Informationen zu Creative Commons (CC) Lizenzen, für Pressemeldungen ist der Herausgeber verantwortlich, die Quelle ist der Herausgeber
#NDR: Ermittlungen im sogenannten »#Darknet« – Strafverfolger hebeln #Tor Anonymisierung aus
Hamburg, 18. September 2024
Das Tor #Netzwerk, mit dem sich Menschen weltweit anonym im Internet bewegen, kann von deutschen Ermittlungsbehörden offenbar überwacht werden, um Nutzer zu deanonymisieren. Dies zeigen Recherchen des ARD Politikmagazins »#Panorama« und »STRG_F« (NDR/#Funk). Die Reporter belegen erstmals Fälle, in denen bisher nicht für möglich gehaltene Methoden erfolgreich waren.
Besonders betroffen von den sogenannten »Timing« Analysen sind den Recherchen zufolge Seiten im sogenannten Darknet. Die bei der Überwachung gewonnenen Daten werden in statistischen Verfahren so aufbereitet, dass die Tor Anonymität gänzlich ausgehebelt wird. Reporter von »Panorama« und »STRG_F« konnten Unterlagen einsehen, die 4 erfolgreiche Maßnahmen in nur einem Ermittlungsverfahren zeigen.
Tor ist das weltweit größte Netzwerk, um sich anonym im Internet zu bewegen. Tor Nutzer leiten ihre Verbindung über Server, sogenannte Tor Knotenpunkte, um zu verschleiern, was sie tun: Mit dem Tor Browser können sie Websites im Internet anonym ansteuern oder Seiten im sogenannten Darknet aufrufen. Aktuell sind bei Tor aktuell fast 8.000 Knotenpunkte in rund 50 Ländern in Betrieb. Für Journalisten ist Tor ein wichtiges Recherche und Kommunikationsmittel, um sich mit Quellen auszutauschen insbesondere in Staaten, in denen das Internet überwacht und zensiert wird. Ähnliches gilt auch für Menschenrechtsaktivisten.
Die Anonymität lockt jedoch auch #Kriminelle an, die über Tor beispielsweise Cyberangriffe verüben oder illegale Waren handeln. Für Ermittlungsbehörden stellte Tor über Jahre hinweg eine technisch kaum zu überwindende Hürde dar. Die Recherchen von »Panorama« und »STRG_F« ergaben, dass sie ihre Strategie zuletzt jedoch offenbar erweitert haben, um Tor zu überwinden. Nötig dafür ist eine teils jahrelange Überwachung einzelner Tor Knotenpunkte, offiziell als »Timing Analyse« bezeichnet: Je mehr Knotenpunkte im Tor Netzwerk durch Behörden überwacht werden, desto wahrscheinlicher ist es, dass ein Nutzer seine Verbindung über überwachte Knotenpunkte zu verschleiern versucht. Durch die zeitliche Zuordnung (»Timing«) einzelner Datenpakete lassen sich anonymisierte Verbindungen zum Tor Nutzer zurückverfolgen. Die »Timing Analyse« ist dann erfolgreich, obwohl Datenverbindungen im Tor Netzwerk mehrfach verschlüsselt sind.
Jahrelang wurde spekuliert, ob »Timing Analysen« im Tor Netzwerk überhaupt möglich sind. Das Tor Project, eine gemeinnützige Organisation mit Sitz in den USA, die die Aufrechterhaltung des Anonymisierungsnetzwerkes sichern will, erklärte auf Anfrage, ihm sei bisher kein belegter Fall bekannt gewesen. »Panorama« und »STRG_F« recherchierten jedoch, dass das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt am Main im Ermittlungsverfahren gegen die pädokriminelle Darknetplattform »Boystown« mehrfach Tor Knoten identifizierten, die einem der Hintermänner dienten, sich zu anonymisieren.
So ermittelte das BKA 2 mal Tor Knoten, mit denen sich vom damaligen »Boystown« Administrator Andreas G. betriebene Plattformen ins Tor Netzwerk verbanden. Dabei handelte es sich um einen Szenechat, in dem sich führende Mitglieder verschiedener pädokrimineller Foren austauschten. Zweimal gelang es überdies, sogenannte »Eintrittsserver« vom Chatdienst »Ricochet« zu identifizieren, den G. nutzte es war der Durchbruch für das BKA. Zur finalen Identifikation verpflichtete das Amtsgericht Frankfurt am Main schließlich den Provider #Telefónica, unter allen o2 Kundinnen und Kunden herauszufinden, wer von ihnen sich zu einem der identifizierten Tor Knoten verband. Die Ermittlungen führten zur Festnahme von Andreas G. in #Nordrhein #Westfalen. Im Dezember 2022 wurde er zu einer langjährigen Haftstrafe verurteilt. Das Urteil ist noch nicht rechtskräftig.
Die verantwortliche Generalstaatsanwaltschaft Frankfurt am Main erklärte auf Anfrage, eine »Timing Analyse« im »Boystown« Verfahren weder bestätigen noch dementieren zu wollen. Auch das BKA wollte sich zu Details des Vorgangs nicht äußern.
Reporter von »Panorama« und »STRG_F« konnten jedoch mit Personen sprechen, die unabhängig voneinander Kenntnis über breit angelegte Überwachungsmaßnahmen solcher Tor Server haben. Die Zahl der überwachten Tor Knoten in Deutschland soll demnach in den vergangenen Jahren stark gestiegen sein. Auch die überwachten Daten legen nahe, dass diese für »Timing Analysen« genutzt werden dürften. Experten, die Rechercheunterlagen von »Panorama« und »STRG_F« einsehen konnten, bestätigten unabhängig voneinander die Rechercheergebnisse. So sagte Matthias Marx, einer der Sprecher des #Chaos #Computer #Clubs: »Die Unterlagen in Verbindung mit den geschilderten Informationen deuten stark darauf hin, dass Strafverfolgungsbehörden wiederholt und seit mehreren Jahren erfolgreich Timing Analysen Angriffe gegen ausgewählte Tor Nutzer durchführten, um diese zu deanonymisieren.«
Verschiedene Ermittlungsbehörden in Deutschland wollten sich zu etwaigen Überwachungsprogrammen in Bezug auf das Tor Netzwerk nicht äußern. Das Tor Project erklärte auf Anfrage, dass Tor Nutzer den Tor Browser weiterhin verwenden könnten, um sicher und anonym im Internet zu surfen. Über den konkreten Vorgang wolle man ohne Einblick in die Rechercheunterlagen nicht spekulieren. Ähnlich äußerte sich eine Vertreterin des betroffenen Chatdienstes »Ricochet«, der mittlerweile »Ricochet Refresh« heißt und einer der sichersten Wege sei, online zu kommunizieren.