Lila Zwiebel ange­schlagen: Fahnder knacken die Anony­mi­sierung des Tor-Browsers

Das ARD-Magazin Pan­orama hat her­aus­ge­funden, dass die deut­schen Straf­ver­fol­gungs­be­hörden mona­telang Nutzer des Internet-Browsers „Tor“ aus­spio­niert haben. Der Browser mit der lila Zwiebel als Logo wirbt damit, dass man sich völlig anonym und ohne die Mög­lichkeit zur Ver­folgung im Netz bewegen kann. Das war für viele Nutzer, die sich im Darknet tummeln natürlich ver­lo­ckend. Denen, die sich auf die unein­ge­schränkte Anony­mität ver­lassen haben, dürfte der Schweiß auf der Stirn gestanden haben, als sie den Exklusiv-Bericht der Tages­schau gesehen haben: Die Über­wa­chungs­maß­nahme in einem Ermitt­lungs­ver­fahren führte bereits zum Erfolg.

Ein geheimer Markt­platz für Ver­brechen und Schmuggel aller Art

Dieser Erfolg war eine Über­ra­schung, auch für die Experten, galt es doch als unmöglich, „Tor“ zu knacken. Denn die Ver­bin­dungen über die ver­schie­denen Tor-Kno­ten­punkte ver­schleiern die Bewe­gungen der User. Laut Tages­schau-Bericht benutzt Tor fast 8.000 Kno­ten­punkte in ungefähr 50 Ländern. Wahr­scheinlich mehr, als zwei Mil­lionen Men­schen sind dort täglich im Netz unterwegs. Daher war der Browser auch unter Nutzern beliebt, die es sich nicht leisten können, dabei erwischt und iden­ti­fi­ziert zu werden, was sie da im Netz treiben. Der Browser diente vielen als Zugang zum „Darknet“, sozu­sagen die finstere Sei­ten­gasse der Netzwelt, in der all das zu finden und zu machen möglich ist, was ver­boten, strafbar und gefährlich ist. Ob es um Drogen oder illegale Waffen oder Kin­der­porno geht oder um Ver­ab­re­dungen zu allen mög­lichen ille­galen Akti­vi­täten – die Nutzer fühlten sich dort, in den dunklen Ecken unbe­ob­achtet und sicher. Das ist nun vorbei. Die Staats­an­walt­schaft Frankfurt bei­spiels­weise ließ seit 2020 die Tele­fónica drei Monate lang beob­achten, welche Kunden sich mit einem bestimmten Server ver­binden. Das nennt man Timing-Analyse. Dabei können die ver­schickten und ver­schlüs­selten Daten­pakete zwar nicht ein­ge­sehen werden, was die Nutzer also ver­schicken, kann man nicht fest­stellen, aber dass sie sich etwas zuschicken, schon.

Diese Ermittlung muss von langer Hand geplant gewesen sein

Golem-News schreibt dazu:

„Für eine erfolg­reiche Dean­ony­mi­sierung müsse der Angreifer, in diesem Falle die Ermitt­lungs­be­hörden, aller­dings viele Tor-Server über­wachen oder gar selbst betreiben – mit ent­spre­chend hohem Aufwand. Durch eine sta­tis­tische Auf­be­reitung und zeit­liche Zuordnung der über diese Server aus­ge­tauschten Kom­mu­ni­ka­ti­ons­daten könne die Spur eines Tor-Nutzers bis zu seiner echten IP-Adresse zurück­ver­folgt werden, so die Erklärung. Einem Bericht der Tages­schau zufolge ist dafür aller­dings eine teils jah­re­lange Über­wa­chung ein­zelner Tor-Nodes erforderlich.“

Golem merkt auch an, dass es unklar sei, zu wie vielen Tor-Servern die Ermittler Zugang bekommen haben. Die Ermitt­lungs­be­hörden wollten dazu auch keine Aus­kunft geben.

Einem Pädo­phi­lenring namens „Boy­stown“ waren die Ermittler schon seit Jahren auf der Spur. Der Name sagt es schon: Hier ging es um Sex mit kleinen Jungs. Dabei han­delte es sich um einen Sze­nechat, in dem sich füh­rende Mit­glieder ver­schie­dener pädo­kri­mi­neller Foren aus­tauschten. Am 30. Juni 2019 ging die Plattform mit ihren wider­lichen Inhalten im Darknet online. Das Forum machte keinen Hehl daraus, dass es hier um „Boyl­overs“ ging.

„Boy­stown“ war ein Renner – mehr als 10.000 Mit­glieder und eine straffe Führung

Schon in den ersten Wochen, schreibt die Tages­schau, stürmten 10.000 User diese Plattform. Am 4. Juli gab es schon 2536 Posts im Forum an einem ein­zigen Tag. Es wurden Links, Videos und Fotos geteilt. Man schwatzte über alles, was mit Kin­des­miss­brauch zu tun hatte. Schon nah zwei Wochen ver­fügte die Plattform über mehr als 10.000 „offi­zielle Mit­glieder“. Trotzdem, so beschreibt es der „Tagesschau“-Artikel, herrschte eine straffe Orga­ni­sation und Ordnung, auch im Video- und Bildmaterial:

„Die Bild­nisse wurden bei­spiels­weise streng nach Kate­gorien geordnet: Es gab einen “Hardcore”-Bereich für schweren Miss­brauch und “Softcore” für — aus der Sicht des Forums — eher harm­lo­seren Kin­des­miss­brauch. Und: Es gab die Kate­gorie “Non Nude”, also “nicht nackt”. Pan­orama und STRG_F hatten im April auf­ge­deckt, dass in solchen “Non Nude”-Bereichen auch hun­dert­tau­sende harmlose All­tags­fotos von Kindern getauscht werden, die die Täter von den Social Media-Pro­filen der Kinder und Eltern stehlen. Auch deutsche Kinder fanden sich in diesen “Non Nude”-Kategorien auf “Boy­stown”. (…) Ab August 2019 pos­teten die User an fast jedem Tag deutlich mehr als 1.000 Bei­träge im Forum, außerdem wurde in einem Chat dis­ku­tiert. Die Zahl der regis­trierten Accounts wuchs täglich um mehrere hundert an, an manchen Tagen waren es mehrere tausend Neuregistrierungen.“

Die Ermittler nehmen die Spur auf

Es waren nun über 400.000 Mit­glieder auf der Plattform „Boy­stown“, die sich bis zur Abschaltung durch die Ermittler dort ein­ge­tragen hatten. Erstaun­li­cher­weise wurden die Bilder, Videos und anderen Mate­rialien aber nur von fünf Prozent der User ein­ge­stellt. 95 Prozent der Mit­glieder hatte nie etwas in dem Forum gepostet. Das lasse ver­muten, dass sich viele der Nutzer bei jedem Login einen neuen Account zugelegt haben, um keine ver­folg­baren Spuren zu hin­ter­lassen, an denen man sie aus­findig machen konnte. Die Staats­an­walt­schaft konnte daher nicht ermitteln, wie­viele tat­säch­liche User wirklich hinter den 400.000 Konten ver­borgen waren.

Das Amts­ge­richt Frankfurt hatte diese strittige Vor­ge­hens­weise wegen der Schwere der Taten für ange­messen befunden. Tele­fónica (O2) war ver­pflichtet diesen Gerichts­be­schluss auch aus­zu­führen. Die Ermitt­lungen führten schluss­endlich zur Fest­nahme von Andreas G. in Nordrhein-Westfalen.

Aber erst dann wurde dem Admin Andreas G. im Netz auf „Tor“ das Handwerk gelegt. Das Vor­gehen war aber nicht lupenrein legal. Das BKA erfuhr, dass sich jener Admin immer über den Tele­fon­an­bieter O2 ins Darknet wagte. Um den Admin von „Boy­stown“ zu finden, über­wachten die Ermittler daher die Han­dy­ver­bin­dungen von O2-Kunden mit einer Methode, die man IP-Cat­ching nennt – und das ist juris­tisch umstritten. Weil sie auch Daten von Nutzer erfasst, die in keiner Weise mit dem Gesetz in Kon­flikt stehen. Der „Boystown“-Betreiber war schon nach einigen wenigen Tagen gefunden, die Über­wa­chung sofort ein­ge­stellt und alle Ver­bin­dungs­daten gelöscht, berichtet die Tages­schau. Der Mann wurde 2022 vor Gericht zu zehn Jahren Haft verurteilt.

Die Marke „Tor-Browser“ ist ent­zaubert? Wird mehr aus­spio­niert als zugegeben?

Aber das Darknet war auch immer ein sicherer Hafen für poli­tische Akti­visten und Men­schen­rechtler, Infor­ma­tionen aus­zu­tau­schen und sich dabei gegen­seitig zu schützen: Und es ermög­licht die Umgehung von Internet-Zensur. Es gibt Hin­weise darauf, dass diese Aus­spio­nierung eben doch öfter statt­findet, als von den Behörden zuge­geben wird.

Mat­thias Marx, einer der Sprecher des Chaos Com­puter Clubs arg­wöhnt: „Die Unter­lagen in Ver­bindung mit den geschil­derten Infor­ma­tionen deuten stark darauf hin, dass Straf­ver­fol­gungs­be­hörden wie­derholt und seit meh­reren Jahren erfolg­reich Timing-Ana­lysen-Angriffe gegen aus­ge­wählte Tor-Nutzer durch­führten, um diese zu dean­ony­mi­sieren.“ Er sieht das Projekt „Tor“ nun im Zug­zwang, den Anony­mi­täts­schutz des Netz­werks zu ver­bessern. Denn:

„Die tech­nische Mög­lichkeit, Timing-Ana­lysen durch­zu­führen, besteht nicht nur für deutsche Straf­ver­fol­gungs­be­hörden zur Ver­folgung schwerer Straf­taten, sondern glei­cher­maßen für Unrechts­regime bei der Ver­folgung von Jour­na­lis­tinnen und Jour­na­listen, Oppo­si­tio­nellen und Whistleblowern.“

Traurig, aber wahr: Das gilt auch für uns hier in Deutschland, wo die Mei­nungs- und Infor­ma­ti­ons­freiheit schon so gut, wie abge­schafft ist und – siehe unseren gest­rigen Artikel – auf vielen unver­dächtig daher­kom­menden Wegen immer weiter ein­ge­schränkt und kri­mi­na­li­siert wird. Nach­rich­ten­kanäle, die in bestimmten Ländern ver­boten sind, können die Leute dort über das Darknet auf­rufen, um Infor­ma­tionen zu bekommen, die sie nicht haben dürften – und genau da liegt der Ver­dienst von „Tor“: Diese Men­schen konnten sich bisher darauf ver­lassen, dass sie nicht iden­ti­fi­ziert werden konnten. Das könnte jetzt vorbei sein.

Denn wenn es möglich ist, diese hoch­kom­pli­zierten Wege und Sicher­heits­maß­nahmen, wie „Tor“ sie anwendet zu knacken, wird es nicht all­zu­lange dauern, und Staaten, Behörden, Regie­rungen werden alles daran setzen, diese Mög­lichkeit zu erhalten, die Kri­tiker und Unge­hor­samen da aus­zu­spio­nieren, wo sie glauben, sicher zu sein.