secure-os.org
ENFRESDEITPT
Alle AnleitungenQubes OSTailsWhonixGehärtetes LinuxFestplattenverschlüsselungBedrohungsmodell
tails

Tails OS erklärt: Das amnesische Betriebssystem, das dich vergisst (2026)

secure-os· Aktualisiert 12. Juni 2026· 13 Min. Lesezeit #tails#tor#live-os
Ein USB-Stick mit der Aufschrift Tails OS neben einem Laptop, auf dem eine anonyme Desktop-Sitzung läuft

Jedes Betriebssystem, das du auf einer Festplatte installierst, hinterlässt eine wachsende Aufzeichnung dessen, was du getan hast, mit wem du gesprochen und welche Seiten du besucht hast. Browserverlauf, Auslagerungsdateien, DNS-Caches, Prefetch-Logs – all das sammelt sich still und leise an. Tails OS kehrt dieses Modell vollständig um. Es läuft von einem USB-Stick, hält alles im Arbeitsspeicher, und wenn die Sitzung endet, vergisst es, dass du jemals da warst.

Dieses Design ist kein Zufall. Es ist das Grundprinzip eines Projekts, das seit 2009 läuft und seit Ende 2024 unter dem Dach des Tor Project operiert – der gemeinnützigen Organisation hinter dem Anonymitätsnetzwerk, von dem Tails abhängt.

Was ist Tails OS?

Tails steht für The Amnesic Incognito Live System. Es ist eine Debian-basierte Linux-Distribution, die direkt von externen Medien gestartet werden soll – einem USB-Stick oder, historisch, einer DVD –, ohne die Festplatte des Wirtsrechners zu berühren. Die aktuelle Version im Juni 2026 ist Tails 7.8.1.

Der Name fasst seine zwei Kerneigenschaften zusammen:

  • Amnesisch: Standardmäßig wird nichts auf persistentem Speicher gespeichert. Der Arbeitsspeicher wird beim Herunterfahren gelöscht. Der nächste Nutzer dieses Computers findet keine Spur deiner Sitzung.
  • Inkognito: Jede Netzwerkverbindung wird zwangsweise durch das Tor-Netzwerk geleitet, was deine IP-Adresse vor den besuchten Seiten und vor deinem Internetanbieter verbirgt.

Tails ist freie Software, die hauptsächlich durch Spenden und Förderungen von Organisationen wie der Freedom of the Press Foundation, der Mozilla Foundation und dem Tor Project selbst finanziert wird. Es wurde mehrfach von unabhängigen Sicherheitsforschern auditiert.

Warum Tails wichtig ist: Das Bedrohungsmodell, das es adressiert

Die meisten Datenschutz-Tools reduzieren Überwachung nur am Rande. Tails adressiert eine spezifische Bedrohung mit hohem Einsatz: einen physisch kompromittierten Rechner in einer feindlichen Umgebung. Zu den Einsatzfällen gehören:

  • Eine Journalistin, die Dokumente von einer Quelle in einem autoritären Land erhält
  • Ein Menschenrechtsaktivist, der in einer Region arbeitet, in der die Beschlagnahmung von Geräten ein realistisches Risiko ist
  • Ein Anwalt, der von einem geteilten oder nicht vertrauenswürdigen Computer auf Fallakten zugreift
  • Eine Quelle, die mit einer Redaktion kommuniziert, ohne Beweise auf Geräteebene zu hinterlassen

Edward Snowden nutzte Tails, als er 2013 mit den Journalisten Glenn Greenwald und Laura Poitras kommunizierte. Poitras hat es öffentlich als wesentlich für die operative Sicherheit dieser Berichterstattung beschrieben. Die Freedom of the Press Foundation empfiehlt Tails aktiv in ihren Schulungsprogrammen für Journalisten und Quellen.

Tails ist kein Werkzeug für den beiläufigen Alltagsgebrauch. Diese Unterscheidung zu verstehen ist wichtig, bevor du beurteilst, ob es zu deiner Situation passt.

Wie Tails unter der Haube funktioniert

Ein Laptop, der Quellcode in einem Editor zeigt.

Boot-Vorgang

Tails läuft vollständig vom USB-Stick. Wenn du ihn einsteckst und bootest, lädt das BIOS oder die UEFI-Firmware des Rechners den Tails-Bootloader vom USB-Stick. Das System bindet die interne Festplatte niemals ein. Wenn der Computer eine funktionierende Festplatte mit einem anderen installierten Betriebssystem hat, ignoriert Tails sie vollständig – die Sitzung läuft isoliert.

Das bedeutet, dass Schadsoftware auf dem Wirts-Betriebssystem deine Tails-Sitzung nicht erreichen kann. Die Angriffsfläche schrumpft auf die Firmware-Ebene und auf das, was du während der Sitzung selbst tust.

Betrieb nur im Arbeitsspeicher

Alle Sitzungsdaten – geöffnete Dateien, Browserverlauf, getippter Text – liegen im Arbeitsspeicher. Sobald du herunterfährst (oder der Strom getrennt wird), wird dieser Speicher freigegeben. Tails versucht außerdem, den Inhalt des Arbeitsspeichers beim Herunterfahren zu überschreiben, um Cold-Boot-Angriffen zu widerstehen, bei denen ein Angreifer versucht, Speicherchips einzufrieren und auszulesen, bevor sie sich entladen.

Erzwungenes Tor-Routing

Tails konfiguriert die System-Firewall so, dass jeglicher Datenverkehr blockiert wird, der nicht durch Tor läuft. Es gibt auf Anwendungsebene keinen Opt-out-Schalter. Wenn eine Anwendung versucht, das Internet direkt zu kontaktieren – unter Umgehung von Tor –, wird das Paket verworfen. Dies verhindert versehentliche Clearnet-Lecks durch fehlkonfigurierte Software.

Der Tor Browser ist der Standardbrowser, vorkonfiguriert mit sinnvollen Sicherheitseinstellungen. Andere enthaltene Anwendungen – der E-Mail-Client Thunderbird, das Datei-Sharing-Tool OnionShare, der Passwortmanager KeePassXC – sind alle so vorkonfiguriert, dass sie innerhalb des Tor-Netzwerks funktionieren.

Persistenter Speicher (optional, LUKS-verschlüsselt)

Da Tails von Natur aus amnesisch ist, erfordert das Speichern von Daten über Sitzungen hinweg eine bewusste Einrichtung. Tails bietet eine optionale Funktion namens Persistenter Speicher: eine verschlüsselte Partition auf demselben USB-Stick, geschützt durch eine Passphrase und mit LUKS (Linux Unified Key Setup) verschlüsselt. Du kannst auswählen, was beibehalten werden soll – Lesezeichen, Dokumente, SSH-Schlüssel, benutzerdefinierte Anwendungskonfigurationen –, während der Rest der Sitzung flüchtig bleibt.

Falls ein Angreifer deinen USB-Stick beschlagnahmt, ist der Persistente Speicher verschlüsselt und ohne die Passphrase unzugänglich. Für einen tieferen Blick darauf, wie Vollverschlüsselung Daten im Ruhezustand schützt, siehe unseren Leitfaden zur Vollverschlüsselung.

Wie man Tails bewertet (und was man prüfen sollte)

Tails sollte von physischer Hardware ausgeführt werden, nicht von einer virtuellen Maschine: Seine Amnesie-Garantie hängt davon ab, wie der Arbeitsspeicher beim Herunterfahren gelöscht wird, und ein VM-Host kann im Prinzip den Arbeitsspeicher des Gasts beobachten. Das Tails-Projekt selbst warnt davor, dass der Betrieb innerhalb einer VM das Sicherheitsmodell teilweise aushebelt, also behandle die VM-Nutzung als Möglichkeit, die Oberfläche zu erkunden – nicht als sicheren Einsatz.

Was sich zu überprüfen lohnt

Wenn du Tails für dein eigenes Bedrohungsmodell beurteilst, sind dies die relevanten Dimensionen und wie du jede selbst überprüfst:

KriteriumWas zu prüfen ist
ProzessisolationOb nicht-Tor-Datenverkehr die System-Firewall umgehen kann
FestplattenverschlüsselungLUKS-Stärke beim Persistenten Speicher und Durchsetzung der Passphrase
NetzwerkanonymitätSämtlicher Verkehr verlässt das System über Tor; DNS-Leck-Verhalten; MAC-Randomisierung
InstallationsaufwandZeit vom Download bis zu einer gebooteten Sitzung auf unbekannter Hardware

Was die Dokumentation und das Design belegen: Die Durchsetzung des Tor-Routings ist per Design wirksam – keine mitgelieferte Anwendung kann im Normalbetrieb Clearnet-Verkehr erzeugen. Der Persistente Speicher nutzt LUKS-Verschlüsselung (AES-256-XTS mit PBKDF2-Schlüsselableitung, konsistent mit den Debian-Standards). Die MAC-Randomisierung läuft standardmäßig bei jedem Boot, was du in den Netzwerkeinstellungen innerhalb von Tails selbst bestätigen kannst. Die Installation von Grund auf bis zur ersten gebooteten Sitzung ist auf einem typischen USB-3.0-Stick eine Sache von Minuten, einschließlich Signaturprüfung. Diese Verhaltensweisen sind in der offiziellen Tails-Dokumentation dokumentiert und auf deinem eigenen Rechner überprüfbar.

Eine detaillierte Schritt-für-Schritt-Anleitung zur USB-Installation und zur Einrichtung des Persistenten Speichers beim ersten Boot findest du in unserem Schritt-für-Schritt-Leitfaden zur Tails-USB-Installation.

Offizielle technische Spezifikationen

Diese Angaben stammen aus der offiziellen Tails-Dokumentation und den Release Notes und sind für Tails 7.8.1 zutreffend:

SpezifikationOffizieller Wert
BasissystemDebian GNU/Linux (Stable-Branch)
Mindest-RAM2 GB (4 GB empfohlen für komfortable Nutzung)
Mindest-USB-Größe8 GB
StandardbrowserTor Browser (Gecko-basiert, gehärteter Fingerprint)
NetzwerkschichtTor (sämtlicher Verkehr, auf Firewall-Ebene erzwungen)
Verschlüsselung des Persistenten SpeichersLUKS (Linux Unified Key Setup), AES-256
MAC-AdresseStandardmäßig bei jedem Boot randomisiert
Secure BootNicht unterstützt – muss im UEFI deaktiviert werden
LizenzGNU GPL (frei und quelloffen)
Betreut vonThe Tor Project (seit 2024)

Tails veröffentlicht keine Download-Zahlen oder Nutzerzahlen öffentlich. Die Finanzierungsoffenlegungen des Projekts, die öffentlich sind, spiegeln unter anderem Förderungen der Freedom of the Press Foundation, von Mozilla und der Europäischen Kommission wider.

Tails installieren: Überblick

Was du brauchst

  • Einen USB-Stick mit mindestens 8 GB (dieser wird zu deinem Tails-Stick)
  • Eine Internetverbindung, um das Image herunterzuladen
  • Optional einen zweiten USB-Stick oder ein anderes Gerät, um den Tails-Installer auszuführen

Der Verifizierungsschritt

Lade das Tails-Image von tails.net herunter. Bevor du es schreibst, überprüfe die kryptografische Signatur. Tails stellt eine OpenPGP-Signatur und eine Browser-Erweiterung bereit, die diese Prüfung automatisiert. Das Überspringen der Verifizierung ist der häufigste Fehler, den Anfänger machen – ein manipuliertes Image würde jede Sicherheitseigenschaft untergraben, die Tails bietet.

Das Image schreiben

Unter Windows empfiehlt die Tails-Website den Tails Installer, ein speziell entwickeltes Tool, das den Schreibvorgang übernimmt und optional den Persistenten Speicher einrichtet. Unter Linux und macOS funktioniert dd mit der korrekten Blockgröße zuverlässig, bietet aber keine Fortschrittsanzeige und erfordert Sorgfalt beim Zielgerätepfad.

Tails benötigte früher zwei USB-Sticks für den Installationsvorgang (einen zum Ausführen des Installers, einen zum Empfangen von Tails). Seit den jüngsten Versionen ist dies unter Windows nicht mehr erforderlich – du kannst mit dem Tails Installer direkt aus dem heruntergeladenen Image installieren.

Erster Boot

Rufe das BIOS/UEFI deines Rechners auf und stelle den USB-Stick als primäres Boot-Gerät ein, oder verwende das einmalige Boot-Menü (typischerweise F12, F11 oder Escape beim Start, je nach Hersteller). Auf modernen Rechnern mit aktiviertem Secure Boot musst du es möglicherweise deaktivieren – Tails unterstützt Secure Boot derzeit nicht.

Was Tails schützt – und was nicht

GeschütztNicht geschützt
IP-Adresse (über Tor)Überwachung unverschlüsselten Verkehrs am Tor-Exit-Knoten
Sitzungsdaten (nur im Arbeitsspeicher)Schadsoftware auf Firmware-Ebene (BIOS/UEFI-Rootkits)
Dateien im Persistenten Speicher (LUKS)Verhaltensbasiertes Fingerprinting innerhalb einer Sitzung
Identität gegenüber Clearnet-LecksPhysische Beobachtung des Bildschirms
DNS-Abfragen (Tor übernimmt diese)Kompromittierter Tor Browser (Browser-Exploits)
Aktivität des Wirts-BetriebssystemsISP-Metadaten über die Tor-Nutzung selbst

Tor-Exit-Knoten

Tor verschlüsselt den Verkehr zwischen deinem Rechner und dem Exit-Knoten, aber der Exit-Knoten kommuniziert mit dem Ziel im Klartext (sofern das Ziel nicht HTTPS verwendet). Ein bösartiger Exit-Knoten kann unverschlüsselten Verkehr beobachten. Dies ist eine Eigenschaft von Tor, kein Tails-spezifischer Fehler. Überprüfe immer HTTPS, wenn du Tails für sensible Kommunikation nutzt.

Firmware-Angriffe

Tails kann nicht gegen Schadsoftware schützen, die in die Firmware des Computers eingebettet ist – das BIOS, UEFI oder Hardware-Controller. Diese Angriffe sind selten und teuer in der Umsetzung, aber sie existieren. Wenn du gegen einen staatlichen Angreifer mit physischem Zugriff auf deine Hardware operierst, reicht Tails allein nicht aus.

MAC-Adressen-Spoofing

Tails randomisiert die MAC-Adresse deiner Netzwerkschnittstelle automatisch bei jedem Boot. Dies verhindert, dass das lokale Netzwerk (etwa ein Hotel-WLAN-Router) deine Aktivität über Sitzungen hinweg anhand der Hardware-Kennung verknüpft. Es ist standardmäßig aktiviert und einer von mehreren Schutzmechanismen, die Tails ohne Nutzerkonfiguration anwendet.

Tails im Vergleich zu anderen Datenschutz-Betriebssystemen

Tails besetzt eine spezifische Nische. Es ist für episodische, hochriskante Sitzungen konzipiert, in denen es wichtiger ist, keine Spuren zu hinterlassen, als bequem zu sein.

Whonix verfolgt einen anderen Ansatz: Es läuft innerhalb einer virtuellen Maschine auf deinem regulären Betriebssystem und trennt die Workstation vom Tor-Gateway über zwei separate VMs. Das macht es besser geeignet für längerfristige pseudonyme Arbeitsabläufe, bei denen du Persistenz und die Möglichkeit zur Softwareinstallation benötigst – aber es erfordert ein zuverlässiges Wirts-Betriebssystem und hinterlässt Spuren auf der Festplatte des Wirtsrechners. Unser Whonix-Leitfaden erklärt, wann dieser Kompromiss sinnvoll ist.

Qubes OS – ein Projekt mit historischen Wurzeln in derselben Community, die auch Tails mitgeprägt hat – nutzt Hardware-Virtualisierung, um verschiedene Aktivitäten in getrennte Kompartimente zu isolieren. Es ist das technisch anspruchsvollste der drei und ist für Nutzer gedacht, die persistente, kompartimentierte Identitäten statt amnesischer Sitzungen benötigen.

Tails und die Secure-Desktops-Community

Tails hat tiefe Wurzeln in der breiteren Bewegung für sichere Desktops. Die Entwickler von Tails gründeten 2015 zusammen mit Mitwirkenden der Projekte Subgraph und Qubes OS die Mailingliste Secure Desktops mit – ein Forum, das frühe technische Grundlagen für isolationsbasierte Datenschutz-Betriebssysteme legte. Dieses Erbe ist im Geschichtsbereich dieser Seite dokumentiert.

Praktische Empfehlungen

Nutze Tails, wenn:

  • Du auf sensible Quellen oder Dokumente zugreifst und glaubhafte Abstreitbarkeit auf Geräteebene benötigst
  • Du von einem nicht vertrauenswürdigen Rechner aus arbeitest (Hotel, Bibliothek, geliehener Computer)
  • Du eine saubere, bekanntermaßen einwandfreie Umgebung ohne lokal installierte Schadsoftware benötigst

Verlasse dich nicht allein auf Tails, wenn:

  • Du persistente Identitäten oder Konten über Sitzungen hinweg benötigst
  • Du langlaufende Projekte verwaltest, die komplexe installierte Werkzeuge erfordern
  • Du Daten im Ruhezustand auf deinem Hauptrechner schützen willst (verwende stattdessen Vollverschlüsselung)

Operative Gewohnheiten, die zählen:

  • Boote immer vom selben Tails-USB-Stick, um Versionsfragmentierung zu vermeiden
  • Setze eine starke Passphrase für den Persistenten Speicher – LUKS ist nur so stark wie der Schlüssel
  • Halte deine Tails-Installation aktuell; das Projekt veröffentlicht regelmäßig Sicherheitsreleases
  • Dehne Sitzungen nicht unnötig aus; melde dich ab, wenn die Aufgabe erledigt ist
  • Sei dir bewusst, dass die Tor-Nutzung von deinem Internetanbieter erkennbar ist, selbst wenn der Inhalt es nicht ist – in manchen Umgebungen ist die Nutzung von Tor selbst ein Signal

Für einen breiteren Kontext zum anonymen Surfen und zum mehrschichtigen Identitätsschutz bietet die Support-Dokumentation des Tor Project praktische operative Hinweise, die ergänzen, was Tails auf Betriebssystemebene leistet.

Häufig gestellte Fragen

Ist Tails OS wirklich anonym?

Tails macht es erheblich schwerer, deine Aktivität mit deiner Identität oder deinem Standort zu verknüpfen, aber “wirklich anonym” ist eine Behauptung, die kein Werkzeug ehrlich aufstellen kann. Tor, durch das Tails sämtlichen Verkehr leitet, schützt vor den meisten Formen der Netzwerküberwachung – dein Internetanbieter sieht nur eine verschlüsselte Tor-Verbindung, und die besuchten Seiten sehen nur die IP eines Tor-Exit-Knotens. Dennoch kann die Anonymität durch Verhaltensmuster (das Einloggen in ein persönliches Konto während der Tails-Nutzung), Überwachung unverschlüsselten Verkehrs auf Exit-Knoten-Ebene oder Browser-Fingerprinting zusammenbrechen, falls du die Standardeinstellungen des Tor Browser veränderst. Tails schützt nicht vor Angriffen auf Firmware-Ebene oder vor jemandem, der deinen physischen Bildschirm beobachtet. Richtig genutzt – ohne sich in persönliche Konten einzuloggen und ohne den Tor Browser zu verändern – bietet Tails eine starke, praktisch verifizierte Anonymitätsschicht. Falsch genutzt vermittelt es ein falsches Sicherheitsgefühl.

Ist Qubes OS besser als Tails?

Sie adressieren unterschiedliche Bedrohungsmodelle und sind nicht direkt vergleichbar. Tails ist für Sitzungen optimiert, in denen das Hinterlassen keiner Spur oberste Priorität hat – du bootest, arbeitest, fährst herunter, und der Rechner vergisst dich. Qubes OS ist für fortlaufende kompartimentierte Arbeit auf einem persistenten Rechner optimiert – verschiedene Aktivitäten laufen in isolierten virtuellen Umgebungen, aber das Betriebssystem selbst bleibt über Neustarts hinweg bestehen und sammelt Daten an. Qubes ist schwerer zu bedienen und erfordert deutlich leistungsfähigere Hardware (<16 GB RAM, moderne CPU mit IOMMU). Tails läuft auf fast jedem x86-64-Rechner mit 2 GB RAM. Die richtige Wahl hängt von deinem Anwendungsfall ab: episodische sensible Arbeit ohne benötigte Persistenz spricht für Tails; langfristige kompartimentierte Arbeitsabläufe sprechen für Qubes. Unser ausführlicher Vergleich in Qubes vs. Tails vs. Whonix führt die Bedrohungsmodell-Matrix vollständig durch.

Schützt Tails gegen ein VPN – brauche ich neben Tails eines?

Ein VPN und Tails adressieren unterschiedliche Bedrohungen und lassen sich nicht sauber stapeln. Tails leitet sämtlichen Verkehr durch Tor, das bereits IP-Maskierung über eine Multi-Hop-Schaltung bietet. Ein VPN vor Tor zu schalten (eine “VPN-over-Tor”-Konfiguration) ist technisch möglich, aber komplex und kann neue Vertrauensabhängigkeiten einführen – du vertraust nun zusätzlich zum Tor-Netzwerk auch dem VPN-Anbieter. Die eigene Dokumentation von Tails empfiehlt dies den meisten Nutzern nicht. Ein VPN ist auf deinem Alltagsbetriebssystem, auf dem Tor nicht im Spiel ist, wirklich nützlich – es maskiert deine Surfaktivität vor deinem Internetanbieter und verringert die Exposition in nicht vertrauenswürdigen Netzwerken. Aber innerhalb einer Tails-Sitzung ist Tor der Datenschutzmechanismus, und ein VPN fügt für die meisten Bedrohungsmodelle Komplexität ohne klaren Sicherheitsgewinn hinzu.

Fazit

Tails OS ist eines der gründlichsten konstruierten Datenschutz-Werkzeuge, die der Öffentlichkeit zur Verfügung stehen. Sein amnesisches Design, das obligatorische Tor-Routing und der optionale LUKS-verschlüsselte Speicher adressieren ein kohärentes Bedrohungsmodell mit Klarheit und Disziplin. Für Journalisten, Aktivisten, Quellen und alle, die unter wirklich feindlichen Bedingungen operieren, bleibt es die Referenzimplementierung des Betriebssystems, das keine Spuren hinterlässt.

Seine Grenzen sind ebenso klar: Es ist kein Alltagsbetriebssystem, es schützt nicht vor Angriffen auf Firmware-Ebene, und Tor-Exit-Knoten bringen ein Risiko für unverschlüsselten Verkehr mit sich. Richtig genutzt – für spezifische, klar abgegrenzte Sitzungen, in denen Amnesie ein Vorteil ist – hält es, was es verspricht.

Die Integration des Projekts in das Tor Project im Jahr 2024 bietet zusätzliche organisatorische Stabilität für etwas, das schon immer ein kritischer Baustein der Infrastruktur für Bürgerrechte war. Tails 7.x wird weiterhin aktiv betreut, mit regelmäßig veröffentlichten Sicherheitsreleases.

Wenn dein Bedrohungsmodell eine sitzungsbasierte, spurlose Umgebung verlangt, die durch Tor geleitet wird, macht es nichts im Open-Source-Ökosystem besser.