Missing Link: Wie sicher ist der Anonymisierungsdienst Tor?

Seite 4: Wer könnte Tor knacken?

Inhaltsverzeichnis

Es gibt also viele digitale Punkte, an denen Daten für die De-Anonymisierung von Tor abgegriffen werden können. Gibt es einen quasi allwissenden, globalen Angreifer, der Zugriff auf so viele Daten hat, dass er stets beobachten kann, welche Datenströme ins Tor-Netzwerk hineingehen und das Netzwerk wieder verlassen? Die Enthüllungen des ehemaligen Geheimdienstmitarbeiters Edward Snowden legen nahe, dass zumindest die US-Regierung mit ihrem technischen Geheimdienst NSA in einer solchen Position sein könnte. Die US-Digitalwirtschaft dominiert das weltweite Internet und US-Gesetze verpflichten heimische Unternehmen, ihre Daten Geheimdiensten zur Verfügung zu stellen.

Bekannt ist außerdem, dass Geheimdienste ihre Datenschätze teilen. Die Staaten des "Five Eyes"-Abkommens (USA, Großbritannien, Kanada, Australien und Neuseeland) tauschen sehr eng Daten miteinander aus. Deutschland gehört, zusammen mit Frankreich, den Niederlanden, Italien und anderen europäischen Ländern, zur Gruppe der "14 Eyes", die ausgewählte Daten miteinander tauschen.

Einen perfekten globalen Angreifer bräuchte man eigentlich nicht, meint die Sicherheitsforscherin Katharina Kohls, die zurzeit an der Radboud University Nijmegen in den Niederlanden arbeitet und verschiedene Studien zur Tor-Sicherheit durchgeführt hat. Sie verweist auf die zentralisierten Punkte der allgemeinen Internet-Infrastruktur und auf die Daten-Ballungen im Tor-Netzwerk. Es könnte sein, dass allein, wenn die Geheimdienste der wichtigsten Tor-Länder Deutschland, Frankreich, USA und Holland Daten tauschen, die Dienste schon große Teile des Tor-Netzwerks beobachten können.

Die Korrelation von Datenströmen klappe in wissenschaftlichen Untersuchungen mit begrenzten Testgruppen sehr gut, so Kohls. Es sei allerdings unklar, wie gut die De-Anonymisierung auch im riesigen weltweiten Internet funktioniere. In der Wissenschaft halte man diese Angriffsmöglichkeit aber trotz aller Unsicherheit für ein ernstzunehmendes Problem. Tor funktioniere gut für die Abwehr von Massenüberwachung bei Alltagskommunikation. Eine massenhafte De-Anonymisierung aller Tor-User sei sehr aufwändig, auch Geheimdienste hätten nicht unbegrenzte Ressourcen. Wenn es um gezielte Attacken gegen einzelne User gehe, sähe die Rechnung hingegen anders aus, wobei auch da niemand etwas Genaues sagen könne.

Katharina Kohls

Die IT-Sicherheitsforscherin Katharina Kohls (im Interview unten) hat verschiedenen Studien zur Tor-Sicherheit durchgeführt und dabei mögliche Angriffsszenarien durchgespielt. Die Informatikerin ist zurzeit Assistant Professor in der Digital Security Group der Radboud University in Nijmegen, Niederlande.

Einer der gefährlichsten Angriffe auf Tor ist ein Vergleich ein und austretender Datenströme. Wie kann man sich das vorstellen?

Eine solche Attacke nutzt die Metadaten von Datenströmen. Erstens schaut ein Angreifer auf den zeitlichen Zusammenhang. Das heißt auf die Datenströme, die innerhalb weniger Millisekunden ins Tor-Netzwerk reingehen und das Netzwerk verlassen. Für diese Gruppe vergleicht er zweitens die technischen Muster. Datenströme bestehen aus einzelnen Paketen, die in unterschiedlichem Abstand aufeinanderfolgen. Sind die Paketmuster identisch, ist klar: Ein ein- und ein austretender Datenstrom gehören zum gleichen Tor-Pfad. So lässt sich herausfinden, welche IP-Adresse auf User-Seite auf welche Ziel-IP-Adresse zugreift, die zu einer Webseite, einer Darknet-Seite oder einem sonstigen Internetdienst gehört. Das ist De-Anonymisierung.

Lässt sich Datenverkehr immer durch solche Musteranalysen zuordnen?

In Untersuchungen mit einer begrenzten Zahl an simulierten Nutzer:innen und Webseiten klappt das. Wie es im großen weltweiten Internet aussieht, lässt sich schwer sagen. Die Wissenschaft hält solche Angriffe prinzipiell für ein ernstzunehmendes Problem. Allerdings steht die Untersuchung der Wirksamkeit solcher Angriffe im wissenschaftlichen Kontext nicht an erster Stelle.

Gibt es überhaupt einen quasi allwissenden Angreifer, der sämtlichen Tor-Datenverkehr beobachten kann? Die NSA beispielsweise?

Auch das kann niemand mit Sicherheit sagen. Allerdings braucht es für Tor nicht unbedingt einen globalen Angreifer. Die Tor-Knoten konzentrieren sich auf wenige Länder. Hinzu kommen die zentralisierten Strukturen des allgemeinen Internets. Schneidet ein Geheimdienst beispielsweise Daten am Frankfurter Internet-Austauschknoten DE-CIX mit, sieht er extrem viel Traffic aus Deutschland. Wenn allein die Sicherheitsbehörden der vier wichtigsten Tor-Länder Deutschland, Frankreich, USA und Niederlande zusammenarbeiten, könnte das schon große Teile von Tor abdecken.

Inwiefern lieĂźen sich Angriffe auf Tor verhindern?

Indem man die Muster der Datenströme verschleiert. Eine Möglichkeit wäre, dass Tor-Knoten unterschiedliche lange Verzögerungen einfügen oder dass sie mehrere Datenströme sammeln und im Schwall weiterleiten. Das würde das zeitliche Muster verfälschen, damit würde Tor allerdings langsamer werden, was nicht praktikabel ist. Außerdem könnten Tor-Knoten Dummy Traffic einfügen – künstlich erzeugte Datenpakete, die alle Tor-Datenströme gleich aussehen lassen.
Diese Methode kann funktionieren. Sie würde jedoch die Menge der übertragenen Daten erhöhen, und es ist unklar, ob das das Tor-Netzwerk nicht ans Limit bringen würde.

Wie anonym ist Tor Ihrer Meinung nach unterm Strich tatsächlich?

Tor funktioniert sehr gut für den Alltagsgebrauch, um sich datensparsam im Internet zu bewegen. Durchgehende Attacken auf die Anonymität aller Tor-User sind unwahrscheinlich, da auch die Überwachungsressourcen von Geheimdiensten nicht unbegrenzt sind. Anders ist es, wenn ein Angreifer gezielt eine Person finden oder beobachten will. Wobei auch hier nicht klar ist, wie zielsicher die De-Anonymisierung in der Praxis funktioniert.
Interessant ist: Wenn Leute mit Tor etwas Illegales gemacht haben und die Polizei sie gefunden hat, geschah das nicht wegen Tor, sondern weil die Polizei sie ĂĽber Fehler oder SicherheitslĂĽcken an anderen Stellen ĂĽberfĂĽhren konnte.