Was ist PPTP? Das Point-to-Point-Tunneling-Protokoll erklärt

PPTP ist eines der ältesten VPN-Protokolle, die heute noch verwendet werden. Auch wenn du auf einigen älteren Geräten sowie unter Windows 10 und 11 noch ein PPTP-basiertes VPN einrichten kannst, gilt PPTP allgemein als veraltet, unsicher und unzuverlässig – und zwar so sehr, dass die meisten VPN-Anbieter die Unterstützung dafür eingestellt haben.

In diesem Leitfaden erfährst du, was ein PPTP-VPN ist, wie es im Detail funktioniert und warum es den heutigen Sicherheitsanforderungen nicht mehr gerecht wird. Du erfährst außerdem, wie es im Vergleich zu aktuellen Protokollen wie OpenVPN und WireGuard abschneidet.

Was ist PPTP?

Das Point-to-Point Tunneling Protocol (PPTP) ist eines der ältesten VPN-Protokolle. Es wurde Mitte der 1990er Jahre von Microsoft entwickelt, um Remote-Benutzern über das Internet Zugriff auf Unternehmensnetzwerke zu ermöglichen. Damals war die Einrichtung schnell und einfach, was in der Zeit der Einwahlverbindungen durchaus Sinn ergab.

Wie jedes andere VPN-Protokoll leitet PPTP den Internet-Traffic über einen Tunnel zu einem VPN-Server, bevor er an seinen Bestimmungsort weitergeleitet wird. Theoretisch ist dieser Tunnel verschlüsselt. In der Praxis sind die Verschlüsselungs- und Authentifizierungsmethoden, auf die sich PPTP stützt, für moderne Sicherheitsanforderungen jedoch ungeeignet.

PPTP verwendet MS-CHAPv2, ein Verfahren, das moderne Computer innerhalb von Stunden, manchmal sogar Minuten, knacken können. Sobald das System kompromittiert ist, können Angreifer den Verschlüsselungsschlüssel ermitteln, der für den von Microsoft Point-to-Point Encrypted vermittelten Traffic verwendet wird, und den durch den Tunnel fließenden Traffic entschlüsseln.

Aufgrund dieser Schwachstellen raten Sicherheitsexperten davon ab, PPTP zu nutzen, und die meisten VPN-Anbieter haben es komplett aus ihrem Angebot genommen, darunter auch Private Internet Access. PIA unterstützt nur moderne Protokolle, die den aktuellen Verschlüsselungsstandards entsprechen.

Microsoft hat sich zudem von PPTP abgewandt und setzt nun auf sicherere Protokolle wie SSTP oder IKEv2, auch wenn PPTP in einigen älteren Konfigurationen weiterhin funktionieren kann.

So funktioniert PPTP

PPTP kombiniert mehrere ältere Netzwerkkomponenten, um einen VPN-Tunnel aufzubauen. Zusammen kümmern sie sich um den Verbindungsaufbau, die Authentifizierung, die Verschlüsselung und den Datentransport:

• Transmission Control Protocol (TCP) 1723: Übernimmt die PPTP-Steuerungsfunktionen wie den Verbindungsaufbau, die Konfiguration und die Verwaltung zwischen deinem Gerät und dem VPN-Server.
• MS-CHAPv2: Es wird ein Challenge-Response-Verfahren verwendet, um deine Verbindung zu authentifizieren. Dabei wird deine gehashtete Passwortantwort mit den Erwartungen des Servers abgeglichen.
• Microsoft Point-to-Point-Verschlüsselung (MPPE): Verschlüsselt deinen Traffic, sodass er ohne einen bestimmten Sitzungsschlüssel nicht lesbar ist.
• RC4: Ein Verschlüsselungssystem, das den Traffic byteweise unter Verwendung eines einzigen Sitzungsschlüssels verschlüsselt.
• Point-to-Point Protocol (PPP): Kapselt und strukturiert deinen Internet-Traffic, weist eine virtuelle IP-Adresse zu und legt Routing-Regeln fest.
• Generic Routing Encapsulation (GRE): Verpackt PPP-Frames so, dass sie über den VPN-Tunnel durch Standard-IP-Netzwerke wie das öffentliche Internet übertragen werden können.

So wird dein Traffic bei der Verwendung eines PPTP-VPN genau geroutet:

1. Verbindungsstart: Dein Gerät öffnet einen Kontrollkanal zum VPN-Server über den TCP-Port 1723.
2. Sitzungsaushandlung: Über den TCP-Steuerkanal handeln der VPN-Server und dein Gerät verschiedene Parameter für die PPP-Sitzung aus – zum Beispiel die Rahmengröße, die Komprimierung und die Fehlerkorrekturverfahren.
3. Authentifizierungsaufgabe: Sobald die grundlegenden Sitzungsparameter vereinbart sind, fordert der VPN-Server deinen Client zur Authentifizierung auf. Der VPN-Server sendet einen Zufallswert; dein Gerät kombiniert diesen mit deinem Passwort, um einen MS-CHAP-v2-Hash zu erstellen, und sendet diesen zurück.
4. Authentifizierungsantwort: Der VPN-Server vergleicht deine Antwort mit dem, was er erwartet (da er den korrekten Passwort-Hash kennt). Wenn diese Werte übereinstimmen, bist du angemeldet. Zu diesem Zeitpunkt hat MS-CHAPv2 deine Anmeldedaten überprüft. Wenn die Authentifizierung fehlschlägt, wird die Verbindung abgelehnt.
5. Schlüsselerzeugung: Wenn der Hash übereinstimmt, leiten dein Gerät und der VPN-Server einen RC4-Sitzungsschlüssel für die MPPE-Verschlüsselung ab. MPPE verwendet die RC4-Verschlüsselung und diesen Schlüssel, um alle deine VPN-Daten zu verschlüsseln. Der gesamte PPTP-Traffic wird ab diesem Zeitpunkt mit RC4 unter Verwendung dieses Schlüssels verschlüsselt.
6. Kapselung: Der VPN-Server weist deinem Gerät eine virtuelle IP-Adresse zu (sodass dein Gerät nun eine IP-Adresse im VPN-Netzwerk hat) und deine Daten werden in PPP-Frames verpackt. PPP umhüllt jedes Netzwerkpaket, das du sendest, und bereitet es für den Transport vor.
7. Tunneling: Jeder PPP-Frame wird in GRE-Pakete verpackt, um den VPN-Tunnel zu bilden. Diese GRE-gekapselten Pakete sind es, die tatsächlich als VPN-Tunnel durch das Internet wandern.
8. Routing: Ein Router mit PPTP-Passthrough leitet die GRE-Pakete an den VPN-Server weiter.
9. Entschlüsselung und Weiterleitung: Der VPN-Server entschlüsselt die Pakete, entpackt die Daten und sendet sie an den Empfänger im Internet.

PPTP verwendet einen von zwei Modi. Im manuellen Modus baut dein Gerät den VPN-Tunnel auf, sobald es eine Verbindung zum Internet hergestellt hat. Im obligatorischen Modus leitet das Netzwerk den gesamten Traffic über einen VPN-Tunnel, bevor er ins Internet gelangt.

Vorteile von PPTP

Vorteil	Erklärung
Kompatibel mit Altsystemen	PPTP war Anfang der 2000er Jahre die Standard-VPN-Option in älteren Versionen von Windows, macOS und mobilen Plattformen. Bei manchen älteren Geräten, die ein VPN erfordern, ist PPTP möglicherweise die einzige Option.
Funktioniert auch auf langsamer Hardware	Die RC4-Verschlüsselung von PPTP benötigt nur wenig Rechenleistung. Sie läuft reibungslos, selbst auf älteren Laptops, Routern oder eingebetteten Geräten.
Einfach einzurichten	Für die Einrichtung sind in der Regel nur die Serveradresse, der Benutzername und das Passwort erforderlich. Auf den unterstützten Plattformen musst du keine Zertifikate oder Software von Drittparteien installieren.
Geeignet für unkritischen Traffic	Aufgrund der schwachen Verschlüsselung von PPTP eignet es sich zur Isolierung von Gastgeräten, zum Testen von VPN-Verbindungen oder zur Übertragung unkritischer Daten über das Internet.

Nachteile von PPTP

Nachteil	Erklärung
Die RC4-Verschlüsselung ist angreifbar	RC4 hat einen 128-Bit-Schlüssel, der eigentlich sicher sein sollte, doch Schwachstellen bei der Verarbeitung des Schlüssels hinterlassen Spuren in den verschlüsselten Daten, die Angreifer verwenden können, um die Verschlüsselung zu knacken, und die Verschlüsselungsmethode erzeugt ein verzerrtes, vorhersehbares Ergebnis, das ihre tatsächliche Sicherheit mindert. Dadurch ist PPTP anfällig für Brute-Force-Angriffe und moderne statistische Analysen.
MS-CHAPv2 ist anfällig für Cyber-Bedrohungen	Angreifer können MS-CHAPv2-Hashes mithilfe von vorberechneten Tabellen oder Brute-Force-Tools verwenden, wodurch diese Authentifizierungsmethode nach heutigen Maßstäben unsicher ist.
Keine Unterstützung für Perfect Forward Secrecy	MPPE und RC4 verwenden einen einzigen Verschlüsselungsschlüssel, der während der Sitzung weder gewechselt noch aktualisiert wird. Wenn dieser Schlüssel offengelegt wird, könnten Angreifer den Großteil deiner bisherigen und zukünftigen Webdaten einsehen.
Keine Unterstützung für NAT-Traversal	Router verwenden Network Address Translation (NAT), um ausgehende Verbindungen anhand von TCP- oder UDP-Portnummern zu verfolgen. PPTP überträgt seine Daten über GRE (das keine Ports hat), daher benötigen viele Router PPTP-Passthrough (GRE-Unterstützung), damit die Verbindung ordnungsgemäß funktioniert.

PPTP im Vergleich zu anderen VPN-Protokollen (L2TP, IKEv2, OpenVPN, WireGuard)

Im Vergleich zu Protokollen wie IKEv2, OpenVPN und WireGuard bleibt PPTP in fast allen Bereichen, auf die es heute ankommt, zurück – von der Verschlüsselungsstärke über die Schlüsselverwaltung bis hin zur Firewall-Kompatibilität und der langfristigen Zuverlässigkeit.

Protokoll	Verschlüsselung	Perfect Forward Secrecy	NAT-Kompatibilität	Durchschnittlicher Durchsatz	Sicherheitsbewertung	Unterstützte Geräte
PPTP	MPPE mit RC4 (defekt)	Nein	Funktioniert nur mit GRE-Passthrough	Viele Altsysteme	Niedrig	Ältere Windows-Versionen, Router
L2TP + IPSec	AES-256 (konfigurationsabhängig)	Konfigurierbar	Benötigt die UDP-Ports 500 und 4500	Mittel	Mittel	In den meisten Betriebssystemen integriert
IKEv2 + IPSec	AES-256-GCM / ChaCha20	Ja	Sehr stark im Bereich Roaming/Mobilfunk	Hoch	Sehr hoch	Die meisten Betriebssysteme, Router
OpenVPN	AES-256-GCM / ChaCha20	Ja	Funktioniert an jedem Port, der TCP oder UDP verwendet	Sehr hoch	Sehr hoch	Die meisten Betriebssysteme (erfordert einen Client)
WireGuard	ChaCha20-Poly1305	Ja	Verwendet einen einzigen UDP-Port (51820)	Sehr hoch	Sehr hoch	Die meisten Betriebssysteme (neue Einführungsphase)

Das bedeuten diese Funktionen im Klartext:

• Verschlüsselung: Verwandelt deine Online-Daten in einen unlesbaren Code, den nur jemand mit dem richtigen Schlüssel entschlüsseln kann. Durch strengere Verschlüsselungsstandards lassen sich die Daten viel schwerer knacken.
• Perfect Forward Secrecy: Erzeugt für jede VPN-Sitzung einzigartige Verschlüsselungsschlüssel und wechselt diese regelmäßig, sodass selbst wenn ein Schlüssel kompromittiert wird, weder vergangene noch zukünftige Sitzungen gefährdet sind.
• NAT-Kompatibilität Beschreibt, wie gut ein VPN-Protokoll mit Network Address Translation (NAT) zusammenarbeitet – einem System, das die meisten Heimrouter und öffentlichen Netzwerke verwenden, damit sich mehrere Geräte eine einzige öffentliche IP-Adresse teilen können. NAT-freundliche Protokolle stellen ohne spezielle Konfiguration eine zuverlässigere Verbindung durch Firewalls und Router her.
• Durchsatz: Gibt an, wie viele Daten das VPN pro Sekunde senden oder empfangen kann. Ein höherer Durchsatz sorgt für schnellere Geschwindigkeiten beim Surfen, Streamen oder bei Dateiübertragungen.

Wann solltest du ein PPTP-VPN verwenden?

Die kurze Antwort lautet: Gar nicht, es sei denn, du hast keine andere Wahl, zum Beispiel wenn:

• Du ein älteres Gerät verbindest, das keine modernen VPN-Protokolle unterstützt.
• Du unkritischen Traffic (wie Geräte im Gäste-WLAN) in einem privaten Netzwerk isolierst.
• Du gerade die VPN-Umgebung testest oder die Kompatibilität prüfst.

So konfigurierst du ein PPTP VPN

Wenn PPTP die einzige verfügbare Option ist, kannst du den integrierten VPN-Client deines Betriebssystems verwenden, um es einzurichten. Eine Anleitung dazu findest du hier:

Am besten richtest du das VPN in sicheren, privaten Netzwerken ein. Idealerweise sollte es sich um dein WLAN-Netzwerk zu Hause oder im Büro handeln. An öffentlichen Hotspots lässt sich die schwache Verschlüsselung von PPTP noch leichter abfangen, wodurch deine Aktivitäten für Angreifer im selben Netzwerk sichtbar werden können.

1. Ruf deine VPN-Daten ab

Hol dir die Serveradresse (Hostname oder IP), den Benutzernamen, das Passwort und gegebenenfalls den Domainnamen. Ein Domainname ist ein optionales Feld (typischerweise in Unternehmensnetzwerken), um die mit deinem Konto verknüpften Anmeldedaten zu identifizieren.

Wenn du ein PPTP-VPN-Konto anlegst, erstelle ein sicheres, einzigartiges Passwort (mit Buchstaben, Zahlen und Sonderzeichen).

2. Öffne die Einstellungen für das integrierte VPN

Verwende einen in deinem Betriebssystem integrierten VPN-Client (sofern dieser in deiner Version unterstützt wird):

• Windows: Einstellungen > Netzwerk & Internet > VPN > VPN hinzufügen > PPTP.
• macOS: Systemeinstellungen > Netzwerk > Schnittstelle hinzufügen > VPN > PPTP (nicht verfügbar unter macOS 10.12 oder höher).
• Android: Einstellungen > Netzwerk und Internet > VPN > VPN hinzufügen > PPTP.
• iOS: Allgemein > VPN > VPN-Konfiguration hinzufügen > PPTP (nicht verfügbar unter iOS 10 und höher).

3. Gib die PPTP-VPN-Verbindungsdaten ein

Gib die Anmeldedaten auf deinem Gerät ein. 

• Verbindungsname: Du kannst eine Verbindung beliebig benennen.
• Servername oder -adresse: Die VPN-Serveradresse, die du von deinem Anbieter oder Administrator erhalten hast.
• VPN-Typ: Wähle das Point-to-Point-Tunneling-Protokoll (PPTP) aus.
• Benutzername und Passwort: Gib den Benutzernamen und das Passwort ein, die du zuvor notiert hast.

4. Speichern und verbinden

Speichere die Einstellungen, wähle deine VPN-Verbindung aus und klicke auf „Verbinden“. 

Beschränke die Nutzung auf das Nötigste, trenne die Verbindung, wenn du kein VPN benötigst, und ändere dein Passwort regelmäßig.

5. Erweiterte Sicherheitseinstellungen konfigurieren (optional)

Du kannst die Einstellungen einer PPTP-Verbindung an deine Bedürfnisse anpassen. Wir empfehlen, die Authentifizierung auf MS-CHAPv2 einzustellen und die Verschlüsselung zu aktivieren. 

Windows: Einstellungen > Netzwerk & Internet > VPN > [Deine PPTP-Verbindung] > Erweiterte Optionen > Bearbeiten > Tab „Sicherheit“

• Authentifizierung: Wähle „Microsoft CHAP Version 2 (MS-CHAP v2)“
• Verschlüsselung: Wähle „Verschlüsselung erforderlich“ (Die Verbindung trennen, wenn der Server dies ablehnt)

macOS: Systemeinstellungen > Netzwerk > [PPTP-Verbindung] > Authentifizierungseinstellungen

• Authentifizierung: Wähle MS-CHAPv2
• Verschlüsselung: Aktiviere „Den gesamten Traffic über die VPN-Verbindung leiten“ (zur Durchsetzung der Verschlüsselung)
  

Android: Einstellungen > Netzwerk und Internet > VPN > [Dein PPTP-VPN] > Bearbeiten

• Benutzername und Passwort: Verwende deine Zugangsdaten
• Verschlüsselung: Android verwendet bei PPTP automatisch die MPPE-Verschlüsselung
• Authentifizierung: MS-CHAPv2 wird auf den meisten Android-Geräten standardmäßig verwendet (keine manuelle Wechselmöglichkeit)
  

iOS: Einstellungen > Allgemein > VPN > [PPTP-Verbindung] > Konfiguration bearbeiten

• Authentifizierung: Wähle Passwort aus (iOS verwendet im Hintergrund MS-CHAPv2)
• Verschlüsselung: Bei MPPE standardmäßig aktiviert

FAQ