Missing Link: Wie sicher ist der Anonymisierungsdienst Tor?
Tor gilt als Wunderwaffe gegen den Überwachungswahn von Geheimdiensten. Wie gut lässt sich die Technologie knacken? Ist Tor tatsächlich NSA- und BND-proof?
(Bild: Shutterstock/Irina Anosova)
Der Tor-Browser wird für den Kauf und Verkauf von Drogen im Darknet genutzt, aber auch von Menschen, deren Freiheit oder gar Leben vom Funktionieren der Software abhängt. Deswegen ist ein besonders kritischer Blick auf die versprochene Anonymität nötig.
Die Arbeit an dieser Technologie voller Widersprüche begann Mitte der 90er-Jahre an einem Forschungslabor des US-Militärs. Heute ist Tor ein ungewöhnliches Gemeinschaftsprojekt der globalen digitalen Zivilgesellschaft und der US-Regierung. Die Zivilgesellschaft, vor allem die deutsche Community, stellt die Infrastruktur: die Tor-Verschleierungsknoten. Für sie ist Tor der wichtigste Gegenspieler autoritärer Eingriffe ins Internet.
Mit dem Tor-Browser kann man anonym im World Wide Web surfen und Zensur aushebeln, im Tor-Darknet lassen sich Adressen weder löschen noch verorten. Entwickelt wird die Technologie von der Organisation The Tor Project, die sich traditionell über Fördertöpfe der US-Regierung finanziert. Die Technologie ist prinzipiell anfällig für Angreifer mit großen Ressourcen. Wie solide schützt der Tor-Browser tatsächlich und wie gut lässt sich die Anonymisierungstechnologie knacken? Ein Überblick über die Schwächen von Tor, über mögliche Attacken und Gegenmaßnahmen.
Schwachstelle Mensch
Leichtsinniges Verhalten kann für Probleme sorgen: Man verwendet den Tor-Browser, loggt sich aber bei einem sozialen Netzwerk oder einem E-Mail-Dienst mit einem Profil ein, das man auch in anderen Kontexten verwendet. Oder man installiert wild Browser-Erweiterungen. Tor basiert auf Firefox, und für den Firefox-Browser sind Hunderte praktischer Erweiterungen verfügbar, mit denen man beispielsweise bequem Screenshots machen oder Werbung blockieren kann.
Einige dieser Plugins werden von Firefox geprüft und für sicher befunden. Es kann aber sein, dass man sich mit kommerziellen Erweiterungen quasi Schadware in den Tor-Browser holt, Plugins die Browser-Nutzung mitschneiden und die gesammelten Informationen verkaufen. Dafür gibt es Beispiele in der Vergangenheit.
Sicherheitslücken und Hintertüren
Außerdem kann die Tor-Software Sicherheitslücken enthalten. Da der Tor-Browser ein modifizierter Firefox-Browser ist, wirken sich auch Lücken in Firefox auf die Tor-Sicherheit aus. In regelmäßigen Abständen fordert der Tor-Browser auf, ein Update zu installieren. Meist geht es bei den Updates darum, gefundene Sicherheitslücken zu beheben. Solche Lücken können gezielt platziert werden oder auch unbeabsichtigt in die Software gelangen. Eine gängige Erwiderung ist, dass so etwas bei Tor nicht passieren könne, da die Software Open Source ist: Der Code ist öffentlich einsehbar und kann auf Mängel oder gar Hintertüren hin untersucht werden. In der Praxis bietet das dennoch keinen absoluten Schutz.
Nur ein Bruchteil der Bevölkerung kann programmieren oder komplexe Programmcodes bewerten. Moritz Bartl vom deutschen Tor-Verein Zwiebelfreunde e. V. hält aufgrund des besonderen Charakters der Tor-Community den Programmcode dennoch für sehr sicher: "Bei Tor schauen tatsächlich viele Leute regelmäßig auf den Code und überprüfen ihn unabhängig vom Tor Project. Tor war und ist immer noch stark universitär geprägt. Deswegen unterscheidet sich Tor von vielen anderen Freie-Software-Projekten, bei denen nicht klar ist, ob es tatsächlich unabhängige Reviews der Code-Basis gibt."
Tatsächlich ist Tor ein Liebling der Wissenschaft. In wissenschaftlichen Studien wird jede denkbare Angriffsmöglichkeit auf Tor durchgespielt und öffentlich diskutiert.
Tor als "Honigtopf"
Bei allen Technologien der "digitalen Selbstverteidigung", neben Tor zählt dazu beispielsweise auch E-Mail-Verschlüsselung, gibt es die Debatte, ob diese nicht unfreiwillig als "Honey Pot" fungieren: als eine Art soziale Filter, mit denen Personen unbeabsichtigt auf sich aufmerksam machen. Indem sie den Tor-Browser nutzen, zeigen Menschen, dass ihnen der Schutz der eigenen Kommunikation wichtiger als anderen ist – und dass sie für eine Überwachung womöglich besonders interessant sind. Das Dilemma besteht, und es lässt sich nicht auflösen. Es besteht, solange nur eine kleine Minderheit der Bevölkerung Verschlüsselungs- und Anonymisierungstechnologien verwendet.
