Das Pentagon in Washington, Sitz des US-Verteidigungsministeriums © Jason Reed / Reuters

Im November 2015 ging Roger Dingledine, einer der Gründer des Tor-Projekts, mit einem furchtbaren Verdacht an die Öffentlichkeit: Das FBI habe Forschern der Carnegie Mellon University (CMU) eine Million Dollar bezahlt, damit sie Nutzer des Anonymisierungsnetzwerk enttarnen.

Dingledine bezog sich auf einen Vorfall aus dem Jahr 2014. Über einen Zeitraum von sechs Monaten hatten zwei CMU-Forscher damals das Tor-Netzwerk unterwandert und einen Weg gefunden, dessen Nutzer massenhaft zu deanonymisieren – ob sie nun kriminell waren oder nicht. Die Tor-Entwickler hatten den Angriff zwar bemerkt, aber lange nicht ernst genommen.

Die gute Nachricht ist nun: Dingledine lag falsch, das FBI hat die Forscher nicht bezahlt. Die schlechte: Es war das Pentagon.

Doppelt bittere Erkenntnis für das Tor-Netzwerk

Das geht aus Unterlagen hervor, die im Zuge eines Gerichtsprozesses in Seattle veröffentlicht wurden. Angeklagt ist ein Mann, der am Drogenhandel auf der Handelsplattform Silk Road 2.0 beteiligt gewesen sein soll. Die Seite war im Tor-Netzwerk angesiedelt und nur von Nutzern der Tor-Software erreichbar. Sinn und Zweck der Technik ist es, die Identität von Nutzern und Anbietern voreinander und vor allem vor Dritten zu verbergen, indem ihre wahren IP-Adressen verschleiert werden.

In dem Schreiben des Richters Richard Jones heißt es: "Die IP-Adresse des Angeklagten wurde vom Software Engineering Institute (SEI) der Carnegie Mellon University identifiziert, als das SEI wissenschaftliche Forschungsarbeiten im Tor-Netzwerk durchführte, die vom Verteidigungsministerium finanziert wurden."

Damit bestätigte sich Dingledines Verdacht zumindest prinzipiell. Der Auftraggeber war zwar ein anderer, und ob die CMU-Forscher wirklich eine Million Dollar bekamen, ist auch noch unklar. Belegt ist nun aber, dass die US-Regierung ein privates Forschungsinstitut bezahlt hat, damit es eine Anonymisierungstechnik schwächt, die andererseits seit Jahren finanziell von der Regierung gefördert wird.

Für das Projekt ist das doppelt bitter: Zum einen ist es auf Hilfe der wissenschaftlichen Community angewiesen, um Schwächen in seinem Netzwerk und seiner Technik entdecken und beheben zu können. Schließlich verlassen sich neben Kriminellen auch Journalisten, Aktivisten, Dissidenten und Behörden darauf, dass Tor sie vor Überwachung schützt oder ihnen hilft, Zensur zu umgehen. Nach der CMU-Attacke aber sahen sich die Entwickler gezwungen, verstärkt auf ungewöhnliche Aktivitäten im Netzwerk zu achten und diese im Zweifel schnell zu unterbinden. Auch auf die Gefahr hin, wertvolle Forschungsarbeit dadurch im Keim zu ersticken, wie Tor-Chefarchitekt Nick Mathewson sagte.

Zum anderen zeigt der Vorfall, dass Freund und Feind manchmal nicht voneinander zu unterscheiden sind. Neben dem Außenministerium und weiteren regierungsnahen Organisationen hat nämlich auch das Pentagon das Tor-Projekt in der Vergangenheit finanziell unterstützt – wenn auch nur über Umwege.

Crowdfunding brachte dem Tor-Projekt 205.874 Dollar

Um in Zukunft weniger abhängig von der Regierung zu sein, hatten die Projektleiter Ende 2015 eine Crowdfunding-Kampagne initiiert. In deren Verlauf kamen rund 205.000 Dollar zusammen. Gemessen am Bedarf ist das wenig. Aus den Geschäftsberichten der vergangenen Jahre geht hervor, dass allein die bestbezahlten Mitarbeiter des Projekts, zu denen auch Dingledine gehört, jeweils zwischen 100.000 und 150.000 US-Dollar pro Jahr bekommen.

Der Tor-Mitgründer hatte im November nicht verraten, woher er seine Informationen über die angebliche Verwicklung des FBI hatte. Und auch wenn sein konkreter Vorwurf nicht mehr haltbar ist, zeigen die Gerichtsunterlagen aus Seattle zumindest, wie die US-Bundespolizei den Verdächtigen erwischen konnte: Sie wusste demnach von der Arbeit der CMU-Forscher – woher, ist offiziell unklar – und verlangte die Herausgabe der IP-Adresse auf der Grundlage einer entsprechenden Subpoena, also einer strafbewehrten rechtlichen Anordnung, der sich die Privat-Uni nicht widersetzen konnte.

Das FBI wollte entsprechende Nachfragen von Vice Motherboard nicht beantworten. Auf frühere Anfragen von US-Medien zu dem Fall hatte die Behörde geantwortet: "Der Vorwurf, wir hätten Carnegie Mellon eine Million Dollar gezahlt, ist falsch". Wörtlich: inaccurate.