secure-os.org
ENFRESDEITPT
Alle AnleitungenQubes OSTailsWhonixGehärtetes LinuxFestplattenverschlüsselungBedrohungsmodell
tails

Tails auf einem USB-Stick installieren: Schritt-für-Schritt-Anleitung (2026)

secure-os· Aktualisiert 12. Juni 2026· 6 Min. Lesezeit #tails#usb#install#verification
Schritt-für-Schritt-Terminal mit Tails-USB-Verifizierung und dd-Schreibbefehl auf dunklem Hintergrund

Die Installation von Tails auf einem USB-Stick erfordert drei Dinge, die die offizielle Dokumentation betont: das korrekte Image herunterladen, seine Echtheit vor dem Schreiben überprüfen und ein unterstütztes Werkzeug zum Schreiben verwenden. Der Schritt der Signaturprüfung ist nicht optional, wenn dein Bedrohungsmodell gezielte Angriffe umfasst – ein Angreifer, der deinen Download-Kanal kompromittiert, kann ein modifiziertes Image ausliefern, das wie Tails aussieht und sich wie Tails verhält.

Diese Anleitung behandelt Tails 7.8.1, die aktuelle stabile Version im Juni 2026. Sie verwendet durchgehend Kommandozeilenwerkzeuge. Wenn du einen grafischen Ansatz benötigst, behandelt die offizielle Tails-Installationsanleitung Balena Etcher und den Tails Cloner.

Was du brauchst

Um Tails auf einem USB-Stick zu installieren: Einen Linux-, macOS- oder Windows-Rechner, um die Installation durchzuführen. Der USB-Stick muss mindestens 8 GB groß sein und wird vollständig überschrieben. USB 3.0 verbessert die Leistung erheblich – der Unterschied zwischen einem Boot in 30 Sekunden gegenüber 90 Sekunden auf demselben Rechner.

Der USB-Stick selbst muss USB-A oder USB-C sein. Manche Rechner (insbesondere neuere MacBooks mit ausschließlich USB-C) erfordern einen USB-Hub; dieser Hub selbst kann ein Angriffsziel sein, wenn du ein sehr hohes Bedrohungsmodell hast, ist aber in der Praxis für die meisten Nutzer kein nennenswertes Problem.

Schritt 1: Das Tails-Image herunterladen

Ein Laptop, der Quellcode in einem Editor zeigt.

Lade das USB-Image direkt vom offiziellen Tails-Server herunter:

wget https://mirrors.edge.kernel.org/tails/stable/tails-amd64-7.8.1/tails-amd64-7.8.1.img

Lade außerdem den Signierschlüssel, die Signaturdatei und die Prüfsumme herunter:

# OpenPGP-Signatur
wget https://tails.net/tails-signing.key
wget https://mirrors.edge.kernel.org/tails/stable/tails-amd64-7.8.1/tails-amd64-7.8.1.img.sig

Schritt 2: Die OpenPGP-Signatur überprüfen

Dies ist der entscheidende Schritt. Ihn zu überspringen bedeutet, dass du dem Download-Kanal vollständig vertraust.

Importiere den Tails-Signierschlüssel:

gpg --import tails-signing.key

Überprüfe die Signatur:

gpg --verify tails-amd64-7.8.1.img.sig tails-amd64-7.8.1.img

Die Ausgabe sollte eine Zeile wie diese enthalten:

Good signature from "Tails developers (offline long-term identity key) <tails@boum.org>"

Der Fingerprint des Tails-Signierschlüssels im Juni 2026 lautet A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F. Überprüfe diesen Fingerprint unabhängig gegen die offizielle Tails-Dokumentation und gegen mindestens eine zusätzliche Quelle (einen Mirror, dem du vertraust, einen Kollegen, der ihn zuvor überprüft hat, oder den Debian-Keyserver).

Du wirst außerdem eine Warnung sehen:

WARNING: This key is not certified with a trusted signature!

Diese Warnung bedeutet, dass der Schlüssel nicht von einem Schlüssel in deinem persönlichen Vertrauensnetz signiert wurde. Sie weist nicht auf Manipulation hin – sie bedeutet, dass du den Fingerprint über den oben beschriebenen Out-of-Band-Kanal überprüfen solltest.

Falls du BAD signature siehst: Stopp. Schreibe das Image nicht. Lade es von einem anderen Mirror erneut herunter und wiederhole die Überprüfung.

Schritt 3: Das Image auf den USB-Stick schreiben

Identifiziere das korrekte Gerät:

lsblk

Suche nach einem Gerät der korrekten Größe – zum Beispiel /dev/sdb für einen 8-GB-USB-Stick. Überprüfe dies doppelt, bevor du fortfährst. Auf das falsche Gerät zu schreiben überschreibt Daten unwiederbringlich.

Schreibe das Image mit dd:

sudo dd if=tails-amd64-7.8.1.img of=/dev/sdX bs=16M oflag=direct status=progress
sync

Ersetze /dev/sdX durch dein tatsächliches Gerät (z. B. /dev/sdb). Die Blockgröße bs=16M ist deutlich schneller als der Standardwert bs=512. oflag=direct umgeht den Page-Cache und stellt sicher, dass die Schreibvorgänge das Gerät erreichen.

Dies dauert je nach USB-Geschwindigkeit etwa 3–8 Minuten.

Schritt 4: Tails booten

Stecke den USB-Stick ein. Starte deinen Rechner neu und wähle den USB-Stick als Boot-Gerät. Auf den meisten Rechnern öffnet das Drücken von F2, F12, Esc oder Entf während des Starts das Boot-Menü. Die genaue Taste wird auf den meisten Geräten während des POST auf dem Bildschirm angezeigt.

Auf UEFI-Systemen musst du Secure Boot möglicherweise vorübergehend deaktivieren. Tails liefert keine signierten EFI-Binärdateien für alle möglichen Secure-Boot-Konfigurationen – eine Einschränkung, derer sich das Projekt bewusst ist und an der es arbeitet. Den aktuellen Stand findest du unter tails.net/support/faq/.

Beim ersten Boot startet Tails einen Willkommensbildschirm, auf dem du Folgendes tun kannst:

  • Die Sprache einstellen
  • Das Tastaturlayout einstellen
  • Ein Administrationspasswort konfigurieren (für bestimmte Vorgänge erforderlich)
  • MAC-Adressen-Spoofing aktivieren (standardmäßig aktiviert – verhindert, dass deine Hardware in lokalen Netzwerken verfolgt wird)
  • Eine Bridge konfigurieren, falls der direkte Tor-Zugang blockiert ist

Schritt 5: Persistenten Speicher einrichten

Standardmäßig speichert Tails nichts zwischen Sitzungen – das ist seine zentrale Sicherheitseigenschaft. Die Funktion Persistenter Speicher ist eine verschlüsselte Partition auf demselben USB-Stick, die Neustarts übersteht. Sie wird durch eine Passphrase geschützt und ist optional.

Gehe im Anwendungsmenü zu Tails → Persistenter Speicher. Setze eine starke Passphrase. Anschließend kannst du auswählen, welche Kategorien beibehalten werden sollen:

  • Persönliche Dateien
  • Browser-Lesezeichen
  • Netzwerkverbindungen (WLAN-SSIDs)
  • Tor-Browser-Stufe und Bridges
  • Zusätzliche Softwarepakete

Der Persistente Speicher wird mit LUKS2 verschlüsselt. Die Passphrase schützt die gespeicherten Daten, falls der USB-Stick beschlagnahmt wird, während du ihn nicht benutzt.

Hinweis zum Bedrohungsmodell: Der Persistente Speicher tauscht einen Teil der amnesischen Eigenschaft von Tails gegen Komfort ein. Wenn dein Bedrohungsmodell verlangt, dass unter keinen Umständen Sitzungsdaten erhalten bleiben, aktiviere ihn nicht. Für die meisten Journalisten und Aktivisten, die Sitzungskontinuität über mehrere Arbeitstage hinweg aufrechterhalten müssen, ist der Persistente Speicher angemessen.

Schritt 6: Tails aktuell halten

Tails aktualisiert sich automatisch, wenn es mit dem Internet verbunden ist. Wenn ein Update verfügbar ist, benachrichtigt dich Tails zu Beginn der Sitzung. Aktualisiere immer vor einem sensiblen Vorgang – Tails hatte in kleineren Releases kritische Fixes (einschließlich Sicherheitspatches für den Tor Browser).

Du kannst auch über das Terminal aktualisieren:

tails-upgrade-frontend-wrapper

Wovor Tails nicht schützt

Die Grenzen zu verstehen ist genauso wichtig wie die Einrichtung. Für eine vollständige Analyse des Bedrohungsmodells von Tails und einen Vergleich mit Whonix und Qubes OS siehe die verlinkten Artikel.

Kurz gefasst:

  • Dein Tor-Entry-Guard kennt deine IP-Adresse. Tails erzwingt den Verkehr durch Tor, aber dein Internetanbieter und der Entry-Knoten der Tor-Schaltung kennen deine echte IP. Verwende eine Bridge, wenn die Tor-Nutzung selbst an deinem Standort gefährlich ist.
  • Die BIOS/UEFI-Firmware wird nicht modifiziert oder überprüft. Ein kompromittiertes BIOS kann über Tails-Sitzungen hinweg bestehen bleiben.
  • Cold-Boot-Angriffe auf den Arbeitsspeicher sind theoretisch möglich, während der Rechner läuft.
  • Bildschirmaufzeichnung über Hardware (z. B. ein kompromittiertes externes Display) liegt außerhalb des Bedrohungsmodells von Tails.

FAQ

F: Kann ich jeden beliebigen USB-Stick für Tails verwenden? A: Jeder USB-2.0- oder 3.0-Stick mit 8 GB oder mehr funktioniert. USB 3.0 wird für die Nutzbarkeit dringend empfohlen – die Boot-Zeiten sinken von 60–90 Sekunden auf 20–35 Sekunden. Vermeide billige USB-Sticks mit unzuverlässigem Flash-Speicher; Tails schreibt während des Betriebs häufig auf den Stick. Renommierte Marken (Samsung, SanDisk, Kingston) haben weniger Schreibfehler.

F: Kann ich Tails von Windows aus auf einem USB-Stick installieren? A: Ja. Der offizielle Tails Installer für Windows verwendet eine grafische Oberfläche und führt die Signaturprüfung automatisch durch. Lade ihn von tails.net/install/windows herunter. Die Kommandozeilenprozedur in dieser Anleitung ist ein Linux/macOS-Ansatz.

F: Funktioniert Tails auf Apple Silicon (M1/M2/M3)? A: Stand Juni 2026 unterstützt Tails Apple Silicon nicht offiziell. Tails läuft ausschließlich auf x86-64-Hardware. Apples ARM-Architektur erfordert einen deutlich anderen Boot-Prozess, und die Hardwarekompatibilitätsarbeit von Tails hat sich auf x86 konzentriert. Den aktuellen Stand findest du unter tails.net/support/known_issues/.