Gefahren lauern im Internet überall. Tails hilft Ihnen dabei, unerkannt zu bleiben und unerwünschte Lauscher auszusperren.

Anwender sehen sich im Internet zunehmend mit staatlicher Überwachung und Zensur sowie mit böswilligen Angriffen und Datendiebstahl durch Cracker konfrontiert. Um dem einen Riegel vorzuschieben, haben findige Entwickler zahlreiche Methoden entwickelt, mit denen sich die Kommunikation im Internet absichern lässt. Die meisten davon erfordern allerdings ein profundes Fachwissen und eine sorgfältige Konfiguration des zu schützenden Computersystems.

Das auf Debian basierende und vielfach preisgekrönte Linux-Derivat Tails [1] hat es sich zur Aufgabe gemacht, auch für weniger versierte Nutzer eine sichere Plattform zur Kommunikation im Internet zu bieten, die sich möglichst ohne zeit- und arbeitsaufwendige Konfiguration sofort aus dem Stand einsetzen lässt. Das jetzt in Version 3.13.1 erschienene Betriebssystem beschränkt sich dabei nicht nur auf den Webbrowser oder den E-Mail-Versand, sondern bietet für nahezu alle gängigen Kommunikationsformen im Internet die passende abgesicherte Lösung.

Installation

Tails arbeitet als Live-System, das Sie wahlweise von einem optischen Datenträger oder einem USB-Speicherstick starten. Es hinterlässt dabei auf dem genutzten Computer keinerlei Spuren. Eine Installation auf dem Massenspeicher eines Rechners sehen die Entwickler von Tails daher nicht vor. Als Mindestvoraussetzung geben die Entwickler einen USB-Stick mit 8 GByte Kapazität an; bei kleineren Exemplaren blendet das System nach dem Start einen Hinweis ein und fährt den Rechner herunter. Zudem eignet sich Tails ausschließlich für moderne 64-Bit-Hardware.

Auf der Webseite des Projekts stehen zwei unterschiedliche Abbilder zum Herunterladen bereit, die jeweils rund 1,2 GByte Umfang aufweisen [2]. Eine ausführliche Installationsanleitung für das jeweilige Zielmedium und Instruktionen für die OpenPGP-Verifikation des heruntergeladenen Abbilds finden sich auf der Webseite des Projekts.

Nach der Fertigstellung des Boot-Mediums startet Tails in ein optisch wenig spektakuläres Boot-Menü, das zwei Startoptionen bietet. Das System lässt sich mit der voreingestellten Konfiguration hochfahren oder, falls inkompatible Hardware Probleme verursacht, auch in einen abgesicherten Modus. Danach gelangen Sie in einen Konfigurationsdialog, in dem Sie zunächst die Lokalisierung anpassen (Abbildung 1).

Abbildung 1: Beim Start von Tails gilt es, einige Anpassungen vorzunehmen.

Haben Sie Sprache und Tastaturbelegung umgestellt, empfiehlt es sich, noch auf das kleine Plus-Symbol unten links zu klicken und im sich daraufhin öffnenden Dialog ein Administratorpasswort festzulegen. Falls Sie beabsichtigen, später einen persistenten Speicherbereich auf dem USB-Stick einzurichten und im System zusätzliche Software dauerhaft installieren möchten, benötigen Sie ein solches Passwort zwingend.

Anschließend klicken Sie oben rechts im Konfigurationsfenster auf Tails starten. Sie gelangen nach kurzer Wartezeit in einen optisch etwas modifizierten Gnome-Desktop in der Version 3.22.2. Er verfügt über die herkömmliche Menüstruktur, die Sie in der horizontalen Panelleiste am oberen Bildschirmrand finden.

USB-Sticks

Um Tails auf einen USB-Stick zu bringen, klonen Sie das System im laufenden Betrieb von einem optischen Datenträger, installieren es von einem ISO-Image aus oder übertragen es aus einer virtuellen Tails-Maschine heraus mithilfe des grafischen Installers auf den Stick. Die Installationsroutine finden Sie, ebenso wie die Programme zum Konfigurieren und Entfernen eines persistenten Speicherbereichs, im Menü Systemwerkzeuge.

Während das von einem optischen Datenträger gestartete System im Normalbetrieb keine Veränderungen an der Software erlaubt, bieten USB-Speichersticks die Möglichkeit, einen dauerhaft nutzbaren Speicherbereich einzurichten. Tails unterstützt diese Option mithilfe eines gesonderten Installationsprogramms. Dabei verschlüsselt es den persistenten Speicher, was die Inhalte vor neugierigen Blicken schützt.

Zur Einrichtung des persistenten Speichers legen Sie zunächst ein Passwort zur Authentifizierung fest. Tails erlaubt es nicht, die Größe des persistenten Speichers manuell vorzugeben, sondern nutzt stets den gesamten noch freien Speicherplatz des Mediums. Der Assistent zeigt die Größe des fraglichen Speicherbereichs an.

In einem weiteren Schritt müssen Sie in einer Auswahlliste definieren, welche Daten das System im persistenten Speicher ablegen soll. Dabei stehen neben weiteren Optionen primär die persönlichen Daten und Browser-Lesezeichen, Netzwerkverbindungen, Zusatzsoftware, Druckereinstellungen sowie der GnuPG-Schlüsselbund zur Auswahl. Die jeweiligen Kategorien schalten Sie frei, indem Sie den Schieberegler hinter jeder Option aktiv stellen. Nach einem Klick auf Speichern erstellt Tails das persistente Segment (Abbildung 2).

Abbildung 2: Per Schieberegler legen Sie fest, welche Daten Tails dauerhaft speichern soll.

Anschließend können Sie bei jedem Hochfahren des Rechners entscheiden, ob Sie den persistenten Speicher aktivieren möchten (indem Sie das Passwort im Willkommensbildschirm eingeben) oder mit einem blanken System mit komplett flüchtigem Speicher arbeiten. Nachträgliche Änderungen an der Konfiguration des persistenten Speichers nehmen Sie bei Bedarf im Dialog Configure persistent volume aus dem Menü Systemwerkzeuge vor.

Sicherheit

Tails stellt automatisch nach dem Start einen Netzwerkzugang her, der ausschließlich über das Tor-Netzwerk läuft [3]. Da der Aufbau der Verbindung etwas Zeit in Anspruch nimmt, blendet die Software einen entsprechenden Hinweis ein, sobald der Zugang steht.

Für den Zugang ins Internet zeichnet der Tor-Browser in Version 8.0.8 verantwortlich, der auf Firefox 60.6.1 ESR basiert. Er bringt mit HTTPS Everywhere, dem Werbeblocker Ublock Origin und NoScript bereits drei wichtige Addons mit, die es ungebetenen Gästen erheblich erschweren, mithilfe von Tracking-Technologien das Nutzerverhalten auszuspionieren.

Links im Browserfenster neben den Steuerknöpfen findet sich zudem der Tor-Button, der es bei Bedarf auch ermöglicht, mit wenigen Mausklicks schnell die Browser-Identität zu wechseln, um so Ausspähversuche ins Leere laufen zu lassen (Abbildung 3).

Abbildung 3: Der Tor-Browser verhindert Ausspähversuche recht zuverlässig.

Auch der von Mozilla entwickelte E-Mail-Client Thunderbird ist bereits mit den Addons TorBirdy und Enigmail vorkonfiguriert. Während TorBirdy für die sichere Verbindung über das Tor-Netzwerk sorgt, gewährleistet Enigmail eine zuverlässige Verschlüsselung von Mails mithilfe des OpenPGP-Standards.

Im Untermenü Internet finden Sie darüber hinaus eine Vielzahl weiterer vorinstallierter Applikationen, die abgesicherte Kommunikationsmöglichkeiten eröffnen. Beispielsweise gestattet es Onionshare, Dateien über das Tor-Netzwerk zu versenden und zu empfangen, wobei es besonderes Augenmerk auf Sicherheit und Privatsphäre legt (Abbildung 4).

Abbildung 4: Mit Onionshare tauschen Sie auf unkomplizierte Weise sicher Dateien aus.

Neben der Anonymisierung durch den Tor-Dienst sticht dabei die autarke Funktionsweise der Software ins Auge. Onionshare benötigt weder einen zentralen Server noch einen Hoster, sondern aktiviert beim Start einen eigenen lokalen Server. Er erzeugt eine Onion-Adresse, die sich dann über den Tor-Browser aufrufen und zum Dateiaustausch nutzen lässt.

Da Onionshare auf das Tor-Netzwerk aufsetzt, benötigt es zudem keine spezielle Konfiguration der Firewall oder des Routers, sodass die Applikation auch aus dem lokalen Netz heraus funktioniert. Der einzige Nachteil: Beiden Partnern müssen die jeweiligen Onion-Adressen bekannt sein, um einen reibungslosen Datenaustausch in beide Richtungen zu gewährleisten.

Auch der Multi-Messenger Pidgin ist in Tails integriert und bringt bereits das Off-the-Record-Plugin mit, das eine verschlüsselte Kommunikation ermöglicht. Der im Untermenü Internet eingepflegte Texteditor Gobby gestattet es, ähnlich wie in Chaträumen im Team an Texten zu arbeiten. Auch Gobby sieht das Verschlüsseln der Inhalte und damit eine sichere Übertragung vor.

Um die Verbindung zum Tor-Netzwerk zu überwachen, haben die Entwickler von Tails außerdem die Applikation Onion Circuit vorinstalliert. Sie gibt mithilfe einer einfachen grafischen Oberfläche Auskunft über die einzelnen Knoten des Tor-Netzes. Das Programm zeigt die aktiven Nodes inklusive des jeweiligen Betriebsstatus an. Ein Klick auf einen der Listeneinträge blendet die einzelnen Knoten mitsamt ihrer maximalen Bandbreitenangabe ein. So lässt sich jederzeit ermitteln, welche Verbindungen am schnellsten arbeiten.

Zu den weiteren Highlights von Tails zählen das Passwort- und Datenverwaltungsprogramm KeePassX sowie die Applikation MAT zum Anonymisieren von Metadaten, wie man sie in Multimedia-Dateien oder PDFs vorfindet. Zum Entsperren von Veracrypt-Containern steht außerdem im Menü Hilfsprogramme eine entsprechende Software bereit.

Sollten Fehler oder Abstürze im System auftreten, steht Ihnen Whisper Back zur Verfügung. Das Programm übermittelt Fehlermeldungen an die Entwickler von Tails, wobei es diese selbstverständlich vor dem Versand anonymisiert und verschlüsselt.

Software

Trotz der relativ geringen Größe des ISO-Abbilds bringt Tails alle gängigen Standardapplikationen mit. Dazu gehören unter anderem das Büropaket LibreOffice, die Bildbearbeitung Gimp, der Tor-Browser, der E-Mail-Client-Thunderbird, der Audioeditor Audacity sowie die Multimedia-Programme Brasero und Gnome Videos. Auch die gängigen Gnome-Applikationen inklusive einiger Systemwerkzeuge wie Gnome Disks bringt das System von Haus aus mit.

Sofern Sie Tails von einem USB-Stick aus einsetzen und einen persistenten Speicherbereich eingerichtet haben, lässt sich das System mit zusätzlicher Software erweitern. Im Menü Systemwerkzeuge steht dazu das grafische Frontend Synaptic bereit, das über 65?000 Pakete aus dem Debian-Fundus listet.

Die mithilfe von Synaptic installierten Anwendungen legt das System im persistenten Speichersegment ab und startet sie bei Bedarf auch von dort. Damit das System jederzeit Zugriff auf diese Applikationen erhält, müssen Sie bei einem Neustart den persistenten Speicherbereich aktivieren. Um nachträglich eingepflegte Applikationen von dort wieder zu entfernen, nutzen Sie das Werkzeug Zusätzliche Software aus dem Menü Tails. Die in einer Liste angezeigten Programme lassen sich durch einen Klick auf das X rechts neben jeder Applikation löschen.

Einsatzszenario

Im praktischen Einsatz verhält sich Tails nahezu wie ein herkömmliches Debian-System. Entsprechend harmonieren Hardware-Komponenten, die proprietäre Firmware benötigen, nicht unbedingt mit Tails. Das trifft beispielsweise auf einige WLAN-Chipsätze zu, aber auch auf alle gängigen Mobilfunkmodems.

Trotz der umfangreichen Software-Ausstattung eignet sich Tails nur bedingt für den täglichen Einsatz. Es richtet sich primär an Nutzer mit einem besonderen Sicherheitsbedürfnis. So führt die Nutzung des Tor-Netzwerks konzeptionell bedingt zu deutlichen Geschwindigkeitseinbußen im Vergleich zu einem herkömmlichen Breitbandzugang. Das Hoch- oder Herunterladen größerer Datenmengen entwickelt sich mit Tails schnell zu einer Geduldsprobe.

Ein weiteres Problem, das aus dem Einsatz des Tor-Netzwerks resultiert, ist ebenfalls der Anonymität geschuldet: Manche Webseiten laden nicht korrekt, sobald sie bestimmte Metadaten des aufrufenden Clients nicht auswerten können. Das führt zu Funktionsstörungen, wenn eine Site beispielsweise Googles Recaptcha-Technik zum Schutz von Webseiten vor Spam oder Botnetzen verwendet.

In so einem Fall rufen Sie in Tails im Menü Internet den “unsicheren” Browser auf. Hierbei handelt es sich um einen weniger restriktiv konfigurierten Tor-Browser in Version 8.0.8, mit dem sich solche Seiten in der Regel aufrufen lassen. Der Browser warnt unübersehbar auf der Startseite vor potenziellen Sicherheitsrisiken, die durch seinen Einsatz entstehen können (Abbildung 5).

Abbildung 5: Den unsicheren Browser sollten Sie nur temporär einsetzen.

Fazit

Wieder einmal haben die Entwickler von Tails sehr gute Arbeit geleistet und liefern eine sorgfältig konfigurierte Distribution ab, die dank der Basis Debian auch die nötige Stabilität und Reife mitbringt. Das macht das irische Linux-Derivat zur ersten Wahl für Anwender, die ein besonderes Sicherheitsbedürfnis besitzen und dabei keine manuelle zeitraubende Konfiguration einzelner Dienste vornehmen möchten. Auch wer häufig an fremden Computern arbeitet und dort keine Spuren hinterlassen möchte, findet in Tails ein ideales Werkzeug. Als solider Allrounder taugt das Debian-Derivat ebenfalls, sofern Sie auf das Übertragen großer Datenmengen verzichten können.