Wissenschaftler:innen hatten in den vergangenen Jahren schon theoretisch bewiesen, dass eine Deanonymisierung von Nutzer:innen im Tor-Netzwerk über sogenannte Timing-Analysen möglich sind. Jetzt deuten Recherchen darauf hin, dass Behörden – auch in Deutschland – die Angriffstechnik auch in der Praxis benutzen, um potenzielle Straftäter:innen aufzuspüren.

Reporter:innen von Panorama und STRG_F haben eigenen Angaben zufolge die „weltweit ersten Fälle recherchiert“, bei denen mittels Timing-Analysen Tor-Nutzer:innen deanonymisiert worden sein sollen. Bei der Methode handelt es sich demnach nicht um einen gewöhnlichen IT-Angriff, bei dem etwa Software eingeschleust werden müsste.

Sicherheitslücken im Tor-Browser seien für die Deanonymisierung nicht notwendig, wie es heißt. Stattdessen werde bei den Timing-Analysen die Größe von Datenpaketen erfasst. Da diese verschlüsselt sind, kann deren Inhalt zwar nicht gelesen werden. Allerdings sollen die Pakete bestimmten Nutzer:innen zugeordnet werden können.

Laut den Recherchen der Kolleg:innen von Panorama und STRG_F könnten diese Daten schließlich so aufbereitet werden, „dass eine Rückverfolgung durch das Tor-Netzwerk möglich wird“. So lasse sich diese Spur zu einer echten IP-Adresse eines Menschen zurückverfolgen.

Der Aufwand dieser Methode gilt allerdings als ziemlich hoch, weil die Behörden dabei entweder viele Tor-Server überwachen müssten oder eine größere Anzahl von Servern selbst betreiben. Auch eine Kombination aus beidem sei möglich. Deutsche Ermittlungsbehörden wollten sich derweil nicht dazu äußern, ob sie mithilfe von Timing-Analysen im Tor-Netzwerk auf Verbrecher:innenjagd gehen.

Der Chaos Computer Club (CCC) kommentiert aber, dass die Rechercheergebnisse „stark“ darauf hindeuten würden, „dass Strafverfolgungsbehörden wiederholt und seit mehreren Jahren erfolgreich Timing-Analysen-Angriffe gegen ausgewählte Tor-Nutzer:innen durchführten, um diese zu deanonymisieren“.

Einer der Gründe dafür, dass eine Deanonymisierung im Tor-Netzwerk möglich sein dürfte, ist die zunehmende internationale Kooperation von Strafverfolgungsbehörden und die Auswertung der Überwachung. Allerdings krankt auch das System Tor. Das Netzwerk soll eigentlich über zahlreiche Server in unterschiedlichen Ländern und von vielen verschiedenen Personen so dezentral wie möglich gehalten werden.

Die Zahl der Tor-Server stagniert aber seit Jahren bei 7.000 bis 8.000. Zudem würden die Server von immer weniger Personen und stattdessen zu einem steigenden Teil zentral in Rechenzentren betrieben, wie Kritiker:innen monieren. So sollen rund 50 Prozent der Gesamtkapazität des Netzwerks auf die zehn größten Betreiber von Tor-Exitknoten entfallen.

Das Problem: Die Timing-Analysen können zwar auf der einen Seite Kriminelle enttarnen, aber auch dazu eingesetzt werden, in Unrechtsregimen Journalist:innen, Oppositionelle und Whistleblower:innen zu verfolgen, wie CCC-Sprecher Matthias Marx warnt. Und: Das Problem lässt sich nicht über ein einfaches Update beheben.

Jetzt sei das Tor-Projekt gefordert, „den Anonymitätsschutz zu verbessern“, so Marx. Das dürfte nur über eine Steigerung der Vielfalt des Netzwerks möglich sein – darin sehen die Projektverantwortlichen schon länger ein „brennendes Thema“ für die Zukunft.