Ermittlungen im NetzDer Tor-Browser verliert seine Anonymität

Das Tornetzwerk ist weniger anonym als gedacht. Inzwischen steht offenbar auch deutschen Ermittelnden ein Analyse-Tool zur Verfügung, mit dem Nutzerinnen und Nutzern identifizierbar werden.

Wer das Tor-Netzwerk und den dazugehörigen Browser benutzt, hofft auf Anonymität im Netz – vor Strafverfolgungsbehörden und politischer Verfolgung oder als Informant ganz allgemein auf Schutz vor Enttarnung.

"De-Anonymisierung ist möglich, aber über die Instrumente verfügen nur staatliche Stellen."
Andreas Noll, Deutschlandfunk-Nova-Netzreporter

Inzwischen können auch deutsche Behörden die technischen Anonymisierungsversuche des Tor-Netzwerks unter bestimmten Voraussetzungen und mit erheblichem Aufwand aushebeln, erklärt Deutschlandfunk-Nova-Netzreporter Andreas Noll. Zu diesem Ergebnis kommt jedenfalls eine Recherche des Magazins Panorama. Die Behörden hierzulande benötigen, um solche Ermittlungen zu beginnen, einen richterlichen Beschluss.

"Der Aufwand ist sehr groß – inklusive verdeckter Ermittler. Im Zweifelsfall ist auch eine internationale Kooperation nötig."
Andreas Noll, Deutschlandfunk-Nova-Netzreporter

Grundsätzlich funktioniert Tor so: Das Netzwerk verschleiert die Identität derjenigen, die den Browser bedienen, indem es die Internetverbindung durch mehrere Server leitet, die von Freiwilligen auf der ganzen Welt betrieben werden.

Eingeschränkte Unsichtbarkeit

Diese Server heißen Knoten – Englisch: knots – und ihre Vielzahl sorgt dafür, dass nicht mehr nachvollziehbar ist, wer welche Seiten aufgerufen wurde.

Selbst der Internetanbieter der Tor-Nutzer kann in der Regel nur den Einstiegsknoten identifizieren. "Alles was dahinter geschieht, ist für ihn unsichtbar. Und die Kommunikation zum Einstiegsknoten und auch dahinter ist zudem verschlüsselt", sagt Andreas Noll.

Mittels der sogenannten Timing-Analyse ist es Ermittelnden nun erneut gelungen, die Kommunikationsspur zu echten IP-Adressen zurückzuverfolgen und den oder die Nutzenden zu de-anonymisieren.

Bei dieser Analyse werden Eigenschaften von Datenpaketen im Netzwerk erfasst und der Weg dieser Datenpakete wird über das Netzwerk nachverfolgt. Zuerst werden also einzelne Pakete individuell identifizierbar und schließlich auch der Empfangende der Daten beziehungsweise der Sendende. Dafür müssen die Ermittelnden allerdings eine Vielzahl von Tor-Servern überwachen und manche sogar selbst betreiben beziehungsweise anmieten. "Das ist der springende Punkt", sagt Andreas Noll.

Schlechte Nachricht für Tor-Nutzer

Dementsprechend würde eine Vervielfachung der Tor-Server die Ermittlungen erschweren oder sogar die Methode unmöglich machen, erklärt der Deutschlandfunk-Nova-Netzreporter. "In den vergangenen Jahren stagnierte allerdings die Zahl der Knoten und es findet eher eine Server-Konzentration statt. Das ist für das Netzwerk, das täglich zwei Millionen Menschen nutzen, natürlich keine gute Nachricht", sagt Andreas Noll. Wenn die Anonymität durch Tor nicht mehr gesichert ist, dann berge das Gefahren für Whistleblower und Regimekritiker.

"Wenn nun das Anonymitätsversprechen angekratzt ist, kann das die Gefahr für Regimegegner und Whistleblower natürlich erhöhen."
Andreas Noll, Deutschlandfunk-Nova-Netzreporter

Auf der anderen Seite können so kriminelle Netzwerke verfolgt werden. Den Panorama-Recherchen zufolge ist diese Methode bereits 2017 verwendet worden, um das Missbrauchs-Darknet-Forum Boystown zu auszuheben. Zuvor war bereits 2014 ein vergleichbarer Fall aus den USA öffentlich bekannt geworden.