Mullvad und das WireGuard-Korrelationsproblem: Warum selbst die besten VPNs Grenzen haben
Im Mai 2026 ging ein Aufschrei durch die Privacy-Community, nachdem eine technische Schwachstelle bei Mullvad VPN entdeckt wurde – einem der angesehensten Anbieter der Branche.
Das Problem: Selbst mit Mullvad lassen sich Sessions desselben Nutzers über Serverwechsel hinweg korrelieren, aufgrund der Art, wie IP-Adressen in ihrer WireGuard-Infrastruktur vergeben werden.
Kurz gesagt: Mullvad ist exzellent, aber die WireGuard IP-Zuteilung schafft einen Session-Korrelationsvektor, von dem die meisten Nutzer nichts wissen. Wenn euer Bedrohungsmodell ernst ist, gibt es ein aufwändigeres Setup, das das Problem löst (und mehr kostet, als ihr denkt).
Das Problem, einfach erklärt
Jeder Mullvad-Nutzer bekommt einen privaten WireGuard-Schlüssel und eine interne Tunnel-IP zugewiesen. Mullvad-Server nutzen öffentliche IP-Bereiche, und die relative Position eurer Exit-IP (die, die Websites tatsächlich sehen) bleibt statistisch stabil innerhalb des Server-Bereichs. Das bedeutet: Ein Beobachter (eine Website, ein Tracker oder ein Angreifer) kann mit nicht-trivialer Wahrscheinlichkeit ableiten, dass 2 Sessions zum selben Nutzer gehören – selbst nach einem Serverwechsel.
Das schwächt direkt die Unlinkability: die Garantie, dass eure Sessions nicht miteinander verknüpft werden können. Das ist wichtig für Journalisten, Whistleblower, OSINT-Forscher oder jeden mit einem echten Bedrohungsmodell.
Mullvad hat das Problem anerkannt und empfiehlt, bei jedem größeren Serverwechsel komplett zu trennen und neu zu verbinden, um einen neuen Schlüssel zu generieren. Nicht ideal für den reibungslosen Alltag.
Die Optionen, von einfach bis fortgeschritten
1. Bei Mullvad bleiben (minimaler Ansatz)
Vorteile: Einfachheit, starke Vermischung mit Tausenden anderen Nutzern, bewährte No-Log-Policy. Nachteil: Ihr müsst häufig neu verbinden, um Korrelation zu brechen. Okay für Gelegenheitsnutzung oder wenn ihr mit dem Kompromiss leben könnt.
2. Self-hosted mit Exit-Node
Statt eines geteilten VPN betreibt ihr euren eigenen Internet-Exit über einen VPS. 3 solide Optionen:
- Tailscale: großartige UX, sehr einfach einzurichten, aber proprietär (nutzt Headscale für vollständiges Self-Hosting)
- NetBird: vollständig Open-Source, moderne Oberfläche, granulare ACLs, solide Self-Hosting-Story
- Nostr VPN: die dezentralste Option. Identität und Peer-Discovery laufen über Nostr-Keys (npub). Kein Drittanbieter in der Koordinationsschicht.
Alle 3 folgen demselben Prinzip: Ihr mietet einen VPS, konfiguriert ihn als Exit-Node, und alle eure Geräte routen über ihn via WireGuard. Alles geht über diese VPS-IP raus. Die Self-Hosting-Philosophie ist nicht weit entfernt vom Rebuild eines 200€/Monat-Setups für einen Bruchteil der Kosten (Kontrolle und Kostenreduktion sind derselbe Trade).
Volle Kontrolle, kein Drittanbieter in der Koordinationsschicht. Der große Nachteil: Datacenter-IPs sind leicht zu erkennen, was Captchas, Blocks und hohe Risk-Scores bei den meisten Services bedeutet.
3. Self-hosted + Residential Proxy
Das ist das aufwändigere Setup. Ihr routet euren VPS-Traffic durch einen Residential Proxy, statt Websites eine Hosting-Provider-IP sehen zu lassen. Sie sehen eine normale Residential-IP, idealerweise rotierend. Das ist ungefähr dieselbe run-your-own-infrastructure-on-a-cheap-VPS-Mentalität, angewandt auf Privacy-Infrastruktur statt AI-Agenten.
Weniger Flags, bessere Tarnung, optionale IP-Rotation. Es funktioniert. Ich denke, dieses Setup skaliert gut für individuelle Bedrohungsmodelle, obwohl ich ehrlich gesagt nicht sicher bin, wie es unter anhaltendem adversarial targeting standhält (das ist ein anderes Spiel).
Proxy-Anbieter, die einen Blick wert sind: Bright Data, Oxylabs, Decodo, IPRoyal, NetNut und Webshare.io (konkurrenzfähige Preise, guter Einstiegspunkt).
Webshare.io: Eine solide Budget-Option für dieses Setup
Webshare.io bietet Datacenter-Proxies, statische Residential-IPs und rotierende Residential-IPs. Ein paar Gründe, warum es hier passt: aggressive Preisgestaltung, SOCKS5-Support (einfach in eine VPS-Config einzubinden), sowohl statische als auch rotierende Residential-Optionen, und 10 kostenlose Proxies zum Testen des Setups vor dem Commitment.
Mit NetBird oder Nostr VPN + einem VPS + Webshare als Exit bekommt ihr ein verschlüsseltes Mesh zwischen euren Geräten, Residential-IP-Output (rotierend wenn gewünscht) und volle Infrastruktur-Kontrolle.
Vergleich der Optionen
Nur Mullvad: exzellente Vermischung, mittlere Flag-Resistenz, mittlere Kontrolle, etwa 5-6 EUR/Monat, fast null Komplexität.
VPS + Tailscale oder NetBird (ohne Proxy): schwache Vermischung, schlechte Flag-Resistenz, exzellente Kontrolle, 10-30 EUR/Monat, mittlere Komplexität.
VPS + NetBird oder Nostr VPN + Residential Proxy: gute Vermischung, gute Flag-Resistenz, exzellente Kontrolle, 50-300 EUR+/Monat, hohe Komplexität.
Self-hosted + Webshare: gute Vermischung, gute Flag-Resistenz, sehr gute Kontrolle, 40-250 EUR/Monat, mittlere bis hohe Komplexität.
Die Mullvad-Limitation ist eine gute Erinnerung an die fundamentale Wahrheit in der Privacy: Es sind alles Kompromisse.
Mullvad bleibt exzellent für die meisten Leute wegen der natürlichen Vermischung im großen Maßstab. Self-hosted Setups mit Residential Proxies sind für Leute, die maximale Kontrolle wollen und bereit sind, dafür sowohl mit Geld als auch Komplexität zu bezahlen. Webshare zu ergänzen verbessert die Erfahrung erheblich, indem es den Datacenter-Ursprung maskiert.
Wenn euer Bedrohungsmodell ernst ist, ist die Self-hosted + rotierende Residential Proxy Combo einer der stärksten verfügbaren Ansätze gerade.
Quellen
Dieser Post kann Affiliate-Links enthalten. Wenn ihr darauf klickt, verdiene ich möglicherweise eine kleine Provision (kostet euch nichts und hilft mir dabei, weiterhin täglich qualitativ hochwertige Artikel für euer Lesevergnügen zu liefern).