprüft werden muss, um sicher keine Schwachstellen zu übersehen — unterscheidet sich um zwei Größenordnungen.

Das ist relevant, weil reale Sicherheitslücken in VPN-Protokollen historisch aus Implementierungsfehlern entstanden sind, nicht aus Protokolldesignmängeln. Der Heartbleed-Bug in OpenSSL aus dem Jahr 2014 betraf jede OpenVPN-Installation. Die Lucky-Thirteen- und CBC-Padding-Oracle-Angriffe betrafen die TLS-Schicht, auf die OpenVPN aufbaut. Keiner davon war ein eigentlicher OpenVPN-Protokollfehler — es waren Schwachstellen in den darunterliegenden Schichten. Ein Protokoll mit einer 4.000-Zeilen-Implementierung bietet solchen Fehlern dramatisch weniger Verstecke.

Das ist kein hypothetischer Vorteil. Die Linux-Kernel-Maintainer — bekannt dafür, das Einpflegen von neuem Code skeptisch zu sehen — haben WireGuard 2020 in den Mainline-Kernel aufgenommen, unter anderem weil die Code-Basis klein genug war, um vollständig geprüft zu werden. Linus Torvalds bezeichnete es öffentlich als "ein Kunstwerk" im Vergleich zu anderen VPN-Implementierungen. OpenVPN wurde nie in den Kernel aufgenommen, weil die Komplexität das unmöglich macht.

Kryptografische Primitive

OpenVPN ist cipher-agil — du konfigurierst, welche Verschlüsselungs-, MAC- und Schlüsselaustausch-Algorithmen es verwendet, aus dem Angebot von OpenSSL. Die modernen Standardwerte sind AES-256-GCM für Daten, SHA-256 für den HMAC und RSA oder ECDSA für die zertifikatsbasierte Authentifizierung. Diese Agilität war historisch ein Vorteil — wenn ein Algorithmus als schwach eingestuft wurde, konnte man ihn austauschen, ohne das Protokoll zu ändern. Gleichzeitig ist sie eine Schwäche — die meisten TLS-Schwachstellen des letzten Jahrzehnts betrafen die Aushandlungslogik (Downgrade-Angriffe, Cipher-Suite-Manipulation, Fallback-Handshakes) und nicht die Primitive selbst.

WireGuard legt seine Primitive fest. Es verwendet ChaCha20 für die symmetrische Verschlüsselung, Poly1305 für die Authentifizierung (kombiniert als ChaCha20-Poly1305 AEAD), Curve25519 für den elliptischen Diffie-Hellman-Schlüsselaustausch, BLAKE2s für das Hashing und HKDF für die Schlüsselableitung. Nichts davon lässt sich aushandeln. Wird in einem davon eine Schwachstelle entdeckt, wird die Protokollversion selbst erhöht — es gibt keinen In-Band-Downgrade-Pfad, den ein Angreifer ausnutzen könnte. Die Wahl der Primitive basiert auf moderner Kryptoanalyse: ChaCha20 ist effizienter als AES auf Geräten ohne Hardware-AES-Beschleunigung (die meisten älteren ARM-Telefone), Curve25519 ist die am meisten geprüfte elliptische Kurve im Einsatz, und BLAKE2s ist schneller als SHA-256 bei gleicher Sicherheit.

Der Kompromiss: Wird eine der von WireGuard gewählten Primitiven je gebrochen, müssen alle Deployments synchron upgraden. Mit OpenVPNs Cipher-Agilität können einzelne Server ihr eigenes Tempo gehen. WireGuards Wette lautet, dass die gewählten Primitive robust genug sind, sodass das in der Praxis viele Jahre nicht nötig sein wird. Bisher hat sich das bestätigt; ob es so bleibt, hängt von kryptoanalytischen Entwicklungen ab, die niemand vorhersagen kann.

Verbindungsmodell — zustandslos vs. zustandsbehaftet

OpenVPN pflegt eine zustandsbehaftete Sitzung — es gibt einen Handshake beim Verbinden, die Verbindung bleibt bestehen, und das Trennen ist ein bewusstes Ereignis. Der Server verfolgt den Zustand jedes Clients, einschließlich der ausgehandelten Sitzungsschlüssel, aktueller Sequenznummern und der zugewiesenen virtuellen IP. Startet der Server neu oder wird die Verbindung unterbrochen, muss die Sitzung mit einem vollständigen Handshake neu aufgebaut werden.

WireGuard ist aus Netzwerkperspektive konzeptionell zustandslos. Jeder Peer wird durch seinen öffentlichen Schlüssel identifiziert, nicht durch eine Sitzungs-ID. Es gibt keine "Verbindung" im klassischen Sinne — Pakete zwischen Peers authentifizieren sich gegen den bekannten öffentlichen Schlüssel oder nicht. Die Schlüsselrotation erfolgt alle zwei Minuten (oder wenn ein konfigurierbarer Byte-Schwellenwert überschritten wird), erfordert aber aus Nutzersicht keinen erneuten Handshake. Startet ein Server neu, löst das nächste Paket des Clients automatisch einen Handshake aus; der Nutzer erlebt keine Unterbrechung außer der Round-Trip-Zeit eines Handshakes.

Dieses zustandslose Modell ist der Grund, warum WireGuard Netzwerkwechsel so reibungslos handhabt. Wenn ein Telefon von WLAN auf Mobilfunk wechselt, benötigt OpenVPN typischerweise einen vollständigen erneuten Handshake (oft 5–10 Sekunden, manchmal mit Fehler). WireGuard funktioniert einfach weiter — das neue Paket von der neuen IP authentifiziert sich korrekt, der Server aktualisiert sein Endpoint-Mapping für diesen öffentlichen Schlüssel, und der Tunnel läuft weiter. Aus Nutzersicht ist der Netzwerkwechsel unsichtbar.

Performance — die Zahlen, die wirklich zählen

Benchmarks zeigen konsistent, dass WireGuard OpenVPN beim Durchsatz, der Latenz und dem CPU-Verbrauch deutlich übertrifft. Die Zahlen variieren je nach Hardware und Konfiguration, aber das grundlegende Muster ist konsistent. Auf einem typischen modernen Laptop über Gigabit-Ethernet erreicht WireGuard nahezu Line-Rate-Durchsatz (900+ Mbps); OpenVPN mit AES-256-GCM und modernem OpenSSL erreicht typischerweise 200–400 Mbps aufgrund von User-Space-Kopien und TLS-Framing-Overhead. Auf ARM-basierten Telefonen ohne Hardware-AES ist WireGuards Vorteil noch größer — ChaCha20 ist wesentlich schneller als Software-AES, und die In-Kernel-Implementierung vermeidet Kontextwechsel.

Latenzvergleiche sind weniger dramatisch, fallen aber konsistent zugunsten von WireGuard aus. Ein typischer WireGuard-Tunnel fügt 1–3 ms Overhead pro Round Trip in einem schnellen Netzwerk hinzu; OpenVPN fügt je nach Cipher und Plattform 5–15 ms hinzu. Für interaktive Nutzung — Gaming, Videoanrufe, Terminal-Sitzungen — ist der Unterschied spürbar. Für Massenübertragungen ist er gegenüber dem Durchsatz zweitrangig.

Akkuverbrauch auf Mobilgeräten

Auf Smartphones äußert sich die Performance-Lücke als Akku-Lücke. Zwei Effekte verstärken sich gegenseitig: WireGuard verarbeitet dieselbe Menge Netzwerkdatenverkehr mit weniger CPU-Zyklen (weil das Protokoll schlichter und die Krypto auf ARM schneller ist), und WireGuard erzeugt weniger Netzwerk-Overhead pro nutzbarem übertragenen Byte (weniger Keep-Alive-Pakete, kleineres Framing, keine periodischen erneuten Handshakes). Unabhängige Messungen haben wiederholt gezeigt, dass WireGuard bei äquivalenten Workloads auf iOS und Android rund 20–40 % weniger Akku verbraucht.

Das Verhalten "Roaming ohne erneuten Handshake" hilft dem Akku ebenfalls. Bei OpenVPN kann jeder Netzwerkwechsel eine Phase fehlgeschlagener Paket-Neuübertragungen verursachen, während der Client merkt, dass die Verbindung unterbrochen ist, und die Wiederverbindung einleitet — dieses Wiederholungsverhalten hält das Funkmodul länger aktiv als nötig. WireGuard vermeidet das vollständig.

Roaming-Verhalten — Netzwerkwechsel mitten in der Sitzung

Das ist die für Nutzer sichtbarste Verbesserung, die WireGuard bietet. Stell dir vor, du führst einen Videoanruf mit aktiviertem VPN, und dein Telefon wechselt von WLAN auf Mobilfunk, während du das Haus verlässt:

  • Mit OpenVPN — das Mobilfunknetz weist deinem Telefon eine neue IP zu. Die ausgehenden Pakete des OpenVPN-Clients kommen nun von dieser neuen IP, aber der Sitzungszustand des Servers erwartet Pakete von der alten WLAN-IP. Die Pakete werden verworfen. Nach einigen Sekunden Stille bemerkt OpenVPNs Keep-Alive-Logik den Ausfall und löst eine erneute Verbindung aus — vollständiger TLS-Handshake, Schlüsselaustausch, das ganze Programm. Dein Anruf bricht ab; du verbindest dich neu.
  • Mit WireGuard — dasselbe Paket von der neuen IP kommt am Server an, authentifiziert sich gegen den bekannten öffentlichen Schlüssel und wird akzeptiert. Der Server aktualisiert transparent sein Endpoint-Mapping für diesen öffentlichen Schlüssel auf die neue IP. Die nächste Antwort geht an die neue IP. Der Anruf bricht nicht ab. Der Nutzer merkt nichts.

Das ist der UX-Vorteil, der die Consumer-VPN-Branche dazu gebracht hat, WireGuard zu adoptieren. Support-Tickets über "Das VPN trennt sich, wenn ich von WLAN auf Mobilfunk wechsle" hören einfach auf, sobald ein Anbieter von OpenVPN auf WireGuard migriert.

Wo OpenVPN noch die Nase vorn hat

OpenVPN ist nicht tot, und es gibt spezifische Szenarien, in denen es 2026 die bessere Wahl bleibt:

TCP-Modus für restriktive Netzwerke

WireGuard ist ausschließlich UDP-basiert. Einige Netzwerke — Unternehmens-Firewalls, Hotel-WLAN, restriktive ISPs in manchen Ländern — blockieren oder drosseln stark UDP-Datenverkehr, der nicht auf den Standard-DNS/QUIC-Ports läuft. OpenVPNs TCP-Modus (typischerweise auf Port 443) kann diese Netzwerke durchdringen, indem der VPN-Datenverkehr wie normales HTTPS aussieht. WireGuard hat keinen nativen TCP-Modus; du brauchst entweder eine zusätzliche Verschleierungsschicht darüber (Cloak, Shadowsocks, AmneziaWG) oder fällst auf OpenVPN zurück.

Zertifikatsbasierte Authentifizierung mit bestehender PKI

OpenVPN lässt sich sauber in X.509-Zertifikatsinfrastrukturen integrieren. Organisationen, die bereits eine PKI für andere Zwecke haben (Smartcards, S/MIME, internes TLS), können sie ohne neue Infrastruktur auf VPN-Auth ausweiten. WireGuard verwendet statische Schlüssel, was operativ einfacher ist, aber nicht in PKI-Workflows passt. Für Organisationen mit starker PKI-Investition bleibt OpenVPN die natürliche Wahl.

Längere Audit-Geschichte

OpenVPN ist seit über zwei Jahrzehnten im Produktiveinsatz. Es wurde mehrfach von mehreren unabhängigen Firmen geprüft. WireGuards Geschichte ist kürzer — acht Jahre Produktiveinsatz und eine geringere Anzahl formaler Audits. Beide haben eine saubere Sicherheitsbilanz; OpenVPNs Track Record ist schlicht länger. Für Compliance-Frameworks, die eine lange Deployment-Geschichte erfordern (einige FedRAMP- und FIPS-Kontexte), ist OpenVPN möglicherweise noch die einzige Option.

Dynamische IP-Zuweisung und umfangreichere Policy-Push-Mechanismen

OpenVPNs Server kann virtuelle IPs dynamisch zuweisen, DNS-Einstellungen, Routen und andere Konfigurationen während des Handshakes an Clients übermitteln. WireGuards Konfiguration ist größtenteils statisch — die erlaubten IPs jedes Peers werden im Voraus konfiguriert. Für große Enterprise-Deployments mit häufig wechselnden Endpoints ist OpenVPNs dynamisches Modell operativ einfacher.

Eigenschaftsvergleich im Überblick

Eigenschaft WireGuard OpenVPN
Veröffentlicht 2016 2001
Code-Größe (Referenzimplementierung) ~4.000 Zeilen ~100.000+ Zeilen (plus OpenSSL ~500.000)
Kryptografische Primitive Fest: ChaCha20-Poly1305, Curve25519, BLAKE2s Aushandelbar über OpenSSL; Standard AES-256-GCM + SHA-256 + RSA/ECDSA
Standardport 51820 UDP (konfigurierbar) 1194 UDP, 443 TCP (konfigurierbar)
TCP-Unterstützung Nein (nur UDP) Ja (TCP-Modus verfügbar)
Authentifizierung Statische Public-Key-Paare X.509-Zertifikate, Pre-Shared Keys, Benutzername/Passwort
Linux-Kernel-Integration Im Mainline-Kernel seit Kernel 5.6 (2020) Nur User Space
Akku-Effizienz auf Mobilgeräten ~20–40 % geringerer Verbrauch in unabhängigen Tests Höherer Grundverbrauch; periodische erneute Handshakes erhöhen die Kosten
Roaming (WLAN auf Mobilfunk) Transparent; kein erneuter Handshake erforderlich Löst Neuverbindung aus; sichtbarer Sitzungsabbruch
Audit-Geschichte ~8 Jahre Produktiveinsatz; mehrere formale Audits ~24 Jahre Produktiveinsatz; umfangreiche Audit-Geschichte
Zensurresistenz (roh) Geringer (markantes Handshake-Muster) Höher mit TCP/443-Modus

Warum die meisten modernen Dienste WireGuard verwenden

Jeder große Consumer-VPN-Anbieter — Mullvad, ProtonVPN, NordVPN, IVPN, Surfshark, ExpressVPN, Casper's Cloak — bietet WireGuard an, und die meisten haben es zum Standard gemacht. Die Gründe sind bei allen Anbietern konsistent: es ist schneller, verbraucht weniger Akku, übersteht Netzwerkwechsel reibungslos und ist leichter zu prüfen. Support-Kosten sinken, weil weniger Verbindungen abbrechen. Serverkosten sinken, weil jeder Server mehr gleichzeitige Verbindungen bewältigen kann (geringerer CPU-Verbrauch pro Verbindung). Die Nutzererfahrung verbessert sich auf Mobilgeräten messbar.

Der Übergang wurde auch von ernsthaften institutionellen Anwendern bestätigt. Mullvad hat ihre vollständige Migration zu WireGuard und die technischen Gründe dafür öffentlich erläutert. Die Dienste Tailscale und Cloudflare WARP basieren auf WireGuard-abgeleiteten Protokollen. Linux hat es in den Mainline-Kernel aufgenommen. macOS und iOS liefern native Unterstützung mit. In der Branche besteht ein starker Konsens, dass WireGuard die richtige Basis für neue VPN-Deployments ist, während OpenVPN für spezifische Kompatibilitätsszenarien beibehalten wird. Für den größeren Kontext, warum ein bezahltes VPN, das diese Protokolle korrekt einsetzt, überhaupt eine Rolle spielt, behandelt unser Leitfaden zu kostenlosen vs. bezahlten VPNs die Vertrauens- und Finanzierungsseite, und unser ProtonVPN-Vergleich zeigt, wie sich einzelne Anbieter in der Implementierung unterscheiden.

Was Casper verwendet – und warum

Casper's Cloak verwendet WireGuard standardmäßig auf iOS, Android und Mac. Die Gründe decken sich direkt mit dem obigen Vergleich: Geringerer Akkuverbrauch zählt auf den Geräten, die unsere Nutzer tatsächlich bei sich tragen; Roaming ohne Verbindungsabbruch ist wichtig, weil die meisten unserer Kunden täglich zwischen Netzwerken wechseln; die kleinere Code-Oberfläche passt zu unserem Bedrohungsmodell (Netzwerkschutz sollte keine zusätzliche Code-Ausführungsfläche einführen); und die kryptografischen Primitive sind die modernen Best-in-Class-Lösungen.

Wir kombinieren WireGuard mit unseren eigenen Filter- und Erkennungsschichten — Threat Shield am DNS-Resolver, ML-basiertes Threat-Scoring für neue Domains und Tracker-Filterung im Antwortpfad. Der Tunnel ist der Transport; die aktive Filterung ist es, die die Verbindung über eine bloße IP-Änderung hinaus nützlich macht. Für die kanonische technische Referenz zu WireGuard selbst bleiben das Originalpaper und die Dokumentation auf wireguard.com/papers die besten primären Quellen.

Fazit

WireGuard ist 2026 die richtige Standardwahl für Consumer-VPNs, moderne Enterprise-Deployments und die meisten Cloud-zu-Cloud-Tunnel. Es ist schneller, akkueffizienter, leichter zu prüfen und deutlich besser beim Umgang mit mobilem Netzwerkroaming. OpenVPN ist nicht veraltet und bleibt die richtige Antwort für restriktive Netzwerke, in denen TCP-Modus benötigt wird, für Organisationen mit etablierten PKI-Workflows und für Compliance-Umgebungen, die seine lange Audit-Geschichte erfordern.

Für einen typischen Nutzer, der ein Consumer-VPN wählt: Nimm einen Anbieter, der WireGuard anbietet, verwende es als Standard und behalte OpenVPN als Fallback für die seltenen Netzwerke, die WireGuards UDP-Datenverkehr nicht durchlassen. Die Performance- und Akku-Verbesserungen sind real, das Sicherheitsmodell ist mindestens genauso stark, und die Nutzererfahrung — besonders auf Mobilgeräten — ist merklich besser. Der Wechsel, den die Branche bereits vollzogen hat, ist der richtige, und er zeigt keinerlei Anzeichen einer Umkehr.

Geprüft vom Casper's Cloak Security Team · Zuletzt aktualisiert

WireGuard-Tunnel, aktive Filterung, keine DNS-Lecks

Casper's Cloak verwendet WireGuard standardmäßig auf iOS, Android und Mac — mit Threat-Shield-Filterung, verschlüsseltem DNS und betriebssystemseitig erzwungenem Dauerschutz. Modernes Protokoll, moderne Härtung.