Startseite / Datenschutz-Hosting-Leitfäden / VPS vs. Dedizierter Server für datenschutzkritische Workloads

Kauf

VPS vs. Dedizierter Server für datenschutzkritische Workloads

Ein virtualisierter Server teilt CPU, Arbeitsspeicher und einen Hypervisor mit Fremden. Für die meisten Workloads ist das in Ordnung. Für einige ist es die falsche Wahl. Dieser Leitfaden zieht die Grenze.

Read the guide FAQ

Die VPS-vs-Dediziert-Debatte wird meist als „Leistung versus Preis" gerahmt. Für datenschutzkritische Workloads ist das der falsche Rahmen. Die eigentliche Frage ist, was Sie bereit sind zu teilen — und mit wem — auf Siliziumebene. Ein virtualisierter Server ist per Definition eine Multi-Tenant-Box: Ihr Kernel läuft auf einem Hypervisor, der gleichzeitig die Kernel fremder Nutzer ausführt. Für die meisten Workloads im Jahr 2026 ist das eine gut abgesicherte Grenze. Für einige ist es ein strukturelles Risiko, das kein noch so umfangreiches OS-Hardening beheben kann.

Dieser Leitfaden zieht die Grenze. Wir behandeln das Bedrohungsmodell, das die Antwort tatsächlich verändert, die Hypervisor-Escape-CVE-Historie, die Sie kennen sollten, die praktische Wirtschaftlichkeit und eine Entscheidungsmatrix dafür, welche Workloads wohin gehören.

Das Bedrohungsmodell, das die Antwort bestimmt

Schreiben Sie, bevor Sie Spezifikationen vergleichen, ein einzeiliges Bedrohungsmodell auf. Der richtige Servertyp ergibt sich daraus fast mechanisch.

Single-Tenancy: was sie Ihnen wirklich bringt

Auf einem dedizierten Server — einer physischen Box, die ausschließlich Ihnen zugewiesen ist — kontrollieren Sie jede Schicht unterhalb des Betriebssystems, die der Vertrag des Hosters erlaubt: BIOS-Einstellungen, Secure-Boot-Konfiguration, Vollverschlüsselung mit einer Passphrase, die der Hoster buchstäblich nicht lesen kann, IPMI-Exposition und geladene Kernelmodule. Es gibt keinen Hypervisor zwischen Ihnen und dem Silizium. Es gibt keine Nachbarn, die den L1/L2-Cache teilen. Es gibt keinen gemeinsamen Speicherbus, über den ein Seitenkanal-Angriff Ihre AES-Runden beobachten könnte.

Auf einem VPS — einem virtualisierten Anteil einer physischen Box — kontrollieren Sie das Gast-Betriebssystem und das war es. Der Hoster kontrolliert den Hypervisor, die Festplattenverschlüsselungsschlüssel (in den meisten realistischen Konfigurationen) und die physische Maschine.

Drei Bedrohungskategorien

Aus Datenschutzperspektive gliedern sich Bedrohungen in drei Bereiche:

Netzwerk-Angreifer. Jemand, der die Leitung abhört oder per Vorladung Zugriff verlangt. Verteidigt durch Transportverschlüsselung (TLS, WireGuard, SSH) und Jurisdiktion. Servertyp ist irrelevant.
Hoster als Angreifer. Der Hosting-Anbieter selbst oder jemand, der ihn zwingen kann. Primär verteidigt durch Jurisdiktion (behandelt in unserem Jurisdiktionsleitfaden) und sekundär durch Vollverschlüsselung mit einer Passphrase, die der Hoster nicht kennt. Dediziert gewinnt hier knapp.
Mitmieter als Angreifer. Jemand, der eine andere VPS auf derselben physischen Box gemietet hat oder über einen anderen Weg in eine eingedrungen ist und versucht, aus seinem Anteil auszubrechen. Dediziert eliminiert diese Kategorie vollständig; VPS nicht.

Wenn Kategorie 3 in Ihrem Bedrohungsmodell vorkommt, ist die Diskussion beendet — Sie benötigen einen dedizierten Server. Wenn nicht, ist ein gut konfigurierter VPS in der richtigen Jurisdiktion für die überwältigende Mehrheit datenschutzsensitiver Workloads ausreichend.

VPS vs. Dedizierter Server für datenschutzkritische Workloads — Single-Tenant Bare-Metal entfernt die gesamte Angriffsfläche des geteilten Hypervisors, der virtualisierte Mieter niemals vollständig entkommen können.

Hypervisor-Escape: wie oft kommt das vor?

Die kürzeste ehrliche Antwort: selten, und mit Patches, die meist innerhalb von Tagen verfügbar sind. Aber „selten" ist nicht „nie", und die historische Bilanz ist es wert, sie zu kennen.

Die großen öffentlichen Ausbrüche

Xen XSA-226 (2017) — ein Speicherfehler in der SeitenTabellen-Verwaltung, der einem Gast ermöglichte, auf den Host zu eskalieren. Innerhalb eines Monats gepatcht; große Cloud-Anbieter führten Notfall-Neustarts durch.
VENOM (CVE-2015-3456) — ein Pufferüberlauf im virtuellen QEMU-Diskettenlaufwerk-Controller, der KVM und Xen betraf. Alt, aber lehrreich: die Angriffsfläche war eine Funktion, die niemand aktiv nutzte.
L1TF / Foreshadow (2018) — spekulativer Ausführungs-Seitenkanal von Intel, der Speicher über Hypervisor-Grenzen hinweg preisgeben konnte. Durch Mikrocode und Scheduling-Änderungen abgemildert; der Performance-Einbruch bei deaktiviertem Hyperthreading war erheblich.
KVM-MDS-Varianten (laufend, neueste 2024) — Microarchitectural Data Sampling-Angriffe. Jede neue Chip-Generation bringt eine neue Variante; Mitigationen verursachen messbare Leistungskosten.

Öffentliche Ausbrüche mit CVE-Status sind der sichtbare Anteil. Private Exploits existieren; Ausbrüche auf Nationalstaatsniveau wurden bei Pwn2Own in den meisten Jahren demonstriert. Für einen Workload, bei dem Hypervisor-Escape auch nur auf der Liste plausibler Bedrohungen steht, wollen Sie nicht auf einem Hypervisor laufen.

Der IPMI / Out-of-Band-Kanal

Sowohl VPS- als auch dedizierte Boxen verfügen typischerweise über IPMI (Intelligent Platform Management Interface) für das Operations-Team des Hosters. Bei einem VPS ist IPMI-Exposition das Problem des Hosters und geht Sie nichts an. Bei einem dedizierten Server können Sie in der Regel verlangen, dass IPMI auf einem privaten VLAN liegt, hinter VPN steht oder zwischen Wartungsfenstern komplett deaktiviert wird. Wir setzen bei dedizierten Boxen standardmäßig auf „IPMI aus, auf Anfrage" — lesen Sie die dedizierte Serverseite für die Betriebsdetails.

Vollverschlüsselung: praktische Realitäten

Beide Servertypen unterstützen Verschlüsselung im Ruhezustand, aber das Vertrauensmodell ist unterschiedlich.

VPS-Verschlüsselung

Sie können LUKS innerhalb Ihres VPS betreiben, was auf Gast-Dateisystemebene verschlüsselt. Das schützt vor einem Dieb, der das zugrundeliegende Laufwerk stiehlt, nachdem Ihr VPS abgeschaltet wurde. Es schützt nicht vor einem Live-Speicherabbild, das der Hypervisor macht — Ihre Verschlüsselungsschlüssel liegen im RAM, den der Hypervisor lesen kann. Für die meisten realistischen Bedrohungen ist das in Ordnung; gegenüber einem glaubwürdigen Hoster als Angreifer ist es Theater.

Dedizierte Verschlüsselung

Auf einem dedizierten Server gibt Ihnen Vollverschlüsselung mit einer remote eingegebenen Passphrase (mittels dropbear-in-initramfs oder ähnlichem) einen Schlüssel, den der Hoster buchstäblich nicht ohne Ihre Mitarbeit wiederherstellen kann. Der Nachteil: ein Neustart erfordert, dass Sie die Passphrase eingeben, was für persönliche Infrastruktur in Ordnung, für Autoscaling aber unpraktisch ist. Der Vorteil: ein erzwungener Hoster, der die Box beschlagnahmt, erhält Chiffretext.

Praktische Empfehlung: Bei einem VPS: Verschlüsseln Sie zum Diebstahlschutz, und tun Sie nicht so, als schütze es Sie vor dem Hoster. Bei einem dedizierten Server: Richten Sie dropbear-initramfs ein und nehmen Sie den manuellen Neustart-Aufwand in Kauf, im Tausch gegen einen Schlüssel, den der Hoster nicht erreichen kann.

VPS vs. Dediziert im direkten Vergleich

Dimension	VPS	Dediziert
Single-Tenancy	Nein (teilt CPU, RAM, Hypervisor)	Ja (vollständige physische Isolation)
Mitmieter-Angriffsfläche	Hypervisor + gemeinsamer Cache	Keine
FDE vs. Hoster als Angreifer	Theater (Schlüssel im hypervisor-lesbaren RAM)	Real (Hoster erhält Chiffretext)
Einrichtungszeit	Minuten	Stunden bis wenige Tage
Hardware-Upgrade	Tarif anpassen	Auf neue Box migrieren
Typischer Einstiegspreis 2026 (Offshore)	$5–$15/Monat	$60–$200/Monat
IPMI-Exposition	Verborgen (Hosters Problem)	Konfigurierbar (Ihr Problem)
Geeignet für	VPN-Endpunkte, Build-Server, persönliche E-Mail, Tor-Relays, Entwicklungsarbeit	Mail-Server im großen Maßstab, Schlüsselverwahrerschaft, CSAM-Screening für Bild-Plattformen, alles mit Kategorie-3-Bedrohung

Entscheidungsmatrix nach Workload

Persönliches VPN, Build-Server, Dev-Box, Tor-Relay

VPS. Die Bedrohung ist Netzwerküberwachung plus Jurisdiktion; Mitmieter-Escape ist im Verhältnis zum Betriebsaufwand keine realistische Sorge. VPS-Tarife durchsuchen und das Land wählen, das zum Jurisdiktionsleitfaden passt.

Persönlicher Mail-Server, kleiner XMPP-Server, Matrix-Homeserver

VPS ist für unter ~50 Nutzer ausreichend. Darüber hinaus wird die Performance zum Engpass, und Sie werden dedizierte Hardware für den IMAP/SMTP-Queued-Durchsatz wollen — unabhängig von der Datenschutzachse.

Öffentlich zugängliche Plattform mit Nutzerdaten (Forum, Imageboard, Chat)

VPS für frühes Wachstum, Migration zu dediziert, wenn die Nutzerzahl oder der Inhalt beginnen, Aufmerksamkeit zu erregen. Single-Tenancy wird wertvoll, sobald Sie ein Ziel sind und nicht mehr nur beiläufig.

Krypto-Knoten mit erheblichen Mitteln

Dediziert. Die Kategorie-3-Bedrohung ist real — ein Mitmieter-Angriff, der Ihren Seed via Seitenkanal aus dem RAM liest, ist bei dieser Vermögensgröße keine Science-Fiction. Dedizierte Serverpläne mit Vollverschlüsselung und IPMI aus sind das Minimum.

Whistleblower-Plattform / Leak-Host

Dediziert, in Island oder der Schweiz, mit Vollverschlüsselung und dropbear-initramfs. Das ist der Workload, bei dem jede Schicht zählt. Kombinieren Sie mit dem Jurisdiktionsleitfaden für die rechtliche Ebene.

Masseninhaltsverteilung (Video, großes Datei-Hosting)

Dediziert, aber eher aus Performance- als aus Datenschutzgründen. Ein dedizierter 1-Gbps-Unmetered-Server ist günstiger als ein VPS, der bei derselben Rate Burst-Kosten verursacht.

Die Wirtschaftlichkeit, ehrlich betrachtet

VPS-Preise haben sich im Jahr 2026 komprimiert: 4 GB / 2 vCPU / 80 GB NVMe in einer Offshore-Jurisdiktion kosten je nach Land rund $9 bis $15 pro Monat. Dedizierte Hardware an denselben Standorten beginnt bei $60 (Low-End-Atom oder älterer Xeon) und reicht bis über $200 für aktuelle EPYC- oder Xeon-Scalable-Hardware. Der 4- bis 10-fache Aufschlag ist real, und für die meisten Workloads ist er nicht allein durch den Datenschutz gerechtfertigt — er ist durch die Performance gerechtfertigt.

Ehrlich gesagt: Etwa 80 % der „Ich brauche Datenschutz-Hosting"-Workloads werden am besten von einem $10-VPS im richtigen Land bedient. Die restlichen 20 % — hochwertige Krypto-Verwahrschaft, Journalismus-Plattformen, skalierte Inhalte unter Angreifer-Aufmerksamkeit — brauchen dedizierte Hardware. Geben Sie nicht zu viel aus, aber geben Sie auch nicht zu wenig aus.

Der Migrationspfad ist wichtig. Wählen Sie einen Hoster, der Ihnen erlaubt, im selben Rechenzentrum von VPS zu dediziert zu wechseln, ohne DNS, Jurisdiktion oder Zahlungsablauf neu zu konfigurieren. Wir ordnen jeden VPS-Plan einem dedizierten Upgrade-Pfad im gleichen Land zu — siehe dedizierte Pläne.

Operative Checkliste für Ihre Wahl

IPMI-Richtlinie des Hosters schriftlich bestätigen, bevor Sie bestellen.
Vollverschlüsselungs-Support prüfen — für VPS, dass LUKS erlaubt ist; für dediziert, dass dropbear-initramfs bei der Erstinstallation zulässig ist.
AUP auf explizite Hypervisor-Escape-Benachrichtigungsklauseln bei VPS prüfen — ein seriöser Hoster verpflichtet sich, Kunden innerhalb von 24 Stunden nach einem bestätigten Ausbruch zu informieren.
Bei dediziert: fragen, ob die Box neu, leicht gebraucht oder aufgearbeitet ist — und ob Sie vor der Lieferung einen Wipe beantragen können.
Den Rest des Datenschutz-Stacks lesen: VPN-Protokollwahl, Zahlungs-Datenschutz und den anonymen Hosting-Anwendungsfall.

FAQ

VPS vs. Dediziert FAQ

01 Ist ein VPS für den persönlichen Einsatz im Jahr 2026 ausreichend privat?

Für nahezu alle persönlichen Workloads — VPN-Endpunkte, E-Mail für eine kleine Anzahl von Nutzern, Build-Server, Dev-Boxen, Tor-Relays, persönliche Blogs — ist ein VPS in der richtigen Offshore-Jurisdiktion ausreichend privat. Die realistische Bedrohung für eine persönliche Box ist Netzwerküberwachung und Hoster-Vorladungen, die beide durch Transportverschlüsselung plus Jurisdiktion adressiert werden. Hypervisor-Escape ist zwar real, aber selten im Vergleich zu gewöhnlichem Passwort-Wiederverwendung und falsch konfigurierten Diensten. Investieren Sie Ihr Datenschutzbudget in das Land und die OS-Härtung, nicht in den Sprung zu dediziert.

02 Was ist Hypervisor-Escape und wie besorgt sollte ich sein?

Ein Hypervisor-Escape liegt vor, wenn Code innerhalb einer Gast-VM einen Fehler im Hypervisor (Xen, KVM, VMware) ausnutzt, um Speicher des Hosts oder anderer Gäste zu lesen oder zu schreiben. Öffentliche CVEs umfassen Xen XSA-226 (2017), VENOM (2015) und L1TF/Foreshadow (2018). Für einen persönlichen VPS ist das Risiko gering — Patches sind meist innerhalb von Tagen verfügbar, und die meisten öffentlichen Ausbrüche erfordern Angreiferfähigkeiten weit über Script-Kiddie-Niveau. Für einen Workload, bei dem das Bedrohungsmodell nationalstaatliche Aufmerksamkeit oder konkurrierende Angreifer einschließt, die für die physische Box zahlen, ist das Risiko nicht trivial und dediziert ist die richtige Antwort.

03 Schützt mich Vollverschlüsselung auf einem VPS?

Teilweise. LUKS oder ähnliches auf einem VPS schützt vor jemandem, der das zugrundeliegende Laufwerk stiehlt, nachdem der VPS abgeschaltet wurde — nützlich für Compliance-Theater und Diebstahlszenarien. Es schützt nicht vor einem Hypervisor, der das Gast-RAM lesen kann (wo die Verschlüsselungsschlüssel liegen, während der VPS läuft), und ein rechtlich gezwungener oder kompromittierter Hoster kann ein Speicherabbild erstellen. Für echten Schutz gegen den Hoster als Angreifer brauchen Sie dedizierte Hardware mit FDE, die durch eine nur von Ihnen eingetippte Passphrase geschützt ist.

04 Wie viel mehr kostet ein dedizierter Server als ein VPS?

Grob 4 bis 10 Mal mehr, im Jahr 2026. Ein leistungsfähiger 4 GB/2 vCPU/80 GB VPS in einer Offshore-Jurisdiktion kostet $9 bis $15 pro Monat; die günstigsten dedizierten Boxen beginnen bei $60 und aktuelle EPYC- oder Xeon-Scalable-Hardware kostet $150 bis $250. Der Preisunterschied ist hauptsächlich Fixkosten — Strom, Rechenzentrumsplatz, IPMI-Bandbreite — keine Marge. Wenn Ihr Workload die zusätzliche Performance nicht benötigt und Sie keine Kategorie-3-Bedrohungen in Ihrem Modell haben, ist der Dediziert-Aufpreis verschwendet.

05 Kann ich später von VPS zu dediziert migrieren?

Ja, und Sie sollten dafür planen. Der saubere Weg: Wählen Sie einen Hoster, der sowohl VPS als auch dediziert im selben Rechenzentrum betreibt, in Ihrer gewählten Jurisdiktion, mit demselben Zahlungsablauf. So ist die Migration eine OS-Neuinstallation plus DNS-Update — kein Jurisdiktionswechsel, kein Zahlungsablauf-Neu-Onboarding, und Ihre historische No-KYC-Haltung bleibt intakt. Hoster, die nur VPS verkaufen, werden Sie irgendwann zwingen, die Plattform zu wechseln, wenn Sie darüber hinauswachsen — und das ist der Moment, in dem die meisten Betreiber unbeabsichtigt einer KYC-Anforderung bei einem neuen Anbieter begegnen.

06 Lohnt sich dediziert für Krypto-Selbstverwahrung?

Wenn die Mittel erheblich sind — sagen wir, mehr als die Kosten eines Jahres dediziertes Hosting multipliziert mit einem Risikofaktor, über den Sie sich Sorgen machen würden — dann ja. Die Kategorie-3-Bedrohung (Mitmieter-Angriffe auf Ihren Seed im RAM via Cache-Seitenkanäle) ist die relevante, und sie wird vollständig durch Single-Tenancy eliminiert. Kombinieren Sie dedizierte Hardware mit Vollverschlüsselung über eine via dropbear-initramfs eingegebene Passphrase, IPMI auf einem privaten VLAN oder deaktiviert, und einer Jurisdiktion mit schwacher MLAT-Exposition. Das ist ein glaubwürdiges Minimum für Selbstverwahrung.

Den Server dem Bedrohungsmodell anpassen

VPS-Pläne für alltägliche Datenschutzarbeit durchsuchen, oder direkt zu Bare-Metal-Dediziert für hardware-isolierte Workloads wechseln.

VPS-Tarife ansehen Dedizierte Server Offshore-Hosting