Anonymität: BND plante Angriff auf das Tor-Netzwerk
Schon im Jahr 2008 hatte der Bundesnachrichtendienst (BND) ein Angriffskonzept entwickelt, um das Tor-Netzwerk zu knacken. Andere Behörden wurden sogar gewarnt, das Anonymisierungsverfahren wäre „unwirksam“. Das geht aus internen Dokumenten hervor, die Netzpolitik.org veröffentlicht hat.
Das Ziel bei der Operation ist naheliegend: Der BND will verhindern, dass Nutzer ihre Identität verschleiern können. Welche Methoden der deutsche Geheimdienst aber im Sinn hatte, um das Tor-Netzwerk auszuhebeln, geht aus den Dokumenten jedoch nicht genau hervor, berichtet Netzpolitik.org.
Dass Geheimdienste an solchen Technologien und Verfahren aber ein großes Interesse haben, ist derweil wenig überraschend. Das enthüllten bereits Dokumente aus dem Fundus von Edward Snowden. Interessant ist allerdings, dass der BND – zumindest nach eigenen Angaben – eine führende Rolle bei der Entwicklung der Verfahren hatte.
2007 startet die Entwicklung einer Idee
Beim BND selbst ging die Entwicklung den Dokumenten zufolge rund um das Jahr 2007 los. Zu diesem hatten die Geheimdienstler eine „Idee zu einem Verfahren entwickelt, wie relativ einfach das Tor-Netzwerk aufgeklärt werden könnte“. Allein wollte oder konnte der BND den Plan nicht umsetzen, deswegen holte man 2008 die NSA und den GCHQ mit ins Boot.
Sowohl der amerikanische als auch der britische Partnerdienst zeigten demnach „hohes Interesse“, sogar von „nachhaltig beeindruckt“ ist in den Papieren die Rede. Vereinbart wurden weitere Treffen, außerdem wollte der BND einen Tor-Exit-Server aufsetzen und zusammen mit der NSA eine „Probeerfassung und Auswertung“ vornehmen.
Tauschgeschäfte mit der NSA als Anreiz
Es ist ein Muster, dem der deutsche Geheimdienst treu blieb. Selbst wenn es in den eigenen Reihen nicht so gut lief, setzte man auf die Zusammenarbeit mit der NSA. Nicht ohne Hintergedanken. Mit seinen Plänen zum Aushebeln des Tor-Netzwerks war der BND damals offenbar den anderen Geheimdiensten voraus. Daher eignete sich die Technologie, um Gegenleistungen von der NSA einfordern zu können. Tauschgeschäfte zwischen den Geheimdiensten sind offenbar nicht unüblich, das war bereits eine der Erkenntnisse aus dem NSA-Ausschuss.
2009 übergab ein BND-Mitarbeiter schließlich ein Konzept-Papier, das Projekt war von da an in den Händen von NSA und GCHQ. Ob der BND etwas im Gegenzug erhalten hat, geht aus den Dokumenten allerdings nicht hervor. Interesse bestand offenbar an einer Technologie aus dem „Bereich Kryptoanalyse“. Auf Anfrage von Netzpolitik.org antwortete der Geheimdienst aber wie üblich, zu operativen Aspekten äußere man sich nur gegenüber der Bundesregierung und den zuständigen Ausschüssen im Bundestag.
Dass sich Tor mit umfassender Überwachung knacken lässt, ist bekannt
Dass Tor-Nutzer prinzipiell angreifbar sind, ist bereits bekannt. Tor anonymisiert die Nutzer, indem es den Traffic durch mehrere andere Rechner schickt, sodass Dritte nur eine Tor-Adresse sehen und nicht die IP des Teilnehmers. Problematisch ist es allerdings, wenn ein Geheimdienst den globalen Traffic praktisch vollständig überwacht. Denn sobald jemand den von einem bestimmten Computer ausgehenden und beim Ziel ankommenden Traffic analysiert, lassen sich charakteristische Muster identifizieren, um so letztlich einen Tor-Nutzer zu enttarnen. Möglich ist das etwa über das Zählen der verschickten Datenpakete oder das Erkennen von Zeitfenstern.
Machbar ist so etwas für den GCHQ mit Programmen wie Tempora, die massenhaft den transatlantischen Datenverkehr mitschneiden. Die NSA nutzt derweil XKeyscore, das Tool zur digitalen Total-Überwachung, um Tor-Nutzer im globalen Datenverkehr zu markieren. Außerdem betreiben beide Dienste eigene Tor-Knotenpunkte.
Solche Schwächen sind allerdings bekannt. Daher warnt auch das Tor-Projekt in einer Dokumentation vor passiven Angreifern, die den kompletten Datenverkehr erfassen und auswerten.
If your attacker can watch the traffic coming out of your computer, and also the traffic arriving at your chosen destination, he can use statistical analysis to discover that they are part of the same circuit.“
Tor Project
Nun sind solche Verfahren sogar für Kolosse wie die NSA äußerst aufwändig. Als Ganzes lässt sich das Tor-Netzwerk daher nicht deanonymisieren, nur einzelne Nutzer konnte der amerikanische Geheimdienst laut den Snowden-Dokumenten identifizieren. Und selbst das hat Monate gedauert. So lautet auch das Fazit der NSA in einem der Snowden-Dokumente (PDF), die sich mit den Knacken des Tor-Netzwerks befassen: „No smoking gun yet.“ Vielmehr wäre es der „König der Anonymisierungsdienste“, der eine „hohe Sicherheit“ bietet.
Tor-Netzwerk weiter ausbauen, um Angriffe zu erschweren
Trotz solcher Erkenntnisse war der BND zumindest im Jahr 2010 zeitweise überzeugt, Anonymisierungsdienste wie Tor würden keinen ausreichenden Schutz bieten, um die Identität zu verschleiern. In einer Meldung für das Bundeskriminalamt (BKA), den Verfassungsschutz und die Bundeswehr heißt es, die Verfahren wären „unwirksam“, da man von „einer sehr hohen Überwachungsdichte innerhalb des Netzes“ ausgeht.
Mittlerweile sind die Dokumente einige Jahre alt. Das Wettrüsten der Geheimdienste läuft weiter, doch auch Tor tritt nicht auf der Stelle. Auf Anfrage von Netzpolitik.org erklärt der Mitgründer und Entwickler Roger Dingledine, „wir [müssen] weiter daran arbeiten (…), das Tor-Netzwerk auszubauen, um es Angreifern schwerer zu machen, diese Art Angriffe durchzuführen“. Die einfache Formel ist in diesem Kontext: Je mehr Traffic durch das Netzwerk fließt, desto schwerer ist es für Geheimdienste, bestimmte Muster zu erkennen, mit denen sich Nutzer identifizieren lassen. Allerdings geht auch Dingledine bis dato nicht davon aus, dass Geheimdienste in der Lage sind, die bekannten Angriffe im großen Maßstab durchzuführen.