Kann mein Internetanbieter sehen, was ich im Internet mache?
Kurz gesagt: Ihr Internetanbieter (Provider, engl. ISP) sieht deutlich weniger, als viele befürchten – aber mehr, als die meisten glauben. Er kennt die Domains, die Sie ansteuern, die IP-Adressen der Gegenstellen, die Uhrzeiten und die Datenmengen. Was Sie auf einer Seite lesen, tippen oder anklicken, bleibt dank HTTPS in aller Regel verborgen. Entscheidend ist, wo genau die Grenze zwischen Sichtbarem und Verborgenem verläuft – und die lässt sich mit wenigen Einstellungen zu Ihren Gunsten verschieben.
Was Ihr Provider technisch sieht
Jede Verbindung läuft über die Leitungen Ihres Anbieters. Bevor überhaupt Daten fließen, muss Ihr Gerät zwei Dinge tun, die der Provider mitbekommt.
1. Die DNS-Abfrage. Um example.de in eine IP-Adresse zu übersetzen, fragt Ihr Rechner einen DNS-Server. Standardmäßig ist das der DNS-Server Ihres Providers, und die Abfrage ist unverschlüsselt (Klartext, UDP-Port 53). Der Provider sieht also jeden Domainnamen, den Sie auflösen – selbst wenn er den restlichen Verkehr gar nicht auswertet.
2. Der TLS-Handshake. Beim Aufbau einer HTTPS-Verbindung sendet Ihr Browser im sogenannten SNI-Feld (Server Name Indication) den Hostnamen im Klartext mit, damit der Server das richtige Zertifikat ausliefern kann. Auch daraus liest der Provider mit, welche Seite Sie ansteuern – ganz ohne DNS.
Zusammengenommen kann Ihr Anbieter also protokollieren:
- Ziel-Domains und Ziel-IP-Adressen – über DNS und SNI, auch bei HTTPS-Seiten.
- Zeitpunkt und Dauer jeder Verbindung.
- Datenvolumen – wie viel Sie hoch- und herunterladen.
- Protokoll und Port – ob HTTPS (443), E-Mail, VoIP oder anderes.
- Ihre eigene IP-Adresse, die er Ihnen ohnehin zuteilt.
Was verborgen bleibt
Sobald das Schloss-Symbol in der Adressleiste steht (HTTPS/TLS), verschlüsselt Ihr Browser den eigentlichen Inhalt der Verbindung. Für den Provider unsichtbar bleiben daher:
- der vollständige Pfad hinter der Domain (z. B.
.../produkt/12345?farbe=blau), - Seiteninhalte, gelesene Artikel und angesehene Videos,
- Eingaben in Formularen: Passwörter, Nachrichten, Suchbegriffe innerhalb einer Seite,
- Cookies und Session-Daten.
Ein Beispiel: Ihr Anbieter sieht, dass Sie um 21:04 Uhr eine Verbindung zu wikipedia.org aufgebaut und 2,1 MB übertragen haben. Welchen Artikel Sie gelesen haben, sieht er nicht. Bei Google gilt dasselbe: Dass Sie google.com kontaktiert haben, ist sichtbar; Ihre konkrete Suchanfrage ist es nicht.
Heute läuft nahezu der gesamte Web-Verkehr über HTTPS – Browser warnen inzwischen aktiv vor reinen HTTP-Seiten. Bei solchen unverschlüsselten Seiten könnte der Provider hingegen theoretisch alles mitlesen, inklusive Inhalten und Eingaben.
Die Rechtslage in Deutschland
Ob und wie lange Verbindungsdaten gespeichert werden dürfen, regelt in erster Linie das Telekommunikationsgesetz (TKG) zusammen mit der DSGVO. Wichtig ist die Unterscheidung zwischen zwei Dingen:
- Abrechnungs- und Betriebsdaten: Provider dürfen bestimmte Daten für Abrechnung und Störungsbeseitigung vorhalten. Wie lange eine zugeteilte IP-Adresse gespeichert wird, ist je nach Anbieter unterschiedlich – bei Flatrate-Kunden oft nur kurz oder gar nicht.
- Anlasslose Vorratsdatenspeicherung: Die gesetzliche Pflicht, Verbindungsdaten pauschal auf Vorrat zu speichern, wird in Deutschland derzeit nicht angewendet. Der Europäische Gerichtshof erklärte die deutsche Regelung 2022 für unvereinbar mit EU-Recht; die Bundesnetzagentur setzt die Speicherpflicht seit Jahren aus. In der Diskussion ist stattdessen ein „Quick-Freeze”-Verfahren, bei dem Daten nur bei konkretem Verdacht eingefroren werden.
Unabhängig davon können Behörden im Rahmen von Strafverfolgung oder Gefahrenabwehr per richterlicher Anordnung Auskünfte verlangen. Ihr Provider ist dann verpflichtet, die vorhandenen Daten herauszugeben.
So verkleinern Sie den sichtbaren Teil
Sie können nicht verhindern, dass Ihr Verkehr über den Provider läuft – aber Sie können ihm die Einsicht erschweren.
Verschlüsseltes DNS aktivieren (DoH/DoT)
Das ist der einfachste und wirkungsvollste erste Schritt. DNS over HTTPS (DoH) und DNS over TLS (DoT) verschlüsseln Ihre Namensauflösung, sodass der Provider die abgefragten Domains nicht mehr über Port 53 mitlesen kann.
- Firefox: Einstellungen → Datenschutz & Sicherheit → DNS über HTTPS auf „Maximaler Schutz” stellen und einen Anbieter wie Cloudflare (
1.1.1.1) oder Quad9 (9.9.9.9) wählen. - Chrome/Edge: Einstellungen → Datenschutz und Sicherheit → Sicherheit → Sicheres DNS verwenden.
- Windows 11 (systemweit): Einstellungen → Netzwerk und Internet → Adaptereigenschaften → DNS-Serverzuweisung bearbeiten und die Verschlüsselung auf „Nur verschlüsselt (DoH)” setzen.
- Android (systemweit, ab Version 9): Einstellungen → Netzwerk & Internet → Privates DNS und den Hostnamen eines Anbieters eintragen, z. B.
dns.cloudflare.comoderdns.quad9.net. - iOS/iPadOS: Systemweites verschlüsseltes DNS lässt sich nicht direkt in den Einstellungen aktivieren, sondern nur über ein Konfigurationsprofil oder eine App des DNS-Anbieters (z. B. „1.1.1.1” von Cloudflare).
Wichtig für die Praxis: Die Firefox-Einstellung wirkt nur innerhalb dieses Browsers. Andere Programme auf demselben Gerät – E-Mail-Client, andere Browser, Apps – nutzen weiterhin die Systemeinstellung, solange Sie DoH nicht zusätzlich auf Betriebssystemebene (Windows, Android) aktivieren. Wer lückenlos verschlüsseln will, richtet es an beiden Stellen ein.
Beachten Sie außerdem: DoH allein verbirgt zwar die DNS-Abfrage, das SNI-Feld verrät den Hostnamen aber weiterhin. Vollständig geschlossen wird diese Lücke erst durch Encrypted Client Hello (ECH), den Nachfolger von ESNI. ECH befindet sich in der Ausrollphase und funktioniert nur, wenn Browser, DNS-Anbieter und die besuchte Seite es unterstützen.
VPN nutzen
Ein VPN (Virtual Private Network) baut einen verschlüsselten Tunnel zu einem Server des VPN-Anbieters auf. Ihr Provider sieht dann nur noch eine einzige Verbindung zu diesem VPN-Server sowie das Datenvolumen – nicht mehr die einzelnen Domains dahinter.
Der Haken: Sie verlagern das Vertrauen vom Provider zum VPN-Anbieter, der nun theoretisch dieselben Metadaten sehen könnte. Achten Sie deshalb auf eine geprüfte No-Logs-Politik und meiden Sie kostenlose VPNs, die sich häufig durch den Verkauf von Nutzerdaten finanzieren.
Tor für maximale Anonymität
Der Tor-Browser leitet Ihren Verkehr über mehrere, voneinander unabhängige Knoten. Ihr Provider erkennt nur, dass Sie Tor nutzen, aber weder Ziel noch Inhalt. Der Preis ist spürbar geringere Geschwindigkeit – für alltägliches Streaming ungeeignet, für sensible Recherche aber das stärkste frei verfügbare Werkzeug.
Häufige Irrtümer
- „HTTPS versteckt, welche Seiten ich besuche.” Falsch – Domain und Ziel-IP bleiben über DNS und SNI sichtbar. Versteckt werden nur die Inhalte.
- „Der Inkognito-/privat-Modus schützt vor dem Provider.” Nein. Dieser Modus löscht nur den lokalen Verlauf und Cookies auf Ihrem Gerät. Nach außen ändert sich nichts.
- „Ein VPN macht mich komplett anonym.” Nein – der VPN-Betreiber und die aufgerufenen Dienste (über Login, Cookies, Browser-Fingerprint) können Sie weiterhin wiedererkennen.
Wenn Sie generell überlegen, welche Daten Sie wo hinterlassen, lohnt auch ein Blick auf verwandte Fragen wie Ist GitHub sicher für private Informationen?.
FAQ
Sieht mein Anbieter meinen Google-Suchverlauf?
Er sieht, dass Sie google.com kontaktiert haben, aber nicht Ihre Suchbegriffe oder die Ergebnisse – diese sind durch HTTPS verschlüsselt. Google selbst speichert Ihre Suchen dagegen sehr wohl, sofern Sie angemeldet sind.
Ist die Nutzung eines VPN in Deutschland legal? Ja. VPNs sind in Deutschland vollkommen legal und werden auch von Unternehmen für den sicheren Zugriff auf Firmennetze eingesetzt. Illegal bleiben nur die Handlungen, die man damit begeht – etwa Urheberrechtsverletzungen.
Reicht verschlüsseltes DNS allein aus, um meine Ziele zu verbergen? Nicht ganz. DoH/DoT schließt die DNS-Lücke, aber solange ECH nicht flächendeckend aktiv ist, verrät das SNI-Feld weiterhin den Hostnamen. Wer die Ziel-Domain zuverlässig verbergen will, kommt derzeit an einem VPN oder Tor nicht vorbei.