Obwohl wir unser Bestes geben, um Ihnen gute Werkzeuge anzubieten, die Ihre Privatsphäre während der Benutzung eines Computers schützen, gibt es keine magische oder perfekte Lösung für ein derart komplexes Problem. Die Grenzen dieser Werkzeuge zu verstehen ist ein sehr wichtiger Schritt, um zunächst zu entscheiden, ob Tails das richtige Werkzeug für Sie ist, und um Ihnen anschließend beim sinnvollen Gebrauch zu helfen.

Tails does not protect against compromised hardware

Wenn der Computer von einer Person mit physikalischem Zugriff kompromittiert wurde und Hardware installiert wurde, der nicht vertraut werden kann (beispielsweise ein Keylogger), könnte es unsicher sein, Tails zu benutzen.

Tails can be compromised if installed or plugged in untrusted systems

Wenn Sie Ihren Computer mit Tails starten, kann es nicht durch einen Virus, der in Ihrem eigentlichem Betriebssystem ist, kompromittiert werden, aber:

  • Tails sollte von einem System, dem vertraut werden kann, installiert werden. Anderenfalls könnte es während der Installation korrumpiert werden.

  • Das Anschließen eines USB-Sticks mit Tails an ein kompromittiertes Betriebssystem könnte Ihre Installation von Tails korrumpieren und den Schutz, den Tails bietet, zerstören. Benutzen Sie Ihren USB-Stick mit Tails nur dazu, um Tails zu starten.

Sehen Sie die entsprechenden FAQ.

Tails does not protect against BIOS or firmware attacks

Es ist auch unmöglich für Tails, vor Angriffen zu schützen, die durch das BIOS oder andere, in den Computer eingebettete Firmware, durchgeführt werden. Diese werden nicht direkt durch das Betriebssystem verwaltet oder bereitgestellt und kein Betriebssystem kann vor solchen Angriffen schützen.

Sehen Sie zum Beispiel diesen BIOS-Angriff von LegbaCore.

Tor exit nodes can eavesdrop on communications

Tor soll Ihren Aufenthaltsort verbergen, nicht Ihre Verbindung verschlüsseln.

Anstatt einen direkten Weg von der Quelle zum Ziel zu nehmen, verlaufen Verbindungen über das Tor-Netzwerk auf einem zufälligen Weg über mehrere Tor-Relais, sodass kein Beobachter an irgendeinem Ort sagen kann, wo die Daten herkamen oder wohin sie übertragen werden.

Eine Tor-Verbindung geht üblicherweise über drei Relais, wobei das letzte die eigentliche Verbindung zum Ziel herstellt

The last relay on this circuit, called the exit node, is the one that establishes the actual connection to the destination server. As Tor does not, and by design cannot, encrypt the traffic between an exit node and the destination server, any exit node is in a position to capture any traffic passing through it. See Tor FAQ: Can exit nodes eavesdrop on communications?.

Beispielsweise hat ein Sicherheitsforscher im Jahr 2007 weltweit tausende private E-Mails zwischen ausländischen Botschaften und Menschenrechtsgruppen abgehört, indem er die aus von ihm betriebenen Ausgangsrelais ausgehenden Verbindungen überwacht hat. Siehe Wired: Rogue Nodes Turn Tor Anonymizer Into Eavesdropper's Paradise.

Um sich vor solchen Angriffen zu schützen, sollten Sie Ende-zu-Ende Verschlüsselung verwenden.

Tails beinhaltet viele Werkzeuge, um Ihnen bei der Verwendung starker Verschlüsselung zu helfen, wie zum Beispiel beim Surfen im Internet, dem Versenden einer E-Mail oder im Chat, wie in unserer Über Tails Seite beschrieben.

Tails makes it clear that you are using Tor and probably Tails

Ihr Internet Service Provider (ISP) oder die Person, die das lokale Netzwerk administriert kann sehen, dass Sie sich zu einem Tor-Relais und nicht beispielsweise zu einem normalen Web-Server verbinden. Die Verwendung von Tor-Bridges in bestimmten Situationen kann Ihnen helfen, die Tatsache, dass Sie Tor verwenden, zu verschleiern.

The destination server that you are contacting through Tor can know whether your communication comes from a Tor exit node by consulting the publicly available list of exit nodes that might contact it. For example using the Tor Bulk Exit List tool from the Tor Project.

Demnach lässt Sie die Verwendung von Tails nicht wie ein zufälliger Internetnutzer aussehen. Die Anonymität durch Tor und Tails funktioniert durch den Versuch, alle ihre Nutzer gleich aussehen zu lassen und so eine Unterscheidung wer wer ist, unmöglich zu machen.

Siehe auch Kann ich verschleiern, dass ich Tails verwende?

Man-in-the-middle attacks

Ein Man-in-the-Middle-Angriff (MITM) ist eine Form eines aktiven Angriffs auf ein Rechnernetz, bei dem die Angreifenden jeweils unabhängige Verbindungen zwischen den Opfern herstellen und die Nachrichten zwischen ihnen weiterleiten. Die Angreifenden täuschen den Opfern eine direkte Verbindung vor, kontrollieren aber selbst die gesamte Konversation.

Bei der Verwendung von Tor sind Man-in-the-Middle-Angriffe immer noch zwischen Ausgangsrelais und Zielserver möglich. Zudem kann das Ausgangsrelais selbst als Mittelsmann agieren. Für ein Beispiel eines solchen Angriffs, siehe MW-Blog: TOR exit-node doing MITM attacks.

Nochmals sei darauf hingewiesen, dass Sie zum Schutz vor einem solchen Angriff Ende-zu-Ende Verschlüsselung verwenden sollten und währenddessen zusätzliche Sorgfalt bei der Überprüfung der Authentizität der Server walten lassen sollten.

Üblicherweise geschieht dies automatisch anhand von SSL-Zertifikaten, die von Ihrem Browser mit einer Liste anerkannter Zertifizierungsstellen abgeglichen werden. Falls Sie eine Sicherheitsausnahmemeldung, wie dargestellt, angezeigt bekommen, könnten Sie ein Opfer eines Man-in-the-Middle-Angriffs sein und sollten die Warnung nicht umgehen, es sei denn, Sie haben einen anderen vertrauenswürdigen Weg, den Fingerabdruck des Zertifikats mit den Menschen, die den Dienst betreiben, zu überprüfen.

Dieser Verbindung wird nicht vertraut

Allerdings kommt noch hinzu, dass das Vertrauensmodell mit Zertifizierungsstellen im Internet anfällig für zahlreiche Methoden der Kompromittierung ist.

Beispielsweise berichtete Comodo, eine der größten SSL-Zertifikat-Autoritäten, am 15. März 2011, dass ein Benutzungskonto mit Rechten einer Registrierungsstelle kompromittiert worden sei. Diese wurde anschließend zum Anlegen eines neuen Benutzungskontos verwendet, welches neun Signierungsanfragen für Zertifikate von sieben Domains ausgestellt hat: mail.google.com, login.live.com, www.google.com, login.yahoo.com (drei Zertifikate), login.skype.com, addons.mozilla.org, und global trustee. Siehe Comodo: The Recent RA Compromise.

Später im Jahr 2011 stellte DigiNotar, ein dänisches Unternehmen für SSL-Zertifikate, fehlerhafterweise Zertifikate für eine oder mehrere bösartige Gruppen aus. Später wurde bekannt, dass das Unternehmen bereits Monate zuvor, vielleicht im Mai 2009, oder sogar noch früher, kompromittiert wurde. Gefälschte Zertifikate wurden für Domains, wie google.com, mozilla.org, torproject.org, login.yahoo.com und viele weitere, ausgestellt. Siehe The Tor Project: The DigiNotar Debacle, and what you should do about it.

Man-in-the-Middle-Angriffe sind daher immer noch möglich, selbst wenn Ihr Browser der HTTPS-Verbindung vertraut.

Durch das Bereitstellen von Anonymität macht es Tor einerseits schwieriger, einen Man-in-the-Middle-Angriff mit bösartigen SSL-Zertifikaten gegen eine bestimmte Person durchzuführen. Aber andererseits erleichtert Tor Menschen und Organisationen, die Ausgangsrelais betreiben, umfangreiche MITM Angriffsversuche durchzuführen, oder gezielte Angriffe gegen einen bestimmten Server durchzuführen, insbesondere solche, bei denen die Nutzer Tor verwenden.

Zitiert aus Wikipedia: Man-in-the-Middle-Angriff, Wikipedia: Comodo Group#Certificate hacking und Tor Project: Detecting Certificate Authority compromises and web browser collusion.

Confirmation attacks

Das Konzept von Tor versucht nicht vor Angreifenden zu schützen, die sowohl in das Tor-Netz hineingehende, als auch daraus ausgehende übertragene Daten sehen oder messen können. Daher kann man bei Kenntnis beider Datenflüsse durch einfache Wahrscheinlichkeitsrechnung entscheiden, ob sie zusammen passen.

Dies ist auch möglich, wenn Ihr ISP (oder Administrator des lokalen Netzwerks) und der ISP des Zielservers (oder der Zielserver selbst) bei einem Angriff gegen Sie zusammenarbeiten.

Tor versucht dort vor Datenflussanalyse zu schützen, wo Angreifende versuchen zu lernen, wer auszuforschen ist. Aber Tor kann nicht vor Datenflussbestätigung (auch bekannt als Ende-zu-Ende Korrelation) schützen, bei der Angreifende durch Beobachten der richtigen Stellen im Netzwerk und anschließender mathematischer Auswertung, eine Annahme zu bestätigen versuchen.

Zitiert aus Tor Project: "One cell is enough to break Tor's anonymity".

Tails doesn't encrypt your documents by default

The documents that you might save on storage devices are not encrypted by default, except in the Persistent Storage, which is entirely encrypted. But Tails provides you with tools to encrypt your documents, such as GnuPG, or encrypt your storage devices, such as LUKS.

It is also likely that the files you might create will contain evidence that they were created using Tails.

If you need to access the local hard-disks of the computer you are using, be conscious that you might then leave traces of your activities with Tails on it.

Tails bereinigt Ihre Dokumente nicht von Metadaten und verschlüsselt weder die Betreffzeile noch andere Header-Zeilen Ihrer verschlüsselten E-Mails

Eine Vielzahl an Dateiformaten speichern versteckte Daten oder Metadaten in den Dateien. Textverarbeitungsprogramme oder PDF Dateien könnten den Namen der Person, die die Datei erstellt hat, Datum und Uhrzeit der Erstellung der Datei, und manchmal sogar Teile der Änderungshistorie der Datei speichern, je nachdem, welches Dateiformat und welche Software benutzt wurde.

Bitte beachten Sie auch, dass die Betreffzeile und die anderen Header-Zeilen in einer OpenPGP-verschlüsselten E-Mail nicht verschlüsselt sind. Das ist kein Fehler in Tails oder dem OpenPGP Protokoll; es ist ein Ergebnis der Abwärtskompatibilität mit dem ursprünglichen SMTP Protokoll. Leider existieren noch keine RFC-Standards, die die Verschlüsselung der Betreffzeile gestatten.

Bilddateiformate, wie TIFF oder JPEG, schießen hier möglicherweise den Vogel ab. Diese Dateien, die von Digitalkameras oder Handys erstellt werden, beinhalten Metadaten im EXIF-Format, die Datum und Uhrzeit und manchmal auch GPS-Koordinaten des Aufnahmeorts, Marke und Seriennummer des Aufnahmegeräts, als auch ein Vorschaubild des Originalbildes beinhalten können. Bildverarbeitungssoftware neigt dazu, diese Daten intakt zu lassen. Das Internet ist voller zugeschnittener oder unscharf gemachter Fotos, bei denen das EXIF-Vorschaubild dennoch die komplette Originalaufnahme zeigt.

Tails bereinigt Ihre Dateien nicht von Metadaten für Sie. Noch nicht. Denn es ist eines der gewünschten Designziele von Tails Sie dabei zu unterstützen. Beispielsweise beinhaltet Tails bereits den Metadata anonymisation toolkit.

Tor doesn't protect you from a global adversary

Eine globale, passiv angreifende Partei wäre die Person oder Institution mit der Fähigkeit, gleichzeitig den gesamten Datenverkehr aller Computer in einem Netzwerk zu beobachten. Beispielsweise wäre es durch die Analyse von Zeit- und Volumenmustern der unterschiedlichen Kommunikation im Netzwerk statistisch möglich, Tor-Verbindungen zu identifizieren und so Tor-Nutzer und Zielserver abzugleichen.

Es ist ein Teil der grundlegenden Abwägung in Tor, diese Bedrohung nicht zu beachten, um einen Kommunikationsdienst mit niedriger Latenz für Webbrowsing, Internet-Chat oder SSH-Verbindungen zu schaffen.

Für weiterführende Informationen lesen Sie das Tor-Entwurfspapier "Tor Project: The Second-Generation Onion Router", vor allem "Teil 3. Design goals and assumptions".

Tails doesn't magically separate your different contextual identities

Im Allgemeinen sei davon abgeraten, dieselbe Tails-Sitzung für zwei verschiedene Aufgaben oder zwei kontextabhängige Identitäten zu verwenden, sofern Sie diese wirklich voneinander getrennt wissen möchten. Zum Beispiel für das Verbergen Ihres Aufenthaltsorts zum Empfangen Ihrer E-Mails und für die anonyme Veröffentlichung eines Dokuments.

Erstens, da Tor dazu tendiert dieselbe Verbindung zu verwenden, beispielsweise innerhalb derselben Browser-Sitzung. Da das Ausgangsrelais einer Verbindung sowohl den Zielserver (und, sofern nicht verschlüsselt, möglicherweise den Inhalt der Kommunikation), als auch die Adresse des vorangegangenen Relais von dem die Kommunikation kam, kennt, erleichtert dies die Erkennung verschiedener Anfragen an Webseiten derselben Verbindung und möglicherweise derselben Benutzenden. Falls Sie sich globalen Angreifenden, wie oben beschrieben, ausgesetzt sehen, könnten diese auch zur Durchführung dieser Korrelation in der Lage sein.

Zweitens kann, im Falle einer Sicherheitslücke oder falscher Bedienung von Tails oder einer der Anwendungen, Information über Ihre Sitzung nach außen gelangen. Das könnte aufdecken, dass dieselbe Person hinter diversen Handlungen während dieser Sitzung steckt.

Die Lösung für beide Szenarien ist, Tails jedes Mal herunterzufahren und neuzustarten, wenn Sie eine neue Identität verwenden und diese besser voneinander trennen möchten.

Die New Identity Funktion des Tor Browsers ist auf den Browser beschränkt.

Es gibt keinen New Identity Schalter für Tails als ganzes.

Tails doesn't make your crappy passwords stronger

Tor ermöglicht Ihnen Anonymität im Internet; Tails ermöglicht Ihnen, keine Spuren auf dem verwendeten Computer zu hinterlassen. Trotzdem ist keines von beiden ein magischer Zauber für Computersicherheit.

Falls Sie schwache Passwörter verwenden, können diese durch Brute-Force Angriffe erraten werden, unabhängig davon, ob Sie Tails verwenden oder nicht. Um herauszufinden, ob Ihr Passwort schwach ist, oder um bewährte Praktiken für sichere Passwörter zu erlernen, können Sie Wikipedia: Weak Passwords lesen.

Tails is a work in progress

Tails und die gesamte mitgelieferte Software werden ständig weiterentwickelt und können Programmierfehler oder Sicherheitslücken enthalten.