Tor lässt sich nicht nur mittels spezialisierter Systeme wie Tails nutzen, sondern auch als Tor Browser auf jedem Desktopsystem und den meisten Mobilsystemen einrichten.
Praktische Anwendung
Grundsätzlich lässt sich jeglicher Datenverkehr über das Tor-Protokoll abwickeln. Viele Linux-Distributionen haben Tor in ihren Paketquellen, wodurch es theoretisch möglich wäre, den gesamten ein- und ausgehenden Datenverkehr über das Tor-Netzwerk zu leiten. In der Praxis ist das jedoch nicht besonders sinnvoll.
Ein großer Teil unseres Datenverkehrs lässt allerdings eine eindeutige Identifizierung zu. Dazu gehören sowohl unverschlüsselte E-Mails mit personalisierten Inhalten wie auch Teile der Internetaktivität. Online-Shops verfügen beispielsweise über detaillierte Adress- und Zahlungsinformationen. Sobald man sich hier anmeldet, ist die eigene Identität enttarnt – selbst wenn der Datenverkehr über Tor geleitet wurde. Das betrifft dann möglicherweise auch andere Bereiche der gleichen Sitzung. Dies ist ein recht nahe liegendes Beispiel, es gibt aber auch etwas komplexere Probleme mit Identitäten. Wer z. B. systematisch die gleichen oder sehr ähnliche Pseudonyme verwendet, ermöglicht eine übergreifende Verbindung der Identitäten, die dann ggf. über eine kleine Schwachstelle – also beispielsweise eine irgendwo bestehende Verknüpfung von realer Identität und Pseudonym – identifiziert werden kann.
Tor lässt sich deshalb am besten in den eigenen Alltag integrieren, indem man sein Surfverhalten analysiert und in zwei oder drei Bereiche aufteilt.
Der erste Bereich besteht aus Internetseiten mit eindeutiger Identifizierung der eigenen Person (diesen Bereich kann man versuchen, möglichst klein zu halten), der zweite Teil aus Internetseiten mit einem eindeutigen Pseudonym, das sich direkt mit der eigenen Person verbinden lässt. Diese beiden Bereiche kann man über einen oder mehrere vertrauenswürdige Browser abwickeln. Eine Umleitung des Datenverkehrs durch das Tor-Protokoll wäre hier kontraproduktiv, weil die Identität sowieso offen liegt. Am besten nimmt man hier einen Browser, der nicht von einem IT-Unternehmen entwickelt wird, das seine Umsätze durch Auswertung von Nutzerdaten erzielt. Dieser Browser kann durch vielfältige Maßnahmen abgesichert werden, Tor ist dazu jedoch nicht unbedingt nötig.
Relevant ist der dritte Bereich. Dieser besteht aus Aktivitäten, die am besten mit keinerlei Anmeldedaten verknüpft sind oder für die absolut anonyme Identitäten angelegt wurden. Hier nutzt man Tor, um sich zu schützen. Solche Identitäten sicher zu halten ist aufwändig und setzt stete Wachsamkeit voraus. Die Kompromittierung solcher Identitäten erfolgt meist nicht durch überlegene Überwachungstechnik, sondern durch Nachlässigkeit des Anwenders. In dem Moment, in dem man ein einziges Mal aus Unachtsamkeit ohne Tor die Identität genutzt hat, ist sie potenziell kompromittiert und muss aufgegeben werden.
Tor Browser Bundle
Die einfachste Umsetzung dieser Trennung besteht durch die Nutzung des Tor Browser Bundle. Dabei handelt es sich um eine durch das Tor-Projekt angepasste Variante der jeweiligen Firefox-ESR-Version, die bereits Tor integriert hat und zudem durch Addons und Einstellungsanpassungen modifiziert wurde.
Es handelt sich dabei um portable Software, die nicht fest installiert wird und für jedes gängige Desktopbetriebssystem zur Verfügung steht. Das Archiv mit der Software lädt man sich an einen beliebigen Ort im heimischen Dateisystem herunter. Unter macOS muss die App-Datei in den Programme-Ordner kopiert werden, bei Linux reicht es, das Archiv zu entpacken und den Starter anzuklicken. Den Tor-Browser startet man entweder über die enthaltene Startverknüpfung oder man legt manuell eine Verknüpfung im Menü der Desktopumgebung an.
Alle Aktivitäten des Tor Browsers werden über das Tor-Netzwerk abgewickelt. Der Browser startet immer in der durchschnittlichen Auflösung von 1280px, da die größte des Browserfensters durch Internetseiten abgefragt werden kann und insbesondere individuelle – sprich ungewöhnliche – Auflösungen den Anwender möglicherweise identifizierbar machen. Verändert der Anwender die Größe des Fensters, modifiziert der Tor Browser trotzdem die größte des Innenfensters, um die Einstellung zu verfremden. Hinzu kommen viele Addons, Informationen und Tooltips über sicheres surfen.
Der Tor Browser verhindert kein Tracking, sondern sorgt dafür, dass man mit den Standardeinstellungen in der Masse – der so genannten Anonymitätsgruppe – untergeht. Deshalb sind Modifikationen in den Einstellungen in der Regel nicht zu empfehlen. Einige Einstellungen wie der vollständig fehlende Werbeblocker muten einem sogar kontraproduktiv an, sind aber gewollt.
In das Bundle ist eine automatische Updateroutine implementiert, die – ähnlich wie bei Firefox unter Windows oder macOS – über Updates informiert und diese durchführt. Der Pflegeaufwand für den Nutzer hält sich also in Grenzen.
Problematisch an dieser Lösung ist, dass man dem System, auf dem das Tor Browser Bundle läuft, vertrauen muss (siehe: Betriebssysteme). Keylogger und andere Schädlinge können ansonsten die eigenen Anstrengungen zur Anonymisierung unterlaufen.
Android App
Für Android existiert eine angepasste Variante des Bundles. Diese basiert auf der mobilen Variante von Firefox und funktioniert ähnlich wie das Desktop Bundle. Im Unterschied zu diesem muss die Android App allerdings installiert werden und läuft nicht im portablen Modus.
iOS App
Im Gegensatz zum Desktop oder zu Android gibt es kein offizielles Tor Browser Bundle für iOS. Anwender von iPhones und iPads müssen daher auf Software von Dritten ausweichen. Die App Stores sind voller Angebote, aber nur eines hat eine offizielle Empfehlung: Onion Browser von Mike Tigas. Die App ist aber leider auch nur eine Notlösung.
Die App beinhaltet den Tor Dienst und einen rudimentären Browser. Integriert ist HTTPS-Everywhere und ein URL Blocker. Letzteres unterscheidet die App auch massiv vom Desktop Bundle.
Die App von Mike Tigas versucht dem Tor Prinzip zu folgen und in der breiten Masse mit zu schwimmen. Neben der Tor-IP identifiziert sich der Browser daher als mobiler Safari Browser auf iOS. Durch die hohe Verbreitung von iPhones ist das allerdings noch halbwegs in Ordnung. Viele weitere Informationen zu Gerätespezifika werden unterdrückt, um die Anonymitätsgruppe nicht zusätzlich einzuschränken. Genau dadurch unterscheidet sicher der Browser leider vom normalen Safari auf dem iPhone, der durchaus die Fenstergröße und Auflösung ausplaudert.
Durch diese Beschränkungen ist der einzelne Anwender als Nutzer des Onion Browsers identifizierbar. Ein Problem, das zwar auch beim Desktop Bundle existiert, weil die dortigen möglichst allgemeingültigen Standardwerte auch nur eine Fiktion sind. Durch die wesentlich geringeren Nutzungszahlen des Onion Browsers gewinnt dieses Problem aber an Bedeutung.
Die App ist daher im Vergleich zum Desktop Bundle eine Notlösung und dient primär der IP-Verschleierung gegenüber Provider und aufgerufener Seite.
Zusammengefasst
Für welche Methode man sich auch entscheidet. Grundsätzlich ist es gut, seine Privatsphäre im Netz zu schützen. Anonymität ist keineswegs nur im Interesse von Terroristen, Drogenhändlern und Kinderschändern, wie die Wegbereiter des Überwachungsstaates gerne behaupten, sondern sollte jeden interessieren. Datensätze, die einmal angelegt wurden, lassen sich beliebig lange speichern und auswerten. Die Möglichkeiten sind hier schon heute fast unbegrenzt und erweitern sich durch technischen Fortschritt permanent. Niemand möchte, dass eines Tages detaillierte Informationen zur eigenen Person in fremde Hände geraten – und sei es auch nur in die der Werbewirtschaft, die ganz genau weiß, für welche Produkte man sich interessiert.