Wie Websites blockiert werden: technische Methoden erklärt
Last updated: April 9, 2026
Verstehen Sie, wie Regierungen und ISPs Websites sperren: DNS-Filterung, IP-Blocking, SNI-Inspektion, DPI und mehr. Technische Erklärung ohne Marketing.
Stellen Sie sich vor, Sie versuchen, eine bestimmte Website zu besuchen – und Ihr Browser zeigt eine Fehlermeldung oder lädt einfach nichts. War es ein technischer Fehler? Oder wurde die Seite aktiv blockiert? Die Antwort hängt davon ab, welche Technik dafür verwendet wurde. Dieser Artikel erklärt die konkreten Methoden, mit denen Regierungen und Internetanbieter Websites sperren – wie sie funktionieren, was sie kosten und wie leicht sie zu umgehen sind.
DNS-Filterung: Das Telefonbuch unterbrechen
Bevor Ihr Browser eine Website aufrufen kann, muss er ihre Adresse kennen. Das Internet verwendet dafür ein System namens DNS (Domain Name System) – im Grunde ein globales Telefonbuch, das Domainnamen wie "example.com" in numerische IP-Adressen übersetzt. DNS-Filterung ist die einfachste Blockierungsmethode: Der ISP oder die Regierung konfiguriert ihre DNS-Server so, dass sie bei Anfragen zu bestimmten Domains einfach keine Antwort geben – oder eine falsche Adresse zurückgeben.
Wie funktioniert das praktisch? Sie tippen "example.com" ein, Ihr Browser fragt den DNS-Server des ISP: "Was ist die Nummer von example.com?" Der Server antwortet nicht, oder antwortet mit einer falschen Nummer (die zu einer Fehlerseite führt). Ihr Browser kann die Website nicht erreichen. Aus technischer Sicht ist DNS-Filterung billig in der Umsetzung und belastet die Netzwerkinfrastruktur kaum.
Das Problem für den Zensor: DNS-Filterung ist extrem leicht zu umgehen. Sie müssen nur einen anderen DNS-Server verwenden – nicht den des ISP. Viele öffentliche DNS-Server (wie die von Google oder Cloudflare) filtern nicht. Das ist kein Hack, sondern eine normale Netzwerkoperation. Deshalb setzen Zensoren oft auf mehrere Methoden gleichzeitig.
IP-Blocking: Eine ganze Adresse sperren
Während DNS-Filterung auf Namen abzielt, blockiert IP-Blocking die numerische Adresse selbst. Stellen Sie sich vor, Sie wissen, dass eine bestimmte Person in einem bestimmten Haus lebt – Sie könnten einfach alle Post an diese Adresse blockieren, unabhängig davon, wer die Post versendet.
Ein ISP kann so konfiguriert werden, dass er alle Datenverkehrspakete, die zu oder von einer bestimmten IP-Adresse gehen, verwirft. Das klingt einfach, hat aber ein großes Problem: Viele Websites teilen sich eine IP-Adresse. Wenn Sie eine blockierte Website auf einer gemeinsam genutzten IP-Adresse sperren, sperren Sie möglicherweise auch 1.000 legale Websites auf demselben Server. Deshalb ist IP-Blocking grob und wird meist nur für kleine oder isolierte Ziele verwendet.
Um dieses Problem zu lösen, verwenden moderne Zensoren präzisere Methoden.
SNI-Inspektion: Das Umschlag lesen
Moderne Websites verwenden ein Verschlüsselungsprotokoll namens HTTPS – das Datenverkehr zwischen Ihrem Browser und der Website schützt. Aber es gibt ein Loch: Der Server-Name (welche Website Sie besuchen möchten) wird unverschlüsselt übertragen, in einer Nachricht namens SNI (Server Name Indication). Das passiert, bevor die Verschlüsselung beginnt – damit der Server weiß, welches Zertifikat er verwenden soll.
Stellen Sie sich vor, Sie schicken einen Brief in einem transparenten Umschlag. Der Inhalt ist verschlüsselt, aber die Adresse auf dem Umschlag kann jeder lesen. SNI-Inspektion nutzt genau das: ISPs oder Regierungen können den SNI-Wert lesen (welche Domain Sie aufrufen) und den Datenverkehr blockieren, lange bevor die Verschlüsselung eine Rolle spielt.
SNI-Filtering ist präziser als IP-Blocking und billiger als tiefere Inspektionsmethoden. Es hat aber auch Grenzen: Es funktioniert nur bei HTTPS-Traffic (moderne Websites). Und es kann umgangen werden durch techniken wie Encrypted SNI (ESNI) oder DoH (DNS over HTTPS), bei denen selbst der Servernaame verschlüsselt wird – obwohl diese noch nicht überall eingesetzt sind.
Deep Packet Inspection: Alles untersuchen
Die teurere und invasivere Methode ist Deep Packet Inspection (DPI). Hier untersucht der ISP oder die Regierung den *Inhalt* des Datenverkehrs – nicht nur Adressen und Namen, sondern tatsächliche Daten. Ein Firewall-System kann Muster erkennen: Bestimmte Texte, Bilder oder Protokoll-Signaturen, die auf eine blockierte Website hindeuten.
DPI ist kraftvoll, aber auch komplex. Sie müssen Millionen von Paketen pro Sekunde untersuchen. Das kostet Rechenleistung, Energiekosten und spezialisierte Hardware. Länder wie China und der Iran investieren massiv in DPI-Systeme – es ist ein Teil ihrer Zensur-Infrastruktur.
DPI kann auch einfaches Throttling (Drosselung) sein: Das Netzwerk erkennt bestimmte Traffic und bremst ihn künstlich aus, bis die Website unbenutzbar ist – ohne sie vollständig zu blockieren.
BGP-Hijacking und komplette Abschaltungen
Auf der extremsten Ebene können Regierungen das Internet-Routing selbst sabotieren. BGP (Border Gateway Protocol) ist das System, das Router weltweit verwenden, um Datenverkehr ans richtige Ziel zu leiten. Ein böser Akteur kann falsche BGP-Nachrichten ausstrahlen, die sagen: "Sendet den Traffic zu dieser Website zu mir statt zu dem echten Server." Das ist BGP-Hijacking.
Fast noch extremer: Komplette Shutdowns. Einige Länder schalten das Internet einfach ab – sie unterbrechen alle Verbindungen zu globalen Routern. Das ist teuer und schädigt die eigene Wirtschaft, wird aber in Krisensituationen eingesetzt. In Ländern wie Myanmar und Sudan haben Regierungen zu dieser Methode gegriffen.
Was bedeutet das für Sie?
Es gibt kein einzelnes "böses" System – es gibt eine Leiter von Methoden, vom billigen (DNS-Filterung) zum teuren und invasiven (DPI, BGP-Hijacking). Die meisten Länder kombinieren mehrere Methoden. Und für jede Blockierungsmethode gibt es Umgehungsmöglichkeiten – aber nicht alle sind gleich zugänglich oder sicher. DNS-Umgehung ist einfach; echte End-to-End-Verschlüsselung ist komplexer.
Wahrscheinlich haben Sie sich auch gefragt: Was ist mit VPNs? Das ist ein separates Thema – aber wissen Sie jetzt, dass ein VPN die meisten dieser Techniken (außer vielleicht DPI-Erkennung basierend auf Verhaltensmustern oder BGP-Hijacking) umgehen kann. Das Wichtigste ist, zu verstehen, *dass* diese Techniken existieren, wie sie funktionieren und welche Tradeoffs jede mit sich bringt.
Wenn Sie tiefer einsteigen möchten: Lernen Sie mehr über Verschlüsselung (und warum sie wichtig ist), über Netzwerk-Anatomie, oder über die spezifischen Zensurmethoden einzelner Länder.
DNS-Filterung: Das Telefonbuch unterbrechen
Bevor Ihr Browser eine Website aufrufen kann, muss er ihre Adresse kennen. Das Internet verwendet dafür ein System namens DNS (Domain Name System) – im Grunde ein globales Telefonbuch, das Domainnamen wie "example.com" in numerische IP-Adressen übersetzt. DNS-Filterung ist die einfachste Blockierungsmethode: Der ISP oder die Regierung konfiguriert ihre DNS-Server so, dass sie bei Anfragen zu bestimmten Domains einfach keine Antwort geben – oder eine falsche Adresse zurückgeben.
Wie funktioniert das praktisch? Sie tippen "example.com" ein, Ihr Browser fragt den DNS-Server des ISP: "Was ist die Nummer von example.com?" Der Server antwortet nicht, oder antwortet mit einer falschen Nummer (die zu einer Fehlerseite führt). Ihr Browser kann die Website nicht erreichen. Aus technischer Sicht ist DNS-Filterung billig in der Umsetzung und belastet die Netzwerkinfrastruktur kaum.
Das Problem für den Zensor: DNS-Filterung ist extrem leicht zu umgehen. Sie müssen nur einen anderen DNS-Server verwenden – nicht den des ISP. Viele öffentliche DNS-Server (wie die von Google oder Cloudflare) filtern nicht. Das ist kein Hack, sondern eine normale Netzwerkoperation. Deshalb setzen Zensoren oft auf mehrere Methoden gleichzeitig.
IP-Blocking: Eine ganze Adresse sperren
Während DNS-Filterung auf Namen abzielt, blockiert IP-Blocking die numerische Adresse selbst. Stellen Sie sich vor, Sie wissen, dass eine bestimmte Person in einem bestimmten Haus lebt – Sie könnten einfach alle Post an diese Adresse blockieren, unabhängig davon, wer die Post versendet.
Ein ISP kann so konfiguriert werden, dass er alle Datenverkehrspakete, die zu oder von einer bestimmten IP-Adresse gehen, verwirft. Das klingt einfach, hat aber ein großes Problem: Viele Websites teilen sich eine IP-Adresse. Wenn Sie eine blockierte Website auf einer gemeinsam genutzten IP-Adresse sperren, sperren Sie möglicherweise auch 1.000 legale Websites auf demselben Server. Deshalb ist IP-Blocking grob und wird meist nur für kleine oder isolierte Ziele verwendet.
Um dieses Problem zu lösen, verwenden moderne Zensoren präzisere Methoden.
SNI-Inspektion: Das Umschlag lesen
Moderne Websites verwenden ein Verschlüsselungsprotokoll namens HTTPS – das Datenverkehr zwischen Ihrem Browser und der Website schützt. Aber es gibt ein Loch: Der Server-Name (welche Website Sie besuchen möchten) wird unverschlüsselt übertragen, in einer Nachricht namens SNI (Server Name Indication). Das passiert, bevor die Verschlüsselung beginnt – damit der Server weiß, welches Zertifikat er verwenden soll.
Stellen Sie sich vor, Sie schicken einen Brief in einem transparenten Umschlag. Der Inhalt ist verschlüsselt, aber die Adresse auf dem Umschlag kann jeder lesen. SNI-Inspektion nutzt genau das: ISPs oder Regierungen können den SNI-Wert lesen (welche Domain Sie aufrufen) und den Datenverkehr blockieren, lange bevor die Verschlüsselung eine Rolle spielt.
SNI-Filtering ist präziser als IP-Blocking und billiger als tiefere Inspektionsmethoden. Es hat aber auch Grenzen: Es funktioniert nur bei HTTPS-Traffic (moderne Websites). Und es kann umgangen werden durch techniken wie Encrypted SNI (ESNI) oder DoH (DNS over HTTPS), bei denen selbst der Servernaame verschlüsselt wird – obwohl diese noch nicht überall eingesetzt sind.
Deep Packet Inspection: Alles untersuchen
Die teurere und invasivere Methode ist Deep Packet Inspection (DPI). Hier untersucht der ISP oder die Regierung den *Inhalt* des Datenverkehrs – nicht nur Adressen und Namen, sondern tatsächliche Daten. Ein Firewall-System kann Muster erkennen: Bestimmte Texte, Bilder oder Protokoll-Signaturen, die auf eine blockierte Website hindeuten.
DPI ist kraftvoll, aber auch komplex. Sie müssen Millionen von Paketen pro Sekunde untersuchen. Das kostet Rechenleistung, Energiekosten und spezialisierte Hardware. Länder wie China und der Iran investieren massiv in DPI-Systeme – es ist ein Teil ihrer Zensur-Infrastruktur.
DPI kann auch einfaches Throttling (Drosselung) sein: Das Netzwerk erkennt bestimmte Traffic und bremst ihn künstlich aus, bis die Website unbenutzbar ist – ohne sie vollständig zu blockieren.
BGP-Hijacking und komplette Abschaltungen
Auf der extremsten Ebene können Regierungen das Internet-Routing selbst sabotieren. BGP (Border Gateway Protocol) ist das System, das Router weltweit verwenden, um Datenverkehr ans richtige Ziel zu leiten. Ein böser Akteur kann falsche BGP-Nachrichten ausstrahlen, die sagen: "Sendet den Traffic zu dieser Website zu mir statt zu dem echten Server." Das ist BGP-Hijacking.
Fast noch extremer: Komplette Shutdowns. Einige Länder schalten das Internet einfach ab – sie unterbrechen alle Verbindungen zu globalen Routern. Das ist teuer und schädigt die eigene Wirtschaft, wird aber in Krisensituationen eingesetzt. In Ländern wie Myanmar und Sudan haben Regierungen zu dieser Methode gegriffen.
Was bedeutet das für Sie?
Es gibt kein einzelnes "böses" System – es gibt eine Leiter von Methoden, vom billigen (DNS-Filterung) zum teuren und invasiven (DPI, BGP-Hijacking). Die meisten Länder kombinieren mehrere Methoden. Und für jede Blockierungsmethode gibt es Umgehungsmöglichkeiten – aber nicht alle sind gleich zugänglich oder sicher. DNS-Umgehung ist einfach; echte End-to-End-Verschlüsselung ist komplexer.
Wahrscheinlich haben Sie sich auch gefragt: Was ist mit VPNs? Das ist ein separates Thema – aber wissen Sie jetzt, dass ein VPN die meisten dieser Techniken (außer vielleicht DPI-Erkennung basierend auf Verhaltensmustern oder BGP-Hijacking) umgehen kann. Das Wichtigste ist, zu verstehen, *dass* diese Techniken existieren, wie sie funktionieren und welche Tradeoffs jede mit sich bringt.
Wenn Sie tiefer einsteigen möchten: Lernen Sie mehr über Verschlüsselung (und warum sie wichtig ist), über Netzwerk-Anatomie, oder über die spezifischen Zensurmethoden einzelner Länder.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ REDAKTIONSEMPFEHLUNG
★★★★★ 9.5/10 · 6,000+ servers · Funktioniert in China
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.