Niki Vogt auf Telegram folgen
von Niki Vogt
Das ARD-Magazin Panorama hat herausgefunden, dass die deutschen Strafverfolgungsbehörden monatelang Nutzer des Internet-Browsers „Tor“ ausspioniert haben. Der Browser mit der lila Zwiebel als Logo wirbt damit, dass man sich völlig anonym und ohne die Möglichkeit zur Verfolgung im Netz bewegen kann. Das war für viele Nutzer, die sich im Darknet tummeln natürlich verlockend. Denen, die sich auf die uneingeschränkte Anonymität verlassen haben, dürfte der Schweiß auf der Stirn gestanden haben, als sie den Exklusiv-Bericht der Tagesschau gesehen haben: Die Überwachungsmaßnahme in einem Ermittlungsverfahren führte bereits zum Erfolg.
Ein geheimer Marktplatz für Verbrechen und Schmuggel aller Art
Dieser Erfolg war eine Überraschung, auch für die Experten, galt es doch als unmöglich, „Tor“ zu knacken. Denn die Verbindungen über die verschiedenen Tor-Knotenpunkte verschleiern die Bewegungen der User. Laut Tagesschau-Bericht benutzt Tor fast 8.000 Knotenpunkte in ungefähr 50 Ländern. Wahrscheinlich mehr, als zwei Millionen Menschen sind dort täglich im Netz unterwegs. Daher war der Browser auch unter Nutzern beliebt, die es sich nicht leisten können, dabei erwischt und identifiziert zu werden, was sie da im Netz treiben.
Der Browser diente vielen als Zugang zum „Darknet“, sozusagen die finstere Seitengasse der Netzwelt, in der all das zu finden und zu machen möglich ist, was verboten, strafbar und gefährlich ist. Ob es um Drogen oder illegale Waffen oder Kinderporno geht oder um Verabredungen zu allen möglichen illegalen Aktivitäten – die Nutzer fühlten sich dort, in den dunklen Ecken unbeobachtet und sicher. Das ist nun vorbei. Die Staatsanwaltschaft Frankfurt beispielsweise ließ seit 2020 die Telefónica drei Monate lang beobachten, welche Kunden sich mit einem bestimmten Server verbinden. Das nennt man Timing-Analyse. Dabei können die verschickten und verschlüsselten Datenpakete zwar nicht eingesehen werden, was die Nutzer also verschicken, kann man nicht feststellen, aber dass sie sich etwas zuschicken, schon.
Diese Ermittlung muss von langer Hand geplant gewesen sein
„Für eine erfolgreiche Deanonymisierung müsse der Angreifer, in diesem Falle die Ermittlungsbehörden, allerdings viele Tor-Server überwachen oder gar selbst betreiben – mit entsprechend hohem Aufwand. Durch eine statistische Aufbereitung und zeitliche Zuordnung der über diese Server ausgetauschten Kommunikationsdaten könne die Spur eines Tor-Nutzers bis zu seiner echten IP-Adresse zurückverfolgt werden, so die Erklärung. Einem Bericht der Tagesschau zufolge ist dafür allerdings eine teils jahrelange Überwachung einzelner Tor-Nodes erforderlich.“
Golem merkt auch an, dass es unklar sei, zu wie vielen Tor-Servern die Ermittler Zugang bekommen haben. Die Ermittlungsbehörden wollten dazu auch keine Auskunft geben.
Einem Pädophilenring namens „Boystown“ waren die Ermittler schon seit Jahren auf der Spur. Der Name sagt es schon: Hier ging es um Sex mit kleinen Jungs. Dabei handelte es sich um einen Szenechat, in dem sich führende Mitglieder verschiedener pädokrimineller Foren austauschten. Am 30. Juni 2019 ging die Plattform mit ihren widerlichen Inhalten im Darknet online. Das Forum machte keinen Hehl daraus, dass es hier um „Boylovers“ ging.
„Boystown“ war ein Renner – mehr als 10.000 Mitglieder und eine straffe Führung
Schon in den ersten Wochen, schreibt die Tagesschau, stürmten 10.000 User diese Plattform. Am 4. Juli gab es schon 2536 Posts im Forum an einem einzigen Tag. Es wurden Links, Videos und Fotos geteilt. Man schwatzte über alles, was mit Kindesmissbrauch zu tun hatte. Schon nah zwei Wochen verfügte die Plattform über mehr als 10.000 „offizielle Mitglieder“. Trotzdem, so beschreibt es der „Tagesschau“-Artikel, herrschte eine straffe Organisation und Ordnung, auch im Video- und Bildmaterial:
„Die Bildnisse wurden beispielsweise streng nach Kategorien geordnet: Es gab einen „Hardcore“-Bereich für schweren Missbrauch und „Softcore“ für – aus der Sicht des Forums – eher harmloseren Kindesmissbrauch. Und: Es gab die Kategorie „Non Nude“, also „nicht nackt“. Panorama und STRG_F hatten im April aufgedeckt, dass in solchen „Non Nude“-Bereichen auch hunderttausende harmlose Alltagsfotos von Kindern getauscht werden, die die Täter von den Social Media-Profilen der Kinder und Eltern stehlen. Auch deutsche Kinder fanden sich in diesen „Non Nude“-Kategorien auf „Boystown“. (…) Ab August 2019 posteten die User an fast jedem Tag deutlich mehr als 1.000 Beiträge im Forum, außerdem wurde in einem Chat diskutiert. Die Zahl der registrierten Accounts wuchs täglich um mehrere hundert an, an manchen Tagen waren es mehrere tausend Neuregistrierungen.“
Die Ermittler nehmen die Spur auf
Es waren nun über 400.000 Mitglieder auf der Plattform „Boystown“, die sich bis zur Abschaltung durch die Ermittler dort eingetragen hatten. Erstaunlicherweise wurden die Bilder, Videos und anderen Materialien aber nur von fünf Prozent der User eingestellt. 95 Prozent der Mitglieder hatte nie etwas in dem Forum gepostet. Das lasse vermuten, dass sich viele der Nutzer bei jedem Login einen neuen Account zugelegt haben, um keine verfolgbaren Spuren zu hinterlassen, an denen man sie ausfindig machen konnte. Die Staatsanwaltschaft konnte daher nicht ermitteln, wieviele tatsächliche User wirklich hinter den 400.000 Konten verborgen waren.
Das Amtsgericht Frankfurt hatte diese strittige Vorgehensweise wegen der Schwere der Taten für angemessen befunden. Telefónica (O2) war verpflichtet diesen Gerichtsbeschluss auch auszuführen. Die Ermittlungen führten schlussendlich zur Festnahme von Andreas G. in Nordrhein-Westfalen.
Aber erst dann wurde dem Admin Andreas G. im Netz auf „Tor“ das Handwerk gelegt. Das Vorgehen war aber nicht lupenrein legal. Das BKA erfuhr, dass sich jener Admin immer über den Telefonanbieter O2 ins Darknet wagte. Um den Admin von „Boystown“ zu finden, überwachten die Ermittler daher die Handyverbindungen von O2-Kunden mit einer Methode, die man IP-Catching nennt – und das ist juristisch umstritten. Weil sie auch Daten von Nutzer erfasst, die in keiner Weise mit dem Gesetz in Konflikt stehen. Der „Boystown“-Betreiber war schon nach einigen wenigen Tagen gefunden, die Überwachung sofort eingestellt und alle Verbindungsdaten gelöscht, berichtet die Tagesschau. Der Mann wurde 2022 vor Gericht zu zehn Jahren Haft verurteilt.
Die Marke „Tor-Browser“ ist entzaubert? Wird mehr ausspioniert als zugegeben?
Aber das Darknet war auch immer ein sicherer Hafen für politische Aktivisten und Menschenrechtler, Informationen auszutauschen und sich dabei gegenseitig zu schützen: Und es ermöglicht die Umgehung von Internet-Zensur. Es gibt Hinweise darauf, dass diese Ausspionierung eben doch öfter stattfindet, als von den Behörden zugegeben wird.
Matthias Marx, einer der Sprecher des Chaos Computer Clubs argwöhnt: „Die Unterlagen in Verbindung mit den geschilderten Informationen deuten stark darauf hin, dass Strafverfolgungsbehörden wiederholt und seit mehreren Jahren erfolgreich Timing-Analysen-Angriffe gegen ausgewählte Tor-Nutzer durchführten, um diese zu deanonymisieren.“ Er sieht das Projekt „Tor“ nun im Zugzwang, den Anonymitätsschutz des Netzwerks zu verbessern. Denn:
„Die technische Möglichkeit, Timing-Analysen durchzuführen, besteht nicht nur für deutsche Strafverfolgungsbehörden zur Verfolgung schwerer Straftaten, sondern gleichermaßen für Unrechtsregime bei der Verfolgung von Journalistinnen und Journalisten, Oppositionellen und Whistleblowern.“
Traurig, aber wahr: Das gilt auch für uns hier in Deutschland, wo die Meinungs- und Informationsfreiheit schon so gut, wie abgeschafft ist und – siehe unseren gestrigen Artikel – auf vielen unverdächtig daherkommenden Wegen immer weiter eingeschränkt und kriminalisiert wird. Nachrichtenkanäle, die in bestimmten Ländern verboten sind, können die Leute dort über das Darknet aufrufen, um Informationen zu bekommen, die sie nicht haben dürften – und genau da liegt der Verdienst von „Tor“: Diese Menschen konnten sich bisher darauf verlassen, dass sie nicht identifiziert werden konnten. Das könnte jetzt vorbei sein.
Denn wenn es möglich ist, diese hochkomplizierten Wege und Sicherheitsmaßnahmen, wie „Tor“ sie anwendet zu knacken, wird es nicht allzulange dauern, und Staaten, Behörden, Regierungen werden alles daran setzen, diese Möglichkeit zu erhalten, die Kritiker und Ungehorsamen da auszuspionieren, wo sie glauben, sicher zu sein.
