Das Tor-Netzwerk, mit dem sich Menschen weltweit anonym im Internet bewegen, kann von deutschen Ermittlungsbehörden offenbar überwacht werden, um Nutzerinnen und Nutzer zu deanonymisieren. Dies zeigen Recherchen des ARD-Politikmagazins Panorama und STRG_F (NDR/funk). Die Reporter belegen erstmals Fälle, in denen bisher nicht für möglich gehaltene Methoden erfolgreich waren.
Besonders betroffen von den sogenannten „Timing“-Analysen sind den Recherchen zufolge Seiten im sogenannten Darknet. Die bei der Überwachung gewonnenen Daten werden in statistischen Verfahren so aufbereitet, dass die Tor-Anonymität gänzlich ausgehebelt wird. Reporter von Panorama und STRG_F konnten Unterlagen einsehen, die vier erfolgreiche Maßnahmen in nur einem Ermittlungsverfahren zeigen.
Tor ist das weltweit größte Netzwerk, um sich anonym im Internet zu bewegen. Tor-Nutzerinnen und -Nutzer leiten ihre Verbindung über Server, sogenannte Tor-Knotenpunkte, um zu verschleiern, was sie tun: Mit dem Tor-Browser können sie Websites im Internet anonym ansteuern oder Seiten im sogenannten Darknet aufrufen. Aktuell sind bei Tor aktuell fast 8000 Knotenpunkte in rund 50 Ländern in Betrieb. Für Journalistinnen und Journalisten ist Tor ein wichtiges Recherche- und Kommunikationsmittel, um sich mit Quellen auszutauschen – insbesondere in Staaten, in denen das Internet überwacht und zensiert wird. Ähnliches gilt auch für Menschenrechtsaktivisten.
Die Anonymität lockt jedoch auch Kriminelle an, die über Tor beispielsweise Cyberangriffe verüben oder illegale Waren handeln. Für Ermittlungsbehörden stellte Tor über Jahre hinweg eine technisch kaum zu überwindende Hürde dar. Die Recherchen von Panorama und STRG_F ergaben, dass sie ihre Strategie zuletzt jedoch offenbar erweitert haben, um Tor zu überwinden. Nötig dafür ist eine teils jahrelange Überwachung einzelner Tor-Knotenpunkte, offiziell als „Timing-Analyse“ bezeichnet: Je mehr Knotenpunkte im Tor-Netzwerk durch Behörden überwacht werden, desto wahrscheinlicher ist es, dass ein Nutzer seine Verbindung über überwachte Knotenpunkte zu verschleiern versucht. Durch die zeitliche Zuordnung („Timing“) einzelner Datenpakete lassen sich anonymisierte Verbindungen zum Tor-Nutzer zurückverfolgen. Die „Timing-Analyse“ ist dann erfolgreich, obwohl Datenverbindungen im Tor-Netzwerk mehrfach verschlüsselt sind.
Jahrelang wurde spekuliert, ob „Timing-Analysen“ im Tor-Netzwerk überhaupt möglich sind. Das Tor Project, eine gemeinnützige Organisation mit Sitz in den USA, die die Aufrechterhaltung des Anonymisierungsnetzwerkes sichern will, erklärte auf Anfrage, ihm sei bisher kein belegter Fall bekannt gewesen. Panorama und STRG_F recherchierten jedoch, dass das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt am Main im Ermittlungsverfahren gegen die pädokriminelle Darknetplattform „Boystown“ mehrfach Tor-Knoten identifizierten, die einem der Hintermänner dienten, sich zu anonymisieren.
So ermittelte das BKA zweimal Tor-Knoten, mit denen sich vom damaligen „Boystown“-Administrator Andreas G. betriebene Plattformen ins Tor-Netzwerk verbanden. Dabei handelte es sich um einen Szenechat, in dem sich führende Mitglieder verschiedener pädokrimineller Foren austauschten. Zweimal gelang es überdies, sogenannte „Eintrittsserver“ vom Chatdienst „Ricochet“ zu identifizieren, den G. nutzte – es war der Durchbruch für das BKA. Zur finalen Identifikation verpflichtete das Amtsgericht Frankfurt am Main schließlich den Provider Telefónica, unter allen o2-Kundinnen und -Kunden herauszufinden, wer von ihnen sich zu einem der identifizierten Tor-Knoten verband. Die Ermittlungen führten zur Festnahme von Andreas G. in Nordrhein-Westfalen. Im Dezember 2022 wurde er zu einer langjährigen Haftstrafe verurteilt. Das Urteil ist noch nicht rechtskräftig.
Die verantwortliche Generalstaatsanwaltschaft Frankfurt am Main erklärte auf Anfrage, eine „Timing Analyse“ im „Boystown“-Verfahren weder bestätigen noch dementieren zu wollen. Auch das BKA wollte sich zu Details des Vorgangs nicht äußern.
Reporter von Panorama und STRG_F konnten jedoch mit Personen sprechen, die unabhängig voneinander Kenntnis über breit angelegte Überwachungsmaßnahmen solcher Tor-Server haben. Die Zahl der überwachten Tor-Knoten in Deutschland soll demnach in den vergangenen Jahren stark gestiegen sein. Auch die überwachten Daten legen nahe, dass diese für „Timing-Analysen“ genutzt werden dürften.Experten, die Rechercheunterlagen von Panorama und STRG_F einsehen konnten, bestätigten unabhängig voneinander die Rechercheergebnisse. So sagte Matthias Marx, einer der Sprecher des Chaos Computer Clubs: „Die Unterlagen in Verbindung mit den geschilderten Informationen deuten stark darauf hin, dass Strafverfolgungsbehörden wiederholt und seit mehreren Jahren erfolgreich Timing-Analysen-Angriffe gegen ausgewählte Tor-Nutzer durchführten, um diese zu deanonymisieren.“
Verschiedene Ermittlungsbehörden in Deutschland wollten sich zu etwaigen Überwachungsprogrammen in Bezug auf das Tor-Netzwerk nicht äußern. Das Tor Project erklärte auf Anfrage, dass Tor-Nutzer den Tor-Browser weiterhin verwenden könnten, um sicher und anonym im Internet zu surfen. Über den konkreten Vorgang wolle man ohne Einblick in die Rechercheunterlagen nicht spekulieren. Ähnlich äußerte sich eine Vertreterin des betroffenen Chatdienstes „Ricochet“, der mittlerweile „Ricochet Refresh“ heißt und einer der sichersten Wege sei, online zu kommunizieren.
(c) NDR, 18.09.2024