Ein Vorfall, über den der Betreiber des französischen Tor Exit Nodes "mini" auf der Tor Mailingliste berichtet, macht deutlich, dass man sich als Betreiber eines Exit Nodes darüber im Klaren sein muss, dass die Behörden einen als ersten "Ansprechspartner" oder besser gesagt "Ziel" von polizeilichen Ermittlungen heranziehen könnten und man deshalb besondere Vorkehrungen zum Schutz anderer Daten auf den eigenen Rechner ergreifen sollte.

Es wäre vielleicht auch ganz nützlich, wenn die Polizeibehörden mehr aktiv über die Funktionsweise des Tor Netzes und die Rolle von Exit Nodes aufgeklärt würden, um solche Vorfälle zu vermeiden.

Der Vorfall zeigt auch die Gefahr auf, die der Existenz des Tor Netzes drohen könnte, wenn das Tor Netz und die Tor Exit Node Admins kriminalisiert würden, weil es unvermeidbar ist, dass Tor wie jedes andere Anonymitätstool, auch für kriminelle Nutzung missbraucht werden kann.

Zum Verständnis vorab: Eine Anfrage über das Tor Netz wird standardmäßig über drei Tor Nodes bis zum Tor Exit Node weitergeleitet. Der Tor Exit Node als letzter Tor Router in der Kette nimmt dann die eigentlichen Daten für den Anfragenden entgegen und tritt deshalb auch beim Zielrechner bzw. in dessen Logs in Erscheinung.

Wie der mini Admin berichtet, klopften ihn am vergangenen Mittwoch um 7:45 Uhr drei Polizisten einer Ermittlungseinheit für Kinderpornografie aus dem Bett. Mit der Begründung, er habe Kinderpronofilme heruntergeladen, durchsuchten sie seine Wohnung, beschlagnahmten die Festplatten und alle anderen Datenträger, die sie finden konnten und nahmen ihn mit zur Polizeiwache, wo er bis 19:00 Uhr eingesperrt wurde, während die Ermittlungsbeamten die Datenträger durchsuchten. Nachdem der Admin den Polizisten klarmachen konnte, was Tor ist, welche Rolle er als Tor Exit Node spielt und er auch den Urheber einer Anfrage nicht ermitteln kann, weil sich nichts dazu in den Logs eines Exit Nodes findet, konnte er die Polizeistation wieder mit den beschlagnahmten Datenträgern verlassen.

Golem berichtet in Staatsanwaltschaft beschlagnahmt Anonymisierungs-Server und Heise in Anonymisierungsserver bei Razzia beschlagnahmt über die Beschlagnahme von Serverfestplatten im Rahmen einer Ermittlung zum Kinderpornografiehandel, auf denen die Mieter der Server Tor als Onion Router laufen ließen.

Die Beschlagnahme zeigt, dass die Staatsanwaltschaft Konstanz Tor zwar kennt, aber nicht begriffen hat, wie Tor funktioniert oder vorgibt, Tor nicht zu verstehen, um mit den Maßnahmen ganz andere Ziele zu verfolgen.

Im Mittelpunkt der Ermittlungen stehen ja Webforen, in denen wohl der KiPo-Handel stattgefunden hat. Also geht es um die bei den Webforen mitgeloggten IP-Adressen und Accountdaten der Webforennutzer, wobei die IP-Adressen anscheinend von einem oder mehreren Tor Routern stammen, sonst hätte man deren Festplatten nicht beschlagnahmt.

Also muss es sich definitiv auch um Tor Exit Node Router (in Deutschland) handeln, die ja das letzte Glied in einer sich dynamisch ändernden Verbindungskette aus drei Tor Routern darstellen, die Anfragen und Antworten zum und vom Zielrechner (in diesem Fall das Webforum) transportieren. In Deutschland beheimatete Middleman Tor Router kämen auch in Frage, wenn sie den vorletzten Tor Router vor dem eigentlichen Tor Exit Node stellen und der Tor Exit Node historische Aufzeichnungen aller stattgefundenen Verbdindungen von den Middleman Routern aufbewahren würde, was kein Exit Node Admin mit ein wenig Grips machen würde.

Aber was hat die Staatsanwaltschaft damit gewonnen?

Nichts, denn die Anonymisierung per Tor wäre ja sinnlos, wenn dem Exit Node der Ursprung einer Anfrage bekannt wäre und dem Entry Node als erstem Glied das Ziel der Anfrage des Benutzers, wenn jeder Tor Node, also auch ein Middleman Router, Kenntnis der gesamten Verbindungskette bis hin zum Tor Benutzer hätte und permanent statische Routen über größere Zeiträume durch das Tor-Netz verwendet würden.
Das sind neben der eh eingesetzten Verschlüsselung und dem Reservoir von über 700 global verteilten Tor Routern Merkmale der Tor Anonymisierung, die der Staatsanwaltschaft ZERO Informationen über die eigentlichen KiPo-Täter durch die Beschlagnahmen und die Maßnahmen gegen die deutschen Tor Admins einbringt und auch nicht verhindert, dass ähnliche Angebote über andere Tor Router angesteuert werden.

Was aber entgegen der Informationen bei Heise zutrifft, ist die Möglichkeit für Tor Exit Nodes, abgehende Daten (inklusive Anfragen und Logindaten) mitzuprotokollieren, die nicht über eine zusätzliche TLS/SSL Verschlüsselung zum Zielrechner übertragen werden, sondern im Klartext.

Das wäre auch ein möglicher Hintergrundgedanke der ganzen sinnlosen Aktion: Für die Zukunft zu erreichen, dass wenigstens die in Deutschland angesiedelten Tor Exit Nodes die Klartextdaten mitprotokoliieren, wofür es jedoch keine generelle Rechtsgrundlage gibt oder ergänzend das Instrument der Sperrverfügungen und Blacklists wie in NRW gegen Tor Exit Node Admins ins Feld zu führen, die dann die Weiterleitung von Anfragen zu Zieladressen, die Bestandteil der Verfügungen wären, blockieren müssten. Auch zweifelhaft, ob das rechtlich möglich wäre, was die Frage einer noch zu schaffenden Rechtsgrundlage oder Rechtsverschärfung für Betreiber und Anbieter anonymer Dienste aufwirft.

Im Zusammenhang mit der parallel zum Gesetzgebungsprozess bezüglich Anti-Terror-Datenbank und Terrorismusbekämpfungsergänzungsgesetz angelaufenen Kampagne gegen Anonymisierungsplattformen und Verschlüsselung und der damit verbundenen Zielsetzung, Polizeien und Geheimdiensten stärkere Kontrollbefugnisse im Internet einzuräumen, laufen die Maßnahmen – da sie ineffizient für die aktuelle Strafermittlung und -verfolgung sind – darauf hinaus, Anonymisierungsplattformen und -netze wie Tor neben dem Terrorismus stärker mit öffentlichkeitswirksamen Verbrechen wie den Kinderpornohandel in Verbindung zu bringen, um sie zu diffamieren, Nutzer davon abzuhalten, Tor zu verwenden und eine Unterstützergemeinde für Tor und die Tor Router Admins im Keim zu ersticken.

Damit einhergehend geht es darum, über die Anonplattformen hinaus ihre Knotenpunkte in Gestalt der Betreiber von Tor Nodes so unter Druck zu setzen, dass sie vom Betrieb ablassen und an alle potentiellen Tor Router Admins das Signal auszusenden, dass man dann unter Umständen Besuch von der Polizei bekommt.

Auch hier geht es zudem um Kriminalisierung nach der aufgestellten Logik: Wer an einem Anon-Netz mitarbeitet, das wie das normale Internet, die Telekommunikationsnetze oder der Postversandverkehr auch von einer kriminellen Minderheit missbrauch wird und dessen Nodes betreibt, über die Anfragen der Kriminellen nach illegalen Inhalten ausgesendet werden, macht sich automatisch verdächtig, selbst an den kriminellen Handlungen ein Interesse zu haben und wird von den Ermittlungsbehörden automatisch zum Mittäter der unbekannten Straftäter gestempelt.

Also ein weiterer Aktionismus zur Demonstration staatlicher Handlungsstärke und Umsetzung der Doktrin "Datenschutz, Anonymisierung und Verschlüsselung sind Tat und Täterschutz zugleich" und "Jeder ist verdächtig, bis er dem Staat seine Unschuld bewiesen hat". Datenschutz verstärkende Techniken wie Tor sollen in Deutschland keinen Raum mehr finden und der Schutz der Privatsphäre im Internet per Anonymisierung in Deutschland langfristig eliminiert werden.

1. Nachtrag:

Laut heutiger Postings auf der Tor Mailingliste sind mindestens die deutschen Tor Nodes mit den Nicknames ChrisM, baphomet, wuschelpuschel und stasiServer von den Beschlagnahmungen betroffen, d. h. vermutlich alle Tor Exit Nodes in Deutschland, deren IPs sich in den Logs der Webforen fand. Von einem User kam der Hinweis an Tor Node Betreiber, ihre Router gemäß des Operational Security Guides zu überprüfen und abzudichten.

2. Nachtrag:

Wie das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein am 15.09.06 mitteilte, wurde am 6. September auch ein Rechner des AN.ON / JAP Projekts in Karlsruhe beschlagnahmt. Seit einiger Zeit ist im JAP auch das Onion Routing per Tor integriert. Wie es in der Mitteilung heißt, "wurde die bei einem Dienstleister in Karlsruhe durchgeführte Beschlagnahme dem ULD erst nach eigenen aufwändigen Recherchen am 11. September mitgeteilt; den Beschlagnahmebeschluss erhielt das ULD erst weitere zwei Tage später nach erneuter Nachfrage". Dazu der ULD-Leiter Thilo Weichert:

"Es ist das gemeinsame Anliegen von Datenschützern und Strafverfolgern, Kinderpornografie im Internet dingfest zu machen. So ist es - nach einem konkreten Anfangsverdacht und mit richterlichem Beschluss - bei AN.ON jederzeit möglich, die Verbreiter von Kinderpornografie zurück zu verfolgen.

Jedem Internet-Kriminalisten müsste inzwischen bekannt sein, wie AN.ON funktioniert. Alle rechtlichen und technischen Informationen sind öffentlich im Internet abrufbar; das ULD steht zur Beratung der Strafverfolger bereit."

Und wieder ein Tor Exit Node in Deutschland weg. Und wie das vor sich ging, beschreibt ein Tor Exit Node Admin so:

Am 13.10. erhielt der Betreiber eines deutschen Tor-Nodes (Attribute: Exit, Fast, Stable, Guard, V2Dir) vom Hoster des dedizierten Servers die Kündigung des Mietvertrages für den Server. Die sehr knapp gehaltenen E-Mail enthielt als Begründung ein Wort: "Pornographie".

Die telefonische Nachfrage beim Hoster ergab: Das BKA hatte in einem "Beobachtungs-Log" die IP-Adresse des Servers gefunden und im Rahmen der Ermittlungen um die Daten des Betreibers des Servers gebeten. Aufgrund dieser Nachfage vom BKA sei der Server gesperrt worden und der Vertrag gekündigt.

Die telefonische Nachfrage des Tor Admins beim BKA ergab die Auskunft, dass man eine derartige IP-Adresse mitgeloggt und den Provider des Servers bezüglich der Stammdaten des Kunden angefragt habe. Eine Abschaltung des Servers sei aber von Seiten des BKA nicht gewünscht worden. Wegen der Abschaltung solle sich der Tor Admin um Aufklärung beim Hoster bemühen.

In einem erneuten Telefonat mit dem Hoster erklärte dieser, gegen den Tor Admin würde wegen Besitzes von Kinderpornographie ermittelt. Diese Ermittlung sähe man als hinreichenden Grund für eine sofortige und fristlose Kündigung an und man werde sich etwaige Schadensersatzansprüche gegen den Tor Admin vorbehalten.

In einem zweiten Gespräch mit dem BKA bestätigte der Beamte dem Tor Admin, dass man die Anfragen beim Hoster als Ermittlung wegen des Verdachtes auf Besitz von Kinderpornografie benennen könnte. Man sähe beim gegenwärtigen Stand der Ermittlungen aber nicht, das sie dem Hoster einen Grund für Konsequenzen bieten. Auf den Hinweis des Tor Admins, bei dem Server würde es sich um einen Tor Onion Router handeln und seinem Angebot der Unterstützung zur Klärung der Vorwürfe, kam vom BKA noch die Antwort, von Tor Onion Routern habe man noch nie gehört, aber man bedanke sich für das Angebot.

Nach Aussage des Tor Admins waren der Kündigung bereits Versuche seitens des Hosters vorangegangen, sich des Servers zu entledigen, bei denen nach Auffassung des Tor Admins eher wirtschaftliche als politische Gründe eine Rolle spielten, da der gemietete Server mit knapp 3 TByte Traffic pro Monat an der Grenze der nebenvertraglichen Absprache gearbeitet hatte. Der "offizielle" Vertrag zwischen dem Hoster und dem Tor Admin sah ein unbegrenztes Datenverkehraufkommen vor, was der Hoster jedoch technisch nicht realisieren konnte.

Wie der Tor Admin noch anmerkte, hätte ihm die überstürzte und technisch inkompetente Reaktion des Hosters dennoch die Möglichkeit gegeben, eventuell vorhandene Spuren zu vernichten, da auch 24 Stunden nach Zugang der Kündigung per E-Mail der administrative Zugriff auf den Server via SSH noch möglich war.

Nach der Beschlagnahmewelle im September geht es weiter mit der Bekämpfung der Tor Nodes. Das man nach dem "September Crackdown" im BKA immer noch nichts von der Existenz des Tor Netzes und seiner Funktionsweise zu wissen behauptet, erscheint mir unglaubwürdig.

Man muss davon ausgehen, dass immer dann, wenn sich die IP-Adresse eines deutschen Tor Exit Nodes in den "Beobachtungs-Logs" zu Ermittlungen der Polizeien und Geheimdienste verheddert, trotz der Unwirksamkeit der Aktionen gegen die eigentlichen Ziele der Polizeiarbeit gegen den Tor Exit Node Admin ermittelt, sein Server/Rechner beschlagnahmt oder sein Hoster angegangen wird, die zu einem gewissen Prozentsatz wie im obigen Beispiel mit der vorauseilenden Kündigung die "Drecksarbeit" des BKA erledigen werden. Außerdem kann man spekulieren, ob sich an solche Ermittlungen nicht auch die eine oder andere Überwachung der E-Mail Kommunikation des Tor Admins anschließt, da man ja die "Daten des Betreibers eines Tor Servers" beim Hoster abfragt.

Das bedeutet langfristig und spätestens dann, wenn auch von Tor Router Betreibern die Vorratsdatenspeicherung erzwungen werden sollte, dass es in Deutschland immer weniger oder überhaupt keine Tor Exit Nodes mehr geben wird, sondern allenfalls Middleman Tor Nodes.

Da die Vorratsdatenspeicherung eine internationale Kiste ist und in anderen Staaten die Sicherheitsbehörden ebenfalls ihre Beboachtungsnetze auswerfen, gehe ich von der mittel- bis langfristigen Gefahr aus, dass es aufgrund des "Fahndungsdrucks" im Tor Netz mindestens zu großen Löchern kommen wird – Beschwichtigungsversuche und das Herunterspielen der Gefahr von "Tor Executive Directors" sind da auch nicht gerade hilfreich.

Was dem Tor Netz offensichtlich fehlt und mit zu seinem Verhängnis beitragen könnte, sind Funktionen, die geografische Informationen (Stichwort "Geolocation") berücksichtigen:

Auf der einen Seite wird z. B. bei einem Tor Benutzer (oder auch Anbieter eines "versteckten" Tor Dienstes) aus Deutschland bei der Bildung der Verbindungsschaltung aus drei Tor Onion Routern niemals ein Eingangsrouter gewählt, der ebenfalls in Deutschland beheimatet ist.

Auf der anderen Seite erkennt der Ausgangsrouter der Verbindungsschaltung, ob die Anfrage des Tor Benutzers zu einem Zielrechner ausgeleitet wird, der sich im gleichen Land befindet wie der Ausgangsrouter. Ist dies nicht der Fall, übernimmt der Ausgangsrouter wie gewohnt die Kommunikation zum Zielrechner. Ist das der Fall, wird die Verbindungsschaltung entweder um einen anderen Ausgangsrouter ersetzt oder um einen weiteren Router erweitert, der die Ausgangsfunktionen übernimmt. Entweder würde das der ursprüngliche Ausgangsrouter mit dem Ersatz- oder Erweiterungsrouter selbst aushandeln oder eine entsprechende Information zum Tor Benutzer zurücksenden, damit dieser mit dem neuen Ausgangsrouter einen gemeinsamen Sitzungsschlüssel bilden und anschließend die Verbindungschaltung verändert erneuern kann. Auf jeden Fall wird der neue Ausgangsrouter nicht im gleichen Land stehen wie der Zielrechner.

Schematisch kann der Ist-Zustand so ausssehen und zu obigen Konsequenzen führen:

TB(D) --> TOR1(D) --> TOR2(CH) --> TOR3(D) <--> ZR(D)

Wird der deutsche Tor Benutzer TB(D) überwacht, weil er sich z. B. für Informationen zum islamistischen Djihadismus im Internet interessiert – was ein Journalist auf Recherchetour im Netz oder auch ein militanter Islamist sein kann, könnte der deutsche Eingangsrouter TOR1(D) ebenfalls das Interesse der deutschen Sicherheitsbehörden wecken. Findet sich in den "Beobachtungs-Logs" der deutschen Sicherheitsbehörden zum in Deutschland gehosteten Zielrechner ZR (D) die IP-Adresse des deutschen Ausgangsrouter TOR3(D), wird er u. U. Besuch vom BKA/LKA bekommen, mit einer Beschlagnahmung rechnen müssen oder sein Hoster bekommt einen "blauen Brief".

Anders würde der Zustand aussehen, wenn die obigen Informationen berücksichtig würden:

TB(D) --> TOR1(JP) --> TOR2(CH) --> TOR3(CN) <--> ZR(D)

Der deutsche Tor Benutzer TB(D) benutzt als Eingang einen Tor Router in Japan TOR1(JP), die Kommunikation mit einem deutschen Zielrechner ZR(D) wickelt ein Tor Ausgangsrouter in China TOR3(CN) ab.

Noch zur Ergänzung: Ideal, aber selten, würde die Verbindung aussehen, wenn die Zielrechner ihre Informationen per HTTPS und als versteckten Tor Dienst anbieten würden, der ebenfalls mit Auswertung der GeoIP Informationen angeboten wird, da die Sicherheitsbehörden zunächst die realen Adressdaten des Zielrechners in Erfahrung bringen müssten, um überhaupt zu erkennen, welchen Zielrechner sie beobachten müssten. Die SSL/TLS Verschlüsselung würde zusätzlich verhindern, dass an Übergabepunkten Inhaltsdaten im Klartext das Netz passieren.

Das Ganze hätte natürlich nur solange einen Sinn, wie es keine automatischen, unmittelbaren und internationalen Informationsabfragen, -austauschverfahren und Überwachungsersuchen gibt, mit denen z. B. ein Sicherheitsbeamter "auf Knopfdruck" in Erfahrung bringen und ausländische Partnerbehörden informieren könnte, wer TOR3(CN) und ZR(D) ist, was dort ausgetauscht oder abgefragt wurde und warum es geboten ist, Daten für spätere Zugriffe und Auswertungen abzufangen und zu speichern.

IT, Life an me Blogger und Tor Exit Node Betreiber Alexander berichtet in Tor, the feds and me über seine Erfahrungen mit einem Auskunftsersuchen des BKAs nach § 113 des Telekommunikationsgesetzes wegen des "Verdachts auf Besitz von Kinderpornografie", das sich auf die Daten zum Besitzer des Tor Exit Nodes, die Logdateien eines bestimmten Tages zu einer bestimmten Uhrzeit und die Daten seiner "Kunden" bezog.

§ 113 regelt neben der automatisierten Auskunftserteilung an die Regulierungsbehörde per Überwachungsschnittstelle für ersuchende Nachrichtendienste und Polizeibehörden nach § 112 TKG die Möglichkeit für obige Behörden, sich direkt und manuell mit einem Auskunftsersuchen an Mitwirkende und Erbringer geschäftsmäßig betriebener Telkommunikationsdienste zu wenden.

Beide Paragraphen beziehen sich grob gesagt im Kern auf geschäftsmäßig, meistens gegen Entgelt und im großen Stil für die Öffentlichkeit betriebene Telekommunikationsanlagen und -dienste (ISPs, Teko-Provider, Anbieter großer E-Mail Dienste usw.), die mit Vertragsverhältnissen mit Kunden einhergehen, wo Kundenkonten, Logindaten, Rufnummern etc. vergeben und als Bestandsdaten beim Betreiber / Anbieter gespeichert werden und Betreiber / Anbieter regelmäßig aber begrenzt Verkehrsdaten speichern. Die Telekommunikationanlagenbetreiber müssen selbst Überwachungsschnittstellen für die "technische Umsetzung von Überwachungsmaßnahmen" vorhalten (oder die Aufstellung von Überwachungsgeräten für Maßnahmen nach dem G10-Gesetz dulden). Telekommunikationdienstenabieter ohne eigene Anlage müssen sich vergewissern, dass der Betreiber der Telekommunikationsanlagen, die der Diensteanbeiter nutzt, die nötigen Voraussetzungen erfüllt, um Anordnungen zur Telekommunikationsüberwachung umzusetzen und der Regulierungsbehörde mitteilen, welche Dienste er anbietet und wer die Überwachungsmaßnahmen umsetzt. Einzelheiten und Ausnahmen werden in der bekannten Telekommunikationsüberwachungsverordnung (TKÜV) geregelt.

Aus der "Natur" eines Tor Exit Nodes, den Ausnahmen der TKÜV und den anderen Bestimmungen des TKG ergibt sich auch, warum das BKA nach einem Brief des Anwalts von Alexander, in dem auch Tor erklärt wurde, sofort von seinem Auskunftsersuchen zurückgetreten ist.

Wie Alexander in seinem Beitrag nachvollziehbar schreibt, hatte das Auskunftsersuchen einen anderen Charakter als die Beschlagnahmungen und Durchsuchungen gegen Tor Exit Node Betreiber im September 2006, aber verständlicherweise einen beängstigenden Effekt auf den Tor Admin.

Mal aus der Ecke des BKA gedacht – die finden bei Ermittlungen zu XYZ die Tor Exit Node IP in den Überwachungslogs, kennen vielleicht auch Tor (oder auch nicht). Aber auch bei Tor Exit Nodes können sich die IP-Adressen ändern, wenn sie z. B. über den DSL Account mit dynamischer IP-Vergabe betrieben werden oder sie verschwinden sporadisch oder permanent aus dem Tor Verzeichnis. Um dauerhaft Tor Exit Nodes nicht mehr wegen Logfiles anzugehen – weil die nicht vorhanden sind und weil aufgrund des Torprinzips auch mit ihnen, wenn sie vorhanden wären, der eigentliche Verursacher nicht zu identifizieren ist, müsste das BKA also jedesmal einen Abgleich mit dem aktuellen Tor Verzeichnis durchführen, das ja "tote", ehemalige Nodes nicht mehr enthält oder das Tor Verzeichnis auf Vorrat speichern, um einen nachträglichen Abgleich durchzuführen. Das macht das BKA natürlich alles nicht, also geht routinemäßig eine Auskunftsanforderungen raus. Tor Exit Nodes in Deutschland müssen sich also mit dem Gedanken anfreunden, dass sie bzw. ihr Hoster / Provider aufgrund der Arbeitsweise beim BKA auch einmal einen "BKA Brief" erhalten und sollten sich deshalb nicht ins Bockshorn jagen lassen, wie Alexander schreibt, zumal, wie er richtig anfügt, derjenige, der Tor missbräuchlich nutzt, der Kriminelle ist und nicht der Tor Node Betreiber.

Trotzdem kann ich seiner generalisierenden Feststellung, das sei alles eine Verbesserung gegenüber der Aktionen im September, nicht zustimmen, da sich erst noch zeigen muss, ob in Zukunft sein "BKA Brief" die allgemeine Vorgehensweise aller Strafverfolgungsbehörden bleibt – was ich bezweifle und weil solche Auskunftsersuchen auch indirekte und negative Auswirkungen und Konsequenzen befördern können wie in Auf dem Weg zum Tor Crackdown beschrieben.

Von dem Tor Admin, um den es im letztgenannten Beitrag ging, erhielt ich eine neue (und negative) Information, die ich diesmal unbearbeitet zur Verdeutlichung an dieser Stelle wiedergeben möchte: Eine engere Zusammenarbeit zwischen den deutschen Tor Betreibern, wenn sie ihren Tor als Exit Node betreiben oder kollektiv betriebene Tor Exit Nodes sind aus meiner Sicht überlegenswerte Ideen.

Von Karsten N., dem Tor Admin, um den es in Auf dem Weg zum Tor Crackdown ging, gibt es ein paar beunruhigende Neuigkeiten, die für jeden relevant sein könnten, der sich organisatorisch, technisch und praktisch (nicht nur) mit Anonymisierung beschäftigt und sich dazu auch im Internet äußert oder engagiert.

Wie der Tor Admin mitteilte, hat er einige Zeit nach der obigen Geschichte einen anonymen Hinweis erhalten, der besagte, dass gegen ihn eine Maßnahme zur Überwachung seiner Telekommunikation läuft bzw. lief und er in "bestimmten Datenbanken" erfasst worden sei.

Seit Monaten versucht nun der Tor Admin an offizielle Informationen zu gelangen, um welche Maßnahmen und Datenbankerfassung es sich handelt. Zu diesem Zweck hatte er u. a. nach § 495 StPO ein Auskunftsersuchen gestellt, um zu erfahren, ob ein Eintrag gegen ihn zu einem strafrechtlichen Ermittlungsverfahren im Zentralen Staatsanwaltschaftlichen Verfahrensregister (ZStV) vorliegt. Diese Auskunft wurde ihm mit der Information, die zuständige Staatsanwaltschaft habe einem Auskunftsersuchen widersprochen, verweigert.

Auch dem Bundesdatenschutzbeauftragten, den der Tor Admin eingeschaltet hatte, wurde sein Ersuchen um Auskunft mit Verweis auf § 19 Absatz 6 des Bundesdatenschutzgesetzes verweigert. Der Absatz lautet: Kein Wunder, dass der Tor Admin deshalb davon ausgehen muss, dass tatsächlich ein Ermittlungsverfahren gegen ihn läuft, dass sich auf den Verdacht einer Straftat bezieht, die "die Sicherheit des Bundes oder eines Landes gefährdet". Wer dagegen laut § 492 StPO Auskünfte erhält, sind die Strafverfolgungsbehörden. Aktenzeichen und persönliche Daten gehen auch an Landes- und Bundesverfassungsschutz, den MAD und BND, wenn die Geheimdienste "danach fragen".

Laut Aussage des Tor Admins handelt es sich bei den "Straftaten", neben der Publikation von Anleitungen zur Anonymisierung auf anon-web.de, um den Betrieb des Tor Nodes "Knuffel" und des Mixmaster Remailers "awxcnx".

Ihm bleibt jetzt nur noch übrig, einen Anwalt zu beauftragen und für Gegenöffentlichkeit zu sorgen.

Entweder handelt es sich bei dem Vorgehen gegen Karsten N. wieder um eines jener "automatisch" in Gang gesetzten Ermittlungsverfahren einer Staatsanwaltschaft, weil zum Beispiel Nutzer den Mixmaster Remailer von Karsten N. für die missbräuchliche Nutzung anonymer E-Mails verwendet haben und sein Remailer in sichergestellten Logdateien auftauchte oder um ein Beispiel, wohin die Bekämpfung staatlich unregulierter Anonymisierung und Verschlüsselung, die Verdächtigung und Stigmatisierung als terroristischer Untertützer, Symathisant oder Gefährder nach der Sicherheit-Über-Alles Doktrin und die exzessive Nutzung von Datenbanken für "Gefährder" und "Terroristen" im gemeinsamen Zugriff durch Strafverfolgungsbehörden und Geheimdienste führen kann.

Würden zum Beispiel Pläne zur Arrestierung und Isolierung von "Gefährdern der nationalen Sicherheit" und "Terrorverdächtigen" von IT- und Telekommunikationsmitteln in die Tat umgesetzt und ihre Anwendung auf Personen ausgedehnt, die nichts mit Terrorismus in irgendeiner Form zu tun haben, würde das für viele auch einem faktischen Berufsverbot gleichkommen. Von allen anderen Beschädigungen der Grundrechte und -freiheiten mal ganz abgesehen.

Zwischenzeitlich sah sich Karsten N. gezwungen, den Betrieb des Tor Nodes und Mixmaster Remailers einzustellen und die Inhalte der Website zur Anonymisierung im Internet off-line zu nehmen.

Auf der Mailingliste "or-talk" der Anon-Plattform Tor wurde wieder ein Fall bekannt, der einen Tor Ausgangsrouter Betreiber aus Deutschland betrifft.

Gegen den Betreiber wurde zuerst wegen "Computerbetrugs in Tateinheit mit Fälschung beweiserheblicher Daten gemäß Paragrafen 263a, 269, 52 StGB" seitens lokaler Polizeibehörden ermittelt, anschließend ein gerichtlicher Strafbefehl erlassen und im September eine Gerichtsverhandlung durchgeführt, in dem das Gericht ihn zuerst wegen Beihilfe verurteilen wollte und schließlich das Verfahren nach § 153 StPO einstellte. Einen Freispruch gab es jedoch nicht.

Besonders interessant an diesem Fall sind die Argumente und Positionen des Gerichts und der Staatsanwaltschaft, während bei den anderen bekannt gewordenen Fällen die Unkenntnis über Tor und die Vorgehensweisen der Strafverfolgungsbehörden im Mittelpunkt standen. Die Zahl betroffener Betreiber von Tor Ausgangsroutern dürfte höher liegen, da nicht jeder Betreiber öffentlich berichtet, was ihm widerfahren ist. Es fällt jedoch auf, dass sich zumeist Betreiber aus Deutschland zu Wort melden.

Was Mirko Thiesen, der als Netzwerk-Administrator am Max-Planck-Institut für biologische Kybernetik beschäftigt ist und seit mehreren Jahren den Tor Ausgangsrouter "NetWorkXXIII" betreibt, als Tor Administrator mit deutschen Justizbehörden erlebt hat, schildert er am besten – wie ich finde – mit seinen eigenen Worten:

Seit mehreren Jahren betreibe ich, abgesehen von einer mehrmonatigen Unterbrechung in diesem Jahr aufgrund von wiederholten DDoS-Attacken, einen Knoten im Tor-Netzwerk (NetWorkXXIII).

Im Juni erhielt ich einen Brief der örtlichen Polizei, in dem man mir mitteilte, dass gegen mich ein Ermittlungsverfahren wegen Computerbetrugs in Tateinheit mit Fälschung beweiserheblicher Daten im Gange sei. Man gab mir als Beschuldigtem die Möglichkeit, mich dazu persönlich bei einem Gespräch in den Räumlichkeiten der Polizei zu äußern. Da ich mir nichts vorzuwerfen hatte, beschloss ich, diese Gelegenheit nicht wahrzunehmen – jemand so Redseliges wie ich würde sich sicher nur in (zusätzliche) Schwierigkeiten reden. Zudem war schon klar, dass ich zum fraglichen Termin gar nicht in meinem Wohnort sein würde.

Im September wurde mir per Postzustellungsurkunde ein Strafbefehl des örtlichen Amtsgerichts zugestellt. So erfuhr ich zum ersten Mal von den konkreten Vorwürfen, die man mir machte. Eine Richterin hatte mich für schuldig befunden, einen Gutschein über 51 EUR unter Angabe fremder Adressdaten bei amazon.de bestellt und mir diesen an eine eigens dafür bei Web.de eingerichtete Emaillenadresse geschickt lassen zu haben. Ich sollte eine Strafe in Höhe von 500 EUR zahlen.

Da ich den Gutschein nicht bestellt hatte, legte ich form- und fristgerecht Einspruch gegen den Strafbefehl ein, was nach deutschem Recht zu einer Hauptverhandlung führte. Diese Hauptverhandlung fand am 15. November statt.

Der Strafbefehl listete vier Zeuginnen und Zeugen (die Person, deren Adressdaten verwendet worden waren, einen Polizeibeamten aus dem Nachbarort dieser Person, einen Polizeibeamten aus meinem Wohnort und eine Angestellte von amazon.de) auf, von denen allerdings niemand zur Hauptverhandlung geladen wurde. Ich war selbst mal Schöffe (allerdings in einem anderen Teil der Republik), und aus meiner Erfahrung heraus würde ich sagen, dass es ein positives Zeichen ist, wenn zur Hauptverhandlung keine Zeuginnen und Zeugen geladen werden. Immerhin hat das Gericht dann ja neben der Akte nur die Aussage der/des Angeklagten, auf die es sich stützen kann.

Was soll ich sagen – erstens kommt es anders und zweitens als man denkt. Nach der obligatorischen Feststellung der Personalien sagte die Richterin sofort, dass sie überhaupt keine Zweifel habe, dass ich den Gutschein bestellt hätte. Ich erklärte daraufhin, was das Tor-Netzwerk ist und wie es funktioniert. Ihre Reaktion darauf war die Frage: "Ist das illegal?" Und spätestens ab da war mir klar, dass die Richterin nicht nur keine Ahnung von Technik hatte, sondern auch, dass sie mich für dumm hielt. Wenn es denn wirklich illegal wäre, würde ich das ihr gegenüber zugeben? Ich antwortete ihr, dass es nicht illegal sei, einen Tor-Knoten zu betreiben, da ich es sonst ja nicht tun würde.

Sowohl der Staatsanwalt als auch die Richterin haben, denke ich, relativ schnell erkannt, dass ich wohl tatsächlich nicht der Besteller des Gutscheins war. Was dann aber folgte, ist beinahe schon absurd: Anstatt einfach zuzugeben, dass hier wohl ein Ermittlungsfehler vorliege (immerhin sind Staatsanwaltschaft und Polizei gehalten, alle Aspekte einer Straftat aufzuklären und nicht einfach irgendeiner Person, die vielleicht auf den ersten Blick schuldig sein könnte, den Prozess zu machen), fiel auf einmal der Begriff der "Beihilfe". Ich merkte an, dass (Computer-)Betrug doch ein Vorsatzdelikt sei – man könne niemanden fahrlässig betrügen. Daraufhin sagte die Richterin, dass man prüfen müsse, ob ich meinen Tor-Knoten nicht vielleicht gerade deshalb betreibe, um aktive Beihilfe zu solchen Betrugsdelikten zu leisten.

Mal ganz direkt gesagt: Eine solche geistige Tiefflugleistung habe ich selten in meinem Leben erlebt. Wer bitte würde wissentlich und vorsätzlich irgendwelchen wildfremden Leuten helfen, wen anders zu betrügen, ohne dadurch selbst den geringsten Vorteil zu haben – das Risiko eines Strafverfahrens jetzt mal nicht als Vorteil gezählt?

In der Hoffnung, ihr die Widersinnigkeit ihrer Argumentation vor Augen zu halten, fragte ich, wie es sich denn mit der Post verhalte, wenn diese eine Briefbombe oder einen Erpresserbrief zustelle. Mache diese sich dann auch der Beihilfe oder gar einer Mittäterschaft oder so schuldig? Ihre Antwort war, dass man diese beiden Dinge nicht vergleichen könne – die Post erbringe eine Transport-, ich hingegen eine Anonymisierungsdienstleistung.

Um die Geschichte kurz zu machen: Man bot mir eine Einstellung des Verfahrens nach § 153 StPO an. Das ist kein Freispruch, nur eine Einstellung des Verfahrens. Meine Frage, was denn geschehen müsse, damit das Gericht zu einem Freispruch gelange, stieß auf wenig fruchtbaren, ich würde sogar beinahe unfruchtbaren Boden sagen wollen. Der Staatsanwalt sagte, wenn ich "hier den dicken Maxen machen" wolle, dann könne ich das gerne haben. Dann "könnten wir die "Dame von amazon.de und die anderen alle laden. Mir soll's recht sein!'". Die Richterin stimmte ein: Man werde schon was finden, um mir Beihilfe nachzuweisen.

Aufgrund der geschilderten Ereignisse hatte ich hatte nicht den Eindruck, dass irgendjemand außer mir an einem fairen Verfahren interessiert war, weshalb ich schließlich der Einstellung zustimmte. Richterin und Staatsanwalt ließen es sich nicht nehmen, wiederholt darauf hinzuweisen, dass ich beim nächsten Mal sicher nicht so billig davonkommen würde.

Und da bin ich nun – so halb für schuldig befunden worden, zu Lasten einer Person, die ich überhaupt nicht kenne, amazon.de, deren Website ich in meinem ganzen Leben sicher nicht öfter als fünfmal und in den letzten bestimmt drei Jahren überhaupt nicht aufgerufen habe, um einen 51-EUR-Gutschein betrogen zu haben, unter Zuhilfenahme eines Rechners, dessen Miete mich jeden Monat 69 EUR kostet.

Ganz ehrlich: Ich bin absolut enttäuscht von der Art und Weise, wie diese Gerichtsverhandlung abgehalten wurde. Auch weiß ich nicht, ob das typisch für Süddeutschland ist. Aber ich meine mich zu erinnern, dass zumindest in den Gerichtsverhandlungen, denen ich als Schöffe beiwohnte, die Angeklagten mit Respekt behandelt wurden. Vor allem dann, wenn ihre Schuld alles andere als erwiesen war. Die Richterin und der Staatsanwalt an diesem Amtsgericht ließen ganz klar durchblicken, wie sehr sie mich verachten – weil ich nicht geständig und nicht dankbar für das Angebot der Verfahrenseinstellung war, und weil ich weiterhin dieses komische kriminelle Ding betreibe, wovon sie nichts verstehen.

Als Anmerkung und weil die zwei Punkte den einen oder anderen interessieren dürften: Mirko betreibt den Tor Ausgangsrouter NetWorkXXIII privat auf eigene Kosten bei EUserv/ISPpro Internet und nicht im RZ des Instituts. Er gedenkt, NetWorkXXIII auch weiterhin als Ausgangsrouter zu betreiben.

Mit dem neuerlichen Vorfall wurde auf der or-talk Mailingliste auch wieder stärker über eine Vereinigung aller deutschen Tor Router Betreiber diskutiert, die finanzielle Mittel sowie Rat und Tat für Auseinandersetzungen mit Ermittlungsbehörden bereitstellen will. In dieser Hinsicht, aber auch auf andere Anon-Plattformen bezogen, will sich vielleicht auch der German Privacy Foundation Verein engagieren, der sich gerade im Gründungsprozess befindet. Da die Diskussionsvorgänge in der Foundation noch nicht abgeschlossen sind, steht die genaue Ausrichtung noch aus.

Roger Dingledine, einer der Projektleiter des Tor Projekts wies darauf hin, dass es wichtig und nützlich sei, mehr Journalisten und Medienvertretern die Hintergründe des Tor Projekts zu erklären und wies in dem Zusammenhang auf die Erfolge hin, die man in den USA erzielt habe, die dann indirekt auch wieder den Betreibern der Tor Router zugute kommen.

Als Beispiel führte er eine nicht namentlich genannte größere Nachrichtenorganisation an, die Anfragen vom US-Außenministerium erhielt, wie sie an neue Informationen aus dem Innern eines Landes in Asien erhalten konnte, worauf das Presseorgan das Außenministerium auf die Nutzung von Tor hinwies. Nebenbei eine Anekdote, die wieder einmal aufzeigt, wie wichtig Anon-Plattformen – neben vielen Anwendungszwecken – für die Presse- und Meinungsfreiheit und die Umgehung staatlicher Zensurmaßnahmen sind.

Daneben sei weiterhin auch die Informierung und Aufklärung von Anwälten, Vertretern von Strafverfolgungsbehörden und Richtern über Tor nötig, so Dingledine (wie ich hinzufügen will: auch der Politiker).

Zu diesem Zweck wird sich Dingledine nach dem kommenden 24C3 Kongress des Chaos Computer Clubs in der ersten Januarwoche nach dem Jahreswechsel weiter in Deutschland aufhalten und sich dann gerne mit den oben genannten Personenkreisen über Tor austauschen, wofür er noch Gsprächspartner sucht. In den USA habe er einige produktive Gespräche mit FBI Beamten geführt, ebenso mit Strafverfolgungsbehörden in Norwegen und mit einigen Leuten des Bundesamtes für Sicherheit in der Informationstechnik (BSI), jedoch nicht mit Vertretern der "traditionellen Strafverfolgungsbehörden" in Deutschland.

Von anderer Seite hörte ich, dass ähnliche Anstrengungen in Deutschland selbst unternommen werden sollen, um deutsche Staatsschutzabteilungen über die Hintergründe und den Zweck von Tor aufzuklären.

Der Kampf um den Erhalt anonymer Infra- und Kommunikationstrukturen in Deutschland geht weiter, denn sollte sich die Vorratsdatenspeicherung durchsetzen können und sich die präventive, verdachts- und anhaltslose Überwachung des Internets ausweiten, werden sie wichtiger denn je werden.

Siehe auch:
Bruce Schneier - Redefining Privacy