Können Ermittler auf das TOR-Netzwerk zugreifen?

Das Tor-Netzwerk (The Onion Router) wurde ursprünglich entwickelt, um eine weitgehend anonyme und sichere Kommunikation im Internet zu ermöglichen. Seit den Snowden-Enthüllungen hat es eine hohe Bekanntheit erlangt und wird von Journalisten, Aktivisten, Whistleblowern und auch Kriminellen genutzt. Doch wie sicher ist dieses Netzwerk heute wirklich? Können Ermittlungsbehörden tatsächlich auf Tor zugreifen und Nutzer enttarnen?

Der Mythos der Anonymität

Tor basiert auf der Idee der Dezentralität: Daten werden über mehrere Server weltweit geleitet, sogenannte Knotenpunkte, die es extrem schwierig machen sollen, die Quelle der Kommunikation zurückzuverfolgen. Das Konzept ist theoretisch solide, doch die Realität hat sich inzwischen verändert. Ermittlungsbehörden weltweit haben das Tor-Netzwerk zunehmend ins Visier genommen und waren in einigen Fällen erfolgreich darin, Nutzer zu deanonymisieren.

Der „Timing“-Angriff: Ein Game-Changer?

Ein wichtiger Aspekt, der in den letzten Jahren ins Licht der Öffentlichkeit gerückt ist, ist die sogenannte „Timing“-Analyse. Hierbei handelt es sich um eine Methode, die es Ermittlungsbehörden erlaubt, die Anonymität von Tor-Nutzern auszuhebeln, ohne dabei auf Sicherheitslücken in der Software angewiesen zu sein. Wie funktioniert das? Im Grunde wird der Zeitpunkt und die Größe der gesendeten Datenpakete analysiert und mit denen der empfangenen Pakete verglichen. Auch wenn der Inhalt der Daten verschlüsselt bleibt, ermöglicht diese Korrelation, Rückschlüsse auf die beteiligten IP-Adressen zu ziehen.

Diese Form des Angriffs galt lange als theoretisch möglich, doch in der Praxis als schwer umsetzbar. Dies lag daran, dass ein Angreifer große Teile des Netzwerks überwachen müsste oder selbst eine Vielzahl von Tor-Servern betreiben müsste. Panorama-Recherchen haben jedoch gezeigt, dass dies Ermittlungsbehörden inzwischen gelungen ist. So konnte das BKA beispielsweise im Rahmen der Ermittlungen gegen die -Plattform „Boystown“ verdächtige Knotenpunkte identifizieren und einen der Hintermänner enttarnen.

Internationale Zusammenarbeit verstärkt die Angriffe

Die Effektivität dieser Überwachungsmethode wird durch die zunehmende internationale Zusammenarbeit von Strafverfolgungsbehörden weiter verstärkt. Ein Reddit-Post, der angeblich Informationen über die sogenannte „Operation Liberty Lane“ enthielt, brachte erste Hinweise darauf, dass Behörden aus den USA, Deutschland, Großbritannien und Brasilien koordiniert zusammenarbeiten, um das Tor-Netzwerk zu infiltrieren und zu überwachen. Dies zeigt, dass nicht nur nationale, sondern auch globale Anstrengungen unternommen werden, um die Anonymität im Darknet zu schwächen.

Die Grenzen von Tor

Während das Tor-Projekt selbst betont, dass keine Sicherheitslücken in der Software ausgenutzt werden, um Nutzer zu deanonymisieren, ist die durch „Timing“-Analysen nicht zu unterschätzen. Diese Angriffe funktionieren auch dann, wenn Tor fehlerfrei arbeitet.

Hinzu kommt, dass die Infrastruktur des Netzwerks seit Jahren stagniert: Die Anzahl der Knotenpunkte wächst nicht mehr signifikant, und viele dieser Server werden von nur wenigen Personen oder Organisationen betrieben. Diese Konzentration erhöht das Risiko, dass Ermittlungsbehörden erfolgreich einen Großteil des Netzwerks überwachen können.

Tatsächlich wissen wir seit Jahren, dass Angriffe laufen. Das FBI hatte frühzeitig erste Techniken entwickelt. Die heute thematisierten Erkenntnisse dürften auf das bekannte Foschungspapier aus dem Jahr 2007 zurückgehen, wo Timing-Angriffe gegen TOR bereits Thema waren. Schon damals wurden die heute bekannt gegebenen Angriffstechniken beschrieben:

  1. Man-in-the-Middle-Angriff: Der Angriff basiert darauf, dass ein bösartiger Exit-Knoten (der letzte Knotenpunkt im Tor-Netzwerk, durch den der Datenverkehr läuft) die Kommunikation abfängt und analysiert. Dieser Angriff kann durch eine Überwachung der Datenpaketgrößen und deren Versandzeitpunkte erfolgen.
  2. Traffic Analysis: Die Methode der „Traffic-Analyse“ wird verwendet, um ein charakteristisches Signal zu erkennen, das ein bestimmter Browser sendet. Dies ermöglicht es Angreifern, Nutzer zu identifizieren, ohne die verschlüsselten Inhalte entschlüsseln zu müssen. Der Angriff wird durch Timing-Messungen und Korrelationen der Datenpakete ermöglicht.
  3. Ressourcenbedarf: Der Angriff erfordert keine erheblichen Ressourcen, kann jedoch effektiver werden, wenn der Angreifer Kontrolle über einen der Einstiegsknoten des Tor-Nutzers hat. Es wird geschätzt, dass ein Angreifer mit Kontrolle über einen böswilligen Knotenpunkt etwa 0,4 % der Tor-Nutzer deanonymisieren kann, wobei dieser Anteil mit mehr Knotenpunkten linear ansteigen kann.

Was bedeutet das für Tor-Nutzer?

Die Erkenntnisse, dass Tor-Nutzer durch „Timing“-Analysen enttarnt werden können, werfen Fragen auf, inwieweit das Netzwerk noch als sicher gelten kann. Besonders beunruhigend ist die Tatsache, dass diese Überwachungsmethoden nicht nur von westlichen Strafverfolgungsbehörden eingesetzt werden können, sondern auch von autoritären Regimen. Journalisten, Aktivisten und könnten in Ländern mit Internetzensur und repressiven Regierungen somit ins Visier geraten.

Dennoch bleibt Tor ein wichtiges Werkzeug für all jene, die auf Anonymität im Netz angewiesen sind. Allerdings muss das Projekt nun dringend Wege finden, den Anonymitätsschutz weiter zu verbessern. Ob dies durch Software-Updates oder durch eine dezentrale Reorganisation des Netzwerks erreicht werden kann, bleibt abzuwarten.


Fazit

Ermittler können auf Tor zugreifen – zumindest in gewissem Maße. Die Anonymität, die Tor einst versprach, ist durch technologische Fortschritte und verstärkte Kooperationen der Strafverfolgungsbehörden deutlich eingeschränkt worden. Nutzer sollten sich der Risiken bewusst sein und alternative Sicherheitsmaßnahmen in Betracht ziehen, insbesondere in Ländern mit repressiven Regierungen. Tor bietet nach wie vor wohl Schutz, doch die Lücken in der Anonymität werden größer.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.