Obwohl wir unser Bestes geben, um Ihnen gute Werkzeuge anzubieten, die Ihre Privatsphäre während der Benutzung eines Computers schützen, gibt es keine magische oder perfekte Lösung für ein derart komplexes Problem. Die Grenzen dieser Werkzeuge zu verstehen ist ein sehr wichtiger Schritt, um zunächst zu entscheiden, ob Tails das richtige Werkzeug für Sie ist, und um Ihnen anschließend beim sinnvollen Gebrauch zu helfen.

Tails schützt nicht vor kompromittierter Hardware

Wenn der Computer von einer Person mit physikalischem Zugriff kompromittiert wurde und Hardware installiert wurde, der nicht vertraut werden kann (beispielsweise ein Keylogger), könnte es unsicher sein, Tails zu benutzen.

Tails kann kompromittiert werden, wenn es in Systemen installiert oder benutzt wird, denen nicht vertraut wird

Wenn Sie Ihren Computer mit Tails starten, kann es nicht durch einen Virus, der in Ihrem eigentlichem Betriebssystem ist, kompromittiert werden, aber:

  • Tails sollte von einem System, dem vertraut werden kann, installiert werden. Anderenfalls könnte es während der Installation korrumpiert werden.

  • Das Anschließen eines USB-Sticks mit Tails an ein kompromittiertes Betriebssystem könnte Ihre Installation von Tails korrumpieren und den Schutz, den Tails bietet, zerstören. Benutzen Sie Ihren USB-Stick mit Tails nur dazu, um Tails zu starten.

Sehen Sie die entsprechenden FAQ.

Tails schützt nicht vor BIOS- oder Firmware-Angriffen

Es ist auch unmöglich für Tails, vor Angriffen zu schützen, die durch das BIOS oder andere, in den Computer eingebettete Firmware, durchgeführt werden. Diese werden nicht direkt durch das Betriebssystem verwaltet oder bereitgestellt und kein Betriebssystem kann vor solchen Angriffen schützen.

Sehen Sie zum Beispiel diesen BIOS-Angriff von LegbaCore.

Tor-Ausgangsrelais können Verbindungen abhören

Tor soll Ihren Aufenthaltsort verbergen, nicht Ihre Verbindung verschlüsseln.

Anstatt einen direkten Weg von der Quelle zum Ziel zu nehmen, verlaufen Verbindungen über das Tor-Netzwerk auf einem zufälligen Weg über mehrere Tor-Relais, sodass kein Beobachter an irgendeinem Ort sagen kann, wo die Daten herkamen oder wohin sie übertragen werden.

Eine Tor-Verbindung geht üblicherweise über drei Relais, wobei das letzte die eigentliche Verbindung zum Ziel herstellt

Das letzte Relais einer solchen Verbindung, das Ausgangsrelais, stellt die eigentliche Verbindung zu dem Zielserver her. Da Tor die Daten zwischen Ausgangsrelais und Zielserver nicht verschlüsselt und konzeptionell nicht verschlüsseln kann, kann jedes Ausgangsrelais jeden beliebigen durch ihn hindurch geleiteten Datenverkehr aufzeichnen. Siehe Tor FAQ: Can exit nodes eavesdrop on communications?.

Beispielsweise hat ein Sicherheitsforscher im Jahr 2007 weltweit tausende private E-Mails zwischen ausländischen Botschaften und Menschenrechtsgruppen abgehört, indem er die aus von ihm betriebenen Ausgangsrelais ausgehenden Verbindungen überwacht hat. Siehe Wired: Rogue Nodes Turn Tor Anonymizer Into Eavesdropper's Paradise.

Um sich vor solchen Angriffen zu schützen, sollten Sie Ende-zu-Ende Verschlüsselung verwenden.

Tails beinhaltet viele Werkzeuge, um Ihnen bei der Verwendung starker Verschlüsselung zu helfen, wie zum Beispiel beim Surfen im Internet, dem Versenden einer E-Mail oder im Chat, wie in unserer Über Tails Seite beschrieben.

Tails macht sichtbar, dass Sie Tor und möglicherweise Tails verwenden

Ihr Internet Service Provider (ISP) oder die Person, die das lokale Netzwerk administriert kann sehen, dass Sie sich zu einem Tor-Relais und nicht beispielsweise zu einem normalen Web-Server verbinden. Die Verwendung von Tor-Bridges in bestimmten Situationen kann Ihnen helfen, die Tatsache, dass Sie Tor verwenden, zu verschleiern.

Der Zielserver, den Sie über Tor kontaktieren, kann durch Abfragen der öffentlichen Liste von Tor-Ausgangsrelais herausfinden, ob Ihre Kommunikation einem solchen entstammt. Beispielsweise mit Hilfe des Tor Bulk Exit List Werkzeugs von The Tor Project.

Demnach lässt Sie die Verwendung von Tails nicht wie ein zufälliger Internetnutzer aussehen. Die Anonymität durch Tor und Tails funktioniert durch den Versuch, alle ihre Nutzer gleich aussehen zu lassen und so eine Unterscheidung wer wer ist, unmöglich zu machen.

Siehe auch Kann ich verschleiern, dass ich Tails verwende?

Man-in-the-Middle-Angriffe

Ein Man-in-the-Middle-Angriff (MITM) ist eine Form eines aktiven Angriffs auf ein Rechnernetz, bei dem die Angreifenden jeweils unabhängige Verbindungen zwischen den Opfern herstellen und die Nachrichten zwischen ihnen weiterleiten. Die Angreifenden täuschen den Opfern eine direkte Verbindung vor, kontrollieren aber selbst die gesamte Konversation.

Illustration eines Man-in-the-Middle-Angriffs

Bei der Verwendung von Tor sind Man-in-the-Middle-Angriffe immer noch zwischen Ausgangsrelais und Zielserver möglich. Zudem kann das Ausgangsrelais selbst als Mittelsmann agieren. Für ein Beispiel eines solchen Angriffs, siehe MW-Blog: TOR exit-node doing MITM attacks.

Nochmals sei darauf hingewiesen, dass Sie zum Schutz vor einem solchen Angriff Ende-zu-Ende Verschlüsselung verwenden sollten und währenddessen zusätzliche Sorgfalt bei der Überprüfung der Authentizität der Server walten lassen sollten.

Üblicherweise geschieht dies automatisch anhand von SSL-Zertifikaten, die von Ihrem Browser mit einer Liste anerkannter Zertifizierungsstellen abgeglichen werden. Falls Sie eine Sicherheitsausnahmemeldung, wie dargestellt, angezeigt bekommen, könnten Sie ein Opfer eines Man-in-the-Middle-Angriffs sein und sollten die Warnung nicht umgehen, es sei denn, Sie haben einen anderen vertrauenswürdigen Weg, den Fingerabdruck des Zertifikats mit den Menschen, die den Dienst betreiben, zu überprüfen.

Dieser Verbindung wird nicht vertraut

Allerdings kommt noch hinzu, dass das Vertrauensmodell mit Zertifizierungsstellen im Internet anfällig für zahlreiche Methoden der Kompromittierung ist.

Beispielsweise berichtete Comodo, eine der größten SSL-Zertifikat-Autoritäten, am 15. März 2011, dass ein Benutzungskonto mit Rechten einer Registrierungsstelle kompromittiert worden sei. Diese wurde anschließend zum Anlegen eines neuen Benutzungskontos verwendet, welches neun Signierungsanfragen für Zertifikate von sieben Domains ausgestellt hat: mail.google.com, login.live.com, www.google.com, login.yahoo.com (drei Zertifikate), login.skype.com, addons.mozilla.org, und global trustee. Siehe Comodo: The Recent RA Compromise.

Später im Jahr 2011 stellte DigiNotar, ein dänisches Unternehmen für SSL-Zertifikate, fehlerhafterweise Zertifikate für eine oder mehrere bösartige Gruppen aus. Später wurde bekannt, dass das Unternehmen bereits Monate zuvor, vielleicht im Mai 2009, oder sogar noch früher, kompromittiert wurde. Gefälschte Zertifikate wurden für Domains, wie google.com, mozilla.org, torproject.org, login.yahoo.com und viele weitere, ausgestellt. Siehe The Tor Project: The DigiNotar Debacle, and what you should do about it.

Man-in-the-Middle-Angriffe sind daher immer noch möglich, selbst wenn Ihr Browser der HTTPS-Verbindung vertraut.

Durch das Bereitstellen von Anonymität macht es Tor einerseits schwieriger, einen Man-in-the-Middle-Angriff mit bösartigen SSL-Zertifikaten gegen eine bestimmte Person durchzuführen. Aber andererseits erleichtert Tor Menschen und Organisationen, die Ausgangsrelais betreiben, umfangreiche MITM Angriffsversuche durchzuführen, oder gezielte Angriffe gegen einen bestimmten Server durchzuführen, insbesondere solche, bei denen die Nutzer Tor verwenden.

Zitiert aus Wikipedia: Man-in-the-Middle-Angriff, Wikipedia: Comodo Group#Certificate hacking und Tor Project: Detecting Certificate Authority compromises and web browser collusion.

Bestätigungsangriffe

Das Konzept von Tor versucht nicht vor Angreifenden zu schützen, die sowohl in das Tor-Netz hineingehende, als auch daraus ausgehende übertragene Daten sehen oder messen können. Daher kann man bei Kenntnis beider Datenflüsse durch einfache Wahrscheinlichkeitsrechnung entscheiden, ob sie zusammen passen.

Dies ist auch möglich, wenn Ihr ISP (oder Administrator des lokalen Netzwerks) und der ISP des Zielservers (oder der Zielserver selbst) bei einem Angriff gegen Sie zusammenarbeiten.

Tor versucht dort vor Datenflussanalyse zu schützen, wo Angreifende versuchen zu lernen, wer auszuforschen ist. Aber Tor kann nicht vor Datenflussbestätigung (auch bekannt als Ende-zu-Ende Korrelation) schützen, bei der Angreifende durch Beobachten der richtigen Stellen im Netzwerk und anschließender mathematischer Auswertung, eine Annahme zu bestätigen versuchen.

Zitiert aus Tor Project: "One cell is enough to break Tor's anonymity".

Tails verschlüsselt Ihre Dokumente standardmäßig nicht

Standardmäßig werden Dokumente, die Sie möglicherweise auf einem Datenträger speichern, nicht verschlüsselt, außer im verschlüsselten beständigen Speicherbereich. Allerdings enthält Tails Werkzeuge zum Verschlüsseln von Dokumenten, wie GnuPG, oder Datenträgern, wie LUKS.

Es ist auch wahrscheinlich, dass die Dateien, die Sie erstellen, Beweise dafür enthalten, dass Sie mithilfe von Tails erstellt wurden.

Wenn Sie Zugriff auf die lokale Festplatte des verwendeten Computers benötigen, seien Sie sich bewusst, dass Sie darauf eine Spur der Aktivitäten von Tails hinterlassen können.

Tails bereinigt Ihre Dokumente nicht von Metadaten und verschlüsselt weder die Betreffzeile noch andere Header-Zeilen Ihrer verschlüsselten E-Mails

Eine Vielzahl an Dateiformaten speichern versteckte Daten oder Metadaten in den Dateien. Textverarbeitungsprogramme oder PDF Dateien könnten den Namen der Person, die die Datei erstellt hat, Datum und Uhrzeit der Erstellung der Datei, und manchmal sogar Teile der Änderungshistorie der Datei speichern, je nachdem, welches Dateiformat und welche Software benutzt wurde.

Bitte beachten Sie auch, dass die Betreffzeile und die anderen Header-Zeilen in einer OpenPGP-verschlüsselten E-Mail nicht verschlüsselt sind. Das ist kein Fehler in Tails oder dem OpenPGP Protokoll; es ist ein Ergebnis der Abwärtskompatibilität mit dem ursprünglichen SMTP Protokoll. Leider existieren noch keine RFC-Standards, die die Verschlüsselung der Betreffzeile gestatten.

Bilddateiformate, wie TIFF oder JPEG, schießen hier möglicherweise den Vogel ab. Diese Dateien, die von Digitalkameras oder Handys erstellt werden, beinhalten Metadaten im EXIF-Format, die Datum und Uhrzeit und manchmal auch GPS-Koordinaten des Aufnahmeorts, Marke und Seriennummer des Aufnahmegeräts, als auch ein Vorschaubild des Originalbildes beinhalten können. Bildverarbeitungssoftware neigt dazu, diese Daten intakt zu lassen. Das Internet ist voller zugeschnittener oder unscharf gemachter Fotos, bei denen das EXIF-Vorschaubild dennoch die komplette Originalaufnahme zeigt.

Tails bereinigt Ihre Dateien nicht von Metadaten für Sie. Noch nicht. Denn es ist eines der gewünschten Designziele von Tails Sie dabei zu unterstützen. Beispielsweise beinhaltet Tails bereits den Metadata anonymisation toolkit.

Tor schützt Sie nicht vor globalen Angreifenden

Eine globale, passiv angreifende Partei wäre die Person oder Institution mit der Fähigkeit, gleichzeitig den gesamten Datenverkehr aller Computer in einem Netzwerk zu beobachten. Beispielsweise wäre es durch die Analyse von Zeit- und Volumenmustern der unterschiedlichen Kommunikation im Netzwerk statistisch möglich, Tor-Verbindungen zu identifizieren und so Tor-Nutzer und Zielserver abzugleichen.

Es ist ein Teil der grundlegenden Abwägung in Tor, diese Bedrohung nicht zu beachten, um einen Kommunikationsdienst mit niedriger Latenz für Webbrowsing, Internet-Chat oder SSH-Verbindungen zu schaffen.

Für weiterführende Informationen lesen Sie das Tor-Entwurfspapier "Tor Project: The Second-Generation Onion Router", vor allem "Teil 3. Design goals and assumptions".

Tails besitzt keinen magischen Mechanismus, um Ihre Identitäten für verschiedene Kontexte zu trennen

Im Allgemeinen sei davon abgeraten, dieselbe Tails-Sitzung für zwei verschiedene Aufgaben oder zwei kontextabhängige Identitäten zu verwenden, sofern Sie diese wirklich voneinander getrennt wissen möchten. Zum Beispiel für das Verbergen Ihres Aufenthaltsorts zum Empfangen Ihrer E-Mails und für die anonyme Veröffentlichung eines Dokuments.

Erstens, da Tor dazu tendiert dieselbe Verbindung zu verwenden, beispielsweise innerhalb derselben Browser-Sitzung. Da das Ausgangsrelais einer Verbindung sowohl den Zielserver (und, sofern nicht verschlüsselt, möglicherweise den Inhalt der Kommunikation), als auch die Adresse des vorangegangenen Relais von dem die Kommunikation kam, kennt, erleichtert dies die Erkennung verschiedener Anfragen an Webseiten derselben Verbindung und möglicherweise derselben Benutzenden. Falls Sie sich globalen Angreifenden, wie oben beschrieben, ausgesetzt sehen, könnten diese auch zur Durchführung dieser Korrelation in der Lage sein.

Zweitens kann, im Falle einer Sicherheitslücke oder falscher Bedienung von Tails oder einer der Anwendungen, Information über Ihre Sitzung nach außen gelangen. Das könnte aufdecken, dass dieselbe Person hinter diversen Handlungen während dieser Sitzung steckt.

Die Lösung für beide Szenarien ist, Tails jedes Mal herunterzufahren und neuzustarten, wenn Sie eine neue Identität verwenden und diese besser voneinander trennen möchten.

Wie in unserer Dokumentation über den Tor Browser beschrieben wird, ist die Neue Identität Funktion keine perfekte Lösung, um Identitäten für verschiedene Kontexte zu trennen. Wie zudem in der FAQ erklärt wird, bietet Tails keine systemweite Funktion für Neue Identität. Fahren Sie stattdessen Tails herunter und starten Sie es neu.

Tails macht Ihre schlechten Passwörter nicht sicherer

Tor ermöglicht Ihnen Anonymität im Internet; Tails ermöglicht Ihnen, keine Spuren auf dem verwendeten Computer zu hinterlassen. Trotzdem ist keines von beiden ein magischer Zauber für Computersicherheit.

Falls Sie schwache Passwörter verwenden, können diese durch Brute-Force Angriffe erraten werden, unabhängig davon, ob Sie Tails verwenden oder nicht. Um herauszufinden, ob Ihr Passwort schwach ist, oder um bewährte Praktiken für sichere Passwörter zu erlernen, können Sie Wikipedia: Weak Passwords lesen.

Tails ist ständig in Bearbeitung

Tails und die gesamte mitgelieferte Software werden ständig weiterentwickelt und können Programmierfehler oder Sicherheitslücken enthalten.