Wie die Große Firewall Chinas funktioniert
Last updated: April 9, 2026
Erklärung der technischen Mechanismen hinter Chinas Zensursystem: DNS-Vergiftung, IP-Blocking, DPI und aktive Abwehr von Proxies.
Stellen Sie sich vor, Sie versuchen, einen Brief an einen Freund im Ausland zu schreiben. Der Brief wird an einer Grenzstation abgefangen. Ein Beamter liest die Adresse, schaut in eine Liste verbotener Adressen, und wirft den Brief weg — bevor Sie ihn überhaupt aufgeben konnten. Ein anderer Beamter beobachtet, dass Sie regelmäßig Briefe zu verdächtigen Adressen schreiben, und warnt Sie, dass Ihre nächsten Versuche überprüft werden. Das ist nicht ganz, wie Chinas Große Firewall funktioniert, aber es erfasst den Kern: ein System, das nicht nur bestimmte Ziele blockiert, sondern auch versucht zu verhindern, dass Sie diese Ziele überhaupt erreichen können.
Die Große Firewall (im englischen Kontext oft GFW genannt) ist das weltweit umfassendste und technisch anspruchsvollste Zensursystem. Sie funktioniert auf mehreren Ebenen gleichzeitig — keine einzelne Blockierungsmethode könnte so wirksam sein. Um zu verstehen, wie sie funktioniert, müssen wir zunächst wissen, dass das Internet auf hierarchischen Systemen basiert. Um eine Website zu besuchen, muss Ihr Computer zuerst die IP-Adresse (eine numerische Identifikation, wie eine Telefonnummer für einen Computer) einer Website herausfinden. Das geschieht über ein System namens DNS, das funktioniert wie ein globales Telefonbuch.
DNS-Vergiftung: Das Telefonbuch manipulieren
Die einfachste Methode der Blockierung ist DNS-Vergiftung. Wenn Sie in China nach der Adresse einer blockierten Website fragen, gibt Ihnen das DNS-System absichtlich eine falsche Antwort — entweder keine Antwort überhaupt, oder eine IP-Adresse, die zu einer Blockierungsseite führt. Das ist wie wenn das Telefonbuch die Nummer eines politisch unerwünschten Restaurants durch eine falsche Nummer ersetzt. Für den durchschnittlichen Benutzer funktioniert die Website einfach nicht. Der Vorteil dieser Methode: Sie ist billig und erfordert keine Inspection jedes einzelnen Datenpakets. Der Nachteil: Ein erfahrener Benutzer kann einfach ein anderes Telefonbuch benutzen (beispielsweise einen öffentlichen DNS-Dienst).
IP-Blocking und aktive Abwehr
Wenn Sie versuchen, DNS zu umgehen und die IP-Adresse direkt anzugeben, gibt es die nächste Ebene: IP-Blocking. Die Firewall blockiert den gesamten Datenverkehr zu bekannten IP-Adressen verbotener Websites. Das ist wie wenn die Grenzwächter sagen: "Diese Gebäude treten zu, niemand darf sie betreten."
Aber hier wird es raffinierter. Die Firewall tut nicht nur passiv Datenverkehr ab — sie antwortet aktiv. Wenn Sie versuchen, eine blockierte IP zu erreichen, sendet die Firewall Ihrem Computer eine gefälschte Nachricht (ein RST-Paket, technisch gesprochen), die vorgibt, von Ihrem Zielcomputer zu kommen und sagt: "Diese Verbindung ist beendet." Es ist wie wenn ein Beamter an der Grenze sich als Ihr Freund ausgibt und sagt: "Vergiss es, ich will dich nicht sprechen."
Diese aktive Abwehr hat auch einen Nebeneffekt: Sie blockiert nicht nur bekannte Websites, sondern auch versucht, Benutzer abzuschrecken, die überhaupt versuchen, das System zu umgehen. Jeder Versuch, eine blockierte Seite zu besuchen, wird beobachtet und die Blockierung wird verstärkt.
Tiefe Paketanalyse und Protokoll-Fingerprinting
Für Benutzer, die ihre Verbindung mit einer Art Proxy oder Tunnel verschlüsseln (Techniken, die vertrauliche Kommunikation ermöglichen sollen), gibt es tiefere Inspektionsmethoden. Die Firewall analysiert nicht nur die Zieladressen von Datenverkehr, sondern auch deren Muster und Merkmale. Ein verschlüsselter Tunnel zu einem Proxy hat charakteristische Merkmale — ähnlich wie ein bestimmter Briefumschlag eine bestimmte Größe oder Gewicht hat. Die Firewall erkennt diese Merkmale und blockiert Verbindungen, die wie Proxy-Verkehr aussehen, selbst wenn die eigentliche Kommunikation verschlüsselt ist.
Eine besonders anspruchsvolle Technik ist SNI-Inspektion (Server Name Indication). Bei modernen verschlüsselten Verbindungen teilt Ihr Computer dem Server seinen Hostnamen mit — unverschlüsselt, am Anfang der Verbindung. Die Firewall liest diese Information und blockiert Verbindungen zu verbotenen Websites, bevor die eigentliche Verschlüsselung beginnt.
Aktive Vermessung von Proxies
Wenn ein unzufriedener Benutzer einen Proxy betreibt, um Zensur zu umgehen, sind die Tage dieses Proxies gezählt. Die Firewall führt aktive Abtastungen durch: Sie verbindet sich regelmäßig zu verdächtigen IP-Adressen und versucht zu bestimmen, ob sie Proxy-Dienste anbieten. Wenn ein Proxy erkannt wird, wird er blockiert. Das ist wie wenn Grenzbeamte verdächtige Häuser regelmäßig besuchen, um zu sehen, ob illegale Aktivitäten stattfinden.
Warum es trotzdem durchbrochen werden kann
Trotz dieser anspruchsvollen Systeme gibt es Techniken, die funktionieren — zumindest vorübergehend. Ständig rotierende, obfuskierte Proxies sind schwer zu erkennen, weil sie ihre IP-Adressen ständig ändern und ihr Verkehr nicht wie ein typischer Proxy aussieht. Neuere Protokolle wie REALITY und Tools wie Snowflake-Brücken versuchen, legitimen Internetverkehr nachzuahmen, um nicht erkannt zu werden.
Aber hier ist die wichtigste Einsicht: Das System muss nicht 100 % wirksam sein. Es muss nur wirksam genug sein. Es muss genug Menschen abhalten, dass Zensur als wirksam wahrgenommen wird. Jede Blockierungsmethode, die durchbrochen wird, wird verbessert oder ergänzt. Die Große Firewall ist nicht ein einzelnes Schloss, das man knackt — es ist ein ständig wechselndes System von Schlössern.
Dies sollte Ihnen zeigen: Zensur funktioniert nicht durch Magie oder komplette Kontrolle, sondern durch schichtweise Hürden. Je mehr Ebenen es gibt, desto weniger Menschen haben die Fähigkeiten oder das Wissen, um alle zu überwinden. Dies ist das Prinzip hinter der wohl raffiniertesten Zensurinfrastruktur, die je gebaut wurde.
Die Große Firewall (im englischen Kontext oft GFW genannt) ist das weltweit umfassendste und technisch anspruchsvollste Zensursystem. Sie funktioniert auf mehreren Ebenen gleichzeitig — keine einzelne Blockierungsmethode könnte so wirksam sein. Um zu verstehen, wie sie funktioniert, müssen wir zunächst wissen, dass das Internet auf hierarchischen Systemen basiert. Um eine Website zu besuchen, muss Ihr Computer zuerst die IP-Adresse (eine numerische Identifikation, wie eine Telefonnummer für einen Computer) einer Website herausfinden. Das geschieht über ein System namens DNS, das funktioniert wie ein globales Telefonbuch.
DNS-Vergiftung: Das Telefonbuch manipulieren
Die einfachste Methode der Blockierung ist DNS-Vergiftung. Wenn Sie in China nach der Adresse einer blockierten Website fragen, gibt Ihnen das DNS-System absichtlich eine falsche Antwort — entweder keine Antwort überhaupt, oder eine IP-Adresse, die zu einer Blockierungsseite führt. Das ist wie wenn das Telefonbuch die Nummer eines politisch unerwünschten Restaurants durch eine falsche Nummer ersetzt. Für den durchschnittlichen Benutzer funktioniert die Website einfach nicht. Der Vorteil dieser Methode: Sie ist billig und erfordert keine Inspection jedes einzelnen Datenpakets. Der Nachteil: Ein erfahrener Benutzer kann einfach ein anderes Telefonbuch benutzen (beispielsweise einen öffentlichen DNS-Dienst).
IP-Blocking und aktive Abwehr
Wenn Sie versuchen, DNS zu umgehen und die IP-Adresse direkt anzugeben, gibt es die nächste Ebene: IP-Blocking. Die Firewall blockiert den gesamten Datenverkehr zu bekannten IP-Adressen verbotener Websites. Das ist wie wenn die Grenzwächter sagen: "Diese Gebäude treten zu, niemand darf sie betreten."
Aber hier wird es raffinierter. Die Firewall tut nicht nur passiv Datenverkehr ab — sie antwortet aktiv. Wenn Sie versuchen, eine blockierte IP zu erreichen, sendet die Firewall Ihrem Computer eine gefälschte Nachricht (ein RST-Paket, technisch gesprochen), die vorgibt, von Ihrem Zielcomputer zu kommen und sagt: "Diese Verbindung ist beendet." Es ist wie wenn ein Beamter an der Grenze sich als Ihr Freund ausgibt und sagt: "Vergiss es, ich will dich nicht sprechen."
Diese aktive Abwehr hat auch einen Nebeneffekt: Sie blockiert nicht nur bekannte Websites, sondern auch versucht, Benutzer abzuschrecken, die überhaupt versuchen, das System zu umgehen. Jeder Versuch, eine blockierte Seite zu besuchen, wird beobachtet und die Blockierung wird verstärkt.
Tiefe Paketanalyse und Protokoll-Fingerprinting
Für Benutzer, die ihre Verbindung mit einer Art Proxy oder Tunnel verschlüsseln (Techniken, die vertrauliche Kommunikation ermöglichen sollen), gibt es tiefere Inspektionsmethoden. Die Firewall analysiert nicht nur die Zieladressen von Datenverkehr, sondern auch deren Muster und Merkmale. Ein verschlüsselter Tunnel zu einem Proxy hat charakteristische Merkmale — ähnlich wie ein bestimmter Briefumschlag eine bestimmte Größe oder Gewicht hat. Die Firewall erkennt diese Merkmale und blockiert Verbindungen, die wie Proxy-Verkehr aussehen, selbst wenn die eigentliche Kommunikation verschlüsselt ist.
Eine besonders anspruchsvolle Technik ist SNI-Inspektion (Server Name Indication). Bei modernen verschlüsselten Verbindungen teilt Ihr Computer dem Server seinen Hostnamen mit — unverschlüsselt, am Anfang der Verbindung. Die Firewall liest diese Information und blockiert Verbindungen zu verbotenen Websites, bevor die eigentliche Verschlüsselung beginnt.
Aktive Vermessung von Proxies
Wenn ein unzufriedener Benutzer einen Proxy betreibt, um Zensur zu umgehen, sind die Tage dieses Proxies gezählt. Die Firewall führt aktive Abtastungen durch: Sie verbindet sich regelmäßig zu verdächtigen IP-Adressen und versucht zu bestimmen, ob sie Proxy-Dienste anbieten. Wenn ein Proxy erkannt wird, wird er blockiert. Das ist wie wenn Grenzbeamte verdächtige Häuser regelmäßig besuchen, um zu sehen, ob illegale Aktivitäten stattfinden.
Warum es trotzdem durchbrochen werden kann
Trotz dieser anspruchsvollen Systeme gibt es Techniken, die funktionieren — zumindest vorübergehend. Ständig rotierende, obfuskierte Proxies sind schwer zu erkennen, weil sie ihre IP-Adressen ständig ändern und ihr Verkehr nicht wie ein typischer Proxy aussieht. Neuere Protokolle wie REALITY und Tools wie Snowflake-Brücken versuchen, legitimen Internetverkehr nachzuahmen, um nicht erkannt zu werden.
Aber hier ist die wichtigste Einsicht: Das System muss nicht 100 % wirksam sein. Es muss nur wirksam genug sein. Es muss genug Menschen abhalten, dass Zensur als wirksam wahrgenommen wird. Jede Blockierungsmethode, die durchbrochen wird, wird verbessert oder ergänzt. Die Große Firewall ist nicht ein einzelnes Schloss, das man knackt — es ist ein ständig wechselndes System von Schlössern.
Dies sollte Ihnen zeigen: Zensur funktioniert nicht durch Magie oder komplette Kontrolle, sondern durch schichtweise Hürden. Je mehr Ebenen es gibt, desto weniger Menschen haben die Fähigkeiten oder das Wissen, um alle zu überwinden. Dies ist das Prinzip hinter der wohl raffiniertesten Zensurinfrastruktur, die je gebaut wurde.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ REDAKTIONSEMPFEHLUNG
★★★★★ 9.5/10 · 6,000+ servers · Funktioniert in China
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.