Home / How-To / Software & Apps
How-To

Tails: So funktioniert das anonyme Surf-Linux

Das auf Datenschutz und Anonymisierung spezialisierte Tails hat jüngst Version 5.13 erreicht. Das Livesystem wird häufig aktualisiert, nicht zuletzt um neuere Versionen von TOR-Browser und Mailclient anzubieten. Eine Neuerung ist die Verschlüsselung Luks2.
Von Andreas Hitzig & Peter-Uwe Lechner
PC-WELT
Das Logo vom sicheren Surfsystem Tails
Image: IDG

Wir nehmen das jüngste Update des Debian-basierten Tails („The Amnesic Incognito Live System“) zum Anlass, das prominente Surfsystem, seine Nutzung und seine Relevanz genauer vorzustellen – auch wenn die neueste Version 5.13 selbst wenig Ansatzpunkte bietet, denn das Update auf Luks2 erhöht lediglich die ohnehon schon hohe Verschlüsselungsstärke des persisteten Speichers.

Restriktives Tails: Ein Fall für Sonderfälle

Geht es „nur“ um sicheres Surfen, ist Tails gewiss nicht die adäquate Lösung. Dafür genügt schon Linux. Wenn Sie es noch sicherer haben wollen, verwenden Sie in Firefox genau wie Tails die Add-ons Noscript und uBlock Origin. Für Datenschutz und Abwehr von Tracking sorgt in Firefox der „Private Modus“. Und wer selbst das noch steigern will, nutzt den Browser in einer virtuellen Maschine mit einem kleinen Linux. Bequemer als Tails ist selbst die letzte Variante allemal. Tails zeigt, dass kompromissloser Datenschutz umgekehrt proportional zu komfortabler Benutzung ist.

Tails ist ein Komplettpaket, das lokal auf der benutzten Hardware überhaupt keine Spuren hinterlässt und im Internet keinerlei persönliche Spuren, nicht einmal die IP-Adresse. Damit ist das Debian-System ohne Zweifel eine effektive Anonymisierungswaffe: Der Firefox-basierte TOR-Browser schickt Webanfragen verschlüsselt durch drei zufällige Stationen des TOR-Netzwerks (Entry-, Zwischen- und Exit-Node) zum öffentlichen Zielserver.

Wem Tails zu viel ist: So surfen Sie (relativ) anonym im Internet

Die Tails-Menüs mit den wichtigsten Tools: Das Livesystem liefert eine komplette Ausstattung für einen anonymisierten Internetzugang.

Die Tails-Menüs mit den wichtigsten Tools: Das Livesystem liefert eine komplette Ausstattung für einen anonymisierten Internetzugang.

IDG

Der Zielserver erfährt folglich nur die IP-Adresse des Exit-Nodes, nicht diejenige des Rechners, von dem die Anfrage ursprünglich stammt. Innerhalb der TOR-Knoten kennt der Entry-Node zwar die IP-Adresse des Absenders, aber nicht den Inhalt der Anfrage (verschlüsselt), der Zwischen-Node weder die IP noch den Inhalt, der Exit-Node den Inhalt, der von dort unverschlüsselt zum Zielserver geht.

Lesetipp: Anonym Mails verschicken – so bleiben Sie unbekannt

Für den Rückweg gilt dasselbe. Die Nachverfolgung einer konkreten Internetaktion via TOR-Netz und TOR-Browser zu einer individuellen Person ist praktisch ausgeschlossen, es sei denn, es wären zufällig mehrere von Polizei und Geheimdiensten kontrollierte Nodes beteiligt. Der TOR-Browser funktioniert im gesamten öffentlichen Internet. Für das Darknet und dessen „Onion“-Sites ist das TOR-Netzwerk Bedingung.

„Welcome“ muss sein: Deutsche Lokalisierung und eventuelle Sonderwünsche sind bei jedem Systemstart zu absolvieren. Persistenz kann hier aber manchen Klick einsparen.

„Welcome“ muss sein: Deutsche Lokalisierung und eventuelle Sonderwünsche sind bei jedem Systemstart zu absolvieren. Persistenz kann hier aber manchen Klick einsparen.

IDG

Wer anonymes Surfen tatsächlich benötigt (in erster Linie Aktivisten, Regimegegner, Journalisten, Whistleblower, Hacker und Kriminelle), muss allerdings diverse Nachteile in Kauf nehmen, die aber allesamt berechtigt und in Tails technisch sauber umgesetzt sind:

  1. Das Livesystem schreibt sein komplettes Dateisystem in den Arbeitsspeicher und ist kaum unter 40, 50 Sekunden am „Welcome“-Dialog.
  2. „Welcome“ ist immer zu absolvieren, um deutsche Tastatur/Region einzustellen, optional den verschlüsselten Persistenzspeicher aufzuschließen (Kennwort) und eventuell Extra-Optionen (root-Passwort, „Unsicherer Browser“) zu setzen. Erst danach kann mit „Start Tails“ der Gnome-Desktop starten.
  3. Ein gemischtsprachiges System (englischdeutsch) ist trotz deutscher Lokalisierung zu akzeptieren.
  4. Tails ist ein restriktives Livesystem, das auch lokal keine Spuren hinterlassen will und dem Liveuser „Amnesia“ standardmäßig keinen Zugriff auf lokale Festplatten, USB-Laufwerke oder Netzfreigaben erlaubt. Wem das zu weit geht, muss am „Welcome“ unter „Additional Settings“ das root-Passwort freischalten. Dies ist auch Voraussetzung für die Nachinstallation zusätzlicher Software (mit Persistenz als zweite Voraussetzung).
  5. Lokale Netzadressen etwa des Heimrouters oder eines Apache-Servers sind im TOR-Browser unzugänglich, da hier alle Adressen über externe TOR-Knoten gehen. Für einen Zugriff auf lokale Adressen muss im „Welcome“-Dialog der „Unsichere Browser“ freigeschaltet werden.
  6. Der Weg ins Internet via TOR-Browser benötigt immer zwei Aktionen – erst den Zugang zum TOR-Netz via „Tor Connection“ (Zwiebelsymbol in den Gnome-Favoriten), danach den Start des TOR-Browsers.
  7. Das TOR-Netz ist langsamer als direkte Internetverbindungen. Statt zweier Sendungen (Anfrage und Antwort) handelt es sich hier um insgesamt acht Stationen. Noch entscheidender ist aber, dass ein einziger langsamer Node den gesamten Durchsatz bremst. Unterm Strich ist das TOR-Netz die letzten Jahre aber deutlich schneller geworden. Das liegt schlicht daran, dass die Bandbreiten ständig wachsen und sich kaum mehr ein TOR-Node unter 30 MBit/s findet (siehe dazu das Tails-Tool „Onion Circuits“).
  8. Unter Tails sind personalisierte Aktionen zu meiden. Ein Beispiel wäre etwa die Anmeldung am Google- oder Microsoft-Konto. Da die Anmeldung vom Exit-Node des TOR-Netzwerks kommt, müssen Google und Microsoft einen Fremdzugriff vermuten (unbekanntes Gerät, ungewöhnliche Region) und sperren eventuell das Konto.

Installation und Persistenz

Tails wird unter https://tails.boum.org/install im ISO- und im IMG-Format angeboten. Das eher irritierende „Windows – Mac-OS – Linux“-Angebot dient dort nur dazu, den Benutzer gleich zu den passenden Imagetools zu führen. Das ISO verwenden Sie für DVDs oder für virtuelle Maschinen, das IMG-Format für USB-Sticks. Letzteres schreiben Sie unter Linux etwa mit Gnome-Disks oder dem KDE-Partitionmanager auf den USB-Stick, unter Windows mit dem Win 32 Disk Imager.

Im ausgelieferten Zustand macht Tails seinem Namen alle Ehre. Wenn Sie unter „Welcome“ nur auf „Deutsch“ setzen, auf „Additional Settings“ verzichten und keine Persistenz einrichten, wird das Livesystem sein Amnesie-Versprechen am lokalen System hundertprozentig einhalten. Die Webanonymisierung via TOR wurde bereits besprochen.

Amnesie-Ausnahmen: Einige Einstellungen, zusätzliche Software und Benutzerdateien kann das Tails im Persistenzspeicher ablegen. Das macht die Nutzung ein Stück komfortabler.

Amnesie-Ausnahmen: Einige Einstellungen, zusätzliche Software und Benutzerdateien kann das Tails im Persistenzspeicher ablegen. Das macht die Nutzung ein Stück komfortabler.

IDG

Wer es etwas bequemer haben will, sollte das Tresorsymbol im Gnome-Favoritendock nutzen. Dieses Tool tails-persistence-setup etabliert auf dem Tails-USB-Stick eine Luksverschlüsselte Extrapartition. Dabei wird die verbleibende Restkapazität neben der Systempartition verwendet. Die Luks-Partition kann später beim Systemstart im „Welcome“- Fenster durch Kennworteingabe entsperrt werden. Das ist optional und kann auch entfallen, wenn die Dienste der Persistenz aktuell nicht benötigt werden.

Was die verschlüsselte Partition speichern soll, kann der Nutzer in einem hübschen Optionsdialog detailliert auswählen: Die wichtigsten Optionen sind „Personal Data“ (Benutzerdateien, später unter „Orte –› Persistent“ erreichbar), „Additional Software“ (Nachinstallationen), „Browser Bookmarks“ (Lesezeichen im TOR-Browser) und „Welcome Screen“. Letztere Option ist nützlich, weil dann das Aufschließen der Persistenz alle Welcome-Optionen automatisch erledigt.

Um zusätzliche Software in den Persistenzspeicher zu installieren, muss unter „Welcome“ das root-Konto freigeschaltet werden. Außerdem erscheint nach jeder Installation eine Abfrage, die mit „Install Every Time“ zu beantworten ist. Trotzdem kann nachinstallierte Software später natürlich nur dann genutzt werden, wenn beim Start der Persistenzspeicher geöffnet wurde.

vgwort