Trutzbox Apu 2 im Test: Gute Privacy-Box mit kleiner Basteleinlage
Aus unserem Vergleichstest mehrerer Privacy-Boxen ist die Trutzbox des deutschen Herstellers Comidio im vergangenen Jahr als klarer Sieger hervorgegangen. Mittlerweile hat der Hersteller eine neue Version des Produkts vorgestellt. Dabei setzt er vor allem auf stärkere Hardware und ein besseres WLAN. Auch auf der Softwareseite gibt es einige Neuerungen, die wir uns im Detail anschauen. Sowohl bei der Hardware als auch bei der Software haben wir nur wenig zu kritisieren.
Der auffälligste Unterschied zum Vorgängermodell ist die WLAN-Komponente. In der von uns im vergangenen Jahr getesteten Variante kam noch ein USB-Stick zum Einsatz, der hinten an das Gerät gesteckt wurde. Das funktioniert, sieht aber mitunter etwas komisch aus. Im neuen Modell kommt eine WLAN-Karte mit Mini-PCI-Anschluss und WLAN nach 802.11ac/a/b/g/n zum Einsatz. Die Karte unterstützt 2×2 MIMO mit bis zu 867 Mbit pro Sekunde.
Hier müssen die Nutzer nach dem Kauf aber erst einmal selbst aktiv werden: Sie müssen das Gerät aufschrauben und die Karte einbauen. Außerdem werden hinten zwei Antennen montiert. Der Vorgang ist gut dokumentiert und sollte kein Problem sein, könnte auf wenig erfahrene Nutzer jedoch abschreckend wirken. In unserem Testmuster waren beide Komponenten bereits installiert.
.png)
Als Prozessor verwendet Comidio einen Vierkern-Prozessor von AMD aus der Jaguar-Serie. Der AMD GX-412TC taktet mit 1 Ghz und hat 64-Bit-Unterstützung. Das gesamte verwendete Hardware-Bundle ist unter dem Namen APU2 von PC Engine verfügbar und hat 2 Gbyte Arbeitsspeicher. Das System ist auf einer 16 Gbyte großen mSata-SSD gespeichert.
Softwareseitig kommt eine Comidio-Linux genannte Distribution zum Einsatz. Dabei handelt es sich um eine modifizierte Version von Voyage Linux(öffnet im neuen Fenster) in der Version 0.10.0, die wiederum auf Debian Jessie (8.0) basiert. Beim Kernel wird die Version 4.6.0.0 verwendet.
Im Gehäuse steckt eine AMD-CPU mit vier Kernen
Nach wie vor ist die Trutzbox trotz der Änderung ein Gerät, das sich auch an technisch wenig versierte Nutzer richtet. Für diese gibt es detaillierte Schritt-für-Schritt-Anleitungen und ein umfangreiches Handbuch. Die Einrichtung erfolgt im Test ohne größere Probleme. Nutzer bekommen vom Hersteller mit dem Gerät eine sogenannte Trutzkennung, die während des Prozesses eingegeben werden muss.
Bei der Einrichtung werden alle Passwörter präsentiert - noch
Zum Abschluss der Einrichtung wird der Nutzer unvermittelt mit einer Übersicht aller vergebenen Passwörter für die Administration der Benutzeroberfläche und des WLAN konfrontiert - im Klartext. Das finden wir weniger gelungen und würden es gut finden, wenn die Passwörter hier nur auf Wunsch angezeigt würden. Hersteller Comidio hat nach einem kurzen Hinweis von Golem.de angekündigt, diese Funktion in der nächsten Softwareversion zu überarbeiten.
Außerdem muss erneut ein lokal erzeugtes Zertifikat in alle mit der Trutzbox verwendeten Browser importiert werden, um eine Inspektion und Modifikation des HTTPS-Traffics zu ermöglichen. Wenn die Trutzbox auch auf mobilen Geräten genutzt werden soll, muss das Zertifikat auch dort installiert werden.
HTTPS-Inspektion auch auf mobilen Geräten
Soll ein mobiles Gerät nach der Einrichtung der Trutzbox hinzugefügt werden, ist nicht auf den ersten Blick ersichtlich, wie das geschieht. Nutzer müssen von dem Gerät aus die Administrationsoberfläche ansurfen und dann den Punkt Trutzbox-Filter aufrufen. Entsprechende Anleitungen gibt es auch im Trutzbox-Handbuch für Android(öffnet im neuen Fenster) und iOS(öffnet im neuen Fenster) .
Unter "Filter-Konfigurieren" kann dann das Root-Zertifikat heruntergeladen werden, dieses wird dann nach Eingabe der PIN in den Zertifikatsspeicher von Android übernommen. Wer auf dem Smartphone Firefox nutzt, muss das Zertifikat dort erneut hinzufügen, weil der Browser seine Zertifikate selbst verwaltet.
Auch unter iOS funktioniert der Import selbst ohne Probleme. TLS-verschlüsselte Seiten mit aktiviertem HSTS lassen sich bei uns dennoch nicht aufrufen - warum, das lässt sich nicht feststellen, da Safari nur eine sehr allgemeine Fehlermeldung ohne Details ausgibt.
Grundsätzlich stehen wir Man-In-The-Middle-Boxen kritisch gegenüber . Comidio hat die Funktion jedoch ohne offensichtliche Fehler umgesetzt: Das Zertifikat wird auf dem Gerät selbst erstellt und ist somit einzigartig, auch der Hersteller hat keinen Zugriff darauf. Bei der Verschlüsselung kommen unsichere Verfahren wie SSLv3 nicht zum Einsatz, der Browser-Check von Qualys findet nur einige nicht optimale Ciphern. Wie erwartet, werden allerdings weder OCSP-Stapling noch HPKP (Public Key Pinning Extension für HTTP) unterstützt.
Das kann zu Problemen führen: Im Test konnten wir von unserem Smartphone im WLAN der Trutzbox etwa keine Signal-Nachrichten versenden, weil Signal ein selbst signiertes, gepinntes Zertifikat(öffnet im neuen Fenster) verwendet und die Verbindung ablehnt. Auch einige Google-Dienste produzieren im Hintergrund Fehlermeldungen, die wir im Log der Trutzbox einsehen können. Hier müsste die Trutzbox die Original-Zertifikate durchreichen, um Fehler zu vermeiden.
Freunde von IPv6 kommen mit der Trutzbox zumindest derzeit noch nicht auf ihre Kosten: Das Gerät unterstützt den Standard nicht. Bei Problemen mit der Internetverbindung empfiehlt Comidio daher, IPv6 im Router zu deaktivieren.
Mailserver an Bord
Wie schon der Vorgänger, bietet die neue Trutzbox einen eigenen Mailserver an. Nutzer können sich eine E-Mail-Adresse mit der Endung @comidio.email erstellen, die künftig auf der Box selbst verwaltet wird. Im Paket sind bis zu fünf Adressen enthalten. Nachrichten innerhalb des Comidio-Netzwerkes werden dabei automatisch Ende-zu-Ende-verschlüsselt, auch die Metadaten werden nach Angaben des Herstellers verschlüsselt. Die Schlüsselverwaltung wird von Comidio übernommen und benötigt in diesem Fall keinen Eingriff durch den Nutzer.
Neu ist die Unterstützung für die Verwaltung externer PGP-Schlüssel. Bei der Verwendung dieser Funktion sind die üblichen Limitierungen von PGP, insbesondere der unverschlüsselte Betreff und die nicht verschlüsselten Metadaten zu beachten. Wer Nachrichten an externe Nutzer versenden will, muss vorher ein SMTP-Gateway eines anderen Mailproviders einrichten. Die verwendete Webmail-Oberfläche stammt von Roundcube.
Etwas unpraktisch ist dabei, dass die Schlüsselverwaltung in einem anderen Interface stattfindet, als die Verwaltung der Mails. Denn öffentliche PGP-Schlüssel müssen über das Webinterface der Trutzbox hinzugefügt werden, während der Roundcube-Webmailer eine eigene Webanwendung ist.
Eingebauter XMPP-Server
Die Trutzbox kann nicht nur als Mailserver, sondern auch als umfassender Kommunikationsserver genutzt werden. Die Trutz RTC genannte Funktion ermöglicht Chats, Audio- und Videotelefonate mit kompatiblen XMPP-Clients. Dazu müssen Nutzer dem Gerät entweder eine statische IP-Adresse zuweisen oder einen Dienst wie DynDNS nutzen. Dieser wird auch für andere Fernzugriffe benötigt, etwa wenn der Smartphone-Datenverkehr auch unterwegs durch die Filter der Trutzbox geleitet werden soll. Das funktioniert - eine stabile Internetverbindung vorausgesetzt - gut.
Comidio selbst nutzt die Funktion für regelmäßige Webinare, an denen Kunden des Gerätes teilnehmen können. Für den Support ist es außerdem möglich, den Bildschirminhalt mit einem Berater zu teilen, dafür muss ein Addon im Browser installiert werden.
Für den alltäglichen Gebrauch vermutlich am wichtigsten ist die Absicherung des Webbrowsens. Ist das Gerät korrekt eingerichtet, wird bei Webseiten am rechten oberen Rand das Trutzbox-Logo eingerichtet, auf einen Blick wird dabei die Anzahl blockierter Tracker eingeblendet.
Tor ohne Torbrowser
Mit einem Klick auf das Symbol können Details angezeigt und das Privatsphäre-Niveau mit einem Slider angepasst werden. Die dort verwendeten Bezeichnungen dürften jedoch für die meisten Nutzer nicht wirklich selbsterklärend sein. Ganz rechts wird die Funktion der Trutzbox praktisch deaktiviert - die Webseite also auf eine Whitelist gesetzt und der entsprechende Traffic nicht aufgemacht. Diese Einstellung wird im Gerät gespeichert und ist auch beim erneuten Aufruf der Seite aktiv.
Außerdem können Nutzer mit einem Klick den Tor-Modus einschalten und Tor so auch ohne den fehleranfälligen Tor-Browser nutzen. Wie üblich sollten die gängigen Sicherheitsvorkehrungen im Umgang mit Tor beachtet werden.
Sind die Sicherheitseinstellungen oder der Jugendschutzfilter aktiv, filtert die Trutzbox die entsprechenden Seiten wie erwartet heraus. Die Einstellungen können sehr kleinteilig angepasst werden, voreingestellt sind etwa Profile für Kinder verschiedener Altersgruppen.
Die Trutzbox dürfte in der Praxis häufig eingesetzt werden, um Datenströme smarter Haushaltsgeräte zu kontrollieren. Wenn diese allerdings (hoffentlich) verschlüsselte Verbindungen nutzen, aber keinen Zertifikatsimport zulassen, kann es zu Problemen kommen.
Verfügbarkeit und Fazit
Die Trutzbox ist direkt beim Hersteller für 319 Euro erhältlich, darin enthalten sind die Dienstleistungen für E-Mail und Updates der Filterlisten für ein Jahr. Wer mehr als fünf Mailadressen braucht, zahlt für jede weitere Adresse 12 Euro pro Jahr. Wer die Mini-PCIe-WLAN-Karte und die zugehörigen Antennen haben will, zahlt dafür noch einmal 40 Euro.
Die Lieferzeit beträgt nach Angaben im Webshop derzeit 2 bis 3 Wochen, zu den genannten Preisen kommen noch 6 oder 9 Euro Versandkosten hinzu. Wer das Dienstleistungspaket nach einem Jahr erneut abonnieren will, zahlt dafür 60 Euro pro Jahr - ein fairer Preis.
Fazit
Das Gerät macht einen ausgereiften Eindruck auf uns, und ermöglicht ein spurenarmes Surfen im Netz, ohne, dass der eigene Rechner intensiv angepasst werden muss. Damit eignet sich das Gerät zum Beispiel für Familien, bei denen der Privat-Admin nicht alle Geräte dauerhaft mit neuen Tools versorgen möchte. Dass bei der Konfiguration alle Passwörter im Klartext angezeigt werden, finden wir nicht optimal. Hier will Comidio aber nachbessern.
Das Gerät kann auch eine sinnvolle Ergänzung in einem Haushalt mit vielen "smarten" Geräten sein, die möglicherweise unerwünschte Verbindungen nach außen aufbauen. Hier könnte es allerdings beim Einsatz verschlüsselter Verbindungen zu Problemen kommen, wenn kein manueller Import von Zertifikaten vorgesehen ist.
Sorgfältig abgewogen werden sollte hingegen die Man-In-The-Middle-Funktion des Gerätes. Denn letztlich wird der geschützte Traffic aller Teilnehmer durch das Gerät analysiert. Immerhin bekommen Nutzer dies durch das Trutzbox-Symbol deutlich mitgeteilt. Der von uns beobachtete Fehler bei Signal könnte Nutzer verwirrt zurücklassen. Gut finden wir die einfach zu konfigurierenden Ausnahmeregeln für einzelne Webseiten, deren Traffic durch das Gerät dann nicht mehr angetastet wird.
Nach wie vor weitgehend überflüssig finden wir den Clam-AV-Virenscanner. Gefallen hat uns hingegen der integrierte XMPP-Server. Damit können auch Laien ohne größere Vorkenntnisse eine eigene XMPP-Infrastruktur betreiben - und das auf dem eigenen Server. Die Stromkosten dürften sich dank des stromsparenden Designs in Grenzen halten.
Insgesamt bestätigt sich auch bei einer detaillierten Analyse unser positiver Eindruck von der Trutzbox. Im Vergleich zum vergangenen Jahr wurde die Software sinnvoll weiterentwickelt, nur an einigen Stellen könnten Funktionen noch besser erklärt werden. Wer auf der Suche nach einer Privacy-Box ist und die etwa 350 Euro ausgeben mag, macht mit der Trutzbox wohl nichts falsch.