So funktioniert das anonyme Betriebssystem Tails

Inhaltsverzeichnis

Anonym surfen, keine Spuren hinterlassen, und das alles ohne großen Aufwand? Tails OS macht es möglich. Dank Integration des Tor-Netzwerks schützt Tails die Privatsphäre seiner Nutzer und bietet Tools wie VeraCrypt und LibreOffice. Wir zeigen, wie ihr Tails auf einem USB-Stick installiert, welche Features es mitbringt und worauf ihr achten müsst.

Wichtige Info zum Video

Im Video haben wir erwähnt, dass Edward Snowden Tails verwendet. Nach eigenen Angaben nutzt er inzwischen jedoch QubesOS.

Wir arbeiten aktuell auch an einem Video zu QubesOS.

Das Video zu Tails haben wir vor dem anderen Video veröffentlicht, weil Tails und Tor seid einigen Wochen kooperieren und das Betriebssystem dadurch nochmal an Relevanz gewonnen hat und weil Tails deutlich einfacher aufzusetzen ist.

Transkript des Videos

(Hinweis: Dieses Transkript ist für Menschen gedacht, die das Video oben nicht schauen können oder wollen. Der Text gibt nicht alle Informationen der Bildspur wieder.)

Guckt mal hier, auf diesem USB-Stick ist ein Betriebssystem, das so sicher ist, dass Edward Snowden es empfiehlt – der wohl berühmteste Whistleblower der Welt. Und vielleicht hattet ihr auch schon mal die Situation, dass ihr gerne etwas im Internet machen wolltet, ohne Spuren zu hinterlassen. Zum Beispiel, um uns, also der c’t, über unseren sicheren Briefkasten heikles Material zuzuspielen. Es gibt ja viele Gründe, warum man anonym bleiben will.

Die Rede ist vom Betriebssystem Tails. Und das ist nicht nur sicher, sondern auch extrem schnell und einfach in Gang zu bringen. Ich habe das mal ausprobiert. Nach weniger als fünf Minuten hatte ich Tails heruntergeladen, auf einen USB-Stick geschrieben, gebootet und die Heise-Online-Website geladen. Ja, und das alles komplett anonym. Denn das ist ja das zentrale Merkmal von Tails: Alle Verbindungen werden über Tor geroutet – also The Onion Routing Network, manchmal auch sehr irreführend als Darknet bezeichnet.

Außerdem stecken da noch ganz viele andere sinnvolle und zum Teil auch sehr überraschende Funktionen drin. In diesem Video zeige ich euch, wie ihr das Ding benutzt und was ihr beachten müsst, um unerkannt im Netz unterwegs zu sein. Bleibt dran!

Liebe Hackerinnen, liebe Internetsurfer, herzlich willkommen hier bei…

Es gibt ja viele Sicherheitstools, die so dolle Sachen versprechen, aber nur sehr, sehr wenige haben so ein Renommee und vor allem so viele prominente Fürsprecher wie Tails. Ja, so berühmte Investigativjournalisten und Sicherheitsexpertinnen wie Laura Poitras, Bruce Schneier, Glenn Greenwald und Barton Gellman haben zu Protokoll gegeben, dass sie Tails benutzen. Und das Tool gibt es ja auch schon seit über 15 Jahren. Und ich sage mal, die Zeiten sind in den Jahren nicht unbedingt ruhiger geworden. Deshalb halte ich es wirklich für sinnvoll, dass man das Tool zumindest kennt und es dann verwenden kann, wenn Sicherheit wirklich wichtig ist.

Und ja, ich fasse jetzt zuerst mal ganz einfach zusammen, was Tails überhaupt macht. Also, Tails ist standardmäßig erst mal ein flüchtiges Betriebssystem, das von einem USB-Datenträger läuft. Das heißt, wenn der Rechner wieder aus ist, gibt es keinerlei Spuren mehr, was da passiert ist, während Tails lief. Ja, und daher kommt auch der Name Tails. Denn damit ist nicht der beste Freund von Sonic the Hedgehog gemeint, sondern “The Amnesic Incognito Live System” – also frei übersetzt “Das vergessliche, anonyme Live-System”.

Habt ihr das einmal auf einem USB-Stick, könnt ihr das natürlich nicht nur auf eurer eigenen Hardware verwenden, sondern auch auf fremden Computern, die euch vielleicht etwas wenig vertrauenswürdig vorkommen. Also zum Beispiel im Internetcafé. Gibt es das überhaupt noch? Egal. Aber irgendwelche Computer in der Öffentlichkeit halt.

Ist das System einmal gebootet, wird alles, was ihr im Internet so treibt, über das Tor-Netzwerk geroutet. Über Tor hatten wir ja schon mal ein ganzes Video gemacht. Ich erkläre trotzdem noch mal ganz kurz die Grundlagen: Also normalerweise verbindet sich ja euer Rechner mit irgendeinem Server, beispielsweise dem, auf dem YouTube läuft. Und euer Rechner hat eine IP-Adresse, die von YouTube gesehen wird. Das heißt, YouTube könnte euch womöglich identifizieren oder gezwungen werden, euch zu identifizieren, weil man eben über eure IP-Adresse und euren Provider eure Identität herausfinden kann.

Nutzt ihr nun Tails, also Tor, dann verbindet ihr euch nicht direkt mit YouTube, sondern erst mit drei sogenannten Relays. Das sind Rechner, die von Privatpersonen und Organisationen auf der ganzen Welt betrieben werden. Der Tor-Browser baut zuerst eine verschlüsselte Verbindung zum sogenannten Entry Node auf, kontaktiert darüber wiederum verschlüsselt einen Middle Node und von dort aus noch einmal verschlüsselt einen Exit Node. Und erst von da aus geht es dann weiter zu YouTube. Das heißt, eure Daten sind mindestens dreimal verschlüsselt. Wenn die angesteuerte Website obendrein auch noch HTTPS unterstützt, wie YouTube, dann habt ihr sogar eine vierfache Verschlüsselung. Die Daten sind in mehrere Verschlüsselungsschichten eingepackt, eben wie bei einer Zwiebel. Und deshalb heißt es auch “The Onion Router”. Die Nodes kennen immer nur die nächste Station, nie die komplette Route. Ja, und das ist eben der Trick, warum ihr anonym bleibt.

Und eine Zusatzfunktion von Tor ist auch noch, dass ihr ins sogenannte Darknet kommt. In diesem Fall sind das .onion-URLs, auf die ihr nur zugreifen könnt, wenn ihr Tor benutzt. Also noch mal zurück zu Tails. Da haben wir also einmal erst mal die Vergesslichkeit, also dass das System nichts speichert, dass ihr also keine Spuren hinterlasst und dass alles durch Tor geleitet wird. Aber Tails hat noch ein paar andere Besonderheiten, zum Beispiel, dass bewusst wenig Software auf dem System installiert ist. Denn je mehr Software, desto mehr potenzielle Sicherheitslücken gibt es auch. Die wichtigsten Sachen sind aber natürlich dabei, zum Beispiel natürlich ein aktueller Browser oder auch VeraCrypt, um verschlüsselte Dateisysteme zu öffnen, oder auch Audacity zum Audio aufnehmen und bearbeiten. Und sogar die komplette LibreOffice-Suite ist drin.

Standardmäßig könnt ihr keine zusätzliche Software installieren, denn es ist kein Admin-Zugang eingerichtet. Wollt ihr das unbedingt machen, könnt ihr das nach dem Booten hier einstellen. Also geht ihr auf das Plus bei zusätzliche Einstellungen und dann auf Administrator-Passwort und tippt da dann eben eins ein. Und mit dem Admin-Passwort könnt ihr dann mit sudo apt install beliebige Software installieren. Eine weitere Besonderheit ist, dass ihr das System besonders schnell herunterfahren könnt. Also wenn ihr hier oben auf Ausschalten klickt, geht es sofort aus. Bei anderen Linuxen kommt dann noch mal eine Sicherheitsabfrage. Hier eben nicht, denn es kann ja sein, dass es hier wirklich besonders schnell gehen muss, um alle Spuren zu verwischen.

Ja, jetzt habe ich tatsächlich zum ersten Mal Linux gesagt. Und na klar, Tails ist Linux. Konkret basiert das auf der altehrwürdigen Distribution Debian. Und ich hatte ja gerade schon gesagt, dass ich auf einem völlig unvorbereiteten System, in meinem Fall unter Windows, innerhalb von fünf Minuten in Tails drin war. Lass uns das mal Schritt für Schritt durchgehen. Also, ihr geht in eurem Browser auf tails.net, dann auf Tails installieren und dann auf das Betriebssystem, das ihr gerade nutzt. Dann auf Tails runterladen. Das sind 1,5 Gigabyte. Und dann könnt ihr auch noch mal, wenn ihr ganz sicher gehen wollt, eure Installationsdatei überprüfen lassen, indem ihr hier auf Überprüfen klickt und die Datei auswählt. Ja, dann sagt die Website hier, dass man Balena Etcher installieren soll. Ihr könnt aber auch ein beliebiges Tool verwenden, zum Beispiel ein Raspi-Imager kann man gut dafür verwenden, um die heruntergeladene Image-Datei auf einen USB-Datenträger zu schreiben. Der muss mindestens 8 Gigabyte groß sein.

Ja, und sobald das Schreiben und Verifizieren dann durch ist, könnt ihr von diesem Datenträger booten. Da gibt es jetzt leider keine universelle Anleitung von mir. Das ist halt auf jedem Rechner ein bisschen anders. Ihr müsst dafür halt irgendwie im BIOS beziehungsweise UEFI sagen, dass ihr von USB booten wollt. Da kommt ihr rein, wenn ihr direkt nach dem Einschalten die Entferntaste drückt oder F2 oder F12. Das ist, wie gesagt, unterschiedlich. Was auf Windows-Rechnern auf jeden Fall zuverlässig funktioniert: Ihr drückt die Start-Taste, tippt dann BIOS ein, und dann seht ihr da “Optionen für erweiterten Start ändern”. Klickt dann auf “Erweiterter Start”. Dann startet die Kiste neu. Da sagt ihr ja dann, dass ihr ins UEFI booten wollt. Ja, und dann startet der Rechner nochmal neu, und dann seid ihr in diesem Einstellungsmenü. Hier könnt ihr dann entweder die Boot-Reihenfolge so ändern, dass der USB-Datenträger vor dem eingebauten Datenträger gebootet wird, oder ihr könnt direkt manuell den Start-Datenträger festlegen. Ja, und zack, dann bootet das Ding.

Klappt das nicht? Hier noch ein paar Troubleshooting-Tipps von mir: Also, erst mal ist Tails leider nicht mit den RTX-40er-Grafikkarten von Nvidia kompatibel. Habt ihr so einen Rechner, müsst ihr für Tails die integrierte Grafik nutzen. Sonst kriegt ihr hier nur so einen blinkenden Cursor wie ich hier. Und ihr braucht natürlich einen x86-PC. Also auf Raspberry Pis oder auf macOS-Rechnern geht das nicht. Ein weiterer Grund, warum das Booten nicht klappt, könnte Secure Boot sein. Das solltet ihr auf jeden Fall im UEFI abstellen. Und wenn ihr BitLocker benutzt, dann schreibt euch auf jeden Fall vorher den BitLocker-Key auf. Den könnt ihr auslesen, das geht auf der Konsole. Den Befehl blenden wir euch jetzt hier gerade ein. Macht das auf jeden Fall, wenn ihr Secure Boot auch nur temporär abstellt, unbedingt den BitLocker-Key vorher sichern.

Ja, aber wenn alles geklappt hat, werdet ihr von diesem Screen hier begrüßt, und dann könnt ihr erst mal hier auf Sprache klicken und dann auf Deutsch gehen. Dann wird auch direkt die Tastaturbelegung umgestellt. Dann geht ihr auf “Tails starten”. Ja, und wenn euer Rechner direkt mit einem Kabel am Netz hängt, könnt ihr den folgenden Schritt überspringen. Wollt ihr euch mit WLAN verbinden, geht ihr hier oben auf Anwendungen, Systemwerkzeuge, Einstellungen, dann hier auf WLAN und dann auf das Netzwerk, mit dem ihr euch verbinden wollt. Passwort eintippen, und sobald ihr Netz habt, poppt dieses Tor-Fenster hier auf.

Am einfachsten ist es, wenn ihr hier “Verbinde mit Tor automatisch” klickt und dann hier unten rechts auf den blauen Button. Dann war es das nämlich schon, und ihr könnt den Browser verwenden. Falls ihr verheimlichen müsst oder wollt, dass ihr euch mit Tor verbindet, also wenn jemand eure Internetverbindung überwacht, könnt ihr über eine sogenannte Tor-Brücke ins Netz. Die könnt ihr mit einem Smartphone, zum Beispiel per Mail, anfordern und dann auf eurem Tails-Rechner so einen QR-Code abfotografieren. Ansonsten bekommt ihr die Adressen auch über bridges.torproject.org.

Also, wenn ihr einen Internetzugang habt, bei dem ihr immer erst einen Haken setzen müsst, also auf so einem iCaptive-Portal – looking at you, Wifi on ICE, Deutsche Bahn – dafür hat Tails einen eigenen unsicheren Browser, der wirklich nur dafür da ist, dieses olle Häkchen anzuklicken, weil ja der normale Browser nur über Tor läuft. Und ja, ist komplex.

So, das ist jetzt die Standardkonfiguration und auch die empfohlene Konfiguration. Aber, wenn ihr regelmäßig Tails nutzen wollt und euch das nervt, dass ihr zum Beispiel immer wieder das WLAN-Passwort eingeben müsst, dann könnt ihr Tails auch so einstellen, dass zumindest ein paar Sachen gespeichert werden. Ja, und das geht auch ganz einfach, indem ihr den Schalter hier anklickt bei “Beständiger Datenspeicher” und dann “Tails starten”. Dann müsst ihr eine möglichst komplexe Passphrase eingeben und dann hier auswählen, was ihr alles speichern wollt. Also sowas wie das WLAN-Passwort, eure Mail-Server-Daten in Thunderbird oder halt Bookmarks. Das wird dann verschlüsselt und immer nur dann freigegeben, wenn ihr nach dem Booten die Passphrase eingebt.

Ja, und ich muss sagen, ich habe einige Zeit mit Tails gearbeitet, und es funktioniert alles ziemlich problemlos, und ich bin auch einigermaßen beeindruckt, wie wenig man merkt, dass alles durch Tor geroutet wird. Also, es ist jetzt nicht extrem langsam. Das war früher echt schlimmer, als ich vor Jahren zum ersten Mal Tor ausprobiert habe. Also, ist ganz gut.

Ach so, und ich will euch auch gerne noch einen Disclaimer mitgeben: Tor ist zwar ziemlich sicher, aber es ist auf jeden Fall auch kein Rundum-Sorglos-Paket. Es gibt auf jeden Fall Möglichkeiten, aufwendige Möglichkeiten, Tor-Clients zu de-anonymisieren. Aber wie gesagt, da muss ziemlicher Aufwand betrieben werden, aber es ist theoretisch möglich. Ich habe euch weiterführende Artikel zu dem Thema Tor-Sicherheit hier in der Beschreibung verlinkt.

Mein Fazit

Ja, also, ich finde, als aufgeklärter Mensch, der Technik nutzt, sollte man Tails kennen. Denn man weiß ja nie, in welchen Situationen man sich mal so wiederfindet. Und mir ist natürlich klar, dass Tails auch für kriminelle Dinge verwendet werden kann. Aber das heißt ja nicht, dass es nicht auch viele gute Gründe gibt, um die eigene Identität im Netz schützen zu wollen. Klar ist aber auch, dass Tails sich nicht als Alltagsbetriebssystem eignet. Alleine, dass es zwingend von USB-Datenträgern laufen muss und man es nicht auf zum Beispiel einer schnellen internen SSD installieren kann. Also, es ist etwas, was man bei Bedarf verwendet.

Ja, wie ist das bei euch? Habt ihr es schon mal benutzt, so ein Tails? Gerne in die Kommentare schreiben und abonnieren.

Apropos abonnieren: c’t macht wieder eine Winteraktion. Es gibt fünf Ausgaben, c’t digital oder im Kombi-Paket mit gedrucktem Heft. Und da kann man ja sogar noch ein Geschenk aussuchen, zum Beispiel einen Gutschein oder das 133-teilige Werkzeugset. Und unter den ersten 500 Bestellungen werden auch drei Wireless-Kopfhörer mit Noise Cancelling verlost. Ja, und unser wunderschönes Model für diese Aktion ist der stellvertretende Chefredakteur Axel Kossel, der sich als Engel verkleidet hat. Ist doch schön, oder?

Ach so, ja, und aktuell findet ihr in der Ausgabe 27/24 über 30 herstellerunabhängige Geschenketipps, die von der Redaktion persönlich getestet und für hervorragend befunden wurden. Bestellen könnt ihr das Ganze unter ct.de/wolke3003. Tschüss!

---

c't 3003 ist der YouTube-Channel von c't. Die Videos auf c’t 3003 sind eigenständige Inhalte und unabhängig von den Artikeln im c’t Magazin. Die Redakteure Jan-Keno Janssen und Lukas Rumpler sowie die Video-Producer Şahin Erengil und Pascal Schewe veröffentlichen jede Woche ein Video.

(jkj)