Was ist ein WebRTC-Leck?

Ein WebRTC-Leck tritt auf, wenn die eingebaute WebRTC-API Ihres Browsers Ihre echte IP-Adresse — lokal und/oder öffentlich — an eine Website weitergibt, obwohl Sie mit einem VPN verbunden sind. WebRTC verwendet STUN/ICE-Anfragen, um Peer-to-Peer-Verbindungen einzurichten, und diese Anfragen können außerhalb des VPN-Tunnels reisen, wodurch die IP, die Ihr VPN verbergen sollte, offengelegt wird.

Schützt ein VPN vor WebRTC-Lecks?

Nicht automatisch. Ein VPN verschlüsselt und leitet Ihren Datenverkehr um, aber WebRTC-Anfragen können den Tunnel je nach Browser und Betriebssystem umgehen. Einige VPN-Apps beinhalten eingebauten WebRTC-Leckschutz; viele nicht. Der einzige Weg, dies zu wissen, ist zu testen: Verbinden Sie sich mit Ihrem VPN, führen Sie dann einen Lecktest durch und vergleichen Sie die von WebRTC gemeldete IP mit der Exit-IP Ihres VPNs.

Wie teste ich auf ein WebRTC-Leck?

Öffnen Sie ein Lecktest-Tool, während Ihr VPN verbunden ist, und schauen Sie sich die von WebRTC gemeldete IP-Adresse an. Wenn sie Ihre echte öffentliche IP (die, die Ihnen Ihr ISP zugewiesen hat) anzeigt, anstatt der IP Ihres VPNs, haben Sie ein Leck. Sie können unseren im Browser laufenden IP- & WebRTC-Lecktest durchführen, der Ihre IP-, DNS- und WebRTC-Exposition überprüft, ohne etwas zu protokollieren.

Welche Browser sind von WebRTC-Lecks betroffen?

Alle großen Browser unterstützen WebRTC und können in gewissem Maße lecken: Chrome, Firefox, Edge, Brave und Safari. Die Schwere und die verfügbaren Lösungen unterscheiden sich je nach Browser. WebRTC ist in den meisten modernen Browsern standardmäßig aktiviert, da Echtzeit-Audio-/Videoanrufe darauf angewiesen sind.

Wie behebe ich ein WebRTC-Leck?

Sie können WebRTC vollständig deaktivieren (Firefox: setzen Sie media.peerconnection.enabled auf false in about:config), es einschränken (Brave hat eine 'WebRTC-IP-Verarbeitungspolitik', die Sie auf nicht-proxied UDP deaktivieren setzen können), oder eine Erweiterung wie uBlock Origin mit der Option 'Verhindern, dass WebRTC lokale IP-Adressen leakt' verwenden. Sie können auch ein VPN wählen, das WebRTC-Leckschutz beinhaltet. Testen Sie danach immer erneut, um zu bestätigen, dass die Lösung funktioniert hat.

Bricht das Deaktivieren von WebRTC etwas?

Ja — das ist der ehrliche Kompromiss. Das Deaktivieren von WebRTC kann browserbasierte Video- und Sprachanrufe, die darauf angewiesen sind, wie Google Meet, Discord im Browser oder andere Webkonferenz-Tools unbrauchbar machen. Wenn Sie diese benötigen, beschränken Sie WebRTC anstatt es vollständig zu deaktivieren, oder verwenden Sie ein separates Browserprofil für Anrufe.

Ist ein WebRTC-Leck ein ernstes Sicherheitsproblem?

Das hängt von Ihrem Bedrohungsmodell ab. Für jemanden, der einfach nicht möchte, dass Websites oder Werbenetzwerke ihre echte IP hinter einem VPN sehen, untergräbt es den Zweck der Nutzung des VPNs. Für einen alltäglichen Nutzer im Heim-WLAN ist das praktische Risiko geringer. So oder so, es ist ein gut dokumentiertes Verhalten, kein exotischer Exploit — und es ist einfach zu testen und zu beheben.

Kann ich ein WebRTC-Leck ohne VPN haben?

Ohne ein VPN ist Ihre echte IP bereits für die von Ihnen besuchten Seiten sichtbar, daher ist 'Leck' nicht das richtige Wort — es wird nichts verborgen. WebRTC-Lecks sind speziell dann von Bedeutung, wenn Sie ein VPN (oder Proxy) verwenden und erwarten, dass Ihre echte IP verborgen bleibt, aber WebRTC sie trotzdem offenbart.

WebRTC-Lecktest: So überprüfen (und beheben) Sie das Leck, das Ihre echte IP offenlegt

Sie verbinden sich mit einem VPN, die App zeigt "geschützt" an, und Sie gehen davon aus, dass Ihre echte IP-Adresse verborgen ist. Für den Großteil Ihres Datenverkehrs stimmt das auch. Aber es gibt eine stille Ausnahme, die in Ihren Browser eingebaut ist und Ihre echte IP-Adresse direkt an jede besuchte Website weitergeben kann — und Ihr VPN wird Sie nicht davor warnen.

Diese Ausnahme ist WebRTC. Es handelt sich um eine Browsertechnologie, die für Echtzeit-Audio und -Video entwickelt wurde und so gut funktioniert, dass sie fast überall standardmäßig aktiviert ist. Der gleiche Mechanismus, der es Ihnen ermöglicht, einen Videoanruf zu tätigen, ohne etwas installieren zu müssen, kann auch die IP-Adresse offenlegen, die Ihr VPN eigentlich verbergen sollte.

Dieser Leitfaden erklärt, was ein WebRTC-Leck tatsächlich ist, warum es den VPN-Tunnel umgeht, wie Sie es in weniger als einer Minute testen und in jedem großen Browser beheben können — einschließlich der ehrlichen Nachteile jeder Lösung.

Was WebRTC ist — und warum es Ihre IP lecken kann

WebRTC (Web Real-Time Communication) ist eine API, die in moderne Browser integriert ist und es Webseiten ermöglicht, Audio, Video und Daten direkt zwischen Nutzern, Peer-to-Peer, ohne Plugin auszutauschen. Es ist das, was Videoanrufe im Browser, Sprachchats und einige Dateifreigabetools antreibt.

Um zwei Personen zu verbinden, die sich beide hinter Heimroutern befinden, muss WebRTC die öffentliche Adresse herausfinden, unter der jedes Gerät erreichbar ist. Dies geschieht über STUN-Server und das ICE-Framework (Interactive Connectivity Establishment). Einfach ausgedrückt: Ihr Browser fragt einen STUN-Server "Wie sieht meine Adresse von außen aus?" und die Antwort kommt mit Ihrer IP zurück.

Hier ist der Haken. Diese STUN/ICE-Erkennung kann jede Netzwerkadresse auflisten, die Ihr Gerät kennt — einschließlich Ihrer lokalen Netzwerk-IP und, entscheidend, Ihrer echten öffentlichen IP — und dies kann über einen Pfad geschehen, der den VPN-Tunnel umgeht. Das VPN leitet Ihren normalen Datenverkehr um, aber die WebRTC-Anfrage kann es kurzschließen, sodass die gemeldete IP diejenige ist, die Ihr VPN eigentlich verbergen sollte. Die Website musste nie um Erlaubnis Ihres VPNs bitten; der Browser hat die Informationen freiwillig bereitgestellt.

Dies ist kein Fehler eines einzelnen VPNs. Es ist eine Folge davon, wie WebRTC entwickelt wurde, um den direktesten Weg zwischen Peers zu finden — direkte Wege sind genau das, was ein VPN zu verhindern versucht.

Welche Browser betroffen sind

WebRTC ist in den meisten modernen Browsern standardmäßig aktiviert, da Echtzeitanrufe darauf angewiesen sind. Das bedeutet, dass das Potenzial für ein Leck überall besteht:

Chrome — WebRTC standardmäßig aktiviert; hauptsächlich über Erweiterungen oder Richtlinien gesteuert.
Firefox — WebRTC standardmäßig aktiviert, bietet aber einen direkten Schalter in about:config.
Edge — Auf Chromium basierend, verhält sich wie Chrome.
Brave — Auf Chromium basierend, bietet aber eine spezielle WebRTC-IP-Verarbeitungseinstellung in den Datenschutzoptionen.
Safari — unterstützt WebRTC; Verhalten und Steuerungen unterscheiden sich von der Chromium-Familie.

Die Schwere und die verfügbaren Lösungen variieren je nach Browser, weshalb es wichtiger ist, Ihre eigene Konfiguration zu testen, als anzunehmen "mein Browser ist in Ordnung".

Ein Serverraumgang gesäumt mit Netzwerkracks — die Art von Infrastruktur, auf der STUN-Server laufen, um die Adresse Ihres Geräts zu entdecken

Wie man auf ein WebRTC-Leck testet

Testen ist der einzige Weg, um Ihre tatsächliche Exposition zu kennen, und es dauert weniger als eine Minute:

Verbinden Sie sich mit Ihrem VPN und bestätigen Sie, dass die App anzeigt, dass Sie geschützt sind. Notieren Sie die Exit-IP, die Ihr VPN zu verwenden behauptet (die meisten VPN-Apps zeigen sie an).
Führen Sie einen Lecktest durch. Der schnellste Check ist unser eigener IP- & WebRTC-Lecktest — er läuft vollständig in Ihrem Browser und zeigt, was Ihre IP, DNS und WebRTC tatsächlich preisgeben, ohne dass etwas protokolliert wird.
Vergleichen Sie die IPs. Schauen Sie sich die IP-Adresse an, die WebRTC meldet. Wenn sie mit der Exit-IP Ihres VPNs übereinstimmt, sind Sie in Ordnung. Wenn sie Ihre echte öffentliche IP zeigt (die, die Ihnen Ihr ISP gegeben hat), oder wenn Ihre echte IP irgendwo neben der VPN-IP erscheint, dann ist das ein Leck.

Ein schneller Realitätscheck: Notieren Sie zuerst Ihre echte IP mit ausgeschaltetem VPN, dann schalten Sie das VPN ein und testen erneut. Wenn WebRTC immer noch dieselbe echte IP anzeigt, wird der Tunnel umgangen.

Wie man ein WebRTC-Leck behebt

Es gibt drei ehrliche Wege, und der richtige hängt davon ab, ob Sie jemals browserbasierte Anrufe tätigen.

WebRTC vollständig deaktivieren (Firefox)

Firefox ist der einfachste Fall, da es Ihnen einen direkten Schalter bietet:

Geben Sie about:config in die Adressleiste ein und akzeptieren Sie die Warnung.
Suchen Sie nach media.peerconnection.enabled.
Setzen Sie es auf false.

WebRTC ist jetzt in diesem Browser ausgeschaltet. Dies ist die vollständigste Lösung — aber sie wird jede Seite, die auf WebRTC für Anrufe angewiesen ist, unbrauchbar machen (siehe den Kompromiss unten).

WebRTC einschränken, anstatt es zu deaktivieren (Brave)

Brave ermöglicht es Ihnen, WebRTC funktionsfähig zu halten, während es daran gehindert wird, zu lecken. In den Einstellungen von Brave, unter Datenschutz/Sicherheit, setzen Sie die WebRTC-IP-Verarbeitungspolitik auf "nicht-proxied UDP deaktivieren". Dies zwingt WebRTC, über Ihren Proxy/VPN-Pfad zu routen, anstatt eine direkte UDP-Abkürzung zu nehmen, sodass es Ihre echte IP hinter dem VPN nicht offenlegen kann.

Eine Erweiterung verwenden (Chrome, Edge und andere)

Chromium-Browser wie Chrome und Edge bieten keinen nativen Schalter, daher ist die praktische Lösung eine Erweiterung. uBlock Origin enthält eine Option namens "Verhindern, dass WebRTC lokale IP-Adressen leakt" in seinen Einstellungen — aktivieren Sie sie. Es gibt auch spezielle Einzweck-Erweiterungen, die WebRTC steuern, aber die Verwendung eines Tools, dem Sie bereits vertrauen (wie uBlock Origin), hält Ihren Erweiterungs-Fußabdruck klein.

Wählen Sie ein VPN, das es für Sie erledigt

Einige VPN-Apps beinhalten eingebauten WebRTC-Leckschutz, sodass der Tunnel auf System- oder App-Ebene durchgesetzt wird, anstatt sich auf Browsereinstellungen zu verlassen. Wenn Sie nicht mit about:config oder Erweiterungen herumspielen möchten, ist ein VPN mit geprüftem Leckschutz die Option mit dem geringsten Aufwand. Was auch immer Sie wählen, führen Sie danach den Lecktest erneut durch — Schutz, den Sie nicht überprüft haben, ist nur eine Hoffnung.

Der ehrliche Kompromiss

Das Deaktivieren von WebRTC ist nicht kostenlos. WebRTC ist die Technologie hinter Anrufen im Browser, daher kann das Ausschalten Tools wie Google Meet, Discord im Browser und andere Webkonferenz-Apps unbrauchbar machen. Das ist der echte Preis, und es ist wichtig, darüber klar zu sein.

Wenn Sie auf Anrufe im Browser angewiesen sind, haben Sie zwei vernünftige Optionen: beschränken Sie WebRTC (die Brave-ähnliche "nicht-proxied UDP deaktivieren"-Methode, die Anrufe funktionsfähig hält, während sie über Ihr VPN geroutet werden) oder verwenden Sie ein separates Browserprofil mit aktiviertem WebRTC, das Sie nur für Anrufe verwenden, während Ihr tägliches Surfen in einem gehärteten Profil mit deaktiviertem WebRTC erfolgt. So oder so, das Ziel ist dasselbe: das Leck stoppen, ohne die Funktionen zu verlieren, die Sie tatsächlich nutzen.

Nachdem Sie es behoben haben: verifizieren, nicht annehmen

Die wichtigste Gewohnheit ist es, nach jeder Änderung erneut zu testen. Browser-Updates, neue Profile, eine neu installierte Erweiterung oder ein gewechselter VPN-Server können alle Ihre Exposition ändern. Verbinden Sie das VPN, öffnen Sie einen Lecktest und bestätigen Sie, dass WebRTC die IP des VPNs meldet — nicht Ihre.

Wenn Sie tiefer in die verwandten Lecks eintauchen möchten, die ein VPN besiegen, sind DNS-Lecks das andere große Thema: Ihr Datenverkehr geht durch den Tunnel, aber Ihre DNS-Anfragen nicht. Die gleiche Testdisziplin gilt.

Weiterlesen: Stoppen Sie die Lecks, die Ihr VPN besiegen

Dieser Artikel erklärt dokumentiertes, überprüfbares Browserverhalten (Firefox about:config, Braves WebRTC-IP-Verarbeitungspolitik, uBlock Origins Anti-Leck-Option). Browsereinstellungen und Menüstandorte ändern sich zwischen Versionen — überprüfen Sie die aktuellen Optionsnamen in Ihrem Browser. VPNSmith veröffentlicht diesen Inhalt zu Bildungszwecken.

A no-logs VPN, independently audited → Proton VPNSwiss privacy · open-source apps · free tier→