Deutsche Strafverfolger hebeln Tor-Anonymisierung aus

Das Tor-Netzwerk, mit dem sich Menschen weltweit anonym im Internet bewegen, kann von deutschen Ermittlungsbehörden offenbar überwacht werden, um Nutzer zu deanonymisieren. Das berichten das ARD-Politikmagazin „Panorama“ und das NDR-Format „STRG_F“ nach eigenen Recherchen.

Besonders betroffen von den sogenannten „Timing-Analysen“ sind demnach Seiten im Darknet. Die bei der Überwachung gewonnenen Daten werden in statistischen Verfahren so aufbereitet, dass die Tor-Anonymität gänzlich ausgehebelt wird.

Man habe Unterlagen einsehen können, die vier erfolgreiche Maßnahmen in nur einem Ermittlungsverfahren zeigten, heißt es in dem Bericht.

Server und 8.000 Knotenpunkte

Tor ist das weltweit größte Netzwerk, um sich anonym im Internet zu bewegen. Tor-Nutzer leiten ihre Verbindung über Server, sogenannte Tor-Knotenpunkte, um zu verschleiern, was sie tun. Mit dem Tor-Browser können sie Websites im Internet anonym ansteuern oder Seiten im sogenannten Darknet aufrufen.

Aktuell sind bei Tor aktuell fast 8.000 Knotenpunkte in rund 50 Ländern in Betrieb. Für Journalisten gilt Tor als wichtiges Recherche- und Kommunikationsmittel, um sich mit Quellen auszutauschen – insbesondere in Staaten, in denen das Internet überwacht und zensiert wird.

Ähnliches gilt auch für Menschenrechtsaktivisten. Die Anonymität lockt Kriminelle an, die über Tor beispielsweise Cyberangriffe verüben oder illegale Waren handeln.

Zuordnung nach langen zeitlichen Beobachtungen

Für Ermittlungsbehörden stellte Tor über Jahre hinweg eine technisch kaum zu überwindende Hürde dar. Die Recherchen von „Panorama“ und „STRG_F“ ergaben, dass sie ihre Strategie zuletzt jedoch offenbar erweitert haben, um Tor zu überwinden.

Nötig dafür ist eine teils jahrelange Überwachung einzelner Tor-Knotenpunkte, offiziell als „Timing-Analyse“ bezeichnet: Je mehr Knotenpunkte im Tor-Netzwerk durch Behörden überwacht werden, desto wahrscheinlicher ist es, dass ein Nutzer seine Verbindung über überwachte Knotenpunkte zu verschleiern versucht.

Durch die zeitliche Zuordnung („Timing“) einzelner Datenpakete lassen sich anonymisierte Verbindungen zum Tor-Nutzer zurückverfolgen. Die „Timing-Analyse“ ist dann erfolgreich, obwohl Datenverbindungen im Tor-Netzwerk mehrfach verschlüsselt sind.

Das BKA schweigt dazu

Jahrelang wurde spekuliert, ob „Timing-Analysen“ im Tor-Netzwerk überhaupt möglich sind. Das „Tor Project“, eine gemeinnützige Organisation mit Sitz in den USA, die die Aufrechterhaltung des Anonymisierungsnetzwerkes sichern will, teilte auf Anfrage der Medien mit, ihm sei bisher kein belegter Fall bekannt gewesen.

Laut „Panorama“ und „STRG_F“ sollen das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt am Main jedoch im Ermittlungsverfahren gegen die pädokriminelle Darknetplattform „Boystown“ mehrfach Tor-Knoten identifiziert haben, die einem der Hintermänner dienten, sich zu anonymisieren.

Die verantwortliche Generalstaatsanwaltschaft Frankfurt am Main teilte auf Anfrage der Medien mit, eine „Timing Analyse“ im „Boystown“-Verfahren weder bestätigen noch dementieren zu wollen. Auch das BKA wollte sich demnach zu Details des Vorgangs nicht äußern. (dts/red)