Whonix – Anonymität in einer VirtualBox

Datensparsamkeit und Schutz der digitalen Privatsphäre ist das eine Thema, Anonymität ein völlig anderes. Leider wird beides viel zu oft vermengt. Anonymität ist nicht immer notwendig und wenn, dann nur mit strenger Disziplin und den entsprechenden Werkzeugen zu erreichen. Eines dieser Werkzeuge bietet Whonix.

Umfeld von Whonix

Anonymität ist im Internet immer noch gleichzusetzen mit Tor (trotz aller Probleme). Doch obwohl sich Tor beispielsweise einfach über die Paketquellen der meisten Linux-Distributionen installieren lässt, ist es nicht einfach damit getan, seinen Datenverkehr über ein paar Tor-Knoten zu leiten. Denn erstens erfolgt Identifizierung heute über mehr Faktoren als nur die IP-Adresse und zweitens würde man bei so einem Vorgehen auch identifizierbaren Traffic mitschicken und sich damit selbst kompromittieren.

Deshalb gibt es zwei besonders bekannte Lösungen, um anonym zu surfen. Den Tor Browser und Tails. Der Tor Browser ist ein niedrigschwelliges Angebot, das einfach unter jedem Betriebssystem installiert werden kann. Dabei handelt es sich um eine modifizierte Firefox-Version, die darauf ausgelegt ist, in der Masse unterzugehen und natürlich den Datenverkehr über das Tor-Netzwerk leitet. Für den Einstieg und „kleinere“ Anonymitätsbedarfe völlig ausreichend.

Die Arbeit auf dem eigenen Desktop hat aber auch Nachteile. Downloads können manipuliert sein oder der ein oder andere Link aus Versehen doch im falschen Browser geöffnet werden. Für diese Zwecke gibt es Tails, das nur als Live-System funktioniert und somit immer eine saubere Arbeitsumgebung startet. Die Funktionsweise bedingt natürlich einen abwechselnden Betrieb zum eigenen System und die eigene Hardware sollte mit GNOME Shell flüssig laufen, denn Tails versucht im Linux-Umfeld möglichst wenig aufzufallen. Ein zufälliger Beobachter im Café soll eben nicht sehen, dass man gerade mit Tails arbeitet. Tails ist unpraktisch und will auch genau das sein.

Whonix

An diesem Punkt kommt Whonix ins Spiel. Die Entwickler haben den Anspruch ein „wasserdichtes Betriebssystem für die Privatsphäre“ zu schaffen und durchaus prominente Fürsprecher. Anders als Tails setzt man auf Virtualisierung, weshalb sich Whonix in das eigene Arbeitsumfeld einfügt, aber im Gegensatz zum Tor Browser dennoch hinreichend separiert.

Dieses Ziel erreichen die Entwickler mit Virtualisierung. Whonix gibt es für VirtualBox (Windows, macOS, Linux) und für das erste Setup ist dies auch der einfachste Weg. Linux-Anwender können aber auch eine Virtualisierung über KVM vornehmen und besonders sicherheitsbewusste Anwender können zu Qubes greifen.

Whonix verwenden

Die Installation und Einrichtung funktioniert für VirtualBox über den Download von OVA-Images. Diese können über die Schaltfläche Importieren in VirtualBox importiert werden. Dabei werden zwei virtuelle Maschinen angelegt:

  • Whonix Gateway
  • Whonix Workstation

Beide Maschinen müssen gestartet werden. Whonix Gateway ist dafür zuständig, die Verbindung zum Tor-Netzwerk aufzubauen. Ansonsten macht man als Anwender nichts in dieser Maschine. In der Workstation darf gearbeitet werden. Diese Workstation kann nur über den Gateway nach außen kommunizieren. Die Idee dahinter ist, dass selbst bei einer Kompromittierung der Workstation Informationen wie die öffentliche IP-Adresse nicht offen gelegt werden kann.

Beide Maschinen müssen über den Befehl upgrade-nonroot aktualisiert werden, um Sicherheits- und Funktionsupdates zu erhalten. Als Desktop kommt das ressourcensparsame Xfce zum Einsatz. Eine kleine Softwareauswahl ist bereits vorinstalliert. Insbesondere der zentrale Tor Browser in einer speziellen Ausfertigung.

Vor- und Nachteile

Whonix soll in einer virtuellen Umgebung laufen. Dadurch kann der Anwender das System anpassen und konfigurieren und startet anders als bei Tails nicht jedes mal mit einem blanken System. Das ist Vor- und Nachteil zugleich, weil es eben auch Spielräume zur Kompromittierung lässt. Zudem müssen Gateway und Workstation aktuell gehalten werden, weshalb eine gewisse Systempflege notwendig ist.

Der Betrieb von zwei virtuellen Maschinen zusätzlich zum Host-System erfordert zudem eine hinreichend potente Hardware.

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...