Daniel Moßbrucker: Immer mehr Tor-Knoten werden überwacht

DW: Sie haben über die Aufdeckung einer pädokriminellen Plattform in Deutschland berichtet und dabei herausgefunden, dass von Sicherheitsbehörden Teile des Tor-Netzwerks überwacht wurden, um den Haupttäter zu ermitteln. Das Tor-Netzwerk gilt eigentlich als sicher, wie war dieser Fahndungserfolg möglich? 

Daniel Moßbrucker: Den Fahndern ist etwas gelungen, was bisher als praktisch unmöglich galt. Das haben unsere Recherchen ergeben, die von unabhängigen technischen Experten, darunter vom Chaos Computer Club, bestätigt wurden. Es geht um sogenannte Timing- Analysen, durch die die Anonymisierung ausgehebelt wird. Dabei werden selbst stark verschlüsselte Datenpakete durch das Netzwerk zurückverfolgt.

Nötig dafür ist eine intensive Überwachung relevanter Teile des Tor-Netzwerkes, weshalb Timing-Analysen mutmaßlich nur von staatlichen Akteuren durchgeführt werden können. Unsere Recherchen haben gezeigt, dass in Deutschland in den vergangenen Jahren immer mehr Tor-Server immer länger überwacht werden. Der Modus Operandi legt nahe, dass Strafverfolgungsbehörden dies tun, um weiterhin Timing-Analysen durchzuführen – und dass Verfahren gegen jene pädokriminelle Plattform "Boystown" kein Einzelfall gewesen sein könnten.

Kann man nun das gesamte Tor-Netzwerk als kompromittiert ansehen oder können Menschen weiterhin den Tor-Browser nutzen, um beispielsweise Webseiten von Medienorganisationen wie die der BBC oder der DW sicher und ohne Zensur abrufen zu können? 

Wie so häufig liegt die Wahrheit wohl in der Mitte. Es ist nicht anzunehmen, dass jeder Tor-Nutzer im Handumdrehen von Behörden deanoymisiert werden kann. Für Panik gibt es also keinen Grund, der Tor-Browser ist weiterhin ein sehr sicheres Kommunikationsmittel. Andererseits zeigen unsere Recherchen, dass sogar ein Nutzer von Onion Services von Tor, umgangssprachlich auch als "Darknet" bezeichnet, deanonymisiert werden konnte – also gerade in dem Teil des Tor-Netzwerkes, der als besonders anonym und sicher galt.

Ich würde es einmal so sagen: Wenn das Tor Project in seiner offiziellen Stellungnahme nahelegt, dass die Deanonymisierung als Einzelfall vor allem möglich gewesen sei, weil der betroffene Nutzer eine mittlerweile veraltete Software des Chatprogramms "Ricochet" nutzte, muss man sich fragen, wieso dann Strafverfolgungsbehörden in den vergangenen Jahren immer mehr Tor-Server in einer Art und Weise überwacht haben, dass die Daten offenbar für Timing-Analysen genutzt wurden. Wir haben ja auch berichtet, dass nicht nur "Ricochet" betroffen war, sondern zweimal auch normale Onion Services, als Darknet-Seiten. Diese liefen beide auf der "Version 3", die unseres Wissen nach bis heute aktuell ist.“

Der Tor-Browser bietet in den Einstellungen sogenannte Bridges an, mit denen es möglich ist, Zensur in Form von Webseitensperrungen zu umgehen. Bieten solche Bridges auch weiterhin Schutz vor der von Ihnen beschriebenen Deanonymisierung?

Als Journalisten haben wir für solche speziellen Fragen mit dezidierten Experten zusammengearbeitet. Meiner Kenntnis nach geht es bei den "Bridges" aber um etwas anderes als den Schutz vor Timing- Analysen. Ob sie kurzfristig das Risiko senken können, von Timing- Analysen betroffen zu sein, weil die IP-Adressen unbekannt sind, mag sein, kann ich aber nicht beurteilen und habe ich bisher auch noch nie als Feedback gehört von Experten, mit denen wir im Austausch stehen.

Das Tor-Netzwerk spielt im Journalismus eine wichtige Rolle, wenn es um die sichere Kommunikation mit Informanten geht. Sogenannte Whistleblower-Briefkästen, wie SecureDrop, sollen eine anonyme Zulieferung von vertraulichen Informationen mit höchstem Maß an Quellenschutz über das Internet sicherstellen. Kann man davon ausgehen, dass über die von Ihnen beschriebenen Timing-Analysen die Absender solcher vertraulichen Informationen nun auch Gefahr laufen, aufgedeckt zu werden? 

Ich persönlich halte dies für die wohl relevanteste Folge für den Journalismus. Die dokumentierten Fälle zeigen, dass Timing- Analysen immer dann möglich waren, wenn bei einem Onion Service vereinfacht gesagt "wenig los" war und nur wenige Datenpakete übermittelt wurden, die dann einem konkreten User zugeordnet werden konnten. Das ist auch logisch: Je mehr Datenpakete von verschiedenen Tor-Nutzern parallel an einen Onion Service geschickt werden, desto schwieriger ist es, in diesem "Grundrauschen" einzelne Datenpakete zu isolieren und durch das Netzwerk zurückzuverfolgen. Bei Whistleblowing-Plattformen ist in der Regel wenig los, bis sich eine Quelle entscheidet, Daten zu übermitteln. Das ist ein Szenario, in dem Timing- Analysen grundsätzlich besser funktionieren als anderswo. Daher kann es für Quellen sinnvoll sein, zusätzlich zu Tor noch einen VPN zu nutzen, um sich mit einem anonymen Briefkasten zu verbinden. Absolut ausgeschlossen sind Timing- Analysen aber auch dann nicht.

Ich möchte betonen: Wir haben keine Hinweise darauf, dass Strafverfolgungsbehörden in Deutschland Timing- Analysen anwenden, um die Quellen von Journalisten enttarnen zu wollen. Natürlich versuchen jedoch nicht nur Behörden aus demokratischen Staaten, das Tor-Netzwerk zu knacken, sondern etwa auch Geheimdienste aus autoritären Staaten. Ich persönlich halte Secure Drop dennoch für eine relativ sichere Technologie, vermutlich das die Beste, was die wir Quellen anbieten können – ein Restrisiko gibt es immer.“

Ist Tor nun als sicheres Netzwerk erstmal Geschichte? Oder kann man die Schwachstellen "reparieren"?

Wichtig zu betonen ist, dass es nicht die eine Schwachstelle gibt, die man nun durch zusätzlichen Code einfach so schließen kann. Wir haben es nicht mit einer klassischen Sicherheitslücke zu tun. Es gibt zwar verschiedene Ideen, durch Software das Risiko zu mindern,  aber Fachleute haben uns gegenüber auch betont, dass das Tor-Netzwerk so dezentral wie möglich sein muss, also von möglichst verschiedenen Personen auf der ganzen Welt betrieben wird in möglichst unterschiedlichen Rechenzentren. Damit sinkt das Risiko, dass relevante Teile des Netzwerks von einem einzigen Staat oder einem Staatenverbund unterwandert werden können.

Daniel Moßbrucker arbeitet als freier Journalist, Speakter und Security-Trainer für Journalsit*innen. Sein Schwerpunkt liegt auf den Themen Überwachung, Datenschutz und Internetregulierung. Er war maßgeblich an den Recherchen beteiligt, die aufgezeigt haben, dass Strafverfolgungsbehörden Internetverbindungen im Tor-Netzwerk nachverfolgen können.

Das Interview führte Oliver Linow.