Der Wunsch nach Privatsphäre ist bei vielen Nutzern groß, Privacy-Boxen sollen dabei helfen. Im Test müssen sich vier aktuelle Modelle beweisen. Am Ende kann allerdings nur ein Gerät überzeugen.
In den vergangenen Jahren brachten immer mehr Hersteller kleine Boxen auf den Markt, die einfach Privatsphäre oder mehr Sicherheit auf dem Weg ins Internet versprachen. Darunter gab es Crowdfunding-Katastrophen, betrügerische Anbieter und viele Missverständnisse. Grund genug, einen ausführlichen Blick auf aktuelle Geräte zu werfen. Als Kandidaten treten an die Upribox, der Eblocker, die Trutzbox und die Relaxbox (Abbildung 1).
Alle Geräte versprechen mehr Privatsphäre, mit unterschiedlichen Methoden. Alle beinhalten Technologien zum Ausfiltern von Werbung und Tracker-Netzwerken, zudem bauen manche noch einen einfachen VPN-Tunnel auf. Zwei der Geräte werben zudem mit einem Schutz vor Viren und Trojanern. Das weckt Skepsis, denn ein solches Versprechen könnte Nutzer dazu bringen, leichtsinnig unsichere Webseiten anzuklicken, weil die verwendete Box ja einen Virenschutz bietet. Alle Geräte mit Virenschutz setzen auf Clam AV, der in der Vergangenheit häufiger aufgrund niedriger Erkennungsraten in der Kritik stand. Hinzu kommt, dass sich über den Sinn und Unsinn von Virenscannern sowieso trefflich streiten lässt.

Abbildung 1: Das Testfeld aus Trutzbox, Relaxbox, Upribox und Eblocker (von links nach rechts) im Überblick.
Upribox
Als Erstes muss sich die Upribox beweisen – das Kürzel steht für “Usable Privacy Box” [1]. Der kleine weiße Kasten basiert auf einem Raspberry Pi 2 in einem 3D-gedruckten Gehäuse (Abbildung 2). Zudem enthält das Paket einen WLAN-Stick von TP-Link. Die Upribox verfügt über zwei Modi: Im Silent-Mode blockt sie Werbetracker und aufdringliche Werbung, im Ninja-Mode leitet sie sämtliche Verbindung über das Tor-Netzwerk. Wer auch unterwegs die Funktionen der Upribox nutzen möchte, kann sich per VPN von außen mit der Box verbinden.
Für das Projekt verantwortlich zeichnet Markus Huber in Kooperation mit der Fachhochschule St. Pölten [2]. Im Jahr 2014 wurde die Entwicklung der Upribox mit 50?000 Euro Fördergeld aus dem Netidee-Projekt unterstützt [3]. Der gesamte Quellcode des Projekts liegt bei Github [4]. Mit dem mitgelieferten USB-Stick spannt die Box zwei WLANs auf, eines für den Silent-Mode, ein weiteres für den Ninja-Mode. Der verwendete Stick unterstützt 802.11ac noch nicht, was die Geschwindigkeit limitiert. Sie können das Gerät aber auch per Kabel in Ihr Netzwerk einbinden und dann die IP-Adresse der Upribox als Proxy in den Browser eintragen.
Im Test erwies sich jedoch ein ganz anderer Faktor als praktisches Limit: An einem Internetzugang mit bis zu 100 Mbit/s erreichten wir im Silent-Mode Geschwindigkeiten von lediglich 3 bis 5 Mbit/s – selbst für normales Surfen heutzutage etwas langsam, an das Herunterladen größerer ISO-Images will man gar nicht denken.
Doch wie viel mehr Privatsphäre bietet das Gerät, verglichen mit einem Browserplugin wie Privacy Badger [5]? “Eigentlich genauso viel”, sagt Projektleiter Huber im Gespräch. “Mit der Upribox wollen wir vor allem Smartphone-Nutzer besser schützen. Auf dem Desktop haben Nutzer bereits viele Optionen, aber bei Smartphones ist die Situation noch schwierig.”
Technisch setzt die Upribox auf eine Manipulation der DNS-Anfragen. Bekannte Werbetracker filtert sie anhand verschiedener Blacklists aus dem Datenstrom. Einzelne Seiten über eine Whitelist komplett von der Filterung auszuklammern, gelingt aktuell nicht. Im Test führte der Einsatz der Upribox im Silent-Modus zu einem harten Logout aus allen verwendeten Konten und zu jeder Menge Captchas in den darauffolgenden Tagen.
Keine volle Anonymisierung
Eine Anonymisierung der IP-Adresse bietet die Upribox im Silent-Mode nicht. Allerdings bietet eine reine Verschleierung der IP-Adresse ohnehin keine umfassende Anonymisierung. Sie verbirgt zwar den eigenen (Netzwerk-)Standort vor einem Webseitenbetreiber, doch Fingerprinting und das Sammeln personenbezogener Daten gelingt trotzdem, besonders, wenn Nutzer sich auf einer Webseite anmelden. Außerdem gibt es Forschungsarbeiten, die aufzeigen, ob ein Nutzer sich in der Nähe der vorgegebenen IP-Adresse aufhält [6] oder nicht. Auch Netflix blockiert Nutzer von VPN-Diensten immer häufiger [7].
Eine Verbindung über Tor herzustellen, gelang im Test nicht immer. Obwohl in der Konfigurationsoberfläche des Geräts der Ninja-Modus aktiviert und das Testgerät im entsprechenden Netz eingeloggt war, bekamen wir zu mehreren Testzeitpunkten keine Verbindung ins Internet. Fehlermeldungen gab es keine. Ab und an funktionierte die Verbindung, war dann aber sehr langsam. Für die meisten Anwendungsszenarien erscheint aber ohnehin das gezielte Nutzen des Tor-Browsers sinnvoller. Auch Live-Systeme wie Tails leiten bei Bedarf den gesamten Datenverkehr zeitweise über Tor.
Zu kaufen gibt es die Upribox noch nicht: Den Code gibt es jedoch bei Github, dazu benötigen Sie nur einen RasPi sowie einen kompatiblen WLAN-Stick. Das Gerät soll es aber langfristig auch zu kaufen geben, Interessenten können sich in eine Warteliste eintragen. Das 3D-gedruckte Gehäuse soll deutlich stabiler gebaut sein und den WLAN-Stick im Gehäuse integrieren. Das ließe sich aber auch mit einem RasPi 3 problemlos realisieren, der bereits einen WLAN-Chip enthält.
Upribox – Fazit
Besitzen Sie bereits einen Raspberry Pi und einen kompatiblen WLAN-Adapter, können Sie die Upribox mit einfachen Mitteln selbst nachbauen und ausprobieren. Der Haupteinsatzzweck des Geräts dürfte, wie vom Projektverantwortlichen beschrieben, bei Smartphones liegen. Aber auch IT-affine Nutzer, die ihrer Familie einen einfachen Weg zur trackerfreien Nutzung des Webs ermöglichen wollen, können auf die Upribox setzen, sollten aber die geringe Geschwindigkeit beachten.
Eblocker
Auch das zweite Testgerät, der Eblocker [8], basiert auf einem Minirechner, in diesem Fall dem Banana Pi [9]. Der dem Raspberry Pi sehr ähnlichen Single-Board-Computer setzt auf eine Allwinner-CPU mit Gigabit-Ethernet und SATA-Port. Für den Test kam ein Prototyp zum Einsatz (Abbildung 3)
Das Unternehmen Eblocker GmbH hat die Produktion der Box in einer Crowdfunding-Kampagne [10] finanziert. Geschäftsführer Christian Bennefeld kommt selbst aus dem Tracker-Geschäft: Er zählt zu den Gründern des Unternehmens Etracker [11], das nach eigenen Angaben einen datenschutzfreundlichen Tracker herstellt. Dort hält er nach wie vor 30 Prozent der Anteile, wie er im Gespräch erzählt. Daher sei er auch auf dem Laufenden, was in der Tracker-Industrie vor sich gehe.
Der Eblocker verspricht eine trackingfreie Nutzung des Internets sowie Schutz vor dynamischen Preisen auf Webseiten und verhaltensabhängiger Werbung. Zudem soll er das Erstellen von Nutzerprofilen verhindern. Die Installation des Geräts verläuft unproblematisch. Der Eblocker baut kein eigenes WLAN auf, sondern nistet sich direkt im Netzwerk ein: Stromstecker und Netzwerkkabel rein, loslegen. Das gelingt in der Praxis jedem, führte im Test aber auch zu Problemen – dazu später mehr.
Alle Funktionen des Geräts lassen sich über eine Weboberfläche bedienen. Außerdem blendet der Eblocker nach der Aktivierung auf allen Webseiten eine Javascript-Toolbar ein, die anzeigt, wie viele Tracker auf einer Seite blockiert wurden, und bietet direkt im Browser weitere Konfigurationsmöglichkeiten. Dabei bekommt jeder Eblocker sein eigenes lokal erstelltes Zertifikat, was Angriffe wie gegen Rechner von Lenovo [12] oder Dell [13] im vergangenen Jahr verhindert. Außerdem gibt es eine Liste von Domains, bei denen der Eblocker die Verbindung nicht filtert und die Verschlüsselung somit auch gegenüber dem Eblocker bestehen bleibt. In der bestehenden Konfiguration klammert das System vor allem Onlinebanking-Seiten aus, es lassen sich jedoch auch weitere Webseiten hinzufügen (Abbildung 4).
Die Anonymisierung erscheint unglücklich gelöst: Die Beschreibung suggeriert dem Anwender, dass das Gerät direkt nach dem Einstecken die IP-Adresse verschleiert, doch tatsächlich muss man die Funktion erst über die Toolbar aktivieren. Die Surfgeschwindigkeit variiert je nach aktivem Exit-Node, denn die Verbindung läuft über das Tor-Netzwerk. Grundsätzlich leitet der Eblocker nur Netzwerkanfragen auf Port 80 über Tor. Wer seine Mails über IMAP abfragt, verschleiert seinen Standort daher nicht. Später soll auch die Integration bestehender VPN-Netzwerke möglich sein, wie Geschäftsführer Christian Bennefeld im Gespräch sagte. Dann wäre eine höhere Geschwindigkeit möglich, aber es fallen für ein leistungsfähiges VPN auch weitere Kosten an.
Als weitere Funktion beinhaltet der Eblocker die Möglichkeit, einer Webseite ein anderes Gerät als das eigentlich verwendete vorzutäuschen. Nutzer mit einem iPad erscheinen für den Server dann so, als ob sie die Seite von einem Windows-Rechner aus aufrufen. Das könnte helfen, wenn Webseiten ihre Preise für Apple-Nutzer nach oben korrigieren oder eher die teurere Alternative als Standard vorschlagen, wie es bereits in verschiedenen Fällen berichtet wurde. IT-affine Nutzer könnten den User-Agent des Browsers jedoch auch selbst oder mittels Plugins ändern.
Auto-Installation macht Ärger
Im Test führte die automatische Installation des Eblockers zu Problemen. Im Heimnetzwerk übernahm das Gerät nach Anschluss an den Router alle Netzwerkverbindungen auf allen Geräten. Auf einem Rechner führte dieser Eifer zum Beispiel dazu, dass der VPN-Zugriff auf Citrix-Anwendungen einer Universität auf einmal nicht mehr richtig funktionierte. Erst nachdem wir den Eblocker für das Gerät via Weboberfläche deaktivierten, ließ sich die Anwendung wieder problemlos nutzen.
In Foren berichten auch andere Nutzer von Netzwerkproblemen, die mit der Konfiguration zusammenhängen. So sollen innerhalb des Netzwerks doppelte IPs vergeben worden sein, was zu Problemen führte. Erst ein vom Hersteller eingespieltes Upgrade auf SNAT behob die Probleme. Immerhin lässt sich die Konfiguration recht genau einstellen. Betreiben Sie mehrere WLAN-Access-Points, können Sie den Eblocker für das gesamte WLAN aktivieren oder deaktivieren. Alternativ lassen sich die Funktionen für jeden Client einzeln zu- oder abschalten.
Varianten
Beim Kauf eines Eblockers müssen Sie zwischen verschiedenen Optionen wählen. Die im Test angesprochenen Funktionen gibt es in der “Pro” genannten Version. Noch in Vorbereitung befindet sich eine “Family”-Variante des Eblockers. Sie soll im vierten Quartal 2016 erscheinen und Jugendschutzfilter sowie Multi-User-Support bieten. Testen ließen sich diese Funktionen noch nicht. Dennoch führt der Shop diese Version bereits im Programm, die fehlenden Funktionen sollen Ende 2016 nachgeliefert werden.
Die Geräte gibt es jeweils in einem weißen “Design-Gehäuse” mit integriertem WLAN-Modul sowie in der Standardversion in einem transparenten Plexiglaskasten; beide Varianten kosten dasselbe. Das Design-Gehäuse enthält jedoch bereits ein WLAN-Modul mit 802.11b/g/n-WLAN, das Eblocker allerdings erst ab Juli 2016 liefern kann. Zudem bietet Eblocker noch die Wahl zwischen einem einjährigen Supportzeitraum oder einer lebenslang gültigen Lizenz. Die Preise für die Versionen und Supportstufen variieren von 199 bis 399 Euro.
Alternativ bietet Eblocker auch nur die Lizenz zur Software an. Diese bietet sich an, wenn Sie bereits einen Raspberry Pi oder Banana Pi besitzen. Hier beginnen die Preise bei 59 Euro für ein Jahr bis hin zu 299 Euro für die Lifetime-Familien-Lizenz. Ein Raspberry Pi 2 kostet rund 40 Euro, ein Banana Pi 2 etwas mehr. Zudem benötigen Sie noch einen kompatiblen WLAN-Stick. Bei beiden Varianten können Sie sparen, indem Sie die Hardware selbst kaufen und das Image auf eine Micro-SD-Karte flashen.
Eblocker – Fazit
Auch der Eblocker eignet sich eher für wenig IT-affine Anwender, die keine Browser-Plugins, keinen Tor-Browser und kein VPN installieren wollen. Die Funktion zur Geräteverschleierung sticht aus dem Testfeld hervor, genügt als alleiniges Kaufargument jedoch nicht. Nutzer mit komplexeren Netzwerken müssen den Eblocker auf jeden Fall selbst konfigurieren, sofern sie komplexere Netzwerkanwendungen nutzen: Das eigentlich nutzerfreundliche Zero-Installation-Konzept greift bei erfahrenen Anwendern zu tief in die Netzwerkkonfiguration ein.
Trutzbox
Die Trutzbox [14] von Comido bietet im Vergleich zu den Wettbewerbern deutlich mehr Funktionen und setzt auch auf solidere Hardware. Sie entspricht eher einem Heimserver mit Privatsphäre-Funktionen als einer reinen Privacy-Box, was auch einen höheren Preis bedingt. Im Gespräch sagte Comido-Geschäftsführer Herrmann Sauer: “Wir wollen ein Mehr an Privatsphäre so einfach wie möglich machen.” Dazu wolle man mit der Trutzbox ein möglichst vollständiges Paket für anonyme Kommunikation anbieten.
Auf dem Gerät läuft eine gehärtete Version von Debian 8 “Jessie”. Diverse Dienste wie VPN, Tor-Zugang und Mailserver hat der Anbieter bereits vorkonfiguriert; weitere Software wie etwa Owncloud [15] lässt sich in Form von DEB-Paketen nachträglich einspielen. Per Software-Update soll in den kommenden Wochen außerdem ein WebRTC-Dienst für Audio- und Videotelefonie kommen. Auf diesem Weg lässt sich ohne weitere Software mit Freunden und Bekannten über den Browser kommunizieren, und das über den eigenen Server. Im Gespräch mit Trutzbox-Geschäftsführer Sauer konnten wir diesen Dienst bereits testen, die Übertragung des Bildschirminhalts funktionierte dort ohne Probleme.
Technisch basiert die Trutzbox auf einer mit 1 GHz getakteten T40E-Zweikern-CPU aus AMDs G-Serie, wie man sie auch in anspruchsvollen NAS-Systemen findet. Der CPU zur Seite stehen 2 GByte RAM und 16 GByte Speicher in Form einer Micro-SD-Karte. Das Gerät bietet aber auch einen mSATA-Anschluss für SSDs, zudem lassen sich WLAN-Module per Mini-PCI anbinden. Der schweizer Hersteller PC Engines vermarktet die Hardware auch unter dem Namen APU1D [16]. Das Gerät steckt in einem blauen Metallgehäuse, das sich deutlich hochwertiger anfühlt als die anderen Testgeräte (Abbildung 5). Alternativ gibt es die Trutzbox auch in Rot oder Schwarz.

Abbildung 5: Die Trutzbox basiert auf einem speziellen Routerboard, braucht aber dennoch einen USB-WLAN-Stick.
Auch die Netzwerkschnittstellen arbeiten deutlich schneller als bei den RasPi-basierenden Geräten: An der Rückseite befinden sich drei RJ45-Ports mit jeweils 1 Gbit/s Durchsatz. Einer davon dient zum Anschluss an den Router, zwei stehen als Ausgang zum kabelgebundenen Netz zur Verfügung. Das Gehäuse bietet zwei USB-Anschlüsse, einen davon blockiert jedoch der WLAN-Stick. Zu guter Letzt gibt es eine serielle Schnittstelle, über die sich das Gerät direkt ansprechen ließe.
Statt den internen Mini-PCI-Anschluss zu nutzen, der vermutlich durch das Gehäuse abgeschirmt würde, liegt dem Gerät ein WLAN-USB-Stick bei, über den die Box ein eigenes drahtloses Netz aufspannt. Hier handelt es sich offensichtlich um eine Notlösung: Einerseits passt der Stick nicht direkt ans Gehäuse, sondern findet nur über ein USB-Verlängerungskabel Anschluss. Andererseits bietet er maximal 802.11n-Geschwindigkeit und gerät damit zum Flaschenhals, möchte man die NAS-Funktionen des Geräts nutzen. Für Nutzer mit einem bestehenden schnellen WLAN-Netzwerk dürfte es daher sinnvoller sein, das Gerät per Kabel mit dem Router zu verbinden und dann als Proxy im Browser einzutragen.
Die Trutzbox selbst kostet 239 Euro. Zusätzlich müssen Sie für 60 Euro ein Update- und Service-Paket erwerben, das es jährlich kostenpflichtig zu verlängern gilt. Nach Ablauf der Support-Periode lassen sich zwar die einzelnen Funktionen noch mit Trutzbox-Bordmitteln aktualisieren, der in die Weboberfläche integrierte Updater funktioniert dann aber nicht mehr.
Unproblematisch
Die Installation des Geräts verläuft unproblematisch, ein Assistent leitet Sie durch alle nötigen Schritte (Abbildung 6). Im Lieferumfang findet sich eine detaillierte Anleitung, die sowohl das Einbinden der Trutzbox ins Netzwerk als auch das Einrichten der Funktionen via Webbrowser erläutert. So kommen auch unerfahrene Anwender mit der Inbetriebnahme der Trutzbox zurecht. Der Hersteller bietet außerdem regelmäßig Webinare zum Umgang mit der Box an, die Teilnahme ist im Service-Paket enthalten.

Abbildung 6: Beim Einrichten der Trutzbox bietet Ihnen das System Gelegenheit, bis zu 5 verschlüsselte E-Mail-Konten anzulegen.
Während des Einrichtens müssen Sie ein Stammzertifikat in den Browser importieren, damit die Trutzbox den eingehenden Datenverkehr untersuchen kann. “Das Zertifikat wird beim Einrichten der Trutzbox auf dem Gerät lokal erstellt”, sagt Geschäftsführer Sauer. “Wir können also nicht selbst in die Verbindungen schauen.” Die Einrichtung muss bei allen verwendeten Browsern geschehen, sonst gibt es beim Aufrufen SSL-verschlüsselter Seiten Fehlermeldungen. Da das System das Zertifikat jeweils individuell erstellt, bleiben Trutzbox-Geräte auch vor Angriffen wie bei Superfish oder dem von Dell vorinstallierten Root-Zertifikat verschont.
Die Grundfunktion der Anonymisierung beziehungsweise des Tracker- und Werbeblockers erfüllt die Trutzbox. Zum Einsatz kommt einerseits Technik des deutschen VPN-Anbieters Jondonym [17], alternativ lassen sich Verbindungen auch über das Tor-Netzwerk leiten. Im transparenten Modus leitet die Trutzbox den gesamten Netzwerkverkehr durch die Anonymisierung. So lassen sich auch IoT-Geräte ohne eigene Konfiguration anonym ins Netz bringen. Alternativ richten Sie das Gerät als Proxy ein – dann filtert die Trutzbox nur HTTP- und HTTPS-Verbindungen.
Die Privatsphäre der Nutzer verbessert die Trutzbox vor allem durch das Vortäuschen eines anderen Geräts. Dazu verändert das System die HTTP-Header besuchter Webseiten, sodass der Server einen möglichst allgemeinen Fingerprint empfängt. Die Funktion lässt sich für ausgesuchte Seiten deaktivieren. Anders als beim Eblocker gibt es jedoch keine Blacklist von Seiten, bei denen die Box nicht in die SSL-Verbindung hineinsieht.
E-Mail und AV
Darüber hinaus bietet sich das Gerät auch als Mailserver an. Mails zwischen verschiedenen Trutzbox-Nutzern verschlüsselt das System automatisch Ende-zu-Ende, ohne einen zentralen Mailserver zu involvieren. Stattdessen liegen alle notwendigen Informationen auf den jeweiligen Endgeräten vor. Nach Angaben der Herstellerfirma Comidio verschlüsselt das System dabei auch die Metadaten. Je nach verfügbarem Speicherplatz lassen sich prinzipiell beliebig viele E-Mail-Accounts einrichten. Im Preis enthalten sind jedoch maximal fünf Trutzmail-Adressen, jede weitere kostet 12 Euro pro Jahr.
Möchten Sie E-Mails auch über das Internet versenden, muss das Gerät entweder eine feste IP-Adresse bekommen, oder Sie richten einen DynDNS-Dienst ein, um das Gerät dauerhaft von außen ansprechen zu können. Eine detaillierte Anleitung zum Einrichten dieser Funktion findet sich im Online-Handbuch [18].
Die Trutzbox integriert den Virenscanner Clam AV, auf den Sie sich aber auch hier nicht verlassen sollten. Einen zuverlässigen Schutz vor Viren und Trojanern bietet die Software nicht, daher sollten Sie die Funktion am besten gleich ganz deaktivieren.
Trutzbox – Fazit
Die Trutzbox überzeugt durch leistungsfähige Hardware und eine umfangreiche Dokumentation, andererseits liegt der Preis mit 299 Euro auch höher als bei den anderen Geräten. Nach Ablauf des ersten Jahres kosten die Trutz-Services 5 Euro im Monat. Wer alle Funktionen der Trutzbox tatsächlich nutzt, für den könnte sich eine Anschaffung lohnen, sie erfordert jedoch Geduld: Der Webshop gibt aktuell eine Lieferzeit von drei bis vier Wochen an.
Im Gespräch erklärte Comidio-Geschäftsführer Sauer, dass es in Zukunft möglicherweise auch eine Bastelversion der Trutzbox geben könnte. Man könnte dann als Basis einen eigenen Raspberry Pi oder Banana Pi nutzen und müsste nur das Dienstleistungspaket erwerben. Damit verbunden wären allerdings Abstriche bei der Leistung: Mehrere parallele Videokonferenzen etwa dürften einen Bastelrechner überfordern. Möchten Sie aber nur die Anonymisierungsfunktionen nutzen, könnte die Eigenbauvariante eine interessante Lösung darstellen.
Relaxbox
Die Relaxbox [19] stammt von einem kleinen Berliner Startup, die erste Charge wurde über Crowdfunding finanziert [20]. Das System soll die Privatsphäre der Nutzer verbessern und außerdem vor Viren schützen. Im Rahmen des Tests kam ein Vorabmodell zum Einsatz, das bereits in der Redaktion vorhanden war. Die Auslieferung der Serienmodelle erfolgt seit April 2016.
Das Gerät (Abbildung 7) basiert auf der Hap-Lite-Plattform [21] und dem damit ausgelieferten Router-OS der Firma Mikrotik [22], einem Linux-Derivat. Die Qualcomm-CPU taktet mit 650 MHz und bietet nur einen Kern. Der Arbeitsspeicher ist mit 32 MByte eher dürftig bemessen, Ähnliches gilt für das integrierte 802.11n-WLAN. Zum Software-Umfang zählen ein auf OpenVPN basierender eigener VPN-Dienst, der Virenscanner Clam AV sowie Googles Safe-Surf-API. So soll die Box Nutzer nicht nur vor der Identifizierung durch Webseitenbetreiber schützen, sondern auch vor Viren und Trojanern.

Abbildung 7: Die Relaxbox baut auf das Router-OS von Mikrotik und beinhaltet einen integrierten WLAN-Adapter.
Systembedingt funktioniert der Virenschutz nur eingeschränkt. Einerseits steht er nur auf Port 80 bereit, also beim normalen Websurfen, andererseits kann die Box mangels SSL-Zertifikat nicht in verschlüsselte Verbindungen hineinsehen. Darauf weist das System auch an verschiedenen Stellen hin. Unerfahrene Nutzer könnten sich trotzdem in falscher Sicherheit wähnen. Im Gespräch begründet der Pressesprecher des Herstellers, Maximilian Pohl, diese Einschränkung als bewusste Design-Entscheidung: “Wir wollen verschlüsselte Verbindungen gar nicht aufmachen können.”
Auch die Integration von Googles Safe-Browsing-API bietet nur wenig zusätzlichen Schutz. Zudem gibt es Probleme bei der Privatsphäre: Einerseits bringen moderne Webbrowser die API bereits mit, andererseits überträgt eine frühe API-Version die aufgerufenen URLs im Klartext an Google. Erst mit der Version 3 überträgt das System nur einen Hashcode der angefragten URLs.
Happige Tarife
Ursprünglich sollte es die Relaxbox in Kombination mit unterschiedlichen Tarifen geben: “Free” und “Basic” sollten sich hinsichtlich der möglichen Surfgeschwindigkeit unterscheiden; Werbeblocker, Google Safe Browsing, Phishing-Schutz und Jugendschutzfilter hätte erst der teuerste Tarif für 10,99 Euro monatlich enthalten. Inzwischen gibt es jedoch nur noch einen einheitlichen Tarif, dessen Kosten je nach Laufzeit von 6,90 Euro monatlich (für 12 Monate) bis 11,90 Euro (Einzelmonat) variieren.
Im Test erwiesen sich die mit der Relaxbox erzielbaren Übertragungsraten als begrenzt – mehr als 16 Mbit/s schickte die Box zu keinem Zeitpunkt über die Leitung. Der gebuchte Tarif sollte aber eigentlich Geschwindigkeiten jenseits der 20 Mbit/s ermöglichen. “Die Geschwindigkeit zählt zu den Dingen, die wir in Zukunft verbessern wollen”, sagt Unternehmenssprecher Pohl. Mit den Crowdfunding-Nutzern habe man jetzt zahlreiche Erfahrungen gemacht, die in die weitere Entwicklung einfließen.
Relaxbox – Fazit
Die Werbeblocker-Funktionen waren bei unserem Testgerät noch nicht aktiv. Tatsächlich betrachten die Macher das Feature auch eher als Addon, wie sie im Gespräch sagten. Für die Werbefreiheit soll im Endprodukt der Open-Source-Proxy Privoxy [23] zum Einsatz kommen. Uns konnte die Relaxbox nicht überzeugen: Neben dem Anschaffungspreis von 89 Euro kommen im Tarif relativ hohe Kosten auf den Nutzer zu, der Mehrwert gegenüber einem reinen VPN-Dienst bleibt dabei jedoch gering.
Zusammenfassung
Peinliche Sicherheitslücken wie offene SSH- oder Telnet-Ports leistete sich zwar keins der getesteten Geräte, deutlichen Mehrwert suchten wir allerdings ebenfalls vergebens. Das bloße Verschleiern der IP-Adresse bietet eben nicht, wie oft angenommen, eine komplette Anonymisierung, sondern verbirgt nur den genauen Standort. Wer sich damit zufrieden gibt, kann auch gleich auf ein VPN zurückgreifen, das ebenfalls nicht vor Fingerprinting oder einer gezielten Überwachung schützt, zumindest aber vor einer Abmahnung.
Mit einer Privacy-Box ließe sich nun zwar ein solch leistungsfähiger VPN-Zugang mit der Familie teilen, doch nur die Trutzbox liefert eine dazu ausreichende Verbindungsgeschwindigkeit. Wollte dann jemand in der Familie Dienste mit hohem Datenaufkommen nutzen, wie etwa Videostreaming über Netflix, müsste man dafür das VPN ausschalten oder das Netzwerk wechseln. Dadurch erübrigt sich der Vorteil, das System möglichst einfach zu nutzen – genauso könnte man gleich auf jedem System einen VPN-Zugang konfigurieren.
Der Autor
Hauke Gierow schreibt für Golem.de seit September 2015 über IT-Security, Datenschutz und Urheberrecht. Bevor er in den Journalismus wechselte, arbeitete er für Reporter ohne Grenzen, das Mercator-Institut für China-Studien (Merics) und die Open Knowledge Foundation. Sein Studium der Politikwissenschaften und Sinologie absolvierte er in Trier.

Infos
[1] Upribox: https://upribox.org
[2] St. Pölten University of Applied Sciences: https://www.fhstp.ac.at/de/forschung/projekte/usable-privacy-box-upribox
[3] Österreichs beste Internet-Ideen 2014: https://www.netidee.at/die-netidee-2014/gefoerderte-projekte-2014/
[4] Code der Upribox: https://github.com/usableprivacy/upribox
[5] Privacy Badger: https://www.eff.org/de/node/73969
[6] IP-Spoofing: http://www.golem.de/news/ip-spoofing-forscher-erkennen-standortverschleierung-zu-97-prozent-1602-119175.html
[7] Netflix-Geolock: http://www.golem.de/news/geolock-netflix-erschwert-nutzung-von-vpns-durch-feste-dns-1412-111358.html
[8] Eblocker: https://www.eblocker.com/de
[9] Banana Pi: http://www.bananapi.org
[10] Eblocker-Crowdfunding: https://www.indiegogo.com/projects/eblocker-switch-on-privacy
[11] Etracker: https://www.etracker.com
[12] “Lenovo-Laptops durch Superfish-Adware angreifbar”: http://www.golem.de/news/adware-lenovo-laptops-durch-superfish-adware-angreifbar-1502-112460.html
[13] “HTTPS-Verschlüsselung von Dell-Nutzern gefährdet”: http://www.golem.de/news/gefaehrliches-root-zertifikat-https-verschluesselung-von-dell-nutzern-gefaehrdet-1511-117585.html
[14] Comidio Trutzbox: https://comidio.de
[15] Owncloud auf der Trutzbox: https://comidio.de/forum/viewtopic.php?f=3&t=83
[16] PC Engines APU1D: http://www.pcengines.ch/apu1d.htm
[17] Jondonym: https://www.anonym-surfen.de/
[18] Online-Handbuch zur Trutzbox: https://comidio.de/wiki/index.php/TrutzBox_Handbuch
[19] Relaxbox: https://relaxbox.de/
[20] Relaxbox-Crowdfunding: https://www.kickstarter.com/projects/470304262/relaxbox-a-box-to-thouroughly-secure-you-internet
[21] Hap Lite: http://routerboard.com/RB941-2nD-TC
[22] Mikrotik Router OS: http://www.mikrotik.com/software
[23] Privoxy: https://www.privoxy.org









