Mein digitaler SchutzschildTor – die Tarnkappe fürs Netz

Anonym zu surfen, ist dank dem Tor Browser Bundle nicht schwer. Wer die Software einsetzt, muss aber mit einigen Einschränkungen leben. von 

Mein neues Betriebssystem Ubuntu bringt den Firefox-Browser mit, den ich sofort mit einigen der wichtigsten Add-ons ausstatte: Zum Blockieren von Tracking-Diensten eignen sich Ghostery, Do Not Track Plus oder NoScript. Und HTTPS Everywhere von der Electronic Frontier Foundation (EFF) versucht, immer die HTTPS-Version einer Website aufzurufen. Wer mehr dazu wissen will, findet ausführliche Beschreibungen im Privacy-Handbuch.

Doch um wirklich anonym surfen zu können, so dass weder mein Internetprovider noch die Zielseite weiß, wer was aufruft, brauche ich mehr als ein paar Browser-Erweiterungen. Tor ist dafür das bekannteste Hilfsmittel. Die kostenlose Open-Source-Software dient dazu, die eigene IP-Adresse zu verschleiern, indem sie Anfragen nicht direkt an die Zieladresse im Netz schickt, sondern über eine Kette von Proxyservern leitet. Jeder Proxy kennt nur seinen Vorgänger und Nachfolger, aber keiner kennt den ursprünglichen Absender der Anfrage und gleichzeitig den Empfänger.

Anzeige

Bei Wikipedia wird es etwas ausführlicher erklärt, hier soll es vor allem um die Installation und Bedienung des Tor Browser Bundles gehen. Das enthält einen modifizierten Firefox-Browser, den sogenannten TorButton sowie das Vidalia genannte Kontrollpanel.

Mein digitaler Schutzschild

Wie schwierig ist es, sich anonym im Internet zu bewegen, E-Mails zu verschlüsseln, die eigene Privatsphäre zu schützen und Daten sicher zu speichern? Wie alltags- und laientauglich sind die entsprechenden Programme?

In der Serie "Mein digitaler Schutzschild" beantwortet ZEIT ONLINE diese Fragen. Digital-Redakteur Patrick Beuth hat ein Notebook mit der nötigen Software ausgerüstet und seine Erfahrungen dokumentiert. Er hat dazu Handbücher gelesen, Wikis und Anleitungen, und er hat Hacker und andere Experten um Rat gebeten.

Das Ergebnis ist eine Schritt-für-Schritt-Anleitung für diejenigen, die noch keine Erfahrung mit Linux, Anonymisierungssoftware oder Verschlüsselung haben – und das ändern möchten.

Inhalte der Serie

Teil 1: Ubuntu (Linux) als Betriebssystem

Teil 2: Anonymes Surfen mit Tor

Teil 3: Anonymes Surfen mit VPN

Teil 4: Ein anonymes E-Mail-Konto Einrichten mit Hushmail und Tor

Teil 5: E-Mails verschlüsseln mit Enigmail / OpenPGP

Teil 6: Daten auf der Festplatte mit TrueCrypt verschlüsseln

ALS E-BOOK

Die Serie Mein digitales Schutzschild gibt es auch als E-Book. Erfahren Sie in dieser für eReader hochwertig aufbereiteten Fassung, wie Sie Ihre Daten auf dem PC und im Internet besser schützen können.

Unser E-Book steht Ihnen dabei als EPUB-Version für Ihren eReader, sowie als MOBI-Version für Ihr Kindle Lesegerät von Amazon zur Verfügung.

Entdecken Sie auch weitere E-Books von ZEIT ONLINE unter www.zeit.de/ebooks.

Die Installation

Auf torproject.org gibt es eine Download- und Installationsanleitung für Windows, OS X und Linux. Die für mein Linux-System ist simpel. Ich suche mir die für mein Betriebssystem passende Version der Installationsdatei auf der Projektseite und lade sie herunter. Das Download-Paket öffne ich über einen Rechtsklick und das Feld Mit Archivverwaltung öffnen. Im neuen Fenster klicke ich mit der rechten Maustaste auf den Tor-Browser-Ordner und wähle Entpacken. Nun kann ich festlegen, wo ich meinen Tor-Ordner ablege, nach dem erfolgreichen Entpacken klicke ich auf Schließen. Im Tor-Ordner muss ich von nun an nur noch die Datei start-tor-browser doppelklicken und Ausführen wählen. Kurz darauf öffnen sich das Kontrollpanel und der Browser. Wer die folgende Meldung nicht zu sehen bekommt, muss es noch einmal versuchen.

Tor Browser Bundle

Tor Browser Bundle  |  © Patrick Beuth / ZEIT ONLINE

Bei mir klappt es beim ersten Versuch. Die Macher des Tor-Projekts empfehlen übrigens noch eine Reihe von Add-ons, um den Browser zu verfeinern. Ich installiere nur eines von ihnen, nämlich das bekannte, wenn auch umstrittene AdBlock Plus, um unerwünschte Werbung zu stoppen.

Es bietet sich außerdem an, den Ordner mit den Tor-Dateien auf den Desktop zu ziehen, um das Programm beim nächsten Mal schnell wiederfinden und mit einem Doppelklick auf Start Tor Browser nutzen zu können.

Die Installation auf einem Mac oder in Windows ist auch nicht komplizierter, sie wird hier erklärt. Mehr als ein paar Klicks sind nicht nötig.

Der Alltag mit dem Tor Browser Bundle

Die Installation des Tor Browser Bundles ist wahrlich keine Hexerei, aber wer mit Tor surft, muss mit Einschränkungen leben. Ich steuere www.zeit.de an und stelle fest: Der Seitenaufbau ist langsam, aber gerade noch erträglich. Es ist zwar möglich, über Vidalia einen leistungsstarken Server als sogenannten Exit Node auszuwählen, also den Server, über den man letztlich auf die Zielseite zugreift. Dadurch kann man die Surfgeschwindigkeit erhöhen. Doch die Konfiguration ist für Anfänger zu kompliziert. Die beste Anleitung, die ich bislang gefunden habe, ist noch die von Martin Brinkmann von ghacks.net.

Nicht nur die Geschwindigkeit ist gewöhnungsbedürftig. Auch die Schrift sieht anders aus als gewohnt. Das liegt an den Voreinstellungen des Bündels, die man besser auch nicht ändert, weil die Wahrung der Anonymität sonst gefährdet ist. So sind zum Beispiel die Schriftarten im Tor-Browser andere als die im normalen Firefox. Das Flash-Plugin für den Firefox ist deaktiviert – was bedeutet, dass Flash-Inhalte nicht mehr angezeigt werden können. YouTube, Vimeo und die Brightcove-Videos auf zeit.de kann ich mir also nicht ansehen.

Eine Liste der besuchten Websites wird im Tor-Browser auch nicht angelegt, eingetragene Formulardaten werden nicht gespeichert, alle Cookies werden nach Beendigung der Tor-Sitzung gelöscht. Wer Tor dann neu startet, muss Webadressen und Formulareinträge komplett neu eingeben und wird von einer Website nicht wiedererkannt.

Das alles mag unpraktisch sein, weil es das Surfen langsamer und umständlicher macht. Es ist aber der Preis, den man für konsequente Anonymität zahlen muss. Zudem gehört auch noch ein gewisses Verhalten dazu: Wer mit Tor surft und sich dann in seinen normalen E-Mail-Account oder bei Facebook oder bei seiner Bank einloggt, verrät zwar nicht seinem Internetprovider, was er gerade im Netz tut – aber natürlich dem E-Mail-Provider, Facebook oder der Bank. Die Anonymität ist dann für die ganze Sitzung dahin, weil der Nutzer zumindest an einer Stelle seine derzeitige IP-Adresse verrät, mit der er auch alle anderen Seiten aufruft.

Tor ist nützlich, wenn ich sensible Informationen im Netz suchen will. Wem da nur Pornos als Beispiel einfallen, der hat wenig Fantasie. Es geht nämlich auch niemanden etwas an, wenn ich Artikel über Krankheiten oder Medikamente lese, oder über Geldfragen und Urlaubsziele. Und wenn ich für einen Artikel recherchiere, möchte ich auch die Möglichkeit haben, dies unbeobachtet tun zu können.

Wenn ich aber doch YouTube nutzen will, brauche ich eine Alternative zu Tor. Ein VPN (Virtual Private Network) ist eine solche Alternative. Mehr dazu im nächsten Kapitel.

Leserkommentare
  1. Aha, dann haben sie nicht ein paar Kommentare weiter folgendes geschrieben und damit behauptet, es sei sicher:

    "Tor ist freie SW
    und als solche öffentlich überprüfbar.
    Es wurde bislang keine Backdoor gefunden."

    TOR war bis vor einigen Beiträgen ihrer Meinung nach sicher, jetzt ist es wahrscheinlich sicher, was folgt als nächstes, vielleicht sicher? Auf dieser Grundlage können sie einen Anonymisierungsdient nicht empfehlen.

    Antwort auf "Sicherheitsbweis"
    Reaktionen auf diesen Kommentar anzeigen

    Der Satz:

    "Tor ist freie SW
    und als solche öffentlich überprüfbar.
    Es wurde bislang keine Backdoor gefunden."

    behauptet keinen Sicherheitsbeweis, sondern dass es zum derzeitigen Wissenstand als sicher gilt. Und das entspricht den Tatsachen, die ich auch weiter unten nocheinmal erläuterte. Oder kennen sie andere Tatsachen, ausser an der Haaren herbeigezogene Mutmassungen und Verschwörungstheorien aufgrund von Finanzierungen und der Größe und Anzahl von amerikanischen Geheimdiensten?

    • 15thMD
    • 26. Januar 2013 0:33 Uhr

    "TOR war bis vor einigen Beiträgen ihrer Meinung nach sicher, jetzt ist es wahrscheinlich sicher, was folgt als nächstes, vielleicht sicher?"

    Die Richtigkeit der Realtivitätstheorie ist auch nur so lange sicher, bis anderes bewiesen ist.

    Tor ist für jedermann überprüfbar und es wäre ungewöhlich bei einer populären SOftware, wenn eine Hintertür im Code oder ähnliches so lange nicht gefunden wird.

    • m_pi
    • 25. Januar 2013 17:48 Uhr

    ob im Code Lücken sind oder nicht, denn die Architektur selbst ist nicht sicher. Wie gesagt, wenn ich einen Großteil der Server kontrolliere und/oder die Backbones über denen der Internetverkehr läuft kann ich den Verkehr über Tor ohne größere Probleme nachvollziehen (wikipedia). Es ist durchaus plausibel, dass Behörden Zugriff auf Telekommunikationsserver haben bzw. Zugriff auf diverse Tor-server (immer mehr stehen in den USA und in China).

    Reaktionen auf diesen Kommentar anzeigen

    Es ist bekannt das der Iran versucht den Tor Verkehr zu blockieren. Um das zu erschweren wurde im Gegenzug der Tor Verkehr von den Tor-Entwicklern zusätzlich getarnt.

    Wenn Tor unsicher wäre, warum sollte der Iran versuchen den Verkehr zu blockieren? Dann wäre es doch wesentlich besser für das Regime die Regimegegner zu entarnen und zu liquidieren.

    Tor beruht auf der Architektur des geteilten Vertrauens. Dabei gibt es viele verschiedenen heterogene und mit unterschiedlichsten Interessen agierende Netzteilnehmer. Die Sicherheit ergibt sich aus dem Netz und nicht aus einzelnen zentralen Stellen.
    Das steht im Gegensatz von z.B HTTPS das mit zentralen zertifizierten Stellen arbeitet. Ist eine dieser Stellen kompromittiert ist das gesamte HTPPS kompromitiiert. Und das wurde leider auch schon mehrmals bewiesen (siehe Digitnotar Hack). Trotzdem wird Online Banking, Kreditkartenzahlungen, Behördenwege über diese unsichere zentrale Architektur abewickelt.
    In einer dezentralen Sicherheitsarchitektur müßte ein grosser Teil des Netzes unterwandert werden. Das wäre für einen einzelnen sehr sehr schwierig ohne entdeckt zu werden. Eine solche Unterwanderung ist bis dato auch unbekannt. Die dezentrale Architektur gilt daher heute wesentlich sicherer als die zentrale.

  2. Der Satz:

    "Tor ist freie SW
    und als solche öffentlich überprüfbar.
    Es wurde bislang keine Backdoor gefunden."

    behauptet keinen Sicherheitsbeweis, sondern dass es zum derzeitigen Wissenstand als sicher gilt. Und das entspricht den Tatsachen, die ich auch weiter unten nocheinmal erläuterte. Oder kennen sie andere Tatsachen, ausser an der Haaren herbeigezogene Mutmassungen und Verschwörungstheorien aufgrund von Finanzierungen und der Größe und Anzahl von amerikanischen Geheimdiensten?

    Eine Leserempfehlung
    Antwort auf "Plausibilität."
    Reaktionen auf diesen Kommentar anzeigen

    Wenn sie keinen Beweis dafür aufbringen können, wie sie es hier auch zugegeben haben, dass TOR sicher ist, wie können sie es dann behaupten. Da sie nicht beweisen können, dass es sicher ist, könne sie es auch nicht behaupten. Das ist eine ganz logische Verknüpfung. Wenn keine Argumente mehr zur Verfügung stehen, kommt meistens der Hinweis auf Verschwörungstheorien, dabei sollte auch ihnen nicht entgegen sein, dass TOR ein Militärprojekt ist, dass von USNRL, ONR und DARPA entwickelt wurde und bis heute von der US-Regierung finanziert und kontrolliert wird. Es hindert Sie natürlich niemand daran, dieses Botnetz zu nutzen, aber für was? Das was 99,8% der Internetbenutzer machen, bedarf keiner Anonymisierung. Sie sind im Netz sicherer als bei TOR, denn TOR ist der Bottleneck, den wir nicht kontrollieren können. Wenn die NSA bereits Jahre den europäischen Zahlungsverkehr kontrolliert, weil die US-Regierung SWIFT massiv unter Druck gesetzt hat, bis dieses Unternehmen freiwillig seine Transaktionsdaten enthüllte. Die EU hat sich dem gleichen Druck gebeugt und dies später gesetzlich legalisiert. Glauben sie ernsthaft, irgendjemand könne sich dem entziehen, wenn selbst die EU sich unterordnet. Sie suchen Sicherheit in einem Projekt, dass von der US-Regierung und ihren Geheimdiensten finanziert wird. Was soll daran klug sein, sich derartig auf etwas zu verlassen, das nach allen Gesichtspunkten keiner Anforderungen über Sicherheit hinsichtlich Wahrung der Grundrechte entspricht.

    • Morlaix
    • 25. Januar 2013 18:30 Uhr

    Ich habe Sie lediglich aufgefordert, ihren Standpunkt zu belegen. Sie scheinen "in der Hitze des Gefechts" den Überblick darüber verloren zu haben, wer was gesagt hat.

    Sie schreiben, wer "mit TOR anonym surfen möchte, habe schon verloren" und sprechen von "starken Indizien". Ich kann nur feststellen, dass Sie den Nachweis für ihre Ansichten komplett schuldig bleiben und nichts zu bieten haben außer einen kruden Theorie.

    Antwort auf "Nicht beweisbar."
    Reaktionen auf diesen Kommentar anzeigen

    Ich muss nichts nachweisen, weil ich nicht behaupte, TOR sei sicher, im Gegensatz zu ihnen. Und so lange ich das nicht tue, hat meine These die bessere Beweiskraft als ihre. Sie negieren demnach, dass TOR vom US-Militär entwickelt wurde und von der US-Regierung finanziert wird? Gut, kann man machen, aber wozu brauchen sie Anonymisierung, wenn sie nicht mal die öffentlich zugänglichen Informationen abrufen (wollen). Und überdies, da ja niemand spioniert, nicht einmal der mächtigste Geheimdienst der Welt, so jedenfalls das Votum hier, wozu anonymisieren.

    • nik--
    • 25. Januar 2013 18:51 Uhr

    Niemand kommt als Experte auf die Welt. Sondern verwendet i.a. sehr viel Zeit und Geld darauf, ein solcher zu werden. Wenn in der Gesellschaft (nicht nur im Geschäftsbereich) ankommen würde, was Dienstleistungen und Expertenwissen wert sind, würde sich vielleicht auch ein anderer Umgang damit etablieren. Dass der Fachmann zu einem nach Hause kommt und einem das einrichtet, ist ja nun kein völlig abwegiger Gedanke, nur wird sowas heutzutage immer noch einzig großen Unternehmen (Telekom..) seriös zugetraut.
    Erschwerend kommt hinzu, dass gerade Themen wie Datenschutz und -sicherheit nicht alleine technisch lösbar sind. Sie erfordern Sensibilität im Umgang mit dem Gerät, bewusstes Handeln, kurz - bewusstes _Arbeiten_ mit dem Gerät. Dem steht das Konzept der Bequemlichkeit entgegen (TV, Facebook, Tablett-PC, WLAN), was letztlich auch bis heute das Hemmnis dafür ist, dass sich alternative, bessere Plattformen konkurrenzfähig etablieren. Mensch will es bequem haben, aber nicht alles funktioniert bequem und automatisch.

    Eine Leserempfehlung
    Antwort auf "Keine Lösung"
  3. Wenn sie keinen Beweis dafür aufbringen können, wie sie es hier auch zugegeben haben, dass TOR sicher ist, wie können sie es dann behaupten. Da sie nicht beweisen können, dass es sicher ist, könne sie es auch nicht behaupten. Das ist eine ganz logische Verknüpfung. Wenn keine Argumente mehr zur Verfügung stehen, kommt meistens der Hinweis auf Verschwörungstheorien, dabei sollte auch ihnen nicht entgegen sein, dass TOR ein Militärprojekt ist, dass von USNRL, ONR und DARPA entwickelt wurde und bis heute von der US-Regierung finanziert und kontrolliert wird. Es hindert Sie natürlich niemand daran, dieses Botnetz zu nutzen, aber für was? Das was 99,8% der Internetbenutzer machen, bedarf keiner Anonymisierung. Sie sind im Netz sicherer als bei TOR, denn TOR ist der Bottleneck, den wir nicht kontrollieren können. Wenn die NSA bereits Jahre den europäischen Zahlungsverkehr kontrolliert, weil die US-Regierung SWIFT massiv unter Druck gesetzt hat, bis dieses Unternehmen freiwillig seine Transaktionsdaten enthüllte. Die EU hat sich dem gleichen Druck gebeugt und dies später gesetzlich legalisiert. Glauben sie ernsthaft, irgendjemand könne sich dem entziehen, wenn selbst die EU sich unterordnet. Sie suchen Sicherheit in einem Projekt, dass von der US-Regierung und ihren Geheimdiensten finanziert wird. Was soll daran klug sein, sich derartig auf etwas zu verlassen, das nach allen Gesichtspunkten keiner Anforderungen über Sicherheit hinsichtlich Wahrung der Grundrechte entspricht.

    Antwort auf "Tatsachen"
    Reaktionen auf diesen Kommentar anzeigen

    Was sie schreiben ist schlichtweg falsch.

  4. Ich muss nichts nachweisen, weil ich nicht behaupte, TOR sei sicher, im Gegensatz zu ihnen. Und so lange ich das nicht tue, hat meine These die bessere Beweiskraft als ihre. Sie negieren demnach, dass TOR vom US-Militär entwickelt wurde und von der US-Regierung finanziert wird? Gut, kann man machen, aber wozu brauchen sie Anonymisierung, wenn sie nicht mal die öffentlich zugänglichen Informationen abrufen (wollen). Und überdies, da ja niemand spioniert, nicht einmal der mächtigste Geheimdienst der Welt, so jedenfalls das Votum hier, wozu anonymisieren.

    Antwort auf "Welche Behauptungen ??"
    Reaktionen auf diesen Kommentar anzeigen
    • Morlaix
    • 25. Januar 2013 20:20 Uhr

    Ich habe keine Behauptungen aufgestellt, keine Thesen vertreten und nichts negiert. Sie wüssten das, wenn Sie meine Beiträge halbwegs aufmerksam gelesen hätten.

    Dass Sie keinen Nachweis liefern müssen (!), versteht sich von selbst. Entscheidend ist, dass sie ihn offensichtlich nicht liefern können.

    Ansonsten ist meines Erachtens eine Diskussion mit Ihnen sinnlos und hiermit für mich beendet.

    • Morlaix
    • 25. Januar 2013 20:20 Uhr

    Ich habe keine Behauptungen aufgestellt, keine Thesen vertreten und nichts negiert. Sie wüssten das, wenn Sie meine Beiträge halbwegs aufmerksam gelesen hätten.

    Dass Sie keinen Nachweis liefern müssen (!), versteht sich von selbst. Entscheidend ist, dass sie ihn offensichtlich nicht liefern können.

    Ansonsten ist meines Erachtens eine Diskussion mit Ihnen sinnlos und hiermit für mich beendet.

    Reaktionen auf diesen Kommentar anzeigen

    Entfernt. Bitte bleiben Sie auf der Sachebene. Danke, die Redaktion/jp

Bitte melden Sie sich an, um zu kommentieren

  • Serie Mein digitaler Schutzschild
  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Browser | Firefox | IP-Adresse | Router
Service