Mysterium »KAX17« Im Tor-Netzwerk hat sich ein unbekannter Beobachter ausgebreitet

Besorgniserregend große Teile des Tor-Netzwerks werden vom selben Akteur betrieben – und das schon seit 2017. Steckt dahinter ein Staat, der den Anonymisierungsdienst austricksen will?
Schon 2014 gab es Angriffe auf das Tor-Netzwerk (Archivbild)

Schon 2014 gab es Angriffe auf das Tor-Netzwerk (Archivbild)

Foto: SPIEGEL ONLINE

Dieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.

Kein Anonymisierungsdienst für Internetnutzer und -nutzerinnen ist so bekannt wie das Tor-Netzwerk. In Ländern wie China und Iran wird es als Anti-Zensur- und Anti-Überwachungswerkzeug eingesetzt, ebenso in westlichen Ländern. Eigentlich jedoch ist das Tor-Netzwerk ziemlich klein – und das könnte ein Problem sein.

Bestenfalls rund 7000 Knoten, Relays genannt, umfasst das Netz derzeit im Schnitt. Relays sind Server, die von Freiwilligen betrieben werden. Sie dienen als Eintritts-, Weiterleitungs- und Austrittspunkte ins Netzwerk. Nutzerinnen und Nutzer bauen, vereinfacht gesagt, über ihren Tor-Browser eine Verbindung zu einem Eintrittspunkt auf. Nur er kennt die echte IP-Adresse, von der die Anfrage kommt. Dann wird die Anfrage über ein Zwischenrelay weitergeleitet und erst vom Austrittspunkt an die eigentliche Zieladresse im Internet vermittelt. Onion-Routing heißt das Prinzip: Mehrere Schichten von Verschlüsselung sowie ständig wechselnde Weiterleitungskaskaden sollen dafür sorgen, dass weder von außen, noch von innen feststellbar ist, wer an welche Zieladresse will.

Gefährdet ist dieses Anomyisierungskonstrukt unter Umständen, wenn jemand große Teile des ganzen Netzwerks kontrolliert. Sybil-Attacke heißt so etwas. Möglicherweise läuft eine solche im Tor-Netzwerk schon seit 2017 – was aber erst jetzt klar wird.

»Genug, um alle möglichen Alarmsignale auszulösen«

Festgestellt hat das eine in der Tor-Community seit Jahren aktive Person, die sich »nusenu« nennt. Sie hatte bereits 2019 eine Reihe von Relays entdeckt , »die Dinge tun, die offizielle Tor-Software nicht kann«. Genauer wollte »nusenu« nicht werden, um die Erkennungsmethode nicht zu verraten. Die verräterischen Fähigkeiten aber reichten demnach bis ins Jahr 2017 zurück und verrieten letztlich, dass ein und derselbe Akteur zeitweise bis zu zehn Prozent aller Eintrittsrelays betrieb. Das war und ist nicht verboten, aber exorbitant viel im Vergleich zu anderen Betreibern, die damals auf nicht einmal zwei Prozent kamen.

»Nusenu« meldete den Fund dem Tor-Projekt, also den Entwicklern der Tor-Software. Sie blockierten daraufhin die verdächtigen Relays. Doch der unbekannte Akteur kam schnell mit neuen Relays zurück.

Dass die Unbekannten mittlerweile viel mehr vom Netzwerk betreiben als damals, fand »nusenu« nach eigenen Angaben  erst in den vergangenen Wochen heraus, dank des Tipps eines Informanten, den er technisch verifizieren konnte. Das Ergebnis: Jemand oder eine Gruppe, die von »nusenu« als »KAX17« bezeichnet wird, betreibt seit vier Jahren zum Teil bis zu 900 Relays gleichzeitig. Die Wahrscheinlichkeit, als Nutzerin oder Nutzer einem davon zugewiesen zu werden, betrug bei Eintrittsknoten mitunter 16 Prozent, bei Relays in der Mitte der Kaskade 32 Prozent und bei den Ausgangsrelays knapp fünf Prozent.

»Nusenu« schreibt, er habe keine Beweise dafür, dass »KAX17« tatsächlich versuche, Tor-Verbindungen zu de-anonymisieren, »aber sie wären dazu in der Lage«: »Und die Tatsache, dass jemand so viele Relays betreibt, die ungewöhnliche Dinge tun, ist genug, um alle möglichen Alarmsignale auszulösen«.

Mit einiger Wahrscheinlichkeit ein staatlicher Akteur

Eine andere Möglichkeit wäre, dass »KAX17« versucht, sogenannte Onion-Services zu de-anonymisieren. Die früher als Hidden Services bezeichneten Seiten machen das aus, was umgangssprachlich Darknet genannt wird (auch wenn es verschiedene Netze gibt, die man so nennen könnte). Es sind Adressen mit der Endung .onion, die nur mit dem Tor-Browser aufgerufen werden können und deren Hosting-Standort nicht erkennbar ist. Als Onion-Services betrieben werden oft etwa Drogen-Handelsplattformen und Foren, in denen Fotos und Videos von Kindesmissbrauch geteilt werden.

Beide denkbaren Motive ergeben zusammen mit dem dauerhaften, kostenintensiven Einsatz so vieler Relays sowie der nicht näher bezeichneten Sonderfähigkeit eine klare Tendenz bei der Beschreibung von »KAX17«: Mit einiger Wahrscheinlichkeit handelt es sich um einen staatlichen oder staatlich unterstützten Akteur. Ein Regime, das versucht, Dissidenten zu identifizieren, käme ebenso infrage wie eine Ermittlungsbehörde, die eine kriminelle Plattform hochnehmen will.

»Nusenu« schreibt von »Nichtamateuren« und schließt auch aus, dass es sich um ein Forschungsprojekt handeln könnte, wie es sie zum Tor-Netzwerk häufiger gibt. Zu lang, zu aufwendig, zu mysteriös sei die Operation.

Enttarnung nicht ausgeschlossen

Darüber, wer wirklich hinter »KAX17« steckt, darüber will »nusenu« nicht spekulieren. Ebenso halten es die Entwickler des Tor-Projekts, die nach der Entdeckung von »nusenu« nach eigenen Angaben  600 Relays aus dem Netzwerk entfernt haben.

Jens Kubieziel, Vorstand des Vereins Zwiebelfreunde, der eigene Tor-Server betreibt, kann allenfalls erkennen, »dass jemand mit größerem Aufwand etwas versucht«: »Aber was genau die Intention ist, ist nicht recht klar«. Die Gefahr, dass Tor-Nutzer enttarnt werden konnten, hält er für gering, aber nicht ausgeschlossen. Weil »KAX17« alle drei Arten von Relays betrieben habe, »waren die theoretisch in der Lage, einzelne Circuits [die komplette Verbindung vom Eingangs- zum Ausgangsrelay – Anm. der Red.] zu de-anonymisieren«, sagt Kubieziel. »Die Wahrscheinlichkeit würde ich dennoch als gering einschätzen, da Tor die Circuits alle paar Minuten neu bildet. Der Tor-Browser macht sogar für jeden Tab einen neuen Circuit. Da ist die Chance noch mal geringer.«

Wie gefährdet Tor-Nutzerinnen und -Nutzer insgesamt sind, hängt allerdings nicht nur von diesen Wahrscheinlichkeiten ab, sondern auch von den Absichten von KAX17.

Die Wiedergabe wurde unterbrochen.