Aus Linux-Magazin 04/2025

Inkognito im Internet: Privacy-orientierte Distributionen

© zamollxis / 123RF.com

Linux gilt von Haus aus bereits als sehr sicher. Es lässt sich durch passende Werkzeuge und Dienste weiter härten, um weitgehend anonym im Internet surfen zu können. Wir stellen die drei wichtigsten speziellen Distributionen dafür vor.

International agierende Werbenetzwerke verfolgen Anwender im Internet, um ihr Surfverhalten auszuspionieren. Geheimdienste und Strafverfolger interessieren sich für die Onlineaktivitäten der Nutzer, wobei gelegentlich Unbeteiligte in den Fokus geraten. Kriminelle starten gezielt Angriffe auf Computersysteme, um sich illegal zu bereichern oder Schaden anzurichten. All diese Akteure nutzen Sicherheitslücken oder Schwächen in zumeist proprietären Betriebssystemen und Anwendungsprogrammen aus, wobei häufig Webbrowser als Einfallstor fungieren.

Diese Gefahren betreffen nicht nur private Anwender, sondern können sich sogar für Organisationen existenzbedrohend auswirken. Besonders betroffene Berufsgruppen wie Ärzte, Juristen, Journalisten, Geistliche und Entscheider in Unternehmen sollten ihre gesamten Aktivitäten im Internet deshalb unbedingt absichern. Dabei sind nicht nur das Betriebssystem und Applikationsprogramme zu berücksichtigen, sondern auch die teils aggressiv-invasiven Methoden der Werbenetzwerke. Sie ignorieren jeden effizienten Datenschutz und treten die Datensouveränität der Anwender mit Füßen.

Dieser sehr umfangreichen und sich stetig verändernden Problematik begegnet man am besten mit speziell gehärteten Arbeitsumgebungen, die viele Problemquellen gleichermaßen adressieren. Pfiffige Entwickler haben auf der Basis quelloffener Software und dem ebenfalls freien Betriebssystem Linux komplette Distributionen zusammengestellt, die dem Anwender bei der Bewältigung der alltäglichen Aufgaben im Internet und am Computer ein Höchstmaß an Sicherheit und Anonymität bieten.

Konzept

Anonymisierende Arbeitsumgebungen haben gegenüber herkömmlichen Betriebssystemen den Vorteil, dass sie bereits konzeptionell auf eine möglichst hohe Datensparsamkeit abzielen. Datenbestände, die man gar nicht erst erzeugt, können nicht ausspioniert werden.

Den Internetzugang stellen solche Systeme daher meist mithilfe von Tunneling-Technologien her. Dabei erhöhen das Tor-Netzwerk [1] und VPNs Sicherheit und Anonymität. Darüber hinaus lassen sich die Dienste mit einer DNS-Verschlüsselung kombinieren, um Man-in-the-Middle-Angriffe zum Ausspähen des Surfverhaltens zu verhindern. Diese Technologien greifen speziell bei der Nutzung öffentlicher WLANs, beispielsweise in Flughäfen, Bahnhöfen oder Restaurants, und ermöglichen beim Surfen maximale Anonymität.

Inhaltsspezifische Maßnahmen ergänzen diese netzwerkspezifische Absicherung des Internetzugangs. Dazu zählen vor allem Verfahren zum Verschlüsseln der persönlichen Kommunikation. Das betrifft primär E-Mails, aber auch die über Instant Messenger geführte Kommunikation. Angehörige besonders vulnerabler Berufsgruppen sollten zudem alle Dokumente und Dateien verschlüsseln, die sie über das Internet versenden. Zusätzliche Sicherheit bieten dezentrale Kommunikationsstrukturen, bei denen die Daten nicht über einen zentralen Server laufen.

Für den anonymen Internetzugang eignet sich ein fest installiertes Betriebssystem nur bedingt: Bei seiner Nutzung hinterlässt der Anwender stets individuelle Daten auf dem Massenspeicher. Durch deren forensische Auswertung, beispielsweise über das Auslesen von Cache-, Verlaufs- und Protokolldateien, können Unbefugte an nicht für sie bestimmte Informationen gelangen. Speziell gehärtete Distributionen laufen deshalb besser von einem Wechseldatenträger aus, sodass sie keine Spuren auf dem jeweiligen Host-Computer hinterlassen.

Um dieses Konzept jedoch wirklich erfolgreich umzusetzen, muss ein System die erforderlichen Sicherheitsmaßnahmen mithilfe grafischer Werkzeuge auch für Endanwender ohne tiefergehende IT-Kenntnisse nutzbar machen. Darum verfügen anonymisierende Distributionen über einen grafischen Desktop samt entsprechender Frontends, mit deren Hilfe der Anwender Daten und Zugänge mit wenigen Mausklicks bearbeitet.

Linux Kodachi

Linux Kodachi [2] oder kurz Kodachi ist ein bereits seit rund zwölf Jahren kontinuierlich gepflegtes Linux-Derivat aus dem Oman. In der derzeit aktuellen Version 8.27 basiert es auf Xubuntu 18.04 LTS. Das bereits zu mehr als zwei Dritteln fertiggestellte und für das Frühjahr 2025 angekündigte nächste Major Release Linux Kodachi 9 wechselt zu Debian 12 “Bookworm” als Basis.

Nach Angaben des Projektgründers und Hauptentwicklers Warith Al Maawali besteht der Zweck des Systems darin, Anwendern eine möglichst sichere komplette Arbeitsumgebung zu bieten. Das Betriebssystem soll sich als Allrounder verwenden und von Endnutzern ohne profunde Kenntnisse der Kommandozeile problemlos einsetzen lassen. Dazu integriert das Xubuntu-Derivat neben gängigen quelloffenen Werkzeugen zur Anonymisierung des Internetzugangs diverse eigenentwickelte grafische Frontends, die den Umgang mit dem gesamten System erleichtern und die Bedienergonomie erhöhen.

Installation

Sie beziehen Linux Kodachi in der Version 8.27 als knapp 3 GByte großes ISO-Abbild [3] von der Website des Projekts. Dort finden Sie darüber hinaus noch ein mit dem älteren Kernel 5.4.231 ausgestattetes Image [4], das verschiedene Broadcom-WLAN-Module mit proprietären Firmware-Blobs unterstützt. Beide Abbilder laufen ausschließlich auf 64-Bit-Hardware, auf 32-Bit-Computern können Sie Linux Kodachi nicht verwenden. Den Quellcode der aktuellen Version finden Sie bei Interesse auf der Github-Seite [5] des Projekts.

Nach dem Herunterladen transferieren Sie das System auf einen Wechseldatenträger, von dem Sie es anschließend starten. Eine Installation auf einem fest verbauten Massenspeicher sieht das Live-Medium nicht vor. Die Entwickler stellen jedoch auf der Github-Seite des Projekts zwei Kurzanleitungen bereit, die den Einsatz des Xubuntu-Derivats in virtuellen Maschinen unter Oracle Virtualbox und VMware Workstation beschreiben. In der VM läuft Linux Kodachi dann jeweils im Live-Modus.

Erster Eindruck

Beim Hochfahren des Systems erscheint zunächst ein konventionelles Grub-Bootmenü mit zahlreichen Einträgen (Abbildung 1). Starten Sie Kodachi von einem wiederbeschreibbaren Medium, können Sie beispielsweise einen persistenten verschlüsselten Datenbereich anlegen (kodachi Encrypted persistence). Für Freunde der Kommandozeile steht außerdem ein Textmodus im Terminal zur Verfügung (kodachi Terminal text mode). Endanwender starten das System üblicherweise über kodachi Full RAM mode. Diese Variante kopiert das komplette System in den Arbeitsspeicher und betreibt es von dort aus.

Abbildung 1: Linux Kodachi bietet beim Start zahlreiche Optionen.

Abbildung 1: Linux Kodachi bietet beim Start zahlreiche Optionen.

Nach dem Hochfahren präsentiert das System einen in dunklen Farbtönen gehaltenen, stark angepassten XFCE-Desktop. Durch eine Vielzahl an Informationen und zahlreichen Icons wirkt die Arbeitsoberfläche zunächst etwas unübersichtlich (Abbildung 2). Als prominenteste Elemente stechen mehrere am linken Rand angeordnete Icons sowie ein Cairo-Dock mit zahlreichen Applikationsgruppen unten in der Mitte ins Auge. Ganz links gibt es eine vertikale Panel-Leiste mit einem herkömmlichen System-Tray und einigen Startern für Applikationen.

Abbildung 2: Die Arbeitsoberfläche von Linux Kodachi ist wegen der vielen abgebildeten Elemente zunächst gewöhnungsbedürftig.

Abbildung 2: Die Arbeitsoberfläche von Linux Kodachi ist wegen der vielen abgebildeten Elemente zunächst gewöhnungsbedürftig.

Die rechte Hälfte der Arbeitsoberfläche dominiert eine Instanz des Systemmonitors Conky. Er blendet in drei Spalten zahlreiche Informationen hauptsächlich zu den Netzwerkdiensten ein, liefert aber daneben einige grundlegende Angaben zum System und zur Auslastung einzelner Komponenten. Es lässt sich gut erkennen, dass das System den Zugang zum Internet mithilfe eines eigenen VPNs und über den Tor-Dienst freischaltet. Hier sehen Sie neben dem Endpunkt des VPNs den Exit-Knoten des Tor-Diensts. Zudem ist ein mithilfe von DNSCrypt verschlüsselnder DNS-Proxy voreingestellt aktiv.

Unterhalb der Conky-Anzeige gibt es am rechten Rand noch eine kleine vertikale Steuerleiste. Darin finden Sie einige grafische Anzeigen zur Systemauslastung sowie zwei Buttons zum Beenden einer Sitzung und zum Sperren des Bildschirms.

Über das unterste Icon links auf dem Desktop, Install_Kodachi_Offline.desktop, starten Sie bei Bedarf den von Ubuntu bekannten Ubiquity-Installer, der das Betriebssystem auf einem in den Computer eingebauten Massenspeicher einrichtet. Nach dem Öffnen der Installationsroutine beendet die Routine alle Netzwerkdienste und deaktiviert den Internetzugang. Dann packt der Installer in wenigen Schritten das Xubuntu-Derivat auf eine Festplatte oder SSD.

Ist das erledigt, können Sie nach einem Neustart das Betriebssystem ohne funktionale Einschränkungen vom lokalen Massenspeicher aus verwenden. Der Internetzugang erfolgt wie bei der Live-Variante via VPN, das Tor-Netzwerk und DNSCrypt.

Webbrowser

Linux Kodachi kommt mit einer Fülle von Webbrowsern mit unterschiedlichen Sicherheitsniveaus: Der Kodachi Loaded Browser auf Basis einer älteren Firefox-Version ist mit zahlreichen Addons für das höchste Sicherheitsniveau vorkonfiguriert. Da alle ein- und ausgehenden Datenpakete durch das Tor-Netzwerk laufen, kann es zu Verzögerungen beim Laden von Inhalten kommen. Außerdem unterbinden die strikten Sicherheitseinstellungen die Anzeige mancher Seiten. Weniger martialisch gibt sich der Kodachi Lite Browser, der ebenfalls auf Firefox basiert, aber keine Tor-Instanz zum Durchleiten von Datenpaketen verwendet.

Anwender mit einem erhöhten Sicherheitsbedürfnis bei der Arbeit im Internet adressiert der Kodachi ghacks Browser. Er integriert verschiedene vom Ghacks-Projekt entwickelte Erweiterungen und nutzt das Tor-Netzwerk. Hinzu kommen ein herkömmlicher Firefox und der Tor-Browser. Als Exot findet sich außerdem der auf Chromium basierende Sphere Browser, der ebenfalls via Tor-Netzwerk agiert.

Software

Der vorinstallierte Softwarebestand von Kodachi reicht für die meisten alltäglichen Anwendungsszenarien vollkommen aus. Neben den üblichen Standardprogrammen für den Einsatz in Büroumgebungen umfasst er Multimediaapplikationen und Desktop-spezifische kleine Zusatzpakete wie Kalender- oder Notizanwendungen. Eine Reihe von Instant-Messenger-Clients zur abgesicherten Kommunikation rundet das Angebot ab.

Im Untermenü Security findet sich darüber hinaus eine Fülle an Programmen, die der Systemsicherheit dienen. Neben mehreren Firewall-Applikationen finden Sie hier diverse Anwendungen zur Dateiverschlüsselung, zum Passwortmanagement und zur Dateiverwaltung. So befreien Sie mithilfe von Bleachbit Ihre Datenträger von obsoleten Datenbeständen oder entfernen mittels ExifCleaner verschiedene Metadaten aus Fotografien.

Das Dashboard

Über das Kodachi Dashboard, das Sie über den ersten Button unten links in der Dockleiste erreichen, behalten Sie jederzeit die Auslastung der wichtigsten Systemkomponenten im Auge (Abbildung 3). Zudem verändern Sie bei Bedarf über die entsprechenden Reiter im unteren Bereich des Dashboards im laufenden Betrieb die Netzwerkkonfiguration.

Abbildung 3: Vorbildlich gel&ouml;st: Systeminformationen und Konfigurationsoptionen im <span class="ui-element">Kodachi Dashboard</span>.

Abbildung 3: Vorbildlich gelöst: Systeminformationen und Konfigurationsoptionen im Kodachi Dashboard.

Im Reiter VPN wählen Sie beispielsweise anstelle des voreingestellten Kodachi-VPN ein virtuelles privates Netz eines anderen Anbieters. Dazu stehen mehrere Alternativen zur Wahl, die Sie nach dem Markieren durch einen Mausklick und einen anschließenden Klick auf Connect oder Disconnect ein- beziehungsweise ausschalten. Die einzelnen VPN-Anbindungen lassen sich individuell konfigurieren, und Sie können sogar einen Geschwindigkeitstest vornehmen. Für die alternativen VPN-Verbindungen benötigen Sie ein in der Regel kostenpflichtiges Konto beim jeweiligen Anbieter.

Der Reiter TOR gestattet die individuelle Konfiguration des Tor-Zugangs. Dabei lässt sich der Dienst mit unterschiedlichen Knoten und Länderfiltern sowie in Abhängigkeit von einem aktiven VPN-Zugang konfigurieren. Die Option TOR kill switch sorgt zudem auf Wunsch für eine komplette Blockade des Internetzugangs im Falle einer deaktivierten Tor-Verbindung oder bei abgeschaltetem VPN.

Zu viel des Guten

Die enorme Softwarevielfalt (Abbildung 4) für die meisten Anwendungsszenarien erschwert es Ein- und Umsteigern, gleich die richtige Wahl zu treffen. So gibt es beispielsweise mehrere kleine Anwendungen zum Anlegen von Notizzetteln und verschiedene Dateimanager. Die zahlreichen grafischen Frontends für die Konfiguration der Firewall sind ebenfalls eher verwirrend als nützlich. Eine sorgfältigere Auswahl der Anwendungsprogramme könnte die Überfrachtung des Betriebssystems mit vielen funktional redundanten Applikationen vermeiden.

Abbildung 4: Viele funktional redundante Anwendungen erschweren den Umgang mit Linux Kodachi.

Abbildung 4: Viele funktional redundante Anwendungen erschweren den Umgang mit Linux Kodachi.

Linux Kodachi: Einige Schwachpunkte

Linux Kodachi fokussiert zwar auf besonders gefährdete Berufsgruppen, weist jedoch im direkten Vergleich mit Tails und Whonix in der aktuellen Version 8.27 einige Schwächen auf. So basiert das Betriebssystem auf Xubuntu 18.04.5. Dieses Release des Ubuntu-Derivats wird bereits seit 2021 nicht mehr gepflegt und kann somit Sicherheitslücken aufweisen, die in aktuelleren Xubuntu-Varianten geschlossen wurden. Einen weiteren Schwachpunkt stellt das Kodachi-eigene kostenfreie VPN dar: Weder lässt sich dessen Finanzierung nachvollziehen, noch belegen unabhängige Audits seine Sicherheit. Daher empfiehlt es sich, einen der alternativen VPN-Anbieter auszuwählen. Wer mit einer wirklich aktuellen Systemumgebung arbeiten möchte, sollte zudem auf Kodachi 9 warten, das auf Debian basieren wird.

Tails

Tails gilt als das klassische System für einen sicheren und anonymisierten Zugang ins Internet. Die bereits seit rund 15 Jahren permanent weiterentwickelte und gepflegte Distribution basiert auf Debian [6]. Als reines Live-System ausgelegt, benötigt Tails als Startmedium einen USB-Speicherstick mit einer Kapazität von mindestens 8 GByte. Der Host-Rechner muss über eine AMD- oder Intel-basierte 64-Bit-Architektur und mindestens 2 GByte RAM verfügen. Auf Smartphones oder ARM-basierten Kleincomputern wie dem Raspberry Pi lässt sich Tails nicht verwenden.

Überdies lässt sich Tails mit zahlreichen Grafikkarten der Hersteller AMD und Nvidia nicht nutzen. Zur Hardwarekompatibilität und möglichen Problemen stellen die Entwickler auf der Website des Projekts eine ausgezeichnete und detaillierte Dokumentation [7] bereit. Nach der Kompatibilitätsprüfung Ihrer Hardware laden Sie das rund 1,7 GByte große ISO-Abbild von der Projektseite herunter. Anschließend transferieren Sie das Image auf einen Wechseldatenträger, von dem Sie das System dann starten.

Oberflächliches

Das Grub-Bootmenü von Tails bietet lediglich zwei Optionen zum Start, von denen Sie üblicherweise die erste verwenden. Nach einer kurzen Wartezeit öffnet sich ein Gnome-Desktop mit einem Willkommensfenster. Darin nehmen Sie nicht landesspezifische Anpassungen vor und legen gegebenenfalls auf dem Wechseldatenträger einen persistenten Bereich an. Letzterer dient dazu, individuelle Anpassungen und Applikationen dauerhaft auf dem USB-Stick zu sichern, damit sie den nächsten Neustart überstehen.

Haben Sie die gewünschten Anpassungen vorgenommen, klicken Sie oben rechts im Fenster auf Tails starten. Wurde der persistente Speicherbereich aktiviert, legt ihn die Routine jetzt an. Dazu muss der USB-Stick über eine Kapazität von mindestens 8 GByte verfügen. Zur Nutzung von Tails ohne den persistenten Bereich können Sie kleinere Sticks verwenden.

Nach dem Booten erscheint ein schlichter konventioneller Gnome-Desktop mit je einer Panel-Leiste am oberen und unteren Bildschirmrand. Auf der Arbeitsoberfläche gibt es keinerlei Icons oder Applets. Ein Klick auf Aktivitäten öffnet zwei Arbeitsoberflächen mit der Gnome-Dockleiste am unteren Bildschirmrand. Dabei blendet das System die untere Panel-Leiste aus. Über einen Klick auf den rechten Button Anwendungen anzeigen holen Sie Starter für alle vorinstallierten Applikationen in Kachelform auf den Bildschirm (Abbildung 5).

Abbildung 5: Tails verwendet einen konventionellen Gnome-Desktop.

Abbildung 5: Tails verwendet einen konventionellen Gnome-Desktop.

Diese Starter und die zusätzlichen Anwendungen im Gnome-Dock zeigen, dass die Entwickler Tails bestens für den Alltagseinsatz vorbereitet haben: So finden Sie hier neben der Bürosuite LibreOffice, dem Tor-Browser für das sichere Surfen im Internet und dem E-Mail-Client Thunderbird die Bildbearbeitung Gimp sowie zahlreiche Multimediaanwendungen. Daneben integriert Tails diverse sicherheitsrelevante Apps wie den Passwortmanager KeepassXC, ein Programm zum Entfernen von Metadaten, eine Zertifikatsverwaltung und einen Client für das Instant Messaging. Dabei fällt auf, dass es für jeden Anwendungsbereich nur eine Applikation gibt, was ein Überfrachten der Menüs verhindert.

Bevorzugen Sie anstelle der Kacheldarstellung ein konventionelles Startmenü, klicken Sie in der oberen Panel-Leiste auf Anwendungen. Die dort angebotenen Untermenüs liefern eine bessere Übersicht, insbesondere dann, wenn Sie das System mit zusätzlichen persistent installierten Anwendungen nutzen und sich die Kacheldarstellung daher über mehrere Seiten erstreckt.

Sicherheitsbedürfnis

Die in Tails integrierten Internetanwendungen sind bereits gehärtet. So surfen Sie üblicherweise mithilfe des Tor-Browsers. Nur wenn er zu langsam arbeitet oder Inhalte nicht korrekt darstellt, wechseln Sie auf einen alternativen Browser. Für den abgesicherten Datenaustausch über das Internet steht OnionShare bereit, das ebenfalls das Tor-Netzwerk verwendet. Mit Thunderbird verschicken Sie ausschließlich verschlüsselte Nachrichten.

Zusätzlich haben die Entwickler in den Tor-Browser den Werbeblocker uBlock Origin integriert, der unerwünschte Inhalte zuverlässig fernhält. Das reduziert gleichzeitig das transferierte Datenvolumen, was insbesondere bei Zugängen mit festem Datenkontingent nützlich ist. Das Addon NoScript reglementiert zudem den Einsatz von Javascript und erschwert damit Angreifern das Ausnutzen von Sicherheitslücken. Per Mausklick lässt sich im Tor-Browser außerdem jederzeit die Identität wechseln.

Ein besonderes Augenmerk legen die Entwickler von Tails auf die Möglichkeit, ein individuelles Backup des Systems anzufertigen. Dabei handelt es sich jedoch nicht um eine Datensicherung im herkömmlichen Sinne, sondern um eine Kopie des laufenden Betriebssystems. Mit dem Tails-Kloner (Abbildung 6) transferieren Sie das aktuell laufende System mitsamt Ihren individuellen Anpassungen startfähig auf einen USB-Speicherstick. Dabei bleiben alle zusätzlich installierten Anwendungen, Lesezeichen und Einstellungen erhalten. So haben Sie für Notfälle ein sofort einsetzbares angepasstes System zur Hand.

Abbildung 6: Mithilfe des Tails-Kloners legen Sie ein Abbild der laufenden Instanz an.

Abbildung 6: Mithilfe des Tails-Kloners legen Sie ein Abbild der laufenden Instanz an.

Beim ersten Start von Tails konfigurieren Sie das Tor-Netzwerk mithilfe eines eigenen kleinen Dialogs und aktivieren es dabei gleich für künftige Systemstarts. Versuchen Anwendungen, sich unter Umgehung des Tor-Netzwerks mit dem Internet zu verbinden, blockiert Tails sie. Das schließt eventuell vorhandene Einfallstore für Schadsoftware, die Systeme kompromittieren und das Nutzerverhalten ausspionieren kann.

Haben Sie einen persistenten Speicher eingerichtet, verschlüsselt Tails ihn automatisch. Das verhindert, dass Dritte die darin gesicherten Daten auslesen können, wenn sie in den Besitz des USB-Sticks gelangen. Darüber hinaus gibt es eine eigene grafische Anwendung zum Backup des persistenten Speichers.

Verwaltungsarbeit

Tails benötigt für Aufgaben der Systemverwaltung ein Passwort zur Authentifizierung des Anwenders. Anders als bei vielen anderen Distributionen gibt es kein vorgegebenes Administratorpasswort. Unten im Willkommensbildschirm finden Sie gleich nach dem Hochfahren des Systems unterhalb der Einstellungen zur Lokalisierung die Gruppe Additional Settings. Dort vergeben Sie nach einem Klick auf das ganz unten links platzierte Plus-Symbol in einem gesonderten Dialog das Passwort für die Systemverwaltung.

Da Tails auf Debian basiert, steht ein enormer Fundus an zusätzlicher Software bereit, auf den Sie mithilfe des grafischen Frontends Synaptic zugreifen. Das Programm fungiert gleichzeitig als Werkzeug zur Aktualisierung des Systems. Um es nutzen zu können, benötigen Sie das bereits erwähnte administrative Passwort.

Verwenden Sie die neu installierten Softwareanwendungen in einem reinen Live-System, müssen Sie sie bei jedem Systemstart vom Quelldatenträger erneut einrichten. Alternativ legen Sie solche Programme im persistenten Speicher ab und geben im laufenden System mithilfe des grafischen Werkzeugs Zusätzliche Software (Abbildung 7) an, welche davon Tails beim nächsten Systemstart automatisch wieder installieren soll. Das Laden der Programme vom Wechseldatenträger beansprucht allerdings je nach Umfang der Anwendung etwas Zeit.

Abbildung 7: In Tails lassen sich Zusatzpakete aus dem persistenten Speicher installieren.

Abbildung 7: In Tails lassen sich Zusatzpakete aus dem persistenten Speicher installieren.

Whonix

Die aus Kanada stammende und wie Tails auf Debian basierende Distribution Whonix [8] liegt derzeit noch nicht als ISO-Abbild vor. Sie lässt sich jedoch in verschiedenen virtuellen Umgebungen oder als Live-System von einem Wechseldatenträger nutzen. In Sachen Virtualisierung unterstützt Whonix Oracle Virtualbox sowie die in den Kernel integrierte KVM-Umgebung. Für Qubes gibt es eine Xen-basierte Variante, für die Installation auf einem USB-Stick steht ebenfalls eine virtualisierte Lösung bereit.

Um Whonix auf einen USB-Stick zu transferieren, benötigen Sie ein bereits vorhandenes Live-System. Dazu eignen sich am ehesten weitverbreitete Linux-Derivate wie Ubuntu oder Linux Mint, die eine gute Hardwareunterstützung mitbringen. Darüber hinaus müssen Sie eine Virtualisierungsumgebung auf dem Wechseldatenträger integrieren. Die Whonix-Entwickler empfehlen Einsteigern dazu Virtualbox und fortgeschrittenen Anwendern eine KVM-Umgebung.

Hardwarevoraussetzungen

Die minimalen Hardwarevoraussetzungen [9] für Whonix bewegen sich mit 1 GByte RAM und 10 GByte freier Kapazität auf dem Massenspeicher in einem sehr moderaten Rahmen. Zur optimalen Leistungsentfaltung raten die Entwickler allerdings zu mindestens 8 GByte Arbeitsspeicher. In jedem Fall muss die CPU des Rechners eine der gängigen Virtualisierungstechnologien AMD-V oder Intel VT-x unterstützen. Weitere Anforderungen stellt das System nicht.

Die beiden VMs, die das Whonix-System bilden, legen unter Virtualbox jeweils dynamisch allozierte Massenspeicher von 100 GByte Umfang an. Zu Beginn belegt Whonix sie jedoch lediglich mit rund 10 GByte Daten, sodass Sie nicht 200 GByte freien Massenspeicher vorhalten müssen. Es empfiehlt sich jedoch, rund 50 GByte für Whonix einzuplanen.

Installation

Bei Whonix gestaltet sich die Installation des Systems mangels eines ISO-Abbilds umständlicher als bei Kodachi oder Tails. Für das Einrichten auf einem bestehenden System verwenden Sie die vorkonfigurierten VM-Abbilder. Sie setzen lediglich eine arbeitsfähige virtuelle Arbeitsumgebung voraus. Der Nachteil dieser Lösung liegt im deutlich größeren Massen- und Arbeitsspeicherbedarf als bei einem reinen Live-System: In der virtuellen Maschine wird ja ein Gast-Betriebssystem installiert.

Für eine exemplarische Einrichtung in einem beliebigen laufenden Linux-System verwenden Sie die Virtualbox-Applikation von der Download-Seite des Projekts. Dabei handelt es sich um ein rund 2,3 GByte großes Abbild im OVA-Format, das Sie nach dem Herunterladen in eine laufende Virtualbox-Instanz integrieren. Die entsprechende Installationsanleitung [10] stellen die Entwickler auf der Downloadseite bereit.

Aus dem OVA-Abbild entstehen zwei virtuelle Maschinen: Das Gateway sorgt für den Internetzugang via Tor-Netzwerk, die Workstation stellt die eigentliche Arbeitsumgebung bereit. Ein direkter Start der Workstation ohne vorheriges Laden des Gateways ist möglich und nicht mit funktionalen Einschränkungen verbunden. Allerdings können Sie in diesem Fall ausschließlich lokal ohne Internetverbindung arbeiten.

Whonix leitet mithilfe einer vorkonfigurierten Firewall den gesamten Datenverkehr über das Tor-Netzwerk. Die Workstation und das Gateway fungieren dabei als Bestandteile eines gesonderten Netzes namens Whonix. Das Gateway ist darüber hinaus mit einem zweiten virtuellen Netzwerkadapter mit dem LAN verbunden, der nicht als Netzwerkbrücke arbeitet, sondern im NAT-Modus. Diese strikte Trennung der Netze gewährleistet einen abgesicherten Zugang der Whonix-Maschine ins Internet, ohne dass Schadsoftware durch das LAN eingetragen werden kann.

Virtueller Desktop

Beim Start der Whonix-VMs öffnet sich eine XFCE-Arbeitsumgebung, die den gesamten Bildschirm der Host-Maschine einnimmt. Auf dem Desktop startet im Gateway ein Setup-Assistent (Abbildung 8). Er klärt allerdings nur darüber auf, dass Sie sich zur Systemverwaltung ohne Passworteingabe mit dem Benutzernamen user anmelden müssen.

Abbildung 8: Whonix nutzt ebenfalls eine schlanke XFCE-Arbeitsumgebung.

Abbildung 8: Whonix nutzt ebenfalls eine schlanke XFCE-Arbeitsumgebung.

Nach einem Klick auf OK steht das System zum Einsatz bereit. Um abgesichert im Internet zu surfen, öffnen Sie die Workstation. Zwar integriert die XFCE-Oberfläche des Gateways verschiedene Anwendungsprogramme und sogar einen Webbrowser, doch der lässt sich nicht direkt starten.

Den Tor-Zugang stellt Whonix automatisch und ohne weitere manuelle Konfiguration bereit. Im Gateway sehen Sie jedoch über das grafische Programm Onion Circuits verschiedene Transportwege für das Tor-Netz ein. Mithilfe des Anon Connection Wizard konfigurieren Sie bei Bedarf den Tor-Zugang detailliert. Der Nyx Status Monitor (Abbildung 9) erlaubt es, den Datentransfer in einem Ncurses-Bildschirm nachzuvollziehen. Die Whonix-VM arbeitet dabei voreingestellt im persistenten Modus. Alle Einstellungen werden also dauerhaft gesichert und sind nach einem Neustart wieder verfügbar.

Abbildung 9: Mit dem Statusmonitor Nyx &uuml;berwachen Sie den Datenverkehr.

Abbildung 9: Mit dem Statusmonitor Nyx überwachen Sie den Datenverkehr.

Anwendungsbereiche

Anders als Tails oder Kodachi versteht sich Whonix nicht als Basis für die tägliche Arbeit in einer besonders abgesicherten Umgebung, sondern als Werkzeug für die Kommunikation. Die integrierte Paketverwaltung eröffnet jedoch die Möglichkeit, zusätzliche Anwendungen in das System zu integrieren.

Als Erstes empfiehlt sich eine Aktualisierung des Systems (Listing 1, erste zwei Zeilen). Danach ist die Workstation einsatzbereit; neben dem Tor-Browser stehen Thunderbird, das Electrum Bitcoin Wallet, der VLC-Medienabspieler, der Passwortmanager KeepassXC sowie ein Metadaten-Cleaner zur Verfügung. Zusätzlich benötigte Anwendungen wie Messenger integrieren Sie am Prompt durch Eingabe des Befehls aus der letzten Zeile des Listings ins System.

Listing 1

Update und Installation

$ sudo apt update
$ sudo apt upgrade
$ sudo apt install Paket

Genau wie Konfigurationsänderungen bleiben nachinstallierte Anwendungen nur dann dauerhaft im System gespeichert, wenn das System mit der voreingestellten Grub-Bootoption Whonix-Workstation (TM) (Abbildung 10) gestartet wurde. Haben Sie dagegen die dritte Option LIVE mode USER (For daily activities.) ausgewählt, gehen alle zusätzlichen Einstellungen nach dem Herunterfahren des Systems verloren. Das erhöht zwar die Sicherheit, kann aber auch zwingend notwendige Einstellungen wieder entfernen.

Abbildung 10: Im Grub-Bootmen&uuml; von Whonix w&auml;hlen Sie zwischen der Workstation und dem Live-Modus.

Abbildung 10: Im Grub-Bootmenü von Whonix wählen Sie zwischen der Workstation und dem Live-Modus.

Linux Kodachi

Tails

Whonix

Lizenz

Freeware/kommerziell

GPLv3

GPLv3

Einsatzmöglichkeiten

Live-System/ISO-Abbild

ja

ja

nein

virtuelle Maschinen

ja

nicht empfohlen

ja

stationäre Installation

ja

nein

nein

Sicherheitsfunktionen

Tor-Netzwerk

ja

ja

ja

VPN integriert

ja

nein

nein

VPN-Anbieter wählbar

ja

nein

nein

DNSCrypt

ja

nein

nein

Kill Switch

ja

automatisch

automatisch

Software

Tor-Browser

ja

ja

ja

Browser-Addons (Werbeblocker, Anti-Tracking)

ja

ja

nein

Instant-Messenger-Client

ja

ja

nein

E-Mail-Client

ja

ja

ja

Software zum Entfernen von Metadaten

ja

ja

ja

Verwaltungswerkzeuge

Zertifikatsverwaltung

nein

ja

ja

Passwortmanager

ja

ja

ja

Besonderheiten

persistenter Speicherbereich

ja

ja

ja

Software für Backup/Klonen

nein

ja

nein

Fazit

Die drei vorgestellten Lösungen zur anonymen Nutzung des Internets arbeiten alle mit dem Tor-Netzwerk und sorgen damit für zusätzliche Sicherheit. Während Tails und Linux Kodachi sich als Allround-Distros für besonders gefährdete Anwender positionieren, zielt Whonix primär auf die reine Kommunikation ab. Es lässt sich jedoch ohne größere Umstände mit zusätzlicher Software für weitere Anwendungsszenarien nachrüsten.

Kodachi erhöht die Sicherheit durch ein vorgeschaltetes VPN. Aufgrund der Unklarheit bezüglich der Zugriffsmöglichkeiten Dritter auf das voreingestellte VPN und dessen fehlenden Sicherheits-Audits sollten Sie allerdings besser einen über alle Zweifel erhabenen VPN-Zugang wie Mullvad verwenden. Dazu stellt Linux Kodachi sogar einen bequemen Konfigurationsdialog bereit. Davon ab empfiehlt sich ohnehin, auf das neue Kodachi 9 zu warten, da das bisherige System auf einer veralteten Basis beruht.

Wegen ihrer einfachen Installation via ISO-Abbild eignen sich Tails und Kodachi besser für Einsteiger als Whonix. Das setzt gleich zwei virtuelle Maschinen in einer laufenden Host-Instanz auf und hat daher einen höheren Ressourcenbedarf. (jlu)

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 9 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben