christian/internetforkids
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
internetforkids/content/de/schutzschichten-online-warum-vpn-unverzichtbar-ist.md
Christian Gick ffa398ddca
All checks were successful
Deploy Internet for Kids / Build & Push (push) Successful in 12s
Details
Deploy Internet for Kids / Deploy (push) Successful in 4s
Details
Deploy Internet for Kids / Health Check (push) Successful in 1s
Details
Deploy Internet for Kids / Smoke Tests (push) Successful in 2s
Details
Deploy Internet for Kids / IndexNow Ping (push) Successful in 7s
Details
Deploy Internet for Kids / Promote to Latest (push) Successful in 1s
Details
Deploy Internet for Kids / Rollback (push) Has been skipped
Details
Deploy Internet for Kids / Audit (push) Successful in 1s
Details
Unify Further Reading into one styled box (CF-3115) 
- Template renders one Further Reading aside (essential-reading style)
  with author-curated list + auto-appended layers-of-protection pillar
- Removed separate Essential reading aside
- Migrated 10 articles' ## Further Reading sections into frontmatter
  further_reading: translationKey arrays
- Added further_reading i18n key in en/de/fr

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-04-14 10:58:20 +03:00

9.3 KiB
Raw Permalink Blame History

title, date, description, tags, categories, author, slug, translationKey, further_reading
title date description tags categories author slug translationKey further_reading
Die sieben Schutzschichten im Netz — und warum das VPN die ist, die Eltern nicht auslassen dürfen 2026-04-14 Vom Internetanbieter bis zu den Einstellungen in der einzelnen App — es gibt sieben Schichten, auf denen sich die Online-Sicherheit eines Kindes durchsetzen lässt. Hier steht, was jede leistet, was sie verpasst, und warum ein Familien-VPN die Schicht ist, die die anderen zusammenhält.
Elternkontrolle
VPN
DNS-Filter
Router
Browser-Plugins
Bildschirmzeit
mehrschichtiger Schutz
sicherheit
Agiliton schutzschichten-online-warum-vpn-unverzichtbar-ist layers-of-protection
parental-controls-2026
is-tiktok-safe

Online-Sicherheit ist kein einzelner Schalter, sondern ein Zusammenspiel aus sieben Schichten — jede deckt etwas ab, was die anderen übersehen. Wenn der Schutz in Familien nicht funktioniert, liegt es fast immer daran, dass ein oder zwei Schichten eingerichtet sind und der Rest als erledigt gilt. Das reicht nie.

Dieser Artikel geht alle sieben Schichten durch — vom Internetanbieter bis zu den Einstellungen innerhalb einzelner Apps —, erklärt, was jede Schicht tatsächlich blockiert, und zeigt, warum ein Familien-VPN die Schicht ist, die die Lücken der anderen schließt.

Schicht 1 — Der Internetanbieter

Der Provider (Telekom, Vodafone, 1&1, O2) sitzt zwischen dem Haushalt und dem übrigen Internet. Die meisten großen Anbieter bieten im Kundenportal eine Option „Familienfilter" oder „sicheres Surfen".

Was die Schicht leistet: DNS-Kategoriefilterung auf dem Heim-Anschluss.

Was sie verpasst:

  • Nur dieser eine Anschluss — kein Mobilfunk, kein Besuch bei Freunden.
  • Die meisten Anbieterfilter sind grob, werden selten aktualisiert und lassen sich durch Wechsel auf 8.8.8.8 leicht umgehen.
  • Auf Mobilfunk wird nichts blockiert, selbst wenn das Telefon zum Haushalt gehört.

Fazit: Einschalten, wenn vorhanden. Nicht darauf verlassen.

Schicht 2 — Der Router

Der Heim-Router ist das erste Gerät, durch das jedes andere Gerät muss. Moderne Router (FRITZ!Box, AVM, eero, ASUS) erlauben eigene DNS-Server — etwa Cloudflare 1.1.1.3, NextDNS oder Quad9 — und einige sogar unterschiedliche Regeln je Gerät.

Was die Schicht leistet: DNS-Filterung für jedes Gerät im Heim-WLAN, inklusive Smart-TV, Konsolen und Besucher-Handys.

Was sie verpasst:

  • Wirkt nur zu Hause — Mobilfunk, Schul-WLAN, Café: alles ungefiltert.
  • Ein Kind, das eine VPN-App installiert oder das DNS am Gerät ändert, umgeht den Router komplett.
  • Keine Regeln je Nutzer, wenn das WLAN dieselbe SSID für alle benutzt.

Fazit: Unverzichtbar als Grundschutz im Heimnetz. Kann Mobilgeräte außerhalb der Wohnung nicht schützen.

Schicht 3 — Das VPN mit DNS-Filterung (die tragende Schicht)

Ein VPN, das auf dem Gerät des Kindes installiert ist, leitet den gesamten Verkehr durch einen Filter, der mit dem Gerät mitreist — zu Hause, im Mobilfunknetz, im Schul-WLAN, im Urlaub. Das ist die Schicht, die die anderen zusammenhält.

Was die Schicht leistet:

  • Wendet dieselbe kuratierte DNS-Blockliste in jedem Netzwerk an, mit dem sich das Gerät verbindet.
  • Blockiert Werbung, Tracker, Malware, Phishing und — entscheidend — ganze Inhaltskategorien (Social Media, Erwachseneninhalte, Glücksspiel, Dating, Gaming).
  • In einem abgeschlossenen Kind-Profil vom Kind nicht deaktivierbar.
  • Wirkt unabhängig vom Browser, unabhängig von der App, unabhängig davon, mit welchem Konto sich das Kind anmeldet.

Was sie verpasst:

  • Begrenzt nicht die Zeit in Apps, die erlaubt sind. Bildschirmzeit und Family Link bleiben dafür nötig.
  • Erzwingt keine „Schlafenszeit"-Fenster — das ist Aufgabe des Betriebssystems.

Warum diese Schicht mehr zählt als die anderen: Jede andere Schicht stoppt entweder an der Haustür (Router, Provider) oder lässt sich direkt am Gerät umgehen (OS-Filter, Browser-Plugins). Das VPN ist die einzige Schicht, die überall mitreist, dauerhaft aktiv bleibt und von einem entschlossenen Kind nicht abgeschaltet werden kann. Deshalb nennen wir es die Schicht, die Eltern nicht auslassen dürfen.

Unser eigenes Produkt, Agiliton VPN, ist genau auf diese Rolle zugeschnitten — ein gerätegebundener, dauerhaft aktiver Filter mit Kind (0-12)- und Teen (13-17)-Profilen, die altersgerechte Kategorien standardmäßig blockieren.

Schicht 4 — Das Betriebssystem

iOS, Android, Windows und macOS bieten alle systemweite Elternkontrollen: iOS Bildschirmzeit, Google Family Link, Windows Family Safety, macOS Bildschirmzeit.

Was diese Schicht leistet:

  • App-Installationen freigeben
  • Tägliche Zeit je App oder Kategorie begrenzen
  • Kommunikation einschränken (wer darf anrufen, schreiben, FaceTimen)
  • Ruhezeiten erzwingen (z. B. keine Apps zwischen 22:00 und 07:00)
  • In-App-Käufe blockieren

Was sie verpasst:

  • Web-Filterung ist schwach. Safaris „Erwachseneninhalte beschränken" ist eine winzige, leicht umgangene Liste.
  • Keine Kontrolle über Netzwerkverkehr — wenn eine App einen Tracker oder ein Social-Media-CDN kontaktiert, sieht das Betriebssystem davon nichts.
  • Ein Kind mit dem Code kann alles ändern. Viele Eltern geben ihn unbewusst weiter.

Fazit: Pflicht für tägliche Limits und Ruhezeiten. Unbrauchbar für Kategorie-Filter.

Schicht 5 — OS-Plugins und DNS-Profile

Auf iOS lässt sich ein DNS-Konfigurationsprofil installieren (NextDNS, CleanBrowsing; Agiliton VPN wirkt ähnlich). Auf Android setzt man „Privates DNS" in den Systemeinstellungen. Das wirkt auf OS-Ebene ohne vollen VPN-Tunnel.

Was die Schicht leistet: Leichtgewichtige DNS-Filterung ohne VPN-Tunnel. Gilt für alle Apps.

Was sie verpasst:

  • Ein Kind, das weiß, wo nachzuschauen ist, kann das Profil oft ohne Mühe entfernen.
  • Reine DNS-Profile verschlüsseln nicht — manche Netzwerke (vor allem Schulen) überschreiben sie.
  • Keine Profilauswahl nach Rolle (Kind vs. Teen) — eine Einstellung für alle.

Fazit: Brauchbar für Familien, die eine leichte Lösung wollen und dem Kind vertrauen. Für jüngere Kinder nicht robust genug.

Schicht 6 — Browser-Plugins

Erweiterungen wie uBlock Origin, Privacy Badger oder schulische Inhaltsfilter laufen innerhalb des Browsers.

Was die Schicht leistet: Werbung, Tracker oder gelistete Domains innerhalb dieses einen Browsers blockieren.

Was sie verpasst:

  • Wirkt nur in dem Browser, in dem die Erweiterung installiert ist. Ein anderer Browser umgeht sie.
  • Wirkt nicht in Apps (TikTok, Instagram, Roblox laufen außerhalb des Browsers).
  • Auf Mobilgeräten ist die Unterstützung dünn (iOS-Safari erlaubt nur wenige, Chrome unter Android praktisch keine).

Fazit: Sinnvolle Ergänzung für Desktop-Browsing. Als primäre Kinderschutz-Schicht nahezu unbrauchbar.

Schicht 7 — In-App-Einstellungen

Jede ernstzunehmende App hat eigene Jugendschutz-Einstellungen: TikTok Family Pairing, Instagram Elternaufsicht, YouTube Kids, Roblox-Kontobeschränkungen, Discords „Safe Messaging"-Vorgaben.

Was diese Schicht leistet: App-spezifische Absicherungen — eingeschränkte Inhaltsmodi, Kommunikationslimits, Bildschirmzeit-Hinweise innerhalb der App.

Was sie verpasst:

  • Setzt voraus, dass das Kind in dieser App ein Konto mit korrektem Alter hat — was Kinder, wie in unserem TikTok-Leitfaden beschrieben, regelmäßig fälschen.
  • Wirkt nur in dieser App. Ein Zweitkonto, eine andere App oder die Web-Version umgeht sie.
  • Wird häufig umgebaut; was letztes Jahr geschützt hat, kann stillschweigend entfernt worden sein.

Fazit: Für jede vom Kind genutzte App konfigurieren. Nie eine primäre Schicht.

Warum das VPN die tragende Schicht ist

Die Übersicht zeigt, was jede Schicht abdeckt:

Schicht Heim-WLAN Mobilfunk Schul-WLAN Besucher-WLAN App-Verkehr Vom Kind umgehbar
Provider-Filter Trivial
Router-DNS Mit Aufwand
VPN-DNS (Kind-Modus) Nein
OS-Elternkontrollen Teilweise Mit Code
OS-DNS-Profil Oft
Browser-Plugin Nur Browser Nur Browser Nur Browser Nur Browser Leicht
In-App In der App In der App In der App In der App In der App Über falsches Alter

Das VPN im Kind-Modus ist die einzige Zeile mit einem Haken in jeder Spalte und „Nein" bei der Umgehbarkeit. Fehlt diese Schicht, deckt keine andere mehr Mobilfunk, Schul-WLAN oder Kategorie-Filter innerhalb von Apps ab.

Das ist kein Marketingsatz, sondern das Bild, das die Tabelle ergibt, wenn sie ehrlich ausgefüllt wird.

Unser empfohlener Ansatz

Für eine Familie mit Kindern unter 16 sind die Schichten 2 + 3 + 4 + 7 das Minimum:

  1. Router-DNS (Schicht 2) — Grundschutz zu Hause
  2. Familien-VPN mit Kind-Profil (Schicht 3) — der dauerhaft aktive Filter, der mit dem Gerät mitreist
  3. OS-Elternkontrollen (Schicht 4) — App-Freigabe, Zeitlimits, Ruhezeiten
  4. In-App-Einstellungen (Schicht 7) — je App konfigurieren

Schichten 1, 5 und 6 sind entweder redundant oder nicht tragend — auslassen, wenn kein gezielter Grund dagegen spricht.

Reference in New Issue View Git Blame Copy Permalink