Wer im Internet inkognito unterwegs sein will, muss viel Fachwissen und Zeit mitbringen, um sein System gegen Lauscher abzusichern. Tails erspart Ihnen diese Arbeit und bringt Sie sicher und anonym online.

Die Absicherung des Internet-Zugangs stellt viele Anwender vor unüberwindliche Hürden. Tatsächlich müssen Sie erheblichen Aufwand treiben, um Onlinedienste verschiedenster Art gegen neugierige Lauscher und Datenkraken immun zu machen. Mit Tails [1] steht jedoch eine Live-Distribution bereit, die Ihnen das zeitraubende Härten des Systems erspart. Auch für unterwegs eignet sich Tails bestens, da es den jeweils genutzten Host nicht antastet und somit auf lokalen Massenspeichern keinerlei Spuren zurücklässt.

Tails finden Sie in der aktuellen Variante 1.5 als etwa 960 MByte großes ISO-Image zusammen mit einer Signaturdatei auf der Projektseite der Distribution [2]. Die Signaturdatei benötigen Sie für den Einsatz von Tails nicht, über die Prüfsumme stellen Sie jedoch fest, ob die Integrität des ISO-Images beeinträchtigt wurde [3]. Das Image eignet sich sowohl für 32- als auch für 64-Bit-Computer. Nach dem Herunterladen brennen Sie das Abbild entweder auf eine DVD oder legen einen bootfähigen USB-Speicherstick an. Alternativ verwenden Sie eine SD-Speicherkarte als Medium für das Debian-Derivat, wobei die relativ geringe Verbreitung von SD-Kartenlesern an stationären PCs jedoch deren Einsatzbereich im Vergleich zu USB-Sticks einschränkt. Zum Erzeugen des Startmediums stellen die Entwickler von Tails eine ausführliche Anleitung bereit [4].

Bereits beim Start fällt Tails aus dem Rahmen: So bietet Ihnen die Distribution nach Erscheinen des Login-Bildschirms bei der Frage Weitere Optionen? durch Anklicken der Schaltflächen Ja und anschließend Weiter ein Optionsfenster an. Hier legen Sie nicht nur eine Authentifizierung für den Administrator an, sondern modifizieren auch das optische Erscheinungsbild des Desktops – und zwar so, dass dieser aus der Ferne einer Windows-8-Oberfläche ähnelt. Zusätzlich lässt sich in diesem Fenster eine modifizierte MAC-Adresse definieren, sodass der Rechner Administratoren weder im Vorbeigehen noch im Netzwerk auffällt. Sobald Sie die gewünschten Einstellungen vorgenommen haben, gelangen Sie nach einem Klick auf den Schalter Anmelden auf den Desktop (Abbildung 1).

Abbildung 1: Im Tarnmodus imitiert Tails das Aussehen eines Windows-8-Desktops. Zudem lässt sich schon in der Login-Maske die MAC-Adresse des Systems abändern.

Einsatzbereiche

Das Betriebssystem begrüßt Sie nach dem Start ohne Windows-Tarnmodus mit einer schnörkellosen Gnome-Oberfläche. Ins Auge stechen hier lediglich in der oberen Panelleiste die Icons für den Tor-Browser und KeePassX, eine grafische Applikation zum Passwortmanagement. Ein Blick in die Untermenüs zeigt, dass Tails nicht nur den anonymisierten Internetzugang ermöglicht, sondern einen vollwertigen Linux-Desktop darstellt: An Anwendungen finden sich sowohl LibreOffice als Gimp, in der Multimedia-Rubrik bringt Tails Standardprogramme wie Audacity, Totem und Brasero mit. Sogar das DTP-Programm Scribus steht zum Einsatz bereit. Daneben enthält Tails eher unbekannte Programme wie den BookletImposer, den kollaborativen Editor Gobby oder den Audio-Editor Traverso.

Auch unter der Haube sticht das Debian-Derivat positiv ins Auge: So bringt Tails etwa Treibermodule für häufig problematische Hardware-Komponenten wie WLAN-Karten von Haus aus mit. So baut es ohne eine umständliche manuelle Installation proprietärer Firmware auf vielen Geräten sofort eine WLAN-Verbindung auf. Auch wenn Tails in erster Linie für den anonymen Internet-Zugang und den sicheren Live-Betrieb auf unterschiedlichen Computern gedacht ist, lässt es sich in vielfältiger Weise anpassen. Rufen Sie dazu im Menü Anwendungen | Systemwerkzeuge den Tails Installer auf. Er ermöglicht, ein laufendes System zu aktualisieren, wobei die Update-Routine auch individuell installierte Software berücksichtigt (Abbildung 2).

Abbildung 2: Die Installationsroutine von Tails ermöglicht die Installation und Aktualisierung des Systems aus dem Live-Betrieb heraus.

Internet

Tails verwendet als Webbrowser den Tor-Browser in der aktuellen Version 5.0 [5]. Er basiert auf Firefox 38.1.0 ESR und ist für die anonyme Nutzung des Internets gehärtet. Der Browser stellt beim Aufruf automatisch eine Verbindung zum Tor-Netzwerk her und leitet anschließend sämtliche Datenpakete darüber. Steht der SOCKS-Proxy, finden Sie oben rechts im System-Tray des Gnome-Desktops ein Zwiebel-Symbol. Zusätzlich nutzt der Tor-Browser ab Werk eine Reihe von Addons: Neben dem Werbeblocker Adblock Plus finden Sie HTTPS-Everywhere zum Aufbau verschlüsselter Verbindungen und das Tool NoScript zur Absicherung vor.

Sollte es der Tor-Browser aufgrund seiner restriktiven Einstellungen unmöglich machen, eine bestimmte Webseite zu öffnen, steht als Alternative ein weiterer Browser zur Verfügung. Hierbei handelt es sich erneut um Firefox 38.1.0 ESR, der allerdings in diesem Fall einen direkten Zugang ins Internet aufbaut und Cookies zulässt. Sie finden diese Option im Menü Anwendungen | Internet mit dem Eintrag Unsicherer Internet Browser. Diese Variante nutzt von Haus aus keine Addons; der Browser ist jedoch zur Sicherung der Privatsphäre so vorkonfiguriert, dass er keine Browserchronik pflegt.

Zum Chatten verwendet Tails Pidgin mit Off-the-Record Messaging (kurz OTR) [6]. Dieses Protokoll setzt auf beliebige Chat-Protokolle wie Jabber, ICQ oder AIM auf und gilt als sehr sicher. Zudem unterstützen diverse Chat-Clients OTR von Haus aus oder über optionale Module. Der Mail-Client Claws verwendet automatisch SSL-Übertragung, sodass Ihre Mails sicher über die Leitung gehen. Außerdem bietet Tails das Verschlüsseln von Mails und Daten per OpenPGP an. Mithilfe des in den System-Tray integrierten OpenPGP-Applets lassen sich so zum Beispiel Texte, die Sie später per E-Mail versenden möchten, bequem kryptografisch behandeln.

Dazu öffnen Sie über die Option Text Editor öffnen aus dem Kontextmenü des OpenPGP-Applets den Editor Gedit und schreiben den Text. Anschließend kopieren Sie diesen mit [Strg]+[C] in die Zwischenablage und wählen – wieder aus dem Menü des Applets – Zwischenablage mit öffentlichem Schlüssel signieren/verschlüsseln an. Im sich daraufhin öffnenden Dialog suchen Sie aus der Liste den gewünschten Schlüssel aus und bestätigen die Sicherheitsabfrage nach einem Klick auf OK. Den nun verschlüsselten Text übertragen Sie mit [Strg]+[V] aus der Zwischenablage in das E-Mail-Programm oder in den Editor-Bereich eines Webmailers.

Offline

Doch Tails achtet nicht nur beim Surfen im Internet auf Ihre Sicherheit. Ein Problem, das häufig kaum Beachtung findet, stellen in Dateien eingebettete Metadaten dar. Nahezu alle modernen Dateiformate speichern vielfältige Zusatzdaten, aus denen vielerlei Informationen hervorgehen. Bei Bildern sind das etwa Zeit und Datum der Aufnahme, Informationen zum Kameratyp und den Aufnahmeparametern wie Blende, Brennweite oder Belichtungszeit. Falls die genutzte Kamera über ein GPS-Modul verfügt, finden sich auch Ortsangaben in den Metadaten – bei mit Smartphones erstellten Aufnahmen keine Seltenheit (Abbildung 3).

Abbildung 3: Viele Dateien enthalten unsichtbare Metadaten mit zusätzlichen Informationen. In diesem mit einem Smartphone geschossenen Bild ist der Ort zu erkennen, an dem es aufgenommen wurde.

Mit dem Metadata Anonymisation Toolkit (kurz MAT [7]) entfernen Sie solche Metadaten aus verschiedensten Dateiformaten, ohne dass sich dabei der eigentliche Dateiinhalt ändert oder gar verloren geht. Auch Wasserzeichen oder steganografisch in Dateien eingebettete Inhalte verändert MAT nicht. Sie finden die Applikation in Tails im Menü Anwendungen | Systemwerkzeuge.

Laufwerkskonfiguration

Um Tails möglichst bequem auf unterschiedlichen Rechnern nutzen zu können, empfiehlt es sich, auf dem USB-Stick mit dem Betriebssystem einen gesonderten, persistenten Speicherbereich einzurichten. Diese Partition verschlüsselt Tails, sodass sich die Daten nur nach einer entsprechenden Authentifizierung auslesen lassen. Zum Anlegen des persistenten Speicherbereichs wählen Sie im Menü Anwendungen | Systemwerkzeuge den Eintrag Configure persistent volume an. Dieser ruft einen Assistenten auf, der Ihnen bei der Einrichtung des verschlüsselten Bereichs hilft (Abbildung 4).

Abbildung 4: Ein Assistent hilft Ihnen beim Anlegen eines persistenten Speichers auf dem Speicherstick, der bei einem Neustart des Tails-Live-Linux-Systems erhalten bleibt.

Die Routine erkennt auch bei mehreren mit dem Computer verbundenen USB-Medien automatisch den bootfähigen Speicherstick, von dem aus Tails gestartet wurde, und erwartet für den darauf einzurichtenden beständigen Speicherbereich zunächst die Definition eines Passworts. Dann legen Sie fest, welche Daten Tails im persistenten Bereich ablegen soll. Dazu bietet das Programm eine umfangreiche Auswahlliste, in der Sie die dauerhaft abzuspeichernden Dateien durch Anklicken der entsprechenden Optionen bestimmen. Nach einem Klick auf den Schalter Speichern unten rechts im Fenster legt die Anwendung den Speicherbereich an.

Beachten Sie dabei, dass dieser Assistent nur dann funktioniert, wenn Sie das Zielmedium mit dem Tails-Installer angelegt haben. Nutzen Sie Tails von einem USB-Stick aus, den Sie mithilfe eines anderen Tools installiert haben, quittiert der Assistent aufgrund von Inkompatibilitäten der Dateisysteme seinen Dienst. In diesem Fall müssten Sie das laufende Betriebssystem mit dem Tails-Installer zuerst auf einen anderen USB-Stick klonen (Abbildung 5).

Abbildung 5: Als Voraussetzung für das Anlegen eines persistenten Laufwerks müssen Sie den USB-Stick mit dem Tails-System mit dem Tails-Installer erzeugt haben.

Um später auf den verschlüsselten Speicherbereich zugreifen zu können, bietet Tails beim nächsten Start im Anmeldebildschirm zusätzlich die Möglichkeit an, das beständige Laufwerk einzubinden. Dazu müssen Sie das zuvor vergebene Passwort eingeben. Anschließend steht im Dateimanager der nicht flüchtige Speicher unter der Bezeichnung Persistent zur Verfügung. Möchten Sie den beständigen Speicherbereich später einmal wieder löschen, dann rufen Sie unter Anwendungen | Systemwerkzeuge den Punkt Delete persistent volume auf.

Synaptic

Tails bringt wie ein Standard-Debian zur Paketverwaltung den Kommandozeilenbefehl apt-get und das grafische Paketverwaltungswerkzeug Synaptic mit. So stehen Ihnen sämtliche Programme und Pakete aus den Debian-Paketquellen zur Verfügung. Da Tails jedoch als reines Live-System konzipiert ist und die manuelle Installation zusätzlicher Software Sicherheitsrisiken mit sich bringt, lassen sich Zusatzprogramme nur mit etwas Aufwand dauerhaft ins Betriebssystem integrieren. Voraussetzung für die permanente Installation neuer Software ist neben einem persistenten Laufwerk ein aktiver Root-Account, den Sie beim Booten des Systems in den erweiterten Optionen des Anmeldefensters einrichten.

In der Konfiguration des persistenten Speicherbereichs müssen im Einrichtungsdialog unter Configure persistent volume zudem die Optionen APT-Pakete und APT-Listen gesetzt sein. Stimmen die Voraussetzungen, dann öffnen Sie in einem Root-Terminal die Datei /live/persistence/TailsData_unlocked/live-additional-software.conf und tragen jedes dauerhaft zu installierende Paket in jeweils einer neuen Zeile ein. Nach dem Abspeichern der Datei starten Sie Synaptic, authentifizieren sich mithilfe des Root-Accounts und installieren die zuvor festgelegten Programme.

Fazit

Tails macht als Basis für sicheres und die Privatsphäre schützendes Surfen keine halben Sachen. Zudem eignet sich die Distribution für all diejenigen, die häufig fremde Computer nutzen und keine Spuren hinterlassen möchten. Das Debian-Derivat deckt viele Anwendungszwecke ab und bringt eine sinnvolle Konfiguration mit, sodass sich ohne umständliches manuelles Anpassen sofort alle gängigen Onlinedienste nutzen lassen. Darüber hinaus bietet Tails auch einige Werkzeuge, um lokal gespeicherte Daten abzusichern. Für sicherheitsbewusste Anwender ohne den Ehrgeiz, alle Applikationen selbst härten zu wollen, ist Tails daher die erste Wahl.