Eigentlich ist Tor ein Netzwerk zur Anonymisierung von Verbindungsdaten wie sie beim Surfen im Internet, beim Messaging oder E-Mailen anfallen. Das Netzwerk setzt dabei auf das sogenannte Onion-Routing – vereinfacht gesagt wird jede Anfrage über mindestens drei Knotenpunkte, Relays oder Server geleitet. Etwa alle zehn Minuten werden neue Verbindungsstrecken aufgebaut. So soll maximale Anonymität bei geringer Verzögerungszeit erreicht werden.

Das Modell setzt allerdings stark darauf, dass mindestens einer der Server vertrauenswürdig ist. Außerdem dürfen Anfangs- und Endknoten nicht von Angreifenden überwacht werden. Deshalb setzt das Tor-Netzwerk auf sogenannte Entry-Guards, die gewisse Anforderungen erfüllen müssen und nicht dynamisch bestimmt werden.

Trotz dieser Maßnahmen kann das Tor-Netzwerk nur verlässlich anonym sein, wenn es für die Server oder Knoten, auf denen es aufbaut, genügend verschiedene Betreiber:innen gibt. Kontrolliert eine Person oder Gruppierung zu viele Knoten, laufen zu viele Verbindungen darüber, was wiederum eine De-Anonymisierung möglich machen kann. Das nennt man auch Sybil-Attacke.

Auf Medium hat eine Person, die sich Nusenu nennt, dargelegt, dass eine Instanz im Tor-Netzwerk seit etwa vier Jahren bis zu 900 Knotenpunkte gleichzeitig betreiben soll – mehr als zehn Prozent der 6.647 Server, die Ende Juli 2021 verzeichnet wurden.

Nusenu gibt an, schon seit 2015 im Tor-Netzwerk aktiv und auf der Suche nach potenziellen Angreifer:innen zu sein. 2019 sei Nusenu auf einige Unregelmäßigkeiten gestoßen – „Tor-Knotenpunkte tun etwas, das die offizielle Tor-Software nicht kann“. Die absichtlich vage Formulierung wählt Nusenu, um nicht preisgeben zu müssen, wie genau die Unregelmäßigkeit zutage getreten sei. Eine weitere Person, die nicht namentlich genannt werden möchte, soll Nusenus Entdeckungen zudem reproduziert und bestätigt haben.

Die Tor-Macher:innen hätten die betreffenden Relays daraufhin gesperrt, aber kurz darauf sei eine ähnliche Struktur – wieder ein einzelner Player, der viele Knotenpunkte betreibt – aufgetaucht.

In einem Update vom 29. November 2021 schreibt Nusenu auf Medium, was sich seitdem getan hat – und findet die Entwicklung durchaus besorgniserregend. Dabei werden vor allem zwei Akteur:innen herausgestellt, die sich nicht zuletzt durch ihr Durchhaltevermögen auszeichnen. Besonderes Augenmerk legt Nusenu jedoch auf KAX17 – so der Codename der einen Instanz.

Auch wenn Nusenu keine Hinweise darauf finden konnte, dass KAX17 Tor-Nutzer:innen de-anonymisiert hat, bestehe nichtsdestotrotz die Möglichkeit, dies zu tun. Nehme man die Tatsache dazu, dass „jemand einen so großen Teil des Netzwerks betreibt mit Relays, die ‚Dinge tun‘“, dann gingen alle möglichen Alarmsirenen los, so Nusenu weiter. Das Tor-Netzwerk hat die betreffenden Relays inzwischen jedenfalls entfernt.

Wer hinter KAX17 steckt und welche Motive die Person oder Gruppierung leiteten, weiß Nusenu nicht, stuft das Level der Bemühungen aber als „nicht-amateurhaft“ ein. „Mit einiger Wahrscheinlichkeit“, so ordnet der Spiegel ein, „handelt es sich um einen staatlichen oder staatlich unterstützten Akteur“. Jens Kubieziel, dessen Verein Zwiebelfreunde einen eigenen Tor-Server betreibt, sieht das Ganze weniger alarmistisch. Man könne allenfalls erkennen, „dass jemand mit größerem Aufwand etwas versucht“.