[Draalz]

Zitat:

Ermittlungen im Darknet

Strafverfolger hebeln Tor-Anonymisierung aus

Stand: 18.09.2024 06:01 Uhr

Das Tor-Netzwerk gilt als wichtigstes Werkzeug, um sich anonym im Internet zu bewegen. Behörden haben begonnen, es zu unterwandern, um Kriminelle zu enttarnen. In mindestens einem Verfahren waren sie erfolgreich.

Von [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] und [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ], NDR

Strafverfolgungsbehörden in Deutschland lassen Server im Tor-Netzwerk teils monatelang überwachen, um Tor-Nutzerinnen und -Nutzer zu deanonymisieren. Besonders betroffen sind Seiten im sogenannten Darknet. Dies zeigen Recherchen des ARD-Politikmagazins Panorama und STRG_F (funk/NDR).

Die bei der Überwachung gewonnenen Daten werden demnach in statistischen Verfahren so aufbereitet, dass die Tor-Anonymität gänzlich ausgehebelt wird. Reporter von Panorama und STRG_F konnten Unterlagen einsehen, die vier erfolgreiche Maßnahmen in nur einem Ermittlungsverfahren zeigen. Es sind die weltweit ersten belegten Fälle dieser sogenannten "Timing-Analysen". Bisher galt dies als quasi unmöglich.

Größtes Anonymisierungsnetzwerk der Welt

Bei Tor handelt es sich um das weltweit größte Netzwerk, um sich anonym im Internet zu bewegen. Tor-Nutzerinnen und -Nutzer leiten ihre Verbindung über Server, sogenannte Tor-Knotenpunkte, um zu verschleiern, was sie tun: Mit dem Tor-Browser können sie Websites im Internet anonym ansteuern oder Seiten im sogenannten Darknet aufrufen. Aktuell sind bei Tor fast 8.000 Knotenpunkte in rund 50 Ländern in Betrieb. Rund zwei Millionen Menschen sind hier täglich unterwegs.

Es ist bei Journalistinnen und Journalisten, aber auch Menschrechtsaktivistinnen und -aktivisten beliebt, gerade in Ländern, in denen das Internet zensiert ist. Auch in Deutschland betreiben Medien, darunter auch der NDR, im Tor-Netzwerk anonyme "Briefkästen", damit Whistleblower sicher Daten übermitteln können. Die Deutsche Welle etwa hat ihre Website im Darknet erreichbar gemacht, um der Zensur in einigen Ländern zu entgehen.

Unterwanderung des Tor-Netzwerkes

Die Anonymität lockt jedoch auch Kriminelle an, die über Tor beispielsweise Cyberangriffe verüben oder im Darknet illegale Marktplätze betreiben. Für Ermittlungsbehörden stellte Tor über Jahre hinweg eine technisch kaum zu überwindende Hürde dar. Recherchen von Panorama und STRG_F ergaben nun, dass sie ihre Strategie zuletzt offenbar erweitert haben, um Tor zu überwinden. Nötig dafür ist eine teils jahrelange Überwachung einzelner Tor-Knotenpunkte.

Die Logik hinter der Maßnahme, die Fachleute "Timing-Analyse" nennen: Je mehr Knotenpunkte im Tor-Netzwerk durch Behörden überwacht werden, desto wahrscheinlicher ist es, dass ein Nutzer seine Verbindung über einen der überwachten Knotenpunkte zu verschleiern versucht. Durch die zeitliche Zuordnung ("Timing") einzelner Datenpakete lassen sich so anonymisierte Verbindungen zum Tor-Nutzer zurückverfolgen, obwohl Datenverbindungen im Tor-Netzwerk mehrfach verschlüsselt sind.

Chatdienst "Ricochet" als Falle

Nach den Recherchen von Panorama und STRG_F waren das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt am Main mit dieser Methode erfolgreich: Im Ermittlungsverfahren gegen die pädokriminelle Darknetplattform "Boystown" gelang ihnen mehrfach, Tor-Knoten zu identifizieren, die einem der Hintermänner dienten, um sich zu anonymisieren.

So ermittelte das BKA zweimal Tor-Knoten, mit denen sich vom damaligen "Boystown"-Administrator Andreas G. betriebene Plattformen ins Tor-Netzwerk verbanden. Dabei handelte es sich zum Beispiel um einen Chat, in dem sich führende Mitglieder verschiedener pädokrimineller Foren austauschten. Zweimal gelang es überdies, sogenannte "Eintrittsserver" vom Chatdienst "Ricochet" zu identifizieren, den G. nutzte - es war der Durchbruch für das BKA. Zur finalen Identifikation verpflichtete das Amtsgericht Frankfurt am Main schließlich den Provider Telefónica, unter allen o2-Kundinnen und -Kunden herauszufinden, wer von ihnen sich zu einem der identifizierten Tor-Knoten verband.

Die Ermittlungen führten zur Festnahme von Andreas G. in Nordrhein-Westfalen. Im Dezember 2022 wurde er zu einer langjährigen Haftstrafe verurteilt. Das Urteil ist noch nicht rechtskräftig.

Zunehmende internationale Kooperation

Entscheidende Hinweise im "Boystown"-Verfahren erreichten das BKA aus den Niederlanden. Offenbar kein Zufall: In Deutschland, den Niederlanden und den USA werden die meisten Torknotenpunkte betrieben. Die verantwortliche Generalstaatsanwaltschaft Frankfurt am Main teilte auf Anfrage mit, eine "Timing Analyse" im "Boystown"-Verfahren weder bestätigen noch dementieren zu wollen. Auch das Bundeskriminalamt wollte sich dazu nicht äußern.

Reporter von Panorama und STRG_F konnten jedoch mit Personen sprechen, die unabhängig voneinander Kenntnis über breit angelegte Überwachungsmaßnahmen solcher Tor-Server haben. Die Zahl der überwachten Torknoten in Deutschland soll demnach in den vergangenen Jahren stark gestiegen sein. Auch die überwachten Daten legen nahe, dass diese für "Timing-Analysen" genutzt werden dürften.

Experten, die Rechercheunterlagen von Panorama und STRG_F einsehen konnten, bestätigten unabhängig voneinander die Rechercheergebnisse. So erklärt Matthias Marx, einer der Sprecher des Chaos Computer Clubs (CCC): "Die Unterlagen in Verbindung mit den geschilderten Informationen deuten stark darauf hin, dass Strafverfolgungsbehörden wiederholt und seit mehreren Jahren erfolgreich Timing-Analysen-Angriffe gegen ausgewählte Tor-Nutzer durchführten, um diese zu deanonymisieren."

Schwerer Schlag für das Tor Project

Die Enthüllungen sind ein schwerer Schlag für das Tor Project. Die gemeinnützige Organisation mit Sitz in den USA, die die Aufrechterhaltung des Anonymisierungsnetzwerkes sichern will, erklärte auf Anfrage, ihm sei bisher kein belegter Fall einer "Timing-Analyse" bekannt gewesen. Bisher deute allerdings nichts darauf hin, dass der Tor-Browser angegriffen worden sei: "Tor-Nutzer können den Tor-Browser weiterhin verwenden, um sicher und anonym im Internet zu surfen."

Matthias Marx vom CCC warnt vor den Konsequenzen der Maßnahme: "Diese technische Möglichkeit besteht nicht nur für Deutsche Strafverfolgungsbehörden zur Verfolgung schwerer Straftaten, sondern gleichermaßen für Unrechtsregime bei der Verfolgung von Oppositionellen und Whistleblowern. Das Tor-Projekt ist daher jetzt unter Zugzwang, den Anonymitätsschutz zu verbessern."

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Übel! Das Tor Netzwerk bröckelt und damit auch mal wieder die Meinungsfreiheit.

[Thorasan]

Wobei das ja nicht nur etwas mit Meinungsfreiheit zu tun hat, sondern durchaus auch wichtigere Punkte abdeckt.
Aber ja, das läuft in eine vollkommen falsche Richtung, was aber heute schon "normal" ist. Wer stellt sich denn ruhigen Gewissens einen Server irgendwo hin, bei all der Unsicherheit, die in den Bereichen herrscht? Vom Aufwand und dem nötigen Wissen mal abgesehen, sind die rechtlichen Risiken extrem hoch. Und da ja jeder Regeln über Nacht ändern kann, wird dir halt morgen dann die Bude gestürmt.
Ob das hinterher rechtens war, hilft dir da auch kaum weiter.

Und mit den neu vorgeführten Möglichkeiten, was einerseits das knacken solcher Sachen angeht, andererseits die Umrüstung ziviler Güter in Waffen, kann man ganz schnell auf ganz dumme Gedanken kommen.

[Holgi55]

Das die Staatlichen Organe dazu lernen ist doch normal.
Da stehen auch ganz andere finanzielle Mittel dahinter wie bei den Entwicklern des Tor Projekts.
Die Zeiten wie vor 20 Jahren und danach sind vorbei wo man echt richtigen Schabernack im Netz treiben konnte und allerlei Unfug mit z.B den O2 Sim Karten mit einem Euro Guthaben machen konnte.
Heute würde die Bullerei schnell vor der Tür stehen und klingeln.
Bitcoin sollte ja so Anonym sein,heute finden die fast alle Transaktionen raus.