Anonym im Internet surfen, das geht mit dem Dienst Tor. Doch dem drohen nun gleich mehrere Gefahren: Ein Botnetz bringt das Netzwerk an den Rand der Belastungsgrenze, anonyme Nutzer werden enttarnt - und dann ist da noch die NSA.
Wer anonym im Internet surfen möchte, kann seine Spuren mit Hilfe des Tor-Netzwerks verwischen. Anstatt eine Website direkt aufzurufen, schickt der eigene Browser eine verschlüsselte Anfrage über mehrere andere Computer. Nur der letzte in der Kette weiß, welche Seite aufgerufen wird - aber nicht, von wem.
So wandert die wiederum verschlüsselte Seite dann zurück, von Computer zu Computer, bis sie beim ursprünglichen Nutzer ist. Ein geniales Prinzip, dessen Entwicklung auch vom US-Verteidigungsministerium mitbezahlt wurde.
Mit Hilfe von Tor kommunizieren Oppositionelle, Aktivisten und Journalisten und wer sonst möglichst wenig Datenspuren hinterlassen will. Auch Kriminelle nutzen das Netzwerk. Am Laufen gehalten wird es von Freiwilligen, die Rechner als Zwischenstation oder als Endpunkt zur Verfügung stellen. Die Software dazu ist Open Source und wird kostenlos verteilt.
Doch das praktische Netzwerk ist in den vergangenen Wochen gleich mehrfach unter Beschuss geraten:
Kriminelle nutzen Tor, um damit ein Botnetz zu steuern - und nutzen damit Ressourcen, die anderen Nutzern nicht mehr zu Verfügung stehen.
Mitte August ist die Zahl der Tor-Nutzer explodiert: Von rund 500.000 auf mehr als 3,5 Millionen Nutzer, Tendenz steigend. Dass es sich dabei um ganz normale Surfer handelt, die anonym im Web unterwegs sein wollen, konnten die Tor-Betreiber früh ausschließen: Der Datendurchsatz an den Endpunkten ist im Vergleich zum Nutzerwachstum nicht entsprechend angestiegen.
Die Tor-Betreiber vermuteten ein Botnetz dahinter, also ein Heer per Trojaner ferngesteuerter Zombie-Rechner. Die niederländische Firma Fox-IT hat Anfang September tatsächlich einen Trojaner gefunden, der zur Kommunikation das Tor-Netz nutzt: Mevade.A. Das Problem: Auch wenn die infizierten Computer keine großen Datenmengen durch das Netzwerk schicken, stellen sie Verbindungen her. Die Berechnung und Verwalten der Routen frisst Rechenkraft, viele der Zwischenstationen sollen schon am Rande der Belastungsgrenze sein.
Gegen Mevade.A können sich die Tor-Betreiber wohl noch wehren, der Trojaner nutzt eine bestimmte, veraltete Version der Software. Die lässt sich aussperren. Eine neue Version oder ein anderer Trojaner könnte aber aktuelle Software einsetzen. Aber es sei verrückt, heißt es in einem Blog-Eintrag, die Kommunikation eines Botnetzes mit mehreren Millionen Computern auf Tor zu verlegen, das rund 4000 Zwischenstationen zählt: "Diese Leute sollten ihr eigenes Botnetz als anonymes Peer-to-Peer System zur Kommunikation nutzen." Hoffentlich lesen sie mit.
Der Betreiber eines anonymen Angebots wurde verhaftet, seine Seite verteilte danach Malware, die Tor-Nutzer identifizieren konnte.
Im Tor-Netzwerk lassen sich auch Websites verstecken, als sogenannte Hidden Services. Ein bekannter Anbieter dafür war Freedom Hosting. Dass dort auch Kinderpornografie gespeichert wurde, war seit Jahren bekannt. Die Anonymität des Netzwerks schützte den Betreiber von Freedom Hosting und seinen Kunden.
Am 5. August verschwand Freedom Hosting aus dem Netz, stattdessen gab es nur eine Fehlermeldung zu sehen. Die allerdings hatte es in sich: Über die Nachricht wurden Firefox-Browser mit Schadcode infiziert. Der Angriff zielte nur auf einen bestimmten Firefox, der zusammen mit der Tor-Software verteilt wird. Der Code nutzt eine Sicherheitslücke und diente offenbar dazu, Tor-Nutzer zu identifizieren.
Erst Festnahme, dann Schadcode: Stecken dahinter staatliche Ermittler? Der mutmaßliche Gründer von Freedom Hosting war in Irland festgenommen worden, die US-Bundespolizei FBI will ihn vor Gericht stellen. Wie genau die Attacke gelang, wissen die Tor-Betreiber nicht. "Wahrscheinlich wurde die Software auf dem Server von Freedom Hosting angegriffen und dann JavaScript-Code eingebaut", sagt Andrew Lewman vom Tor-Projekt. Es sei wohl deutlich schwerer, Hidden Services direkt anzugreifen.
Kann der US-Geheimdienst NSA auch das Tor-Netzwerk überwachen?
Ob die NSA die Verschlüsselung knacken kann, die bei Tor zum Einsatz kommt, ist hingegen unklar. Einige Blogger haben auf veraltete Technik bei älteren Tor-Versionen hingewiesen, die von der NSA wohl geknackt ist. Neue Versionen sollen dagegen sicher sein - oder zumindest weniger anfällig. "Es ist nicht klar, was die NSA nun knacken kann und was nicht, oder wie lange so etwas dann tatsächlich dauert", sagt Andrew Lewman. Gegen einen übermächtigen Gegner, der das komplette Internet überwachen kann, sei Tor aber auch nicht konzipiert.
Sollte der Geheimdienst sehen können, wer welche Anfragen in das Tor-Netzwerk schickt und wo sie wieder herauskommen, hilft die beste Anonymisierung nichts.
Von Ole Reißmann