Mein digitaler Schutzschild: Tor – die Tarnkappe fürs Netz
Anonym zu surfen, ist dank dem Tor Browser Bundle nicht schwer. Wer die Software einsetzt, muss aber mit einigen Einschränkungen leben.
Mein neues Betriebssystem Ubuntu bringt den Firefox-Browser mit, den ich sofort mit einigen der wichtigsten Add-ons ausstatte: Zum Blockieren von Tracking-Diensten eignen sich Ghostery, Do Not Track Plus oder NoScript. Und HTTPS Everywhere von der Electronic Frontier Foundation (EFF) versucht, immer die HTTPS-Version einer Website aufzurufen. Wer mehr dazu wissen will, findet ausführliche Beschreibungen im Privacy-Handbuch.
Doch um wirklich anonym surfen zu können, so dass weder mein Internetprovider noch die Zielseite weiß, wer was aufruft, brauche ich mehr als ein paar Browser-Erweiterungen. Tor ist dafür das bekannteste Hilfsmittel. Die kostenlose Open-Source-Software dient dazu, die eigene IP-Adresse zu verschleiern, indem sie Anfragen nicht direkt an die Zieladresse im Netz schickt, sondern über eine Kette von Proxyservern leitet. Jeder Proxy kennt nur seinen Vorgänger und Nachfolger, aber keiner kennt den ursprünglichen Absender der Anfrage und gleichzeitig den Empfänger.
Bei Wikipedia wird es etwas ausführlicher erklärt, hier soll es vor allem um die Installation und Bedienung des Tor Browser Bundles gehen. Das enthält einen modifizierten Firefox-Browser, den sogenannten TorButton sowie das Vidalia genannte Kontrollpanel.
- Mein digitaler Schutzschild
-
Wie schwierig ist es, sich anonym im Internet zu bewegen, E-Mails zu verschlüsseln, die eigene Privatsphäre zu schützen und Daten sicher zu speichern? Wie alltags- und laientauglich sind die entsprechenden Programme?
In der Serie "Mein digitaler Schutzschild" beantwortet ZEIT ONLINE diese Fragen. Autor Patrick Beuth hat ein Notebook mit der nötigen Software ausgerüstet und seine Erfahrungen dokumentiert. Er hat dazu Handbücher gelesen, Wikis und Anleitungen, und er hat Hacker und andere Experten um Rat gebeten.
Das Ergebnis ist eine Schritt-für-Schritt-Anleitung für diejenigen, die noch keine Erfahrung mit Linux, Anonymisierungssoftware oder Verschlüsselung haben – und das ändern möchten.
- Inhalte der Serie
-
Teil 1: Ubuntu (Linux) als Betriebssystem
Teil 2: Anonymes Surfen mit Tor
Teil 3: Anonymes Surfen mit VPN
Teil 4: Ein anonymes E-Mail-Konto Einrichten mit Hushmail und Tor
Teil 5: E-Mails verschlüsseln mit Enigmail / OpenPGP
Teil 6: Daten auf der Festplatte mit TrueCrypt verschlüsseln
- Workshop für Leser
-
Nach dem Vorbild der sogenannten CryptoPartys veranstaltet ZEIT ONLINE am 26. Februar 2013 ab 18 Uhr einen Workshop im Veranstaltungsraum in der Redaktion in Berlin. Redakteur Patrick Beuth und die Organisatoren der Berliner CryptoPartys laden die Leserinnen und Leser von ZEIT ONLINE ein, ihre Notebooks mitzubringen und die in der Serie vorgestellten Programme einzurichten und zu testen.
Die Veranstaltung ist kostenlos, eine Anmeldung ist jedoch auf dieser Seite erforderlich. Bei der Registrierung werden Name und E-Mail-Adresse abgefragt – wer anonym bleiben möchte, kann einen Fantasienamen angeben. Die E-Mail-Adresse, die Sie angeben, dient nur dazu, um Sie über eventuelle kurzfristige Planänderungen informieren zu können. Im Sinne der CryptoPartys können Sie auch eine anonyme E-Mail-Adresse verwenden. Der einfachste Weg, um die Adresse von der eigenen Identität zu entkoppeln, ist, sie in einem Internetcafe zu registrieren und auch nur dort zu nutzen. Bequemere Wege der Anonymität werden auf der Party selbst vorgestellt.
Die Anzahl der Plätze ist begrenzt. Einnahmen aus dem Getränkeverkauf gehen an das Tor-Projekt.
Die Installation
Auf torproject.org gibt es eine Download- und Installationsanleitung für Windows, OS X und Linux. Die für mein Linux-System ist simpel. Ich suche mir die für mein Betriebssystem passende Version der Installationsdatei auf der Projektseite und lade sie auf einen USB-Stick herunter. Wenn der am Rechner steckt, gebe ich die folgenden Befehle ins Terminal ein: erst tar -xvzf tor-browser-gnu-linux-i686-2.3.25-2-dev-de.tar.gz, um das Tor-Paket zu entpacken, dann cd tor-browser_de, um in das Tor-Verzeichnis zu gelangen, und schließlich ./start-tor-browser, um das Tor Browser Bundle zu starten. Kurz darauf öffnen sich das Kontrollpanel und der Browser. Wer die folgende Meldung nicht zu sehen bekommt, muss es noch einmal versuchen.
© Patrick Beuth / ZEIT ONLINE
Tor Browser Bundle
Bei mir klappt es beim ersten Versuch. Die Macher des Tor-Projekts empfehlen übrigens noch eine Reihe von Add-ons, um den Browser zu verfeinern. Ich installiere nur eines von ihnen, nämlich das bekannte AdBlock Plus, um unerwünschte Werbung zu stoppen.
Es bietet sich außerdem an, den Ordner mit den Tor-Dateien auf den Desktop zu ziehen, um das Programm beim nächsten Mal schnell wiederfinden und mit einem Doppelklick auf Start Tor Browser nutzen zu können.
Die Installation auf einem Mac oder in Windows ist auch nicht komplizierter, sie wird hier erklärt. Mehr als ein paar Klicks sind nicht nötig.
Der Alltag mit dem Tor Browser Bundle
Die Installation des Tor Browser Bundles ist wahrlich keine Hexerei, aber wer mit Tor surft, muss mit Einschränkungen leben. Ich steuere www.zeit.de an und stelle fest: Der Seitenaufbau ist langsam, aber gerade noch erträglich. Es ist zwar möglich, über Vidalia einen leistungsstarken Server als sogenannten Exit Node auszuwählen, also den Server, über den man letztlich auf die Zielseite zugreift. Dadurch kann man die Surfgeschwindigkeit erhöhen. Doch die Konfiguration ist für Anfänger zu kompliziert. Die beste Anleitung, die ich bislang gefunden habe, ist noch die von Martin Brinkmann von ghacks.net.
Nicht nur die Geschwindigkeit ist gewöhnungsbedürftig. Auch die Schrift sieht anders aus als gewohnt. Das liegt an den Voreinstellungen des Bündels, die man besser auch nicht ändert, weil die Wahrung der Anonymität sonst gefährdet ist. So sind zum Beispiel die Schriftarten im Tor-Browser andere als die im normalen Firefox. Das Flash-Plugin für den Firefox ist deaktiviert – was bedeutet, dass Flash-Inhalte nicht mehr angezeigt werden können. YouTube, Vimeo und die Brightcove-Videos auf zeit.de kann ich mir also nicht ansehen.
Eine Liste der besuchten Websites wird im Tor-Browser auch nicht angelegt, eingetragene Formulardaten werden nicht gespeichert, alle Cookies werden nach Beendigung der Tor-Sitzung gelöscht. Wer Tor dann neu startet, muss Webadressen und Formulareinträge komplett neu eingeben und wird von einer Website nicht wiedererkannt.
Das alles mag unpraktisch sein, weil es das Surfen langsamer und umständlicher macht. Es ist aber der Preis, den man für konsequente Anonymität zahlen muss. Zudem gehört auch noch ein gewisses Verhalten dazu: Wer mit Tor surft und sich dann in seinen normalen E-Mail-Account oder bei Facebook oder bei seiner Bank einloggt, verrät zwar nicht seinem Internetprovider, was er gerade im Netz tut – aber natürlich dem E-Mail-Provider, Facebook oder der Bank. Die Anonymität ist dann für die ganze Sitzung dahin, weil der Nutzer zumindest an einer Stelle seine derzeitige IP-Adresse verrät, mit der er auch alle anderen Seiten aufruft.
Tor ist nützlich, wenn ich sensible Informationen im Netz suchen will. Wem da nur Pornos als Beispiel einfallen, der hat wenig Fantasie. Es geht nämlich auch niemanden etwas an, wenn ich Artikel über Krankheiten oder Medikamente lese, oder über Geldfragen und Urlaubsziele. Und wenn ich für einen Artikel recherchiere, möchte ich auch die Möglichkeit haben, dies unbeobachtet tun zu können.
Wenn ich aber doch YouTube nutzen will, brauche ich eine Alternative zu Tor. Ein VPN (Virtual Private Network) ist eine solche Alternative. Mehr dazu im nächsten Kapitel.
Tor beruht auf der Architektur des geteilten Vertrauens. Dabei gibt es viele verschiedenen heterogene und mit unterschiedlichsten Interessen agierende Netzteilnehmer. Die Sicherheit ergibt sich aus dem Netz und nicht aus einzelnen zentralen Stellen.
Das steht im Gegensatz von z.B HTTPS das mit zentralen zertifizierten Stellen arbeitet. Ist eine dieser Stellen kompromittiert ist das gesamte HTPPS kompromitiiert. Und das wurde leider auch schon mehrmals bewiesen (siehe Digitnotar Hack). Trotzdem wird Online Banking, Kreditkartenzahlungen, Behördenwege über diese unsichere zentrale Architektur abewickelt.
In einer dezentralen Sicherheitsarchitektur müßte ein grosser Teil des Netzes unterwandert werden. Das wäre für einen einzelnen sehr sehr schwierig ohne entdeckt zu werden. Eine solche Unterwanderung ist bis dato auch unbekannt. Die dezentrale Architektur gilt daher heute wesentlich sicherer als die zentrale.
"Ehrlich gesagt, halte ich meine persönlichen online-verhaltens-daten nicht für so wertvoll, dass ich dafür so einen Aufwand und solche Einschränkungen für angemessen halten würde."
Das Problem ist unter anderm die massiver Verknüpfung dieser herumfleuchenden Daten, die uns bevor steht und die auf die Dauer jeigliche Privatsphäre untergraben wird.
Gehen Sie mal auf 123people.com und gegen Sie da ihren Namen ein. Sie dachten, sie haben private Mailadressen? Ihnen werden vor Staunen die Ohren abfallen.
Über mich findet man auf 123people gar nichts und ich bin wirklich nicht wenig im Internet unterwegs..
Über mich findet man auf 123people gar nichts und ich bin wirklich nicht wenig im Internet unterwegs..
... Ihr wiederholt Euch und Euere Argumente. Das ist trollig aber nicht lustig.
Ihr kennt die Pro und Contra Argumente des Gegenübers doch schon seit langem, habt Euch selbst festgelegt und seit überzeugt, dass Euer Gegenüber sich auch festgelegt hat.
Mein Tipp: Tauscht die Telefonnummern aus und geht gemeinsam ein Bier trinken.
Über mich findet man auf 123people gar nichts und ich bin wirklich nicht wenig im Internet unterwegs..
...z.B. mit http://safe-mail.net/
Einfach anonymisert mit Jondonym und JAP einen Account erstellen und fertig. Zum Verschlüsseln gibt es diverse Tools wie Truecrypt oder PGP (Pretty Good Privacy)
Wer verschlüsselt mailen will, läd sich bitte hier:
http://www.trustcenter.de...
ein kostenloses Zertifikat runter und verschlüsselt damit seine Mails.
"Es geht nämlich auch niemanden etwas an, wenn ich Artikel über Krankheiten oder Medikamente lese, oder über Geldfragen und Urlaubsziele. Und wenn ich für einen Artikel recherchiere, möchte ich auch die Möglichkeit haben, dies unbeobachtet tun zu können."
Nun stellt sich mir die Frage, wer Sie denn bei diesen Sachen beobachten soll? Meinen Sie wirklich, das interessiert jemanden, welches Urlaubsziel Sie als nächstes wählen oder welche Krankheit Sie bei Wikipedia nachgeschlagen haben?
Das alles dient nur personifizierter Werbung, mehr nicht. Und das sollte doch ein geistig starker Mensch ausblenden können...
Dass GMail kontextsensitive Werbung anzeigt, ist aber kein großes Geheimnis. Wie genau das funktioniert, steht bei GMail selbst zu lesen:
"We use a similar approach with ads. For example, if you’ve recently received a lot of messages about photography or cameras, a deal from a local camera store might be interesting. On the other hand, if you’ve reported these messages as spam, you probably don’t want to see that deal. This type of automated processing is how many email services provide features like spam filtering and spell checking."
http://support.google.com...
Ich bin freie Fotografin, Journalistin, mache Kurz Filme.Ich habe ein schnellen dual Proc mit 16 GB merory etc Laptop. Da ist mir VPN und Hushmail mit crypto bekannt, Tor mag ich nicht. Was ich anguke wen scherts, was ich mach ist was anders. Meine 4 Platten sind so aufgebaut und verschluesselt, man wird sie auslesn koennen. Der Entwickler der das auch fuer Ubuntu machte sagte mir 12 Monate reichen nicht, ist der Schluessel gut dann dauert es nochmal 4x solange. Sicher tu ich auf einen Stapel der genauso aufgebaut ist
Bitte melden Sie sich an, um zu kommentieren