2178083

TrutzBox von Comidio im Test: Trutzburg gegen Daten-Tracking

19.09.2016 | 17:09 Uhr |

Mit einem Heim-Server auf Linux-Basis will ein hessisches Unternehmen seine Kunden vor Datensammlern schützen. Wir haben für Sie getestet, was die TrutzBox leisten kann. Update 19.9.: Test der TrutzBox als Server für Videokonferenz und Chat.

Das kleine Unternehmen Comidio aus dem hessischen Eltville hat sich den Schutz der Internet-Nutzer vor Datensammlern auf die Fahne geschrieben. Mit der TrutzBox, einem Internet-Gateway auf Linux-Basis, bietet Comidio eine leistungsfähige Hardware-Lösung, die einfach zu bedienen sein soll. Zu schützende Rechner, Tablets, Smartphones und Smart-TVs werden an die TrutzBox angeschlossen, die alle potenziell unerwünschten Tracking-Versuche aus Werbenetzwerken ausfiltern soll. Außerdem bietet die TrutzBox einen Mail-Server mit Ende-zu-Ende-Verschlüsselung und Anonymität über das Tor-Netzwerk.

Die Hardware-Basis wird zugekauft und derzeit praktisch zum Selbstkostenpreis abgegeben. Das taiwanesische Unternehmen PC Engines bietet die Hardware unter der Bezeichnung APU1D als leistungsfähigeren Nachfolger seiner schon länger angebotenen ALIX-Systeme an. Auf dem Mainboard werkelt eine x86-kompatible Zwei-Kern-CPU (Bobcat) aus AMDs G-Serie (T40E) mit 1 GHz Takt und 2 GB RAM. Sie hat wesentlich mehr Leistungsreserven als die Rechenwerke in einer FritzBox oder einem Raspberry Pi. Als Massenspeicher dient eine interne SDHC-Karte mit 16 GB. Das Board bietet auch die Möglichkeit eine mSATA-SSD zu verbauen. Das Gehäuse mit einer Kantenlänge von 17 x 16 cm ist etwas über 3 cm hoch. Als nach außen geführte Anschlüsse sind dreimal LAN, zweimal USB, eine neunpolige RS232-Buchse sowie eine Buchse für die Stromversorgung (12 V) vorhanden.

Lieferumfang

Im Lieferumfang sind neben der TrutzBox ein 12-V-Steckernetzteil, ein zwei Meter langes Netzwerkkabel, ein WLAN-USB-Adapter der Firma TP-Link (TL-WN722N; 150 Mbps; 802.11b/g/n) und ein USB-Verlängerungskabel enthalten. Letzteres kann genutzt werden, um den WLAN-Adapter empfangsgünstig zu positionieren. Ein gedrucktes Handbuch gibt es hingegen nicht – lediglich eine zweiseitige Kurzanleitung für die Inbetriebnahme wird mitgeliefert. Ein ausführliches Handbuch finden Sie auf der Comidio-Website , ebenso ein Kompendium, das viele Details über die TrutzBox enthält und über die Gefahren im Internet informiert, vor denen die TrutzBox schützen soll. Das Kompendium ist auch als PDF-Datei zum Download erhältlich.

TrutzBox-Symbol im Browser
Vergrößern TrutzBox-Symbol im Browser

Comidio installiert eine auf Linux-Basis (Debian Jessie) selbst entwickelte Software, die über den Web-Browser bedient wird. Das Herzstück sind die Web-Filter, die der Hersteller ebenso wie die übrige Software bei Bedarf per Online-Update aktualisiert. Des Weiteren ist ein Mail-Server integriert, der den Austausch Ende-zu-Ende-verschlüsselter Mails zwischen TrutzBox-Nutzern ermöglicht. Eine Erweiterung der Mail-Funktionalität um etwa PGP-kompatible Verschlüsselung für den Austausch mit beliebigen Mail-Nutzern ist noch in der Entwicklung. Als Virenscanner ist ClamAV installiert.

Auch ein „TrutzRTC“ genanntes Video-Chat-System wird derzeit entwickelt. Es soll ähnlich wie Firefox Hello auf dem Standard WebRTC aufbauen und ebenfalls Ende-zu-Ende verschlüsselt sein. Ein wesentlicher Unterschied ist allerdings, dass der Chat-Server auf der TrutzBox laufen wird und nicht wie bei Firefox auf einem Server eines Unternehmens. Damit können, anders als etwa bei Skype oder anderen Chat-Systemen, der Hersteller oder Dritte nicht mitlauschen. Nur einer der Chat-Teilnehmer muss eine TrutzBox haben.

Proxy oder transparent?

Für den Betrieb der TrutzBox stehen zwei Verfahren zur Wahl. Im Proxy-Modus wird die TrutzBox einfach zusätzlich an den DSL-Router angeschlossen. Im Browser wird die TrutzBox als Proxy eingetragen und auf diese Weise läuft der Web-Verkehr über die TrutzBox, während alle anderen Anwendungen direkt über den DSL-Router ins Internet können. Im transparenten Modus hingegen werden die Rechner per LAN-Kabel oder WLAN mit der TrutzBox verbunden. Somit muss jeglicher Datenverkehr durch die TrutzBox und kann gefiltert werden. So können Sie zum Beispiel die Plaudertaschen unter den Smart-TVs in ihre Schranken weisen.

Die Software der TrutzBox, einschließlich Betriebssystem, ist praktisch komplett offen und kann durch versierte Anwender nach Belieben verändert werden – bis zur völligen Unbrauchbarkeit des Systems. Solange das System noch läuft, kann es auf den Auslieferungszustand zurück gesetzt werden. Eigene Erweiterungen sind also möglich.

Erste Schritte

Dank der reichlich mit Screenshots bebilderten Anleitung im Online-Handbuch sind Inbetriebnahme und Einrichtung recht einfach zu bewerkstelligen. Je nach verwendetem Browser muss ein Root-Zertifikat für die TrutzBox in Firefox oder in den Windows Zertifikatsspeicher (Internet Explorer, Edge, Chrome) importiert und sein Verwendungszweck mit zwei Klicks eingestellt werden.

Schließlich wird die Ersteinrichtung mit dem Anlegen eines Administratorkontos, der TrutzBox-Registrierung beim Hersteller und der Einrichtung des WLAN-Zugangs abgeschlossen. Der WLAN-Assistent lässt sich nicht überspringen, auch wenn Sie den WLAN-Adapter noch gar nicht angeschlossen haben. Diesen benötigen Sie für den Proxy-Modus nicht. Die TrutzBox verbindet sich nun mit ihrem Hersteller und lädt bei Bedarf Updates herunter.

Surfen über die TrutzBox

Wer Firefox nutzt und seinen Browser mit allerlei Add-ons wie Noscript und Ad-Blockern abgedichtet hat, kann künftig weitgehend auf diese Erweiterungen verzichten. Stattdessen gilt es vor allem in der ersten Zeit der TrutzBox-Nutzung, die Filtereinstellungen der TrutzBox so anzupassen, dass die besuchten Websites benutzbar sind. Meist funktioniert das ohne Eingriffe. Bei Websites, die viel externen Code laden, müssen Sie jedoch gelegentlich Hand anlegen. Werbung werden Sie im Normalfall kaum noch zu sehen bekommen, sogar die Adblock-Blocker (wie bei der Bild-Zeitung) laufen ins Leere.

TrutzBox-Slider regelt die Filterung
Vergrößern TrutzBox-Slider regelt die Filterung

Die TrutzBox blendet dazu in der rechten oberen Ecke des Browser-Fensters ein halb verstecktes Symbol ein, das bei Annäherung mit der Maus voll sichtbar wird. Ein Klick auf das Symbol öffnet die Konfigurationsseite für die gerade aufgerufene Web-Seite. Hier können Sie den so genannten Slider, einen Schieberegler, schrittweise nach rechts ziehen, um der Website mehr zu erlauben. So kann es etwa notwendig sein, den Regler bis zur Stufe 6 (bevorzugte Sprache) oder 7 (Browser-Kennung) zu ziehen. Die Daten-Tracker werden erst mit Stufe 8 zugelassen. Stufe 9 ist künftigen Erweiterungen vorbehalten, Stufe 10 schaltet die TrutzBox komplett auf Durchzug (für die jeweilige Web-Seite).

TrutzBox verfälscht Browser-Kennung für Youtube
Vergrößern TrutzBox verfälscht Browser-Kennung für Youtube

Auf der Konfigurationsseite können Sie ausführlich studieren, welche Dateien eine Web-Seite von woher laden will und welche durch die TrutzBox blockiert werden. Am rechten Rand werden zudem für den in der Liste ausgewählten Eintrag Details zu den abgefragten und den tatsächlich übermittelten Daten angezeigt. So übermittelt die TrutzBox zum Teil verfälschte Daten, um das Tracking und Fingerprinting des Benutzers durch Werbenetzwerke zu erschweren.

TrutzBox Tor-Netzwerk aktivieren
Vergrößern TrutzBox Tor-Netzwerk aktivieren

Tor ist eingebaut

Eine weitere Möglichkeit, um seine Privatsphäre zu schützen, ist die Nutzung des Anonymisierungsnetzwerks Tor. Mit der TrutzBox brauchen Sie nur unter Filter-Konfigurieren einen Haken bei „Tor-Netzwerk verwenden“ setzen und schon sind Sie über das Tor-Netzwerk unterwegs. Sie können dann auch die .onion-Adressen der Tor Hidden Services aufrufen. Wer bislang noch keine Erfahrung mit Tor hat, wird sich über die oft recht gemächliche Geschwindigkeit wundern, mit der Seitenaufrufe erfolgen. Das ist kein Fehler der TrutzBox, damit muss man bei Tor rechnen. Für Downloads größerer Dateien ist Tor kaum geeignet.

TrutzBox: mit Webmin in die Tiefen des Systems
Vergrößern TrutzBox: mit Webmin in die Tiefen des Systems

Benutzerverwaltung, Kinderschutz

Die TrutzBox bringt auch eine Benutzerverwaltung mit. Sie können als TrutzBox-Admin festlegen, dass sich jeder Benutzer bei der TrutzBox anmelden muss. Sie können individuelle Einstellungen vornehmen, etwa für Kinder und Jugendliche unterschiedlichen Alters. Hierfür können spezielle, vorkonfigurierte Filterlisten aktiviert und bei Bedarf angepasst werden, die den Zugriff auf altersgemäße Web-Angebote beschränken.

TrutzMail

Derzeit ist der in der TrutzBox enthaltene Mail-Server, der auch über eine WebMail-Funktion verfügt, nur für den sicheren Mail-Austausch zwischen TrutzBox-Nutzern vorgesehen. In diesem Fall werden alle Mail-Daten, auch die Metadaten wie Absenderadresse und Betreff, sicher verschlüsselt über das Tor-Netzwerk übertragen. Zukünftige Erweiterungen sollen auch gängige Verschlüsselungsverfahren wie PGP unterstützen. Bis dahin bleibt der sichere Mail-Austausch auf die bislang eher übersichtliche Schar der TrutzBox-Nutzer beschränkt.

Test-Update vom 19.9.2016: TrutzBox als Server für Videokonferenz und Chat

Die Comidio TrutzBox schützt Ihre Privatsphäre nicht nur beim Surfen im Web, sie kann auch als Server für XMPP-Chats und Videokonferenzen dienen. Diese Funktionen hat der Hersteller Comidio aus Hessen mit einem Software-Update freigeschaltet. Die TrutzBox soll nun neben verschlüsselter E-Mail auch Chats nach dem offenen XMPP-Standard (auch als Jabber bekannt) ermöglichen und als Server für Videokonferenzen dienen. Auch dabei steht der Schutz vor unerwünschten Lauschern im Vordergrund. Die Verbindungen zwischen Clients und der TrutzBox sind sicher verschlüsselt. TrutzBoxen bauen Verbindungen zueinander zudem über so genannte Hidden Services im Tor-Netzwerk auf. So soll sichergestellt werden, dass Dritte nicht einmal feststellen können, wer mit wem kommuniziert.

So funktioniert die TrutzBox als Server für Videokonferenz und Chat.
Vergrößern So funktioniert die TrutzBox als Server für Videokonferenz und Chat.

Sicherer XMPP-Chat

Die TrutzRTC-Dienste XMPP-Chat und Videokonferenz laufen in der TrutzBox unabhängig voneinander. Der XMPP-Chat ist hauptsächlich für die Kommunikation von TrutzBox-Benutzern untereinander gedacht. Der XMPP-Server in der TrutzBox basiert auf Prosody, einem verbreiteten Open-Source XMPP-Server. Den müssen Sie weder aktivieren noch einrichten - er ist ab Werk einsatzbereit. Sie richten lediglich auf Ihrem PC oder Mobilgerät in einem nahezu beliebigen XMPP-Client, zum Beispiel Pidgin, ein neues Benutzerkonto ein. Für den Benutzernamen geben Sie einfach den Ihres Mail-Kontos auf der TrutzBox an, als Server die TrutzBox. Ansonsten läuft die Einrichtung des Chat-Kontos, abhängig von der benutzten Software, genauso ab wie bei jedem anderen Jabber-Chat.

Die TrutzBox baut über das Tor-Netzwerk eine geschützte Verbindung zur TrutzBox Ihres Chat-Partners auf. Bei dieser Kontaktaufnahme wird auch überprüft, ob die Mail-Adressen der Teilnehmer zu den Signaturen der benutzten TrutzBoxen passen. So soll sichergestellt werden, dass Sie nicht mit jemandem chatten, der eine fremde Identität missbraucht.

Die Chat-Verbindung ist TLS-/SSL-verschlüsselt, die einzelnen Nachrichten werden mit PGP nochmals verschlüsselt. Ist die recht einfache Einrichtung erstmal gemeistert, funktioniert ein XMPP-Chat mit der TrutzBox wie jeder andere Chat auch. Je nach benutzter Chat-Software sind auch Voice- oder Video-Chats möglich.

Videokonferenz

Zwischen dem XMPP-Chat und der zweiten neuen Funktion, der Videokonferenz, gibt es eine Brücke. Sie können einen anderen Chat-Teilnehmer zu einer Videokonferenz auf Ihrer TrutzBox einladen, indem Sie im Chat die Zeichenfolge "#raumname" eingeben. Den Raumnamen für die Videokonferenz können Sie frei wählen. Der XMPP-Server in Ihrer TrutzBox übersetzt #raumname automatisch in einen Link für den Eingeladenen, etwa "https://123.123.12.34:9082/raumname". Dieser Link enthält die externe IP-Adresse Ihres DSL-Routers. Für den Port 9082 müssen Sie in Ihrem DSL-Router eine Port-Weiterleitung zur TrutzBox einrichten. An einer solchen Videokonferenz, die auf dem WebRTC-Standard und der Open-Source-Lösung Jitsi Meet basiert, können auch Personen teilnehmen, die keine TrutzBox besitzen. Denen können Sie den Link etwa per Mail oder Instant Messenger senden.

Alle Teilnehmer benötigen lediglich einen Web-Browser, der WebRTC unterstützt. Leider hapert es daran zum Teil noch. Google Chrome und andere, auf Chromium basierende Browser wie Opera funktionieren derzeit am besten. Ein aktueller Firefox funktioniert meist auch, macht jedoch noch immer gelegentlich Probleme. Beispiel: Zunächst klappt alles, Sie landen jedoch in einem scheinbar leeren Konferenzraum - die anderen Teilnehmer können auch nicht sehen, dass Sie da sind. Internet Explorer und Edge sowie Apple Safari (Mac OS X, iOS) unterstützen WebRTC bislang noch gar nicht. Apple und Microsoft geben jedoch an, sie würden daran arbeiten. Unter Linux und Android sieht es ähnlich aus. Apples Mobilgeräte bleiben außen vor, denn iOS unterstützt zwar WebRTC, doch bislang nutzen es nur spezielle Apps für die Videokonferenzlösungen ihrer jeweiligen Hersteller. Alle Browser für iPhone und iPad müssen auf Safari aufsetzen, der noch kein WebRTC beherrscht.

Ignorieren Sie die Warnung Ihres Browsers vor einer unsicheren Verbindung und genehmigen Sie eine Ausnahmeregel.
Vergrößern Ignorieren Sie die Warnung Ihres Browsers vor einer unsicheren Verbindung und genehmigen Sie eine Ausnahmeregel.

Die erste Hürde vor dem Betreten des virtuellen Konferenzraums ist das Zertifikat, das der Web-Server der TrutzBox für die HTTPS-Verbindung nutzt. Es ist nicht von einer CA ausgestellt, die gängige Browser als vertrauenswürdig ansehen, sondern von Comidio selbst signiert. Sie müssen also die Warnung Ihres Browsers vor einer unsicheren Verbindung ignorieren und eine Ausnahmeregel abnicken. Wünschenswert wäre allerdings, dass die TrutzBox mit einem anerkannten Zertifikat ausgerüstet würde, um dieses Hindernis zu beseitigen. Ist diese Hürde genommen, wird Sie Ihr Browser noch nach der Freigabe für Mikrofon und Webcam fragen. Dann landen Sie im Konferenzraum, einer zunächst im Wesentlichen schwarzen Web-Seite.

Sind Sie der Gastgeber, also der Besitzer der TrutzBox, melden Sie sich mit Ihren TrutzBox-Mail-Konto an. Erst wenn Sie das getan haben, kommen auch die anderen Teilnehmer in den Konferenzraum. Sie können als zusätzliche Absicherung noch ein Passwort vergeben, das die anderen Teilnehmer eingeben müssen. Jetzt gruppieren sich am unteren Rand Vorschaufenster der einzelnen Teilnehmer. Sie zeigen entweder das Videobild oder einen unpersönlichen Avatar, falls der Teilnehmer seine Kamera nicht aktiviert hat. Am rechten Rand befindet sich noch ein Chat-Bereich, der sich erst öffnet, wenn Sie ihn benutzen.

Der Start des Video-Chat-Fensters.
Vergrößern Der Start des Video-Chat-Fensters.

Am oberen Rand des Fensters befinden sich mehrere Bedienelemente, die herunter klappen, wenn sich der Mauszeiger dem oberen Rand nähert. Damit können Sie den Chat öffnen, Mikrofon und Kamera pausieren oder "auflegen", also Ihre Teilnahme beenden. Auf Mobilgeräten mit sehr kleinem Display, etwa Smartphones, sind diese Bedienelemente sehr klein und schwer zu treffen oder auch nur zu entdecken.

In der Praxis funktioniert eine Web-Konferenz auf der TrutzBox so lange gut, wie nur ein bis zwei Teilnehmer Videodaten übertragen oder sich alle Teilnehmer im selben lokalen Netzwerk befinden. Sind die Teilnehmer über das Internet mit einer per DSL angeschlossenen TrutzBox verbunden, wird die Internet-Anbindung schnell zum Flaschenhals, wenn alle die Kamera aktiviert haben. Zu zweit ist das noch kein Problem, doch bei mehr Teilnehmern, die Videodaten senden (die ja an alle Teilnehmer verteilt werden müssen), kommt auch eine VDSL-Verbindung rasch an ihre Grenzen. Die TrutzBox selbst ist leistungsfähig genug, um die Datenströme zu bewältigen.

Dass die Verbindung ausgelastet ist, merken Sie daran, dass die Videoübertragung ruckelt oder fast ganz zum Erliegen kommt. Auch die Tonqualität leidet dann mit. Weniger Probleme gibt es bei so genannten Webinaren. Hier schaltet nur der Gastgeber Mikrofon und Kamera ein oder überträgt seinen Bildschirminhalt, um eine Präsentation zu zeigen. Die übrigen Teilnehmer lassen ihre Kameras aus. Interaktion zwischen den Teilnehmern kann parallel im Chat erfolgen. Dann sind auch zehn Teilnehmer kein Problem, wenn die TrutzBox über eine schnelle Internet-Anbindung verfügt.

Zwischen-Fazit zur TrutzBox als Server für Videokonferenz und Chat

Als vollwertigen Ersatz für spezielle Videochat-Software wie Skype kann man TrutzRTC derzeit nicht betrachten. Eine Videokonferenz auf der TrutzBox erfordert letztlich stets eine Verabredung, um sich im Konferenzraum zu treffen. Immerhin kann man aus dem XMPP-Chat heraus in eine Videokonferenz wechseln. TrutzRTC kann jedoch für verschiedene Situationen im beruflichen Umfeld eine geeignete Lösung darstellen, etwa in der Telemedizin oder für Schulungen und andere Formen der Präsentation.

Die hier beschriebenen Funktionen der TrutzBox sind auch nicht ihr Hauptzweck. Dieser besteht im Schutz der Privatsphäre bei der Nutzung des Webs, indem wie im ersten Teil beschrieben Web-Tracker der Werbenetzwerke ausgefiltert werden. Zudem bietet die TrutzBox einen sehr einfachen Weg, um über Tor ins Internet zu gehen - ein Häkchen in der Konfiguration der TrutzBox genügt, im Browser muss nichts umgestellt werden. Der Austausch verschlüsselter Mails zwischen TrutzBox-Nutzern sowie XMPP-Chat und Videokonferenz sind ergänzende Funktionen, die andere Lösungen so nicht bieten.

Gesamt-Fazit zur Trutzbox

Die TrutzBox verfolgt einen viel versprechenden Ansatz, der in weiten Teilen schon recht gut umgesetzt ist. Die gängigen Tracker werden blockiert, ein Großteil der Werbung ebenfalls. Fehler und Macken werden recht zügig durch Updates beseitigt – Sie müssen sie nur dem Hersteller melden und nicht wie bei Massenprodukten darauf vertrauen, dass es jemand anderes tut. Die Bedienung der Kernfunktion, der Tracking-Blockade, ist nach kurzer Eingewöhnung auch für weniger erfahrene Nutzer zu bewältigen.

Die recht leistungsfähige Hardware-Basis ermöglicht auch mit mehreren gleichzeitigen Benutzern zügiges Surfen im Netz. Die vielen enthaltenen Features, wie etwa die Firewall oder VPN-Funktionen, können hier nicht alle aufgezählt werden. Das offene System ermöglicht zudem eigene Erweiterungen. Der Virenscanner ClamAV bietet allerdings keinen ausreichenden Schutz vor aktuellen Schädlingen.

Zielgruppe

Der Preis erscheint für Privatanwender, die sich sonst mit kostenlosen Lösungen schützen, recht hoch. Er ist jedoch durch die leistungsfähige Hardware gerechtfertigt. Fünf Euro im Monat für die Pflege der Filterlisten und die Update-Versorgung sind auch nicht zu viel. Für Kleinunternehmen wie Ingenieurbüros und Firmen mit Filialbetrieben oder Tele-Arbeitern bietet die TrutzBox einen sicheren Datenaustausch über das Internet, auch mit Standorten in Ländern, die es mit dem Datenschutz nicht so genau nehmen.

Für Privathaushalte denkt Comidio bereits über eine günstigere Lösung nach, etwa auf Basis des Raspberry Pi.

Der Preis

Die ComidioTrutzBox kostet 319 Euro. Darin bereits enthalten ist die erste Jahresgebühr von 60 Euro für die TrutzServices. Dazu gehören Dienste wie TrutzMail (fünf Mail-Konten) sowie für die Pflege der Filterlisten und die Update-Versorgung. Ab dem zweiten Jahr sind jährlich weitere 60 Euro zu zahlen. Weitere Mail-Konten können für 12 Euro pro Stück und Jahr nachbestellt werden. Ein USB-WLAN-Adapter (802.11b/g/n, 150 MBit/s) kann für 10 Euro zugekauft werden, für 30 Euro gibt ein mPCI-WLAN-Modul (802.11 a/b/g/n, 300 MBit/s) zum Selbsteinbau.

TrutzBox

Hardware

PC Engines APU1D, CPU: AMD G-T40E, 1 GHz; 2 GB RAM

Betriebssystem

Linux (Debian Jessie)

Lieferumfang

Gerät, Netzteil, LAN-Kabel (2 m), Kurzanleitung

Stromversorgung

extern, 12 V

Stromverbrauch

6 bis 12 W

Abmessungen

17 x 16 x 3 cm

Preis

319 Euro (259 Euro Hardware + 60 Euro Software-Pflege und Updates für 1 Jahr)

0 Kommentare zu diesem Artikel
2178083