Tails und Whonix

Das Grundproblem: das Betriebssystem als Lücke

Tor Browser ist ein isolierter Browser — aber er läuft in einem regulären Host-OS. Daraus ergeben sich Risiken, die Tor allein nicht löst:

• Festplatten-Spuren. Browser-Cache, Speicherdateien, Swap-File, Recent-Files — alles bleibt auf der Festplatte zurück, auch wenn Tor Browser im Tab-Modus geschlossen wird.
• Andere Anwendungen. Wenn auf dem System Mail-Client, Slack, Cloud-Sync, Cloud-Drives laufen, kommunizieren die parallel zum Tor-Verkehr — und zwar mit deiner echten IP.
• Malware auf dem Host. Stealer-, RAT-, Keylogger-Malware sieht den Tor-Verkehr, bevor er den Tor-Tunnel erreicht. Tor schützt davor nicht.
• DNS-Lecks bei Mis-Konfiguration. Manche Apps machen System-DNS-Anfragen, die am Tor-Tunnel vorbeigehen.
• Metadaten in Dokumenten. Office-Dokumente, PDFs, Bilder enthalten Author-, GPS-, Timestamp-Daten. Wer ein Dokument anonym veröffentlicht, ohne es zu säubern, gibt seine Identität preis.

Genau diese Lücken adressieren Tails und Whonix auf zwei verschiedenen Wegen.

Tails: das Live-USB-System

Tails (The Amnesic Incognito Live System) ist ein Live-USB-Betriebssystem. Du steckst einen vorbereiteten USB-Stick in einen beliebigen Rechner, bootest von ihm, arbeitest — und beim Herunterfahren bleibt nichts zurück.

Wie es funktioniert:

• Tails ist ein Debian-basiertes Linux, das vollständig im RAM läuft. Die Festplatte des Host-Computers wird nicht angerührt.
• Aller Netzwerk-Verkehr läuft über Tor. Das System selbst zwingt das — keine App kann am Tor-Tunnel vorbei.
• Bei Shutdown wird der RAM überschrieben, sodass auch kein „Cold Boot Attack" auf den Speicher mehr funktioniert.
• Optional: persistenter, verschlüsselter Speicher auf demselben USB-Stick. Hier kannst du Dokumente, Mail-Konten, Lesezeichen langfristig speichern — aber kontrolliert, mit eigenem Passwort, von Tails verwaltet.

Was Tails standardmäßig mitbringt:

• Tor Browser.
• Thunderbird (Mail).
• KeePassXC (Passwort-Manager).
• LibreOffice.
• GIMP.
• OnionShare (anonymer Datei-Austausch).
• Persistent Storage Setup für sensible Workflows.
• MAT2 (Metadaten-Cleaner für Dokumente, Bilder).

Tails ist explizit für journalistische und aktivistische Quellen-Schutz-Anwendungen gebaut und wird vom Tor Project und der Free Press Foundation mit empfohlen. SecureDrop ist mit Tails als Empfänger-Setup designed.

Whonix: VM-basiertes Modell

Whonix ist anders gebaut. Es ist ein Zwei-VM-System, das auf einem bestehenden Host-OS läuft:

• Whonix-Gateway — eine VM, die nur Tor läuft. Sie ist die einzige Verbindung zum Internet.
• Whonix-Workstation — eine zweite VM, in der du arbeitest. Diese VM kann nur über das Whonix-Gateway ins Internet — direkter Netzwerk-Zugriff ist technisch unmöglich.

Daraus folgt:

• Wenn die Workstation kompromittiert wird, bekommt der Angreifer deine echte IP nicht zu sehen. Die Workstation kennt nur die interne IP zur Gateway-VM.
• Du kannst beliebige Software in der Workstation installieren — auch Software, die DNS- oder IP-Leaks hätte. Whonix erzwingt das Tor-Routing strukturell, nicht durch Anwendungs-Konfiguration.
• Im Gegensatz zu Tails: Whonix bleibt persistent. Die Workstation behält ihre Daten, Programme, Konten zwischen Sessions — du sammelst eine Identität.

Was du brauchst:

• Ein Host-OS mit VirtualBox, KVM, Qubes oder einem ähnlichen Hypervisor.
• Genug RAM (mindestens 4 GB, besser 8+ GB).
• Festplatten-Platz für beide VMs.

Whonix ist die typische Wahl, wenn du eine Linux- oder Windows-Workstation für anonyme Arbeit langfristig betreiben willst. Beliebt in Kombination mit Qubes OS, einem Sicherheits-fokussierten OS, das Whonix als Default-Anonymitäts-Setup unterstützt.

Tails vs. Whonix: wann was?

Faustregel:

• Tails für einzelne, hochsensible Aktionen — Whistleblowing-Submission, journalistische Recherche, einmaliges anonymes Veröffentlichen.
• Whonix für langfristige anonyme Identitäten — Aktivismus, langfristige Pseudonymität in Foren, anonyme Forschung.
• Beides wenn der Anspruch hoch ist: Whonix für die Workstation, Tails für die sensibelsten Einzel-Aktionen.

Für die meisten Privatsphäre-Bedürfnisse (Werbe-Schutz, Café-WLAN-Sicherheit, Geo-Inhalte) sind beide übertrieben. Sie sind spezialisierte Werkzeuge für spezialisierte Anforderungen.

---

Tails-Setup: was du brauchst

Realistische Vorbereitung:

• USB-Stick mindestens 8 GB, besser 16+ GB (für Persistent Storage).
• Ein zweiter Computer zum Erstellen des USB-Sticks (Tails Installer).
• GPG installiert auf dem Erstellungs-Rechner, um die Signatur des Tails-Download zu prüfen.
• Stabiler Internet-Zugang zum Herunterladen des Tails-Images (rund 1.5 GB).

Workflow:

1. tails.net öffnen, aktuelle Version herunterladen.
2. GPG-Signatur prüfen (Anleitung auf der Tails-Seite).
3. Tails Installer verwenden (auf Linux: GNOME-Disks, oder die offiziellen Tails-Installer-Anweisungen).
4. Vom USB-Stick booten — beim Start des Computers F12/F8/Esc drücken (je nach Hersteller), USB-Boot wählen.
5. Bei erstem Start: Persistent Storage einrichten, wenn gewünscht. Eigenes Passwort wählen — Tails fragt nie nach Recovery.
6. Im Tails-Welcome-Bildschirm Sprache, Tastatur, etc. wählen.
7. Mit Tor verbinden — direkter Verbindung oder über Bridge (falls in zensiertem Netz).

Verschlüsselte Dokumente und Mail-Konten kommen in den Persistent Storage. Sehr sensible Aktionen passieren in einer reinen Tails-Session ohne Persistent Storage.

Wann der Aufwand sich lohnt — und wann nicht

Eine Einordnung:

Lohnt sich Tails / Whonix:

• Journalismus mit Quellen-Schutz-Verpflichtung.
• Whistleblowing — Empfänger und Sender beide auf Tails / SecureDrop.
• Aktivismus in repressiven Staaten, mit Risiko strafrechtlicher Verfolgung.
• Forschung zu sensitive Themen, bei der die Identität der Forschenden geschützt werden muss.
• Anwält:innen mit besonders schutzbedürftigen Mandant:innen.
• Quellen-Schutz für Journalist:innen in Ländern mit hoher Pressefreiheits-Bedrohung.

Lohnt sich Tails / Whonix nicht:

• Werbe-Tracking reduzieren — Privacy-Browser + Tracker-Blocker reichen.
• Café-WLAN-Sicherheit — TLS + ggf. VPN reichen.
• Streaming, Banking, alltägliche Aktivität — bricht mit Tails.
• „Allgemeines Misstrauen gegen Big Tech" — Werkzeug-Overkill, das oft Sicherheits-Theater produziert.

Das Sicherheits-Theater-Problem: Wer Tails einsetzt, ohne den OPSEC-Disziplin dazu zu haben (siehe anonymitaets-grenzen), bekommt falsche Sicherheit. Eine Recherche in Tails, bei der du am Ende per Klartext-Mail an die Redaktion sendest, ist nicht sicherer als eine Recherche in normalem Firefox — du hast nur mehr Werkzeug-Komplexität.

Qubes OS: die nächste Stufe

Für die Maximal-Variante: Qubes OS ist ein eigenes Linux-basiertes Betriebssystem, das alle Aktivitäten in isolierten VMs durchführt:

• Eine VM für Mail.
• Eine VM für Browser-Surfen.
• Eine VM für sensitives Whonix-Surfen.
• Eine VM für Banking.
• Eine VM für Job-Aktivität.

Wenn eine VM kompromittiert wird, bleiben alle anderen geschützt — die Architektur ist isolation by compartmentalization. Whonix ist als Default-Anonymitäts-VM in Qubes integriert.

Vorteile:

• Sehr starke Isolation auch über Tor hinaus.
• Klare Trennung von Identitäten und Aktivitäten.
• Renommiert bei Sicherheits-Profis (Edward Snowden empfiehlt es seit Jahren).

Nachteile:

• Lernkurve sehr steil.
• Hardware-Anforderungen: viel RAM, kompatibler Chipsatz (nicht alle Laptops funktionieren).
• Performance-Overhead durch viele VMs.
• Komfort-Einschränkungen (kein iCloud-Sync, keine bequeme App-Installation).

Für die allermeisten Nutzer:innen ist Qubes OS nicht der richtige Workflow. Wer aber in den Hoch-Risiko-Kategorien arbeitet (Journalismus mit gefährdeten Quellen, hochrangige NGO-Arbeit gegen mächtige Akteure), ist hier in der etablierten Goldstandard-Welt.

Besonderheiten

Tails entstand 2009 als Amnesia

Die ursprüngliche Distribution hieß amnesia. 2014 in „Tails" umbenannt — Akronym für „The Amnesic Incognito Live System". Wird von einer kleinen, gemeinnützigen Organisation gepflegt; gefördert vom Tor Project, der Mozilla Foundation, der Open Technology Fund und vielen Privat-Spenden.

Tails benutzte Edward Snowden

Es ist öffentlich bekannt, dass Edward Snowden 2013 Tails für die sicheren Mitschnitte und Kommunikationen mit Glenn Greenwald und Laura Poitras nutzte. Das war eine der meistzitierten Use-Cases — und hat Tails als Goldstandard im Journalismus etabliert.

Whonix-Architektur basiert auf der Anonym-OS-Forschung

Whonix wurde von Patrick Schleizer (Pseudonym) ab 2012 entwickelt. Die Zwei-VM-Architektur (Gateway + Workstation) ist eine bewusste Antwort auf die Schwächen einer Single-VM-Lösung — strukturell DNS- und Anwendungs-Leak-resistent. Der Code ist Open Source und wird laufend gepflegt.

MAT2: Metadaten-Cleaner als Pflicht-Werkzeug

Tails bringt MAT2 mit — Metadata Anonymisation Toolkit. Vor jedem Veröffentlichen eines Dokuments / Bildes / PDFs solltest du es durch MAT2 schicken, um Author-, GPS-, Geräte-, Timestamp-Daten zu entfernen. Eine kleine Geste mit großer Wirkung — die Lecks aus Foto-EXIF und PDF-Author-Tags sind seit Jahren ein dokumentierter Quellen-Schutz-Killer.

Whonix funktioniert auch ohne Qubes

Du kannst Whonix in VirtualBox, KVM oder QEMU auf einem normalen Windows/Mac/Linux-Host fahren. Qubes OS ist eine erweiterte Variante, kein Pflicht-Setup. Für einsteigerfreundliche Whonix-Nutzung: VirtualBox auf einem normalen Laptop.

Tails-Updates kommen alle paar Wochen

Tails veröffentlicht regelmäßig Sicherheits-Updates. Da Tails amnestisch ist, läuft kein automatisches Update — du musst aktiv eine neue Version herunterladen oder die eingebaute Updater-Funktion nutzen. Update-Disziplin ist wichtig, besonders wenn du regelmäßig Tails nutzt.

OnionShare: anonymer Datei-Austausch

Tails enthält OnionShare: ein Tool, das beliebige Dateien als Tor-Onion-Service teilt — ohne Cloud-Anbieter, ohne Größenlimit, ohne Account. Sehr nützlich für Quellen-Datei-Übertragung, anonyme Veröffentlichung. Auch außerhalb von Tails nutzbar (für Mac, Linux, Windows).

Weiterführende Ressourcen

Externe Quellen

• Tails Project
• Tails Documentation
• Whonix Project
• Whonix-Dokumentation
• Qubes OS
• SecureDrop
• OnionShare
• Freedom of the Press Foundation – Anti-Surveillance Resources
• EFF Surveillance Self-Defense
• Access Now Digital Security Helpline

Verwandte Artikel

• Anonymität vs. Privatsphäre
• VPN-Grundlagen und Anbieter
• Tor-Grundlagen
• Tor-Browser-Praxis
• Anonymitäts-Grenzen
• Angreifer-Typen

---

Hinweis zu Inhalten: Die in diesem Artikel beschriebenen Werkzeuge (Tails, Whonix, Qubes OS, OnionShare) werden weltweit von Journalist:innen, Aktivist:innen, Forschenden und Whistleblower:innen mit legitimen, gesetzlich geschützten Schutz-Interessen genutzt. Die Inhalte dieses Artikels dienen ausschließlich der Aufklärung und Bildung. Wer Tails oder Whonix zur Begehung strafbarer Handlungen einsetzt, ist dafür rechtlich verantwortlich — und im Übrigen oft auch durch diese Werkzeuge nicht zuverlässig geschützt, weil OPSEC-Fehler, Zeit-Korrelationen und Verhaltens-Muster zur Re-Identifikation führen können. Wer in einer Hoch-Risiko-Situation arbeitet (Quellen-Schutz, politische Verfolgung), sollte sich an spezialisierte Beratungs-Stellen wenden: EFF Surveillance Self-Defense, Access Now, Reporter ohne Grenzen, Citizen Lab.