Der BND hat ein System zur Überwachung des Tor-Netzwerks entwickelt und Bundesbehörden gewarnt, dass dessen Anonymisierung „unwirksam“ ist. Das geht aus einer Reihe geheimer Dokumente hervor, die wir veröffentlichen. Der Geheimdienst gab einen Prototyp dieser Technik an die NSA, in Erwartung einer Gegenleistung.

There is also an English translation of this reporting.

„Surfen, spielen, shoppen – zu Hause im Cyperspace“: Das Buch Internet für Dummies „begleitet Sie bei Ihren ersten Schritten in die große, weite Welt des Internets“, wirbt der Verlag. Auch der Bundesnachrichtendienst kauft sich 2005 dieses Buch, um „mal da reinzukommen“, in dieses Internet. So schildert es Diplom-Ingenieur Harald Fechner vor zwei Jahren im Bundestags-Untersuchungsausschuss.

Das ist eine kreative Auslegung der Wahrheit. Bis zu seinem Ruhestand im Juni 2009 ist Fechner immerhin Leiter der BND-Abteilung Technische Aufklärung und damit zuständig für die Internet-Überwachung im Geheimdienst. Über tausend Spione hören für ihn „internationale Kommunikationsströme und elektronische Medien“ ab – auf Funkwellen, Telefonkabeln und angezapften Glasfasern.

Geheime Hacker-Einheit im BND

Unter dem Kommando seiner „Abteilung TA“ arbeitet auch eine geheime Hacker-Einheit, zuständig für „technisch-operative Angriffe auf IT-Einrichtungen“ in der ganzen Welt. Wie alles beim Geheimdienst wechseln die Hacker in der Pullacher Zentrale ständig ihre Bezeichnung: Bis August 2008 heißen sie „Referat 26E“ (Operative Unterstützung und Lauschtechnik), dann „Arbeitsgruppe TX“ (Informationstechnische Operationen) und seitdem „Unterabteilung T4“ (Cyber-Intelligence).

Innerhalb des Geheimdiensts erlangen die Hacker 2007 Bekanntheit. Einer von ihnen überwacht Liebes-E-Mails seiner Freundin mit einem Bundeswehr-Soldaten, dieser sogenannte LOVEINT-Vorfall macht intern die Runde. An die Öffentlichkeit kommt die Hacker-Einheit ein Jahr später, als auffliegt, dass sie das Netzwerk des afghanischen Handelsministeriums infiltriert hat. Dabei lesen die Spione nicht nur E-Mails des befreundeten Ministers mit, sondern auch von der Spiegel-Journalistin Susanne Koelbl.

Daran erinnert sich Harald Fechner noch genau, der Hacker-Angriff auf die Journalistin ist der Grund für die letzte Stufe seiner 28-jährigen Karriereleiter im BND. Am selben Tag, an dem der Spiegel diesen Skandal enthüllt, wird der damalige Abteilungsleiter Dieter Urmann strafversetzt. Fechner wird sein Nachfolger und bleibt es bis zur Rente.

Klassentreffen der Spione

Während sich diese Ereignisse in Deutschland abspielen, ist der BND-Agent mit dem Tarnkürzel „H.F.“ auf Dienstreise in den USA. Dort heißt der Präsident noch George W. Bush – und dessen handverlesene CIA-Unterstützung bei Auslandsreisen manchmal Edward Snowden. H.F. ist zu Gast im Hauptquartier der NSA, auf der jährlichen SIGDEV-Konferenz, wo sich über tausend Agenten über neueste Entwicklungen der Überwachungstechnik austauschen. Während der BND in Deutschland unter Druck steht, darf er hier glänzen.

Auf Einladung der NSA präsentiert H.F. einen Angriff auf das Tor-Netzwerk, den die BND-Hacker kurz vorher entwickelt haben. Der „Zwiebel-Router“ ist ein Netzwerk zur Anonymisierung von Internet-Kommunikation und hat sich zum König der Internet-Anonymisierungsdienste entwickelt, Millionen von Menschen auf der ganzen Welt nutzen Tor zum Schutz vor Überwachung und Zensur.

Tor wurde ursprünglich vom US-Militär ins Leben gerufen, um Geheimdienst-Aktivitäten im Internet zu verschleiern, und erhält bis heute einen Großteil seiner Finanzierung von der US-Regierung, um „Repression, Überwachung und Kontrolle im Internet“ in autoritären Staaten zu umgehen. Doch nicht nur Diktatoren ist Tor ein Dorn im Auge, auch westliche Behörden wollen Tor-Nutzer deanonymisieren. Und dabei will der BND helfen.

Angriff auf das Tor-Netzwerk

Ein paar Wochen vor der Konferenz haben die BND-Hacker vom Referat 26E „die Idee zu einem Verfahren entwickelt, wie relativ einfach das Tor-Netzwerk aufgeklärt werden könnte“, heißt es in internen BND-Unterlagen. Tor ist zu dieser Zeit schon relativ bekannt und hat 200.000 aktive Nutzer auf der ganzen Welt. Wenn Projekt-Chef Roger Dingledine die Funktionsweise auf dem CCC-Congress oder in einer Polizeidienststelle in Stuttgart erklärt, hören auch die Hacker vom BND aufmerksam zu.

Im März 2008 weiht der Geheimdienst die Partner aus den USA und Großbritannien in seinen Plan ein. Beim Besuch einer ausländischen Delegation in München präsentiert die Abteilung TA „das Anonymisierungsnetzwerk Tor und eine mögliche Auflösung der Anonymisierungsfunktion“, schreibt der BND in einem internen Besprechungsbericht. Um den Plan umzusetzen, wünscht sich der BND „eine internationale Zusammenarbeit mit mehreren ausländischen Nachrichtendiensten“.

NSA und GCHQ bekunden „hohes Interesse“ und sagen Unterstützung zu. Die drei Geheimdienste beschließen weitere Treffen und die Zusammenstellung einer Projektgruppe, der BND plant den Aufbau eines eigenen Tor-Exit-Servers sowie eine „Probeerfassung und Auswertung mit der NSA“.

Den Amis weit voraus

Im April präsentiert der BND-Agent H.F. die Arbeit der Pullacher Hacker bei der Anti-Terror-Koalition des europäischen Geheimdienst-Verbunds SIGINT Seniors Europe. Daraufhin lädt ihn die NSA zur SIGDEV-Konferenz in ihrem Hauptquartier ein. Wieder ist sein Vortrag ein Erfolg: Die anderen Geheimdienste sind „nachhaltig beeindruckt von unseren Leistungen zu Tor-Servern“, schreibt der BND später, man ist „den Amis da weit voraus“.

Die NSA sagt „eine fachliche Prüfung durch deren Experten“ zu, mit dem Ziel, das Projekt umzusetzen. Schon eine Woche später wird H.F. erneut von der NSA eingeladen, diesmal zusammen mit „M.S.“ aus der Hacker-Einheit und diesmal nach Bayern, in das Verbindungsbüro der NSA in der BND-Außenstelle Bad Aibling. H.F. und M.S. haben dort eine Videokonferenz mit Experten der NSA, um weitere Fragen und Ideen zu klären. Das Protokoll dieser Konferenz veröffentlichen wir an dieser Stelle.

BND und NSA sind sich einig, dass „das Tor-Netzwerk das bisher im Internet am besten etablierte System zur Anonymisierung ist“ und „die anderen Systeme nur eine Nischenrolle spielen“. Die Geheimdienste erwarten, dass „das Tor-Netzwerk weiter stark wächst“, was „noch einige Jahre ein Problem darstellen wird“. Die Spione gehen davon aus, dass sich „Bemühungen für einen Ansatz lohnen“. Gemeint sind Angriffe, um die Anonymisierung von Tor rückgängig zu machen.

Bemühungen für einen Ansatz

Wie genau die Geheimdienste Tor knacken wollen, bleibt vage. Um Forschung und Feedback zu fördern, ist Tor transparent und offen. Nicht nur Design, Spezifikation und Quelltext sind öffentlich, auch eine eigene Datenbank mit wissenschaftlicher Forschung zum Thema Anonymität im Internet. Diese Offenheit hilft nicht nur Forschern, sondern Tor profitiert selbst davon: Immer wieder wird das System analysiert – und falls eine Schwachstelle auftaucht, wird sie geschlossen.

Die BND-Hacker sprechen gegenüber der NSA zwar von „einer Penetrationsmöglichkeit des Tor-Netzwerks“, worunter gemeinhin das Eindringen in fremde IT-Systeme verstanden wird. Im vorliegenden Fall spricht viel dafür, dass die Geheimdienste vielmehr eine Design-Entscheidung ausnutzen wollen, die Tor getroffen hat.

Das Prinzip von „Zwiebel-Routing“ ist es, Internet-Verkehr über drei Zwischen-Server zu leiten, so dass kein Punkt im Netzwerk gleichzeitig Sender und Empfänger kennt. Damit verhindert Tor viele Überwachungs- und Zensur-Maßnahmen, mehr als ein „Virtual Private Network“ (VPN), das nur einen Zwischenserver hat. Aber eben nicht alle.

Weltweiter, passiver Angreifer

Wie alle in der Praxis eingesetzten Anonymisierungs-Systeme dieser Art kann auch Tor nicht gegen „einen weltweiten passiven Angreifer“ schützen. Das steht so explizit im Design-Dokument. Auch die Dokumentation warnt: „Wenn ein Angreifer den Internet-Verkehr beobachten kann, der aus ihrem Rechner kommt, und den Verkehr, der an dem von ihnen gewählten Ziel ankommt, kann er mit statistischen Analysen herausfinden, dass beide zusammen gehören.“ Die Internet-Überwachung von NSA und GCHQ tut genau das.

Eine ganze Reihe an Forschern hat diesen Angriff praktisch demonstriert, durch simples Zählen der übertragenen Pakete, über die Analyse von Zeitfenstern bis zur De-Anonymisierung durch einen Bruchteil des Verkehrs. All diese Forschung ist öffentlich einsehbar. Die Geheimdienste beobachten diese Forschung, nutzen sie für eigene Zwecke und nutzen theoretische Schwachstellen in ihrer praktischen Überwachung aus.

Die Hacker vom BND stützen sich bei ihrem Angriff auf „eine Studie einer amerikanischen Universität“, die sie auch an die NSA weitergeben. Bei der Videokonferenz in Bad Aibling beantwortet der BND Nachfragen und stellt einen Zeitplan mit weiteren Schritten vor. Die Deutschen wollen innerhalb von „sechs bis acht Wochen“ ein eigenes Tor-Netzwerk im Labor aufbauen, um das System besser zu verstehen und die Studie zu überprüfen.

Test-Netzwerk und Prototyp

Die NSA ist begeistert vom Vortrag des BND und will weiter eng zusammenarbeiten, vor allem will sie die Testergebnisse. Die Amerikaner sind „sichtlich erstaunt“ über die Aktivität der Deutschen. Zwar sieht sich der BND „etwas weiter als die NSA“, aber auch Pullach will, dass Fort Meade mitmacht: Das Vorhaben „hätte in einem Partnerverbund erheblich größere Erfolgsaussichten“.

Die NSA sagt zu, die Universität zu kontaktieren, um mehr über die Studie zu erfahren. Der BND macht sich an die Arbeit, setzt das Test-Netzwerk auf und entwickelt einen Prototyp des Angriffs, den „Proof of Concept“. Schon einen Monat nach der Videokonferenz sollen erste Ergebnisse vorliegen. Im Oktober will Harald Fechner, Leiter der Abteilung Technische Aufklärung, in die USA fliegen und das Thema mit NSA-Direktor Keith Alexander besprechen.

Doch dann bekommt das Projekt einen Dämpfer. Die Arbeitsgruppe IT-Operationen wird umorganisiert und die am Tor-Projekt beteiligten Hacker werden „innerhalb eines Referates zerstreut“, auf zwei verschiedene Sachgebiete. Im Dezember 2008 gibt es dennoch eine weitere Besprechung zu Tor im NSA-Hauptquartier, „die mit Abstand intensivste, was Anzahl der Teilnehmer und Kompetenz anging. Der Raum war voll.“

Den Amis was versprochen

Richtige Bewegung entsteht erst wieder zum Wechsel der US-Präsidentschaft von George W. Bush zu Barack Obama. Am Tag der Amtsübergabe bereitet die „Führungsunterstützung“ des BND einen neuen Besuch von Abteilungsleiter Fechner bei der NSA in den USA vor. In internen E-Mails bekommen die Hacker den Auftrag, das Projekt zu reaktivieren. Der BND hat „den Amis ja was versprochen“.

Damit übernimmt M.S. die Leitung des Projekts. Er beschwert sich über die „knappe Ressource brillantes Personal“ und mangelndes Interesse innerhalb des BND. Nach einer internen Vorstellung des Systems „kam nichts mehr“. Ab jetzt ist „die Weiterentwicklung primär auf den Bedarf des Partners ausgerichtet“. Der Proof-of-Concept ist schon mal „ein guter Stand, um mit den Experten der Amis zu reden“.

Der BND-Spitze kommt das gelegen. Man erhofft sich zwar, dass auch die BND-eigene Auswertung wieder „angestoßen“ werden kann, an Tor zu arbeiten. Aber das eigentliche Ziel ist größer. Der BND will etwas von der NSA: eine Technologie aus dem „Bereich Kryptoanalyse“, zur Entzifferung verschlüsselter Inhalte. Pullach weiß, dass Fort Meade das Objekt der Begierde „erfahrungsgemäß nicht so leicht herausrücken“ wird. Deshalb sammeln die Deutschen Gegenleistungen, der Angriff auf Tor ist „ein weiterer Baustein“ dafür.

Gemüse-Zerkleinerer gegen Zwiebeln

Die Führungsunterstützung erteilt M.S. den Auftrag, innerhalb eines Monats ein Konzept zu verfassen. Und er liefert. Am 20. Februar 2009 steht ein 16-seitiges „Konzept für die Rückverfolgung von Internetverkehren, die mit dem Tor-System anonymisiert wurden“. Das Deckblatt ist wenig bescheiden: Über der Zwiebel im Tor-Logo prangt ein Gemüse-Zerkleinerer.

Zur Rechtfertigung der Tor-Überwachung zitiert M.S. die Berliner Sicherheitsgespräche, die in dem Jahr unter dem Motto „WWW – der virtuelle Tatort“ stattfanden. Beim Kapitel „Funktionsweise des Tor-Netzes“ macht sich der Autor wenig Arbeit, er kopiert den Text aus der Wikipedia und die Bilder von der Tor-Webseite.

Wie genau der BND Tor „zerhäckseln“ will, ist in der uns vorliegenden Version leider weitgehend geschwärzt. Doch wie zuvor beruft sich der Geheimdienst auf öffentliche Forschung. Zur Umsetzung dürfte der BND eigene Server im Tor-Netzwerk betreiben. M.S. verweist auf passiv schnüffelnde Server, die mutmaßlich von der NSA betrieben werden, und betont den „Schutz der eigenen Anonymität“ der Geheimdienste.

In hohem Maße an Zugängen interessiert

Drei Wochen nach dem Konzept-Papier meldet der britische Geheimdienst wieder Bedarf an. Der GCHQ-Resident in Berlin und drei weitere ranghohe Spione der Königin sind am 11. März 2009 zu Besuch in Pullach. In der BND-Zentrale werden die Briten von Abteilungsleiter Harald Fechner empfangen, der sieben weitere leitende Mitarbeiter der Technischen Aufklärung mitbringt. Thema ist die Weiterentwicklung der SIGINT-Zusammenarbeit, besonders „bei den Anonymisierungsdiensten“.

Die Briten wollen mitmachen: Das GCHQ „ist in hohem Maße an den Zugängen der Abteilung TA zum Tor-Netzwerk interessiert“, heißt es im internen Besprechungsbericht. Beide Seiten vereinbaren weitere Fachgespräche zwischen Technikern und einen „gemeinsamen Workshop zu möglichem technisch/betrieblichem Vorgehen“.

Fünf Tage nach dem Besuch von der Insel fliegt Abteilungsleiter Fechner über den Atlantik, im Gepäck das Konzept-Papier von M.S.. Die Amerikaner nehmen das Gastgeschenk gerne an, NSA und GCHQ übernehmen das Projekt. Ob der BND die erhoffte Gegenleistung erhält, konnten wir leider nicht in Erfahrung bringen. Auf Anfrage erhalten wir die Standard-Antwort: „Zu operativen Aspekten seiner Arbeit äußert sich der BND grundsätzlich nur gegenüber der Bundesregierung und zuständigen Stellen des Bundestages.“

Sehr hohe Überwachungsdichte

Anderthalb Jahre später warnt der BND deutsche Bundesbehörden davor, Tor zu verwenden. Der „Anonymisierungsdienst Tor garantiert keine Anonymität im Internet“, betitelt die Hacker-Abteilung „IT-Operationen“ eine Meldung. Das sechsseitige Papier geht am 2. September 2010 an Kanzleramt, Ministerien, Geheimdienste, Bundeswehr und Polizeibehörden.

Laut Kurzfassung ist Tor „ungeeignet“ für drei Szenarien: „für die Verschleierung von Aktivitäten im Internet“, „zur Umgehung von Zensurmaßnahmen“ und für „Computernetzwerkoperationen für Nachrichtendienste“ – also geheimdienstliches Hacking. Der BND geht „von einer sehr hohen Überwachungsdichte innerhalb des Netzes“ aus, unter anderem durch „die Möglichkeit, selbst sogenannte Exit-Knoten zur Überwachung einzurichten“.

In einer technischen Beschreibung erklärt der BND die Funktionsweise von Tor. Die Bilder sind erneut geliehen: von einer privaten deutschen Seite und der Electronic Frontier Foundation, in veralteter Form. Der BND macht auch inhaltliche Fehler: Dass „die Information über die vorhanden Tor-Knoten unverschlüsselt von einem Server geladen“ werde, war zu diesem Zeitpunkt schon über zwei Jahre lang falsch. Nachdem der Iran diese Verbindungen erkannt und blockiert hat, werden sie ab 2007 verschlüsselt.

Von Legalität nicht überzeugt

In der Meldung stellt der Geheimdienst eine gewagte These auf: Laut BND wird Tor „überwiegend zur Verschleierung von Aktivitäten benutzt, von deren Legalität die Handelnden nicht überzeugt sind. Die Anzahl der Tor-Nutzer mit dem Fokus auf Wahrung der Anonymität aus reinen Datenschutzüberlegungen ist im Verhältnis dazu sehr gering.“ Diese Behauptung stützt der BND auf „mehrere nachrichtendienstliche Hinweise“, belegt sie aber nicht mit Fakten.

Wir haben diverse Personen aus dem Tor-Projekt gefragt, niemand kann die These des BND nachvollziehen. „Das klingt sehr nach Blödsinn“, sagt der IT-Sicherheits-Berater Jens Kubieziel, der Server für das Tor-Projekt administriert und große Tor-Exit-Server betreibt. Auch der Chaos Computer Club betreibt einige der großen Server im Tor-Netzwerk. „Verglichen mit der Menge des Traffics und der Millionen von Verbindungen, die jeden Tag durch Tor anonymisiert werden, ist die Anzahl der Anfragen wegen rechtswidriger Aktivitäten verschwindend gering“, sagt Rechtsanwalt Julius Mittenzwei, einer der Projekt-Verantwortlichen und ehemaliges Mitglied im Vorstand des Tor-Projekts.

Der BND schreibt weiter: Geheimdienste und andere Behörden weltweit „haben Ansätze, die Anonymisierung auszuhebeln. Einer davon ist das Aufsetzen eigener Tor-Knoten und deren intensive Überwachung zum Zwecke der Ermittlung und Beweiserhebung.“ Daraus machen die Geheimdienste untereinander kein Geheimnis: „Einige Dienste haben über das Installieren eigener Tor-Knoten und die Verwertung der Protokolldaten für verschiedene Projekte und Ermittlungsverfahren bereits berichtet.“

Verschleierung nicht gegeben

Einen deutlichen Hinweis, dass Geheimdienste Tor-Server betreiben, sieht der BND in den Standorten diverser Server, vor allem „im Umkreis von Washington, D.C.“. Der BND geht davon aus, „dass diverse Behörden diese Knoten zur Verfügung gestellt haben“. Aus dem Dokument geht nicht direkt hervor, ob der Geheimdienst das nur vermutet, im Internet gelesen hat, mitgeteilt bekam – oder ob der BND die NSA überhaupt erst auf die Idee gebracht hat.

Der BND ist sich jedoch so sicher, dass er die wichtigsten Bundesbehörden davor warnt, Tor zu benutzen. Das Fazit seiner Bewertung: „Die Nutzer von Anonymisierungssoftware gehen von einer Verschleierung ihrer Identität beim Surfen im Internet aus, die bei bekannten und weit verbreiteten Anonymisierungsdiensten nicht gegeben ist.“

Doch nicht nur Tor hält der BND für unsicher, auch von gehackten Rechnern als Proxy-Server raten die Hacker ab: „Die Verwendung eines kompromittierten Systems durch fähige Nachrichtendienste zum Zwecke einer als letztlich unwirksam bekannten Tarnung erscheint nur für Ablenkungsmanöver plausibel.“ Die BND-Abteilung „IT-Operationen“ muss es ja wissen – und warnt seine Hacker-Kollegen von BKA, Verfassungsschutz und Bundeswehr.

Tempora und XKeyscore

Angesichts der Aktivitäten von NSA und GCHQ ist die Sorge des BND berechtigt. Zwei Jahre nach dem Geschenk der Deutschen setzen diese Geheimdienste die Arbeit fort, Tor zu brechen. Im GCHQ-internen Wiki, das der Spiegel aus den Snowden-Dokumenten veröffentlicht hat, ist die Arbeit des britischen Teams dokumentiert. Auch ihr Ziel ist es, anhand von Internet-Verkehr eines Tor-Exit-Servers die Identität des Absenders herauszufinden.

Laut dem Wiki beginnt die Forschung im Dezember 2010. Den Briten ist es zu aufwändig, den Weg durch das Tor-Netzwerk zu verfolgen. Also korrelieren sie den Internet-Verkehr vom Sender zum Netzwerk und vom Netzwerk zum Empfänger. Weil das GCHQ massenhaft Internet-Verkehr mitschneidet und eigene Tor-Server betreibt, fällt das nicht weiter schwer. Schon im Juni 2011 ist eine 18-seitige Studie und Quellcode in der Statistik-orientierten Programmiersprache R fertig, dazu gibt es eine Präsentation mit Slides.

Auch die NSA ist erfolgreich. Ebenfalls 2011 sind „mehrere Fingerabdrücke und ein Plugin“ in ihrer mächtigen Spionagesoftware XKeyscore implementiert, um Tor-Nutzer zu erkennen und zu deanonymisieren. NDR und WDR haben einige dieser XKeyscore-Regeln veröffentlicht. Demnach überwacht die NSA alle Internet-Nutzer, welche die Tor-Webseite besuchen, die Tor-Software nutzen oder einfach nach Tor oder dem Tor-Betriebssystem Tails suchen.

Egoistische Giraffe

Trotz aller Angriffe ehrt selbst die NSA Tor noch immer als König der Internet-Anonymisierungsdienste. Auch wenn die Geheimdienste, die große Teile des Internets überwachen, einige Tor-Nutzer deanonymisieren können, ist es unwahrscheinlich, dass sie jederzeit alle Tor-Nutzer deanonymisieren können. Die NSA schreibt selbst, sie hat noch keine Wunderwaffe.

Anonymisierung ist wie Verschlüsselung: einfacher zu umgehen als zu knacken. Wer in einen Rechner einbricht, kann dessen Kommunikation entschlüsseln und Nutzer identifizieren. NSA und GCHQ tun genau das spätestens seit 2013: Unter dem Codenamen Egoistische Giraffe hacken sie den auf Firefox basierenden Tor Browser, infizieren das Betriebssystem und lösen so ihr selbst ernanntes „Tor-Problem“. Auch das FBI hat solche Angriffe schon ausgeführt und zugegeben.

Doch manchmal reicht es bereits, Fehler der Überwachungs-Ziele auszunutzen. Der LulzSec-Hacker Hector Monsegur wird enttarnt, weil er ein einziges Mal seine richtige IP-Adresse preisgibt. Der Stratfor-Hacker Jeremy Hammond wird enttarnt, weil das FBI korreliert, wann sein WLAN genutzt wird. Der Silk-Road-Gründer Ross Ulbricht wird enttarnt, weil er sein Pseudonym bekannt gibt. Eine aktuelle Studie beschreibt, wie man seine Anonymität trotz Tor-Nutzung verlieren kann.

Keine rein technischen Maßnahmen

Das Bundesamt für Verfassungsschutz hat weniger Erfolg. Obwohl der Inlandsgeheimdienst das Memo vom BND bekommt, hat er noch zwei Jahre später Probleme, Tor-Nutzer zu identifizieren. Auf einer Dienstreise in Washington im Juni 2012 fragt eine Delegation die NSA, ob diese Tor „identifizieren“ bzw. „entschlüsseln“ kann. Die Antwort stellt sie nicht zufrieden. In der internen Wertung des Besuchs schreiben die Deutschen, der Besuch war zwar „strategisch wichtig“, diente „jedoch eher der Beziehungspflege“.

Die großen Auslandsgeheimdienste bauen ihre Angriffe unterdessen weiter aus. Aber auch die Tor-Community arbeitet ständig daran, das Projekt zu verbessern und Angriffe abzuwehren – in engem Austausch mit der Wissenschaft. Chef-Entwickler Roger Dingledine ist skeptisch, ob die Geheimdienste in der Lage sind, „die gezeigten Angriffe in großem Maßstab durchzuführen“. Dennoch zeigen die Dokumente, „dass wir weiter daran arbeiten müssen, das Tor-Netzwerk auszubauen, um es Angreifern schwerer zu machen, diese Art Angriffe durchzuführen“.

Das kann aber nicht alles sein, so Dingledine: „Wir als Gesellschaft müssen etwas dagegen tun, dass Geheimdienste zu denken scheinen, keine Gesetze befolgen zu müssen. Gegen Angreifer, die Internet-Router und Nutzer-Geräte infiltrieren, die Entwickler und Forscher an Flughäfen zur Seite nehmen und verhören, die viele andere fragwürdige Maßnahmen einsetzen, gegen solche schrankenlosen Angreifer helfen keine rein technischen Maßnahmen. Sie müssen auch politisch in die Schranken gewiesen werden.“

Wir veröffentlichen die zitierten Dokumente in Volltext (Schwärzungen sind nicht von uns):

Datum: 05. Mai 2008 13:50

05. Mai 2008 13:50 From: G.L. (AE11)

G.L. (AE11) To: H.F.

H.F. Cc: W.L., M.X., S.R.

W.L., M.X., S.R. Subject: Anonymisierer/TOR-Server

Hallo Herr F.,

SISECT (18.04.2008) und SIGDEV (25.04.2008) war nachhaltig beeindruckt von unseren Leistungen zu TOR-Servern. Laut ███████ seien wir den Amis da weit voraus.

Sie sind deshalb zu SUSLAG eingeladen (bis jetzt ohne Termin) zu einer Videokonferenz zu diesem Thema.

Gruß

G.L. ( 20A C)

Datum: 14. Mai 2008 11:38

14. Mai 2008 11:38 From: H.-J. F. ( 20A A)

H.-J. F. ( A) To: 20A – REFL , 26 – UAL

– , – Cc: 2 – AL , 26E D- SGL , 20A C- SGL

– , D- , C- Subject: TOR Anonymisierer – Hier: VTC mit NSA am 20.05.2008

TOR Anonymisierer – Hier: mit NSA am 20.05.2008 Anhang: Einladung NSA zur VTC (Noch ursprünglich für 29.05.2008. Inzwischen geändert auf 20.05.2008)

Sehr geehrte Adressaten,

im Rahmen der SISECT und SIGDEV Veranstaltung im April 2008 wurde seitens NSA und GCHQ u.a. auch das Problem der Nutzung des TOR Anonymisierernetzwerks durch extremistische Webforennutzer dargestellt.

Während der Sideboard Diskussionsrunde zur Webforennutzung im Rahmen des SISECT Meetings wurde von mir eine amerikanische Studie als Vorschlag zur Lösung des TOR Problems angesprochen, was zur Bitte der NSA Vertreter führte, diese im Rahmen der SIGDEV Veranstaltung nochmals im Detail vorzutragen.

Im Anschluß an den Vortrag im Rahmen SIGDEV wurde von mir die amerikanische Studie an NSA übergeben (Datei im PDF Format). NSA sagte eine fachliche Prüfung durch deren Experten bezüglich einer eventuellen Realisierung zu.

Für den 20.05.2008 hat nun NSA um eine VTC der NSA-Experten mit unseren Experten in LA60 zur Klärung weiterer Fragen / Ideen.

Unser Ziel der VTC ist die Diskussion mit dem AND über technische Möglichkeiten, das TOR Netzwerk Problem zu lösen – nicht jedoch um bereits konkrete Kooperationsfelder festzulegen (dies kann erst nach Vorliegen einer technisch betrieblichen Lösungsmöglichkeit sowie deren rechtlichen und operativen Prüfung erfolgen und muss voraussichtlich von Abteilungsleiter 2 [Harald Fechner] / Präsident [Ernst Uhrlau] genehmigt werden).

Gruß

H.-J. F. ( 20A A)

Datum: 21. Mai 2008 10:05

21. Mai 2008 10:05 From: H.-J. F. ( 20A A)

H.-J. F. ( A) To: 20A – REFL , 2 – AL

– , – Cc: 26E D- SGL , 20A C- SGL , 26 – UAL , 27 – UAL , 21 – UAL , H.K.

D- , C- , – , – , – , H.K. Subject: VTC mit NSA am 20.05.2008 zum Thema TOR

Sehr geehrte Herren,

am 20.05.2008 fand bei SUSLAG auf Wunsch NSA eine VTC zum Thema TOR statt.

Teilnehmer seitens BND:

Hr. S. ( 26E D) – unter Klarname

D) – unter Klarname Hr. F. ( 20A A)

Sachstand:

Während der █████ Besprechung ███████ vom 21.-23.05.2008 in Wiesbaden wurde von BND Abteilung 2 die TOR Problematik thematisiert und der NSA eine Studie einer amerikanischen Universität bezüglich einer Penetrationsmöglichkeit des TOR Netzwerks übergeben. Nach Auswertung dieser Studie durch Spezialisten der NSA wurde der Wunsch einer VTC mit unseren Spezialisten zur Klärung weiterer Fragen an uns herangetragen.

Besprechungsverlauf:

Nach kurzer Vorstellung der Besprechungsteilnehmer folgte eine kurze Einleitung zum Thema durch ████████.

Die durch die Experten gestellten Fragen bezogen sich auf die Funktionsweise der in der Studie beschriebenen Lösung und unserer Einschätzung bezüglich dieser vorgestellten Realisierung. ████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

Auch dies (wie der beschriebene Penetrationsansatz) hätte in einem Partnerverbund erheblich größere Erfolgsaussichten.

Dem AND wurden unsere weiteren Untersuchungsschritte und Zeitvorstellungen vorgestellt:

Aufbau eines TOR Netzwerks im Labor zur Überprüfung der Studie und zum tieferen Verständnis der Funktionsweise des Systems (zusätzliche Ansatzpunkte) in den nächsten 6-8 Wochen, ████████████████████████████████████████████████ ████████████████████████████████████████████████

████████████████████████████████████████████████

Der AND sieht die identische Vorgehensweise als äußerst sinnvoll an.

AND und BND waren sich einig, dass

das TOR Netzwerk das bisher im INTERNET am besten etablierte System zur Anonymisierung ist,

die anderen Systeme nur eine Nischenrolle spielen,

das TOR Netzwerk weiter stark wächst,

noch einige Jahre ein Problem darstellen wird,

sich Bemühungen für einen Ansatz lohnen.

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

AND bat um weitere enge Zusammenarbeit mit uns auf diesem Gebiet (insbesondere um die Bereitstellung der Testergebnisse unserer Untersuchungen). Hier war der AND sichtlich erstaunt über unsere schnelle Reaktionsfähigkeit bzgl. unserer weiteren Aktivitäten (Laborsystem / Planungen).

Anmerkung: Nach diversen Rückäußerungen aus unterschiedlichen Bereichen des AND , scheinen wir hier in unseren Überlegungen und Aktivitäten etwas weiter als die NSA zu sein.

Die ersten Ergebnisse könnten bei der nächsten Subworking Besprechung der SISECT ‚ die für Ende Juni geplant ist, vorgetragen werden (würde exakt zum Thema passen).

AND wird versuchen, Kontakt zur amerikanischen Universität herzustellen, um weitere Informationen zu dieser Studie zu erlangen.

Beim Besuch Abteilungsleiter 2 [Harald Fechner] bei Leiter NSA [Keith Alexander] im Oktober 2008 soll dieses Thema mit angesprochen werden (nicht jedoch während SIGINT SENIOR Treffen im Juni).

Gruß

H.-J. F. ( 20A A)

Datum: 19. Januar 2009 08:07

19. Januar 2009 08:07 From: M.S. ( TX BB)

M.S. ( BB) To: W.L. ( TAZ Y)

W.L. ( Y) Subject: Gespräche mit USA- ND und ███████

Hallo W.,

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

Mit freundlichen Grüßen,

S. ( TX BB)

Datum: 19. Januar 2009 08:41

19. Januar 2009 08:41 From: W.L. ( TAZ Y)

W.L. ( Y) To: M.S. ( TX BB)

M.S. ( BB) Subject: Antwort: Gespräche mit USA- ND und ███████… und TOR

Erst Mail verschicken und dann nicht ans Telefon gehen, das hab ich gern… :-)

Also:

1. ████████████████████████████████████████████████ ████████████████████████████████████████████████

2. ████████████████████████████████████████████████ ████████████████████████████████████████████████

3. Wie geht es eigentlich weiter mit TOR? Wenn Du die Frage nicht beantworten kannst, dann setz dich bitte mit F. in Verbindung. Wir haben den Amis ja was versprochen und Mitte März ist AL [Harald Fechner] dort.

Soweit ich in Erinnerung habe, sind die Leute ja verstreut worden. Wenn ihr es nicht selbst schafft, dass alle mitarbeiten (dürfen), die auch müssen, dann sag kurz Bescheid. AL wird dann eine evtl. UA -übergreifende Arbeitsgruppe einrichten. Ich muß nur wissen, wer dabei sein soll und wer die Federführung hat.

Aber bitte nur, wenn ihr es nicht selbst hinbekommt (man kann ja mit den UALs auch reden…).

Mit freundlichem Gruß

W.L. (L TAZ )

Datum: 19. Januar 2009 09:17

19. Januar 2009 09:17 From: M.S. ( TX BB)

M.S. ( BB) To: W.L. ( TAZ Y)

W.L. ( Y) Cc: G.F.

G.F. Subject: Antwort: Gespräche mit USA- ND und ███████… und TOR

Hallo W.

kurz was schriftlich zu haben ist immer besser als (nur) mündlich.

Was TOR angeht, so ist es so, dass wir nur innerhalb eines Referates zerstreut sind, nämlich auf die Sachgebiete TX BA und TX BB.

Die Frage ist, wie weit wollen/sollen wir bis zu den nächsten Gesprächen mit dem Partner sein?

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

Du kennst das Problem der Verteilung der knappen Ressource brillantes Personal.

Das, was wir jetzt haben, wäre ein guter Stand, um mit den Experten der Amis zu reden. Bisher wurden wohl nur Gespräche mit den Terrorfachleuten und nicht mit Technikern geführt.

Leider scheinen unsere TE ‚ler selbst nicht die Kapazitäten zu haben, Daten aus so einem System weiter zu verarbeiten. Nachdem wir denen das System nämlich vorgestellt haben und angekündigt haben, dass wir aus dem „Proof of Concept“ nur dann ein Produktionssystem machen, wenn von dort Bedarf gemeldet wird, kam nichts mehr von TE .

Von daher wäre die Weiterentwicklung primär auf den Bedarf des Partners ausgerichtet. Wenn im Gegenzug etwas für TA raus springt, wäre das ja kein Problem, da bräuchten wir nur ein Feedback. Alternativ könnte man denen den „Proof of Concept“ übergeben. Die NSA hat ja auch pfiffige Entwickler, die das System dann mit ihrem Bedarfsträger weiter entwickeln könnten. Es geht mal wieder nach dem Motto: „Wir wissen nicht, was gewünscht wird“. Wie „schlüsselfertig“ soll den die Lösung für die Partner werden?

Kannst Du den AL dazu mal befragen?

Parallel spreche ich mal mit Herrn F. den ich irgendwie lange nicht erreicht habe, um zu hören, wann und wo die nächsten Gespräche geplant sind.

Gruß,

S. ( TX BB)

Datum: 20. Januar 2009 11:40

20. Januar 2009 11:40 From: W.L. ( TAZ Y)

W.L. ( Y) To: M.S. ( TX BB)

M.S. ( BB) Cc: G.F.

G.F. Subject: Antwort: Gespräche mit USA- ND und ███████… und TOR

Danke für die Info.

Ich bitte Dich um Folgendes:

AL braucht ein Konzept zu den operationellen und operativen Gesichtspunkten einer Erfassung, wie wir sie aufbauen können. Mein Vorschlag: Bis zur dritten Februarwoche. Schaffst Du das? Wenn nicht: Bis wann?

AL TA [Harald Fechner] ist ja ab dem 16.03. in USA, ein, zwei Wochen vorher wird wohl die Agenda mit den Amerikanern festgelegt werden.

Dort findet auch das nächste Gespräch statt.

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

Ich sehe den Nutzen für uns zweigeteilt: Zum Einen könnte dadurch unsere Auswertung angestoßen werden, auf diesem Gebiet auch zu arbeiten. ████████████████████████████████████████████████ ████████████████████████████████████████████████ Die Besprechung zu TOR letzten Dezember in deren HQ war die mit Abstand intensivste, was Anzahl der Teilnehmer und Kompetenz anging. Der Raum war voll.

Zum Anderen wäre das ein weiterer Baustein unserer Gegenleistungen, die wir gerade sammeln, um in ca. einem Jahr etwas zu fordern, was NSA erfahrungsgemäß nicht so leicht herausrücken wird (Bereich Kryptoanalyse), wir aber dringend brauchen werden.

Mit freundlichem Gruß

W.L. (L TAZ )

Datum: 20. Februar 2009

20. Februar 2009 Aktenzeichen: 53-10

53-10 Behörde: Bundesnachrichtendienst

Bundesnachrichtendienst Abteilung: Technische Aufklärung

Technische Aufklärung Arbeitsgruppe: Informationstechnische Operationen ( TX )

Informationstechnische Operationen ( ) Sachgebiete: TXBA / TXBB

TXBA / TXBB Autor: M.S.

M.S. Version: 0.8

Konzept

für die Rückverfolgung von Internetverkehren, die mit dem TOR-System anonymisiert wurden.

Inhaltsverzeichnis

Ziel Abgrenzungen Historie Vorgaben und Rahmenbedingungen Funktionsweise des TOR-Netzes Mögliche Aufklärungsansätze ████████████████████ ████████████████████ ████████████████████ Aktueller Sachstand Bereits implementierter Leistungsumfang Schutz der eigenen Anonymität Nächste Schritte Vom „Proof of Concept“ zur Einsatzreife ██████████████████████████ ████████ Personelle Anforderungen Finanzen Anforderungen an den Bedarfsträger ████████████████████ ████████████████████ ████████████████████ ████████████████████ Rechtliche Bewertung ████████████████████

Änderungsnachweis

Version Datum Änderung Autor 0.1 05.02.2009 Erster Entwurf M.S. 0.2 18.02.2009 Einarbeitung Anmerkungen TAG M.S. 0.5 19.02.2009 Einarbeitung Anmerkungen T2A M.S. 0.8 20.02.2009 Einarbeitung Anmerkungen TEB , LTXB, TXXX ( i. V. ) M.S.

Abbildungsverzeichnis

Prinzipskizze TOR ████████████████████

1. Ziel

Das Ziel des Projekts ist die Entwicklung eines technischen Systems zur Rückverfolgung von Internetverkehren, die unter Nutzung des TOR-Systems anonymisiert wurden.

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

1.1. Abgrenzungen

Es handelt sich bei dem Projekt █████ nicht um einen Erfassungsansatz im Sinne der strategischen Fernmeldeaufklärung, sondern um ██████████████ ██████████████.

1.2. Historie

Das Internet als Kommunikations- und Recherchemedium hat in den vergangenen Jahren eine immer größere Bedeutung gewonnen. Dieses gilt gleichermaßen für legale Zwecke wie auch für die Nutzung durch kriminelle, insbesondere terroristische Kreise.

In der Vergangenheit war es den Strafverfolgungs- und Sicherheitsbehörden üblicherweise möglich, anhand von Datenspuren auf die Identität von kriminellen Internetnutzern zu schließen. Einem wachsenden Fahndungsdruck, gerade gegen islamistische Fundamentalisten, begegneten diese mit Schulungen ihrer Anhänger hinsichtlich der Nutzung von Verschlüsselungssoftware, Anonymisierungsdiensten und dahingehend, wie sich vermeiden lässt, digitale Spuren im Netz zu hinterlassen.

Im Rennen zwischen Kriminellen und den Sicherheitsbehörden drohen letztere nachhaltig in Rückstand zu gelangen, wie zuletzt bei den 3. Berliner Sicherheitsgesprächen Ende Januar 2009 dargestellt wurde; gerade Anonymisierungsdienste seien, in den Worten des Generalstaatsanwaltes des Landes Schleswig-Holstein, den Strafverfolgungsbehörden „ein Dorn im Auge“. Dieses trifft auf Nachrichtendienste selbstverständlich in ähnlicher Weise zu.

Bei der Datenübertragung im Internet gibt es theoretisch keine Möglichkeit zur kompletten Anonymität, da Datenpakete vom Absender nur an klar definierte und bekannte IP-Adressen übertragen werden können; die tatsächlichen Empfänger-IP-Adressen lassen sich allerdings in einer Art verschleiern, dass eine Rückverfolgung nahezu unmöglich wird. Hierbei gilt, dass die Verschleierung umso besser wird, je mehr ein Nutzer auf Bandbreite und Bequemlichkeit verzichtet. Dieser „Trade-Off“ zwischen Bandbreite und Anonymität wurde bereits früh von den Entwicklern der Anonymisierungsnetze erkannt und formuliert. Als eins der effektivsten Systeme erwies sich das TOR-Netzwerk‚ welches wegen des gleichermaßen hohen Maßes an Anonymität bei gleichzeitiger vertretbarer Verzögerungszeit eine hohe Zahl an Benutzern hat. Andere Anonymisierungsnetze, die entweder zu sehr auf hohe Anonymität oder auf geringe Verzögerungszeit setzten, konnten sich bei den Nutzern nicht durchsetzen.

Bereits vor Jahren wurden theoretische Ansätze veröffentlicht, wie die Anonymität im TOR-Netz unterwandert werden könnte.

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

1.3. Vorgaben und Rahmenbedingungen

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

2. Funktionsweise des TOR-Netzes

TOR ist ein Netzwerk zur Anonymisierung der Verbindungsdaten. Es wird für TCP-Verbindungen eingesetzt und kann beispielsweise für Web-Browsing, Instant Messaging, IRC, SSH, E-Mail, P2P und andere benutzt werden. TOR schützt vor der Analyse des Datenverkehrs seiner Nutzer.

Die Software basiert auf dem Prinzip des „Onion Routing“ und wurde mit einigen Abwandlungen implementiert:

Der Nutzer installiert auf seinem Computer einen Client, den so genannten Onion Proxy. Dieses Programm verbindet sich mit dem TOR-Netzwerk. In der Startphase lädt sich das Programm eine Liste aller vorhandenen und nutzbaren TOR-Server herunter. Diese mit einer digitalen Signatur versehene Liste wird von Verzeichnisservern aufbewahrt. Deren öffentliche Schlüssel werden mit dem TOR-Quellcode geliefert. Das soll sicherstellen, dass der Onion Proxy ein authentisches Verzeichnis erhält.

Wenn die Liste empfangen ist, wählt der Onion Proxy eine zufällige Route über die TOR-Server (TOR-Node).

Der Client verhandelt mit dem ersten TOR-Server eine verschlüsselte Verbindung. Wenn diese aufgebaut ist, wird sie um einen weiteren Server verlängert. Diese Prozedur wiederholt sich noch einmal, so dass eine Verbindungskette mindestens drei TOR-Server enthält. Jeder Server kennt nur seinen Vorgänger und seinen Nachfolger. Der Erfolg hängt davon ab, dass mindestens ein Server vertrauenswürdig ist und ein „Aufklärer“ nicht schon den Anfangs- und Endpunkt der Kommunikation überwacht.

Nachdem eine Verbindung aufgebaut wurde, werden über diese Server Daten versendet. Der letzte Server tritt dabei als Endpunkt der Kommunikation auf. Er wird als Exit-Server oder -Knoten bezeichnet.

Der oben beschriebene Verbindungsaufbau wird in regelmäßigen Abständen mit neuen zufällig ausgewählten Servern wiederholt und die Verbindungsstrecken werden nach etwa 10 Minuten gewechselt.

Die Pakete innerhalb des TOR-Netzwerkes werden immer verschlüsselt weitergegeben. Erst wenn der Exit-Knoten die Pakete weitergibt, können diese unverschlüsselt sein.

2.1. Mögliche Aufklärungsansätze

Es wurden verschiedene Ansätze veröffentlicht, die eine Deanonymisierung von TOR-Verkehren prinzipiell möglich machen. ████████████████████ ████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

In der TOR-Community wurde und wird immer wieder auf Server hingewiesen, die im Verdacht stehen, für „unlautere“ Zwecke genutzt zu werden. Einige TOR-Server stehen im Verdacht, durch USA- TF betrieben zu werden.

Die Gründe, die hierfür als Verdachtsmomente genannt werden, sind (zitiert aus German Privacy Foundation, „Bad TOR Nodes“ vom Januar 2009):

Sie laufen bei einem Betreiber, der bisher nicht durch Privacy-Aktivitäten aufgefallen ist. Kosten aber einiges an Geld.

Sie nutzen eine sehr veraltete, evtl. modifizierte Version von TOR.

Sie verwenden eine Exit-Policy, die diese These unterstützt. (accept *:110, accept *:5222, …) Die Nodes sind an unverschlüsseltem E-Mail, Chat und Instant Messaging interessiert, evtl. um Account Daten der Nutzer auszuspähen.

Eine Kontaktadresse des Betreibers ist nicht angegeben.

Ein passiv schnüffelnder Node ist nicht sicher erkennbar. Man kann es auch als Paranoia beiseite schieben.



████████████████████ ████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

Datum: 02. September 2010

02. September 2010 Kennziffer: ME TWD-1623/10

ME TWD-1623/10 Behörde: Bundesnachrichtendienst

Bundesnachrichtendienst Abteilung: Informationsoperationen, International gesamte Welt

Informationsoperationen, International gesamte Welt Verteiler: BKAmt , AA , BMWi/Be , BMWi/Bo , BMI , BMVg/Fü S II 1 , BMVg/Fü S II 2 , BMVg/Fü S II 3 , BMVg/Fü L , BMVg/Fü M , BMVg/M II/IT 3 , BMVg/Pl-Stab , IT-AmtBw , IT-ZentrumBw I-G1 , KSA , BMZ , BfV , BKA , BPolPräs , MAD

Meldung

Anonymisierungsdienst TOR garantiert keine Anonymität im Internet

Kurzfassung

Der Anonymisierungsdienst TOR wird weltweit neben der Verschleierung der Identität des Nutzers auch zur Umgehung von Zensurmaßnahmen verwendet. Allerdings werden die Datenströme nicht konsequent verschlüsselt, sodass sich für Nachrichtendienste und Strafverfolgungsbehörden Überwachungsansätze bieten. Darüber hinaus besteht die Möglichkeit, selbst sogenannte Exit-Knoten zur Überwachung einzurichten. Aus diesem Grund ist die Nutzung des TOR-Netzes zur Durchführung von Computernetzwerkoperationen für Nachrichtendienste ungeeignet.

Das TOR-System ist demzufolge für die Verschleierung von Aktivitäten im Internet und zur Umgehung von Zensurmaßnahmen ungeeignet, da von einer sehr hohen Überwachungsdichte innerhalb des Netzes ausgegangen werden kann.

Technische Beschreibung

Das TOR-System ist ein Anonymisierungsdienst, der u.a. für Email-, Messaging- oder Webbrowsinganwendungen genutzt werden kann. Hierbei benötigt der Anwender lediglich ein auf dem lokalen Computer installiertes Client-Programm, welches unter Zuhilfenahme eines signierten TOR-Zugangsservers eine Internetverbindung herstellt.

Zur Anonymisierung der Daten werden diese über zwischengeschaltete Knotenpunkt-Server zu einem mit dem Internet verbundenen sogenannten Exit-Server gesandt. Die Rückverfolgung der Datenquelle wird vermieden, indem jeder in das TOR-Netzwerk eingebundene Routingrechner lediglich seinen Vorgänger und Nachfolger kennt (Zwiebelschalenmodell).

Im Schritt 1 wird die Information über die vorhanden TOR-Knoten unverschlüsselt von einem Server geladen. Danach kann im Schritt 2 auf den Zielserver zugegriffen werden‚ wobei meist drei TOR-Knoten verwendet werden. Dies erfolgt aus Performancegründen, denn je länger die Kaskade der Rechner, desto länger dauert die Datenübertragung und damit der Bildschirmaufbau der Zielseite. Sofern der Nutzer eine andere Internetadresse als Ziel aufruft, erfolgt ein neuer Aufbau der Verbindung über andere TOR-Knoten (Schritt 3). Allerdings erfolgt der Datenverkehr zwischen dem TOR-Exitknoten und dem Zielserver unverschlüsselt.

Die hierdurch geschaffene Anonymität erfordert es dennoch, die Daten verschlüsselt zu übertragen, da es beliebigen Nutzern gestattet ist, einen eigenen TOR-Server in das Netzwerk einzubinden. Speziell die Exit-Knoten stellen eine Schwäche im TOR-System dar. Einige Softwareprodukte senden ihre Daten direkt vom Zielrechner an den Nutzer zurück. Die Anonymität ist damit aufgehoben, da bei der Überwachung des Exit-Knotens jetzt die Adresse des aufrufenden TOR-Nutzers bekannt ist. Die andere Schwachstelle ist, dass die Verbindung zwischen Exit-Knoten und Zielserver nicht verschlüsselt ist. Jedem Betreiber eines Exit-Knotens ist es möglich, die übermittelten Anfragen und Antworten im Klartext mitzulesen. Diese Tatsache ermöglichte es Angreifern, Email-Accountdaten über seinen im TOR-Netzwerk eingebundenen Exit-Knoten unter Nutzung eines sogenannten Passwortsniffers abzugreifen.

Meldung

Mehrere nachrichtendienstliche Hinweise belegen zur Verwendung von TOR-Netzwerken folgendes:

TOR-Netzwerke werden überwiegend zur Verschleierung von Aktivitäten benutzt, von deren Legalität die Handelnden nicht überzeugt sind. Die Anzahl der TOR-Nutzer mit dem Fokus auf Wahrung der Anonymität aus reinen Datenschutzüberlegungen ist im Verhältnis dazu sehr gering.

Dienste und Behörden mit Ermittlungsaufgaben haben Ansätze, die Anonymisierung auszuhebeln. Einer davon ist das Aufsetzen eigener TOR-Knoten und deren intensive Überwachung zum Zwecke der Ermittlung und Beweiserhebung. Insbesondere in Ländern und Organisationen, in denen die Ermittler in begrenztem Rahmen auch offensive Befugnisse haben, erlaubt das die Konzentration der Fallbearbeitung und damit ein zeitnahes Ermittlungsergebnis.

Der gleiche technische Vorgang (Aufsetzen eigener TOR-Knoten und deren Überwachung) kann auch von einer kriminellen, terroristischen oder extremistischen Organisation durchgeführt werden. Die derzeit im Fokus stehenden religiös extremistischen/terroristischen Gruppierungen scheinen das kaum zu tun, von diesen werden – wenn überhaupt – vorhandene TOR-Knoten benutzt.

Einige Dienste haben über das Installieren eigener TOR-Knoten und die Verwertung der Protokolldaten für verschiedene Projekte und Ermittlungsverfahren bereits berichtet.

Ein deutlicher Hinweis für die Überwachungsmaßnahmen sind die Standorte diverser TOR-Exitknoten. Eine große Anzahl konnte im Umkreis von Washington, D.C. lokalisiert werden. Hier kann davon ausgegangen werden, dass diverse Behörden diese Knoten zur Verfügung gestellt haben.

Eine Häufung von Exit-Knoten konnte bis September 2009 in der Umgebung von Peking festgestellt werden. Außerdem ist Festlandchina eines der der wenigen Länder, deren Anzahl an TOR-Knoten nahezu identisch ist mit der Anzahl der Exit-Knoten, sodass von einer umfassenden Überwachung ausgegangen werden konnte. Die chinesischen Behörden haben anscheinend eine Möglichkeit zum Blocken des TOR-Dienstes etabliert, da die Anzahl der TOR-Knoten innerhalb kürzester Zeit auf Null zurückging. Das Überwachungssystem Blue Shield, das in Festlandchina bei den Internetserviceprovidern eingesetzt wird, scheint den rapiden Rückgang der TOR-Knoten zu verursachen.

Zum Vergleich die Entwicklung der Zahlen im gleichen Zeitraum in Deutschland:

Bewertung

Der Anonymisierungsdienst TOR soll seinen Nutzern den Zugriff auf gesperrte Seiten und ein anonymes Surfen im Internet ermöglichen. Aufgrund der Architektur des TOR-Netzwerks ergeben sich jedoch Schwächen beim Versuch, die Kommunikation zu verschlüsseln. Das gilt speziell für Mitglieder des TOR-Netzwerks, die einen Exit-Knoten zur Verfügung stellen und somit Zugriff auf die Kommunikation haben.

Die Nutzer von Anonymisierungssoftware gehen von einer Verschleierung ihrer Identität beim Surfen im Internet aus, die bei bekannten und weit verbreiteten Anonymisierungsdiensten nicht gegeben ist. Zur Umgehung von Zensurmaßnahmen ist das TOR-Netzwerk somit nur bedingt geeignet. Seit der vermehrten Verbreitung der TOR-Software wurden auch die Dienste und Strafverfolgungsbehörden darauf aufmerksam.

Auch die Verwendung eines kompromittierten Systems durch fähige Nachrichtendienste zum Zwecke einer als letztlich unwirksam bekannten Tarnung erscheint nur für Ablenkungsmanöver plausibel. ██████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████

████████████████████████████████████████████████