Der Angriff auf das Anonymisierungsnetzwerk Tor vom vergangenen Wochenende macht Hacker und Aktivisten nervös. "Tor ist tot", schreibt der Hacker und Blogger Felix von Leitner, besser bekannt als Fefe. Der Blogger Michael Seemann drückt es ebenfalls wenig vornehm aus: "Wäre ich Tor-Nutzer, würde ich mir nun ins Hemd scheißen."

Grund für die Aufregung sind die Untersuchungen des Baneki Privacy Labs, einem Zusammenschluss von Sicherheitsforschern und Netzaktivisten. Die besagen, dass hinter dem Versuch, Nutzer des Tor-Netzwerks durch Schadsoftware zu enttarnen, nicht das FBI steckt, wie zunächst vermutet wurde – sondern die NSA.

Die Attacke begann, als der 28-jährige Eric Eoin Marques in Irland verhaftet wurde, weil er bei der Verbreitung von Kinderpornografie im Tor-Netzwerk eine wesentliche Rolle gespielt haben soll. Marques gilt als Gründer des Untergrund-Providers Freedom Hosting, der Server für sogenannte Hidden Services zur Verfügung stellte. Das sind Websites mit Adressen wie http://idnxcnkne4qt76tg.onion, die nur über den Anonymisierungsdienst Tor erreichbar sind und deren Betreiber im Normalfall ebenso unerkannt bleiben wie seine Besucher. 

Die Kunden von Freedom Hosting beobachteten nach der Festnahme, dass ihre eigenen Websites plötzlich einen Schadcode auslieferten – offenbar wurden die Server von Freedom Hosting kompromittiert.


Die Schadsoftware hatte nur einen Zweck: Daten über die Nutzer von Tor zu sammeln, um sie beziehungsweise ihre Computer identifizieren zu können. Betroffen waren Nutzer des Tor Browser Bundles für Windows in einer nicht mehr ganz aktuellen Version – also nur ein Teil der Tor-Nutzer. Deren Daten aber wurden an eine IP-Adresse weitergeleitet, die zunächst mit dem Internetprovider Verizon und der US-Bundespolizei FBI assoziiert wurde – was schlimm genug wäre.

Die Aktivisten der Baneki Privacy Labs aber forschten weiter und kamen zu einem anderen Schluss: Die Daten der Tor-Nutzer wurden demnach an eine IP-Adresse geleitet, die dem Unternehmen Saic (Sciene Applications International Corporation) gehört, einem der größten Dienstleister für das US-Verteidigungsministerium, die Heimatschutzbehörde und die Geheimdienste der USA. Bei genauerem Hinsehen zeigte sich, dass die IP-Adresse zu einem Block gehörte, den Saic der NSA zuweist.

Diese Nachricht war es, die nicht nur bei deutschen Hackern und Aktivisten für Zweifel an Tor sorgte – einem Dienst, der nach eigenen Angaben 60 Prozent seines Geldes von verschiedenen Stellen der US-Regierung bekommt und dennoch bislang als kaum überwachbar galt.