TOR für B2B-Anwender

Gute Mitarbeiter, böse Mitarbeiter

10.06.2015 von Fred Touchette

The Onion Router - kurz "Tor"- ist ein Netzwerk, das Web-Verbindungsdaten und Identitäten verschleiert und so die anonyme Nutzung des Internet ermöglicht. Wir erklären, wie es funktioniert, wann es eingesetzt und eher nicht eingesetzt werden sollte und ob sich Unternehmen damit beschäftigen müssen.

Tor verschlüsselt Internet-Verbindungsdaten auf mehreren Ebenen - wie die Häute einer Zwiebel.
Diese Anonymität ist für Kriminelle äußerst attraktiv, die Gruppe "Silk Road" machte jüngst von sich reden. Auch ein sächsischer Dark-Web-Drogenhändler flog kürzlich auf.
Für Unternehmen kann es sinnvoll sein, bestimmten Mitarbeitern das Arbeiten mit Tor zu erlauben. Es gilt jedoch, die richtigen Vorkehrungen zu treffen.

Tor routet den Internet-Datenstrom durch ein freies Netzwerk, getragen von Freiwilligen, die das sogenannte "Onion Network" am Leben halten. Sie tragen innerhalb dieses Netzes dafür Sorge, dass jedwede Kommunikation anonymisiert abläuft. Das zumindest ist der Plan. Die Anonymisierungstechnik Onion Routing ist seit Mitte der 1990er Jahre bekannt und wurde ursprünglich im U.S. Naval Research Laboratory entwickelt, um (geheime) Verschlusssachen zu schützen. Im Jahr 2002 veröffentlichte das Labor dann den Quellcode für das Onion Routing als frei verfügbare Lizenz. Ab da übernahm das Non-Profit-Projekt "The Onion Routing Project" das Netzwerk.

Zur Einführung gibt es ein kleines Glossar mit den wichtigsten Fachbegriffen rund um Tor:

Tor verschlüsselt die Daten auf mehreren Verschlüsselungsebenen, wie die sprichwörtlichen Häute einer Zwiebel. Die Daten bewegen sich dabei in einem Kreislauf: Innerhalb des Tor-Netzwerks passiert jedes einzelne Datenpaket eine eigene Verschlüsselungsebene bis es schließlich seinen Bestimmungsort erreicht. Mit anderen Worten, jede Verschlüsselungsebene wird sozusagen gleich einer Zwiebelhaut "abgezogen", bevor die nächste Stufe des Transits sichtbar wird. Das passiert jedes Mal, wenn die Kommunikationsdaten einen Tor-Knotenpunkt passiert. Bis schließlich die letzte Verschlüsselungsebene beim Empfänger entfernt wird.

Tor und die Anonymität

Innerhalb des Tor-Netzwerkes sind verschiedene, nicht offen zugängliche Dienste verborgen, die ausschließlich über dieses Netzwerk zu erreichen sind. Dieser Bereich wird von vielen als sogenanntes "Dark Web" oder "Deep Web" bezeichnet, wo beispielsweise Instant-Messaging-Dienste, E-Mail und Webseiten verfügbar sind.

Diese Web-Seiten nutzen Pseudo-Top-Level-Domains. Oder aber sie verwenden [dot]onion und Domänennamen, die wie ein 16-stelliger, alpha-numerischer Zufalls-Hashwert aussehen. Dieser wird genau in dem Moment über einen öffentlichen Schlüssel generiert, in dem ein Benutzer damit beginnt die Seite zu konfigurieren.

.onion ist keine echte Top-Level-Domain, so dass die Seiten über traditionelle DNS nicht gefunden werden. Stattdessen verhält sich jeder einzelne Knoten im Tor-Netzwerk wie eine Art DNS-Server.

Er entscheidet, ob die angefragte Seite auf genau diesem Knoten existiert oder nicht. Falls nicht, leitet er die Anfrage zum nächsten Knoten weiter und der Prozess beginnt wieder von vorne. Diese Vorgehensweise verspricht demjenigen, der eine bestimmte Seite aufrufen will, Anonymität. Denn bevor die Anfrage ihren Bestimmungsort erreicht, verfügt sie immer nur über genau die Informationen des jeweils zurückliegenden Knotens. Und nicht über Details zum tatsächlichen Ursprungsort.

Die dunkle Seite

Diese Anonymität hat es allerdings in sich, denn sie ist für "die Guten" nicht weniger interessant als für die weniger Guten. So kann sich eine Familie, vor allem die Kinder, mit Hilfe von Tor schützen oder Werbeagenturen und große Datenbanken auf Tor zurückgreifen, wenn nicht offensichtlich werden soll, wo und wie sie Informationen im Web zusammentragen. Tor wird benutzt, um die Zensur eines Landes zu umgehen.

Das erlaubt es beispielsweise Dissidenten, miteinander in Kontakt zu treten und sich auszutauschen in Ländern, in denen Internetverbindungen extrem begrenzt sind. Auch Journalisten, die beispielsweise für Reporter ohne Grenzen unterwegs sind, benutzen Tor zu ihrer eigenen persönlichen Sicherheit, wenn sie über und von den Gefahrenherden aus berichten.

So surfen Sie absolut anonym im Internet

Private Browsing
Alle gängigen Internet-Browser bieten eine Funktion für so genanntes „Private Browsing“. Manche Nutzer glauben, mit dieser Funktion wären sie unerkannt im Internet unterwegs. Hier liegt ein Missverständnis vor. Die Private-Browsing-Funktion ist in erster Linie dafür gedacht, keine Surfspuren auf dem PC zu hinterlassen. Sie löscht am Ende eines Internetausflugs den Browser-Verlauf und die Cookies. Fazit: Unerkanntes Surfen klappt mit dieser Funktion nicht.

Tor - Der Anonymisierungs-Dienst
Die Software Tor-Browser kostet nichts und kommt fertig konfiguriert mit dem Internet-Browser Firefox in einer portablen, also sofort startfähigen Version. Tor arbeitet ähnlich wie ein Peer-to-Peer-Dateitauschprogramm. Ruft ein Nutzer eine Internetseite auf, verbindet ihn die Software zunächst mit einem anderen Tor-Nutzer, bei dem die Software läuft. Dieses Tor-Programm baut eine getrennte Verbindung zu einem weiteren PC auf, auf dem sich wiederum Tor befindet. Bei jedem PC ändert sich die IP-Adresse. Frühestens der vierte Tor-Computer arbeitet als so genannter „Tor-Exit-Server“ und ruft die angeforderte Seite aus dem Internet ab und liefert ihre Inhalte an alle Glieder der Verbindungskette zurück. Ein besuchter Internetdienst hat es sehr schwer, einen Tor-PC zu identifizieren. Allerding ist auch das Tor-System angreifbar. Bereits zwei mal ist bekannt geworden, dass ein Großteil der aktiven Tor-Rechner zumindest zeitweise von einem Geheimdienst betrieben wurden. Und wenn eine Partei genügend Tor-Rechner kontrolliert, dann kann er auch die Daten der anderen Teilnehmer verfolgen. Fazit: Tor ist ein wirkungsvolles System fürs unerkannte Surfen im Web. Perfekt ist auch dieser Schutz nicht.

JonDo / JAP
Die Software JonDo / JAP leitet Ihre Anfragen ins Internet über eine Kaskade von Anonymisierungs-Servern. Das System wurde an deutschen Universitäten entwickelt und ist gut dokumentiert. Die Version JAP (http://anon.inf.tu-dresden.de/) kann kostenlos genutzt werden. Wer eine höhere Übertragungsgeschwindigkeit nutzen möchte, kann den kommerziellen Ableger JonDo verwenden. Fazit: JAP ist sowohl in der freien als auch der kommerziellen Variante empfehlenswert. Ihre IP-Adresse wird effektiv verschleiert.

VPN-Dienst als Tarnkappe einsetzen
Per VPN (Virtual Private Network) baut Ihr PC eine verschlüsselte Verbindung zu einem VPN-Server im Internet auf. Von dort aus surfen Sie mit der IP-Adresse des VPN-Servers wie gewohnt im Internet. Sollte ein Gesetzeshüter oder jemand anderes die Internet-Spur eines VPN-Nutzers zurückverfolgen, würde er beim Betreiber des VPN-Servers landen. Fazit: VPN-Dienste verschleiern die IP-Adresse eines PCs effektiv. Abhängig von der Konfiguration des PCs und natürlich abhängig von Ihrem Surfverhalten, können Sie per VPN weitgehend unerkannt im Internet agieren.

Aber es gibt auch die andere Seite des Deep Web. Denn naturgemäß gewährt es allen Nutzern gleichermaßen Anonymität. Auch denen, die weit weniger hehre Motive haben, ihre Identität zu verschleiern.

Eine dieser Gruppen, die sich, The Dark Web und Tor jüngst erfolgreich in die Schlagzeilen gebracht haben, sind die Mitglieder von "The Silk Road". Eine Art Online-Basar, der sich vor allem auf den Handel mit Drogen und nicht frei zugänglichen elektronischen Geräten spezialisiert hat. Und tatsächlich findet man innerhalb des Tor-Netzwerkes eine ganze Reihe von illegalen Angeboten: Beispielsweise Produkte, die urheberrechtlich oder durch Handelsabkommen geschützt sind, Foren, in denen gestohlene Kreditkartenummern angeboten werden sowie alle denkbaren Varianten von Hackertools und diverse Malware zum freien Verkauf oder zur Miete.

Sogar Gruppierungen, die hinter Ransomware wie CryptoLocker stehen, haben damit begonnen, ihre Erpressungsversuche über Tor abzuwickeln. Sie benutzen dazu Kryptowährungen wie Bitcoin um gegenüber Behörden wie Opfern gleichermaßen anonym zu bleiben. Und einige andere Geschäftsmodelle bewegen sich in einer Grauzone zwischen legal und illegal.

In Sachsen flog kürzlich ein Drogenhändler auf, der über das Dark Web Kokain, Ecstasy, LSD und Marihuana vertrieb - Bestellung im Netz via Tor, Zahlung per Vorkasse, Lieferung post Post. Nach einjähriger Ermittlungszei nahm die Leipziger Polizei den Drogenhändler fest und beschlagnahmte 360 Kilogramm Stoff mit einem Marktwert von mehr als vier Millionen Euro.

Tor im Unternehmen?

Unternehmen, die über ihre eigene kritische Infrastruktur, ihre Sicherheitsvorkehrungen oder Strategien kommunizieren und dies so weit wie möglich anonym tun wollen, entscheiden sich vielleicht für Tor. Genau dieselben Unternehmen beschäftigen aber möglicherweise Mitarbeiter, die Tor benutzen um die Firmen-Firewalls zu umgehen oder unerkannt während der Arbeitszeit zu surfen. Dazu zwei hypothetische Szenarien:

Szenario 1: Tor kann für Unternehmen aus unterschiedlichen Gründen attraktiv sein. Eine grundlegende Motivation besteht darin, dass es einem Unternehmen dieselbe Art von Anonymität bietet wie jedem anderen auch, der das Netzwerk benutzt.

Beispielsweise lässt sich trefflich auf den Websites der Wettbewerber surfen, ohne genau diesen Wettbewerb darauf aufmerksam zu machen, dass man tatsächlich miteinander konkurriert. Man kann sich also dieselbe Art von Informationen beschaffen wie jeder andere. Auch dann, wenn das betreffende Unternehmen den Datenverkehr filtert.

Tor eignet sich aber vor allem auch dann, wenn man Whistleblowern eine Chance geben will, dem betreffenden Unternehmen unerkannt Hinweise und Nachrichten zu übermitteln. Mailboxen und Websites, die nur über das Tor-Netzwerk zugänglich sind beziehungsweise nur in Tor existieren, garantieren dem Whistleblower schützende Anonymität. Eine nicht unübliche Praxis, die Medien wie die Washington Post und The Guardian bereits nutzen.

Die Lehren aus der NSA-Affäre

Viktor Mayer-Schönberger, Professor für Internet Governance and Regulation
"Es geht nicht mehr um das Ausspähen der Gegenwart, sondern um einen Einblick in die Zukunft. Das ist der Kern von Prism. Präsident Obama hat schon recht, wenn er sagt, die von Prism gesammelten Daten seien doch für sich genommen recht harmlos. Er verschweigt freilich, dass sich daraus statistische Vorhersagen gewinnen lassen, die viel tiefere, sensiblere Einblicke gewähren. Wenn uns nun der Staat verdächtigt, nicht für das was wir getan haben, sondern für das was wir – durch Big Data vorhersagt – in der Zukunft tun werden, dann drohen wir einen Grundwert zu verlieren, der weit über die informationelle Selbstbestimmung hinausgeht."

Prof. Dr. Gunter Dueck, Autor und ehemaliger CTO bei IBM
"Ich glaube, die NSA-Unsicherheitsproblematik ist so ungeheuer übergroß, dass wir uns dann lieber doch gar keine Gedanken darum machen wollen, so wie auch nicht um unser ewiges Leben. Das Problem ist übermächtig. Wir sind so klein. Wir haben Angst, uns damit zu befassen, weil genau das zu einer irrsinnig großen Angst führen müsste. Wir haben, um es mit meinem Wort zu sagen, Überangst."

Oliver Peters, Analyst, Experton Group AG
"Lange Zeit sah es so aus, als würden sich die CEOs der großen Diensteanbieter im Internet leise knurrend in ihr Schicksal fügen und den Kampf gegen die Maulkörbe der NSA nur vor Geheimgerichten ausfechten. [...] Insbesondere in Branchen, die große Mengen sensibler Daten von Kunden verwalten, wäre ein Bekanntwerden der Nutzung eines amerikanischen Dienstanbieters der Reputation abträglich. [...] Für die deutschen IT-Dienstleister ist dies eine Chance, mit dem Standort Deutschland sowie hohen Sicherheits- und Datenschutzstandards zu werben."

Dr. Wieland Alge, General Manager, Barracuda Networks
"Die Forderung nach einem deutschen Google oder der öffentlich finanzierten einheimischen Cloud hieße den Bock zum Gärtner zu machen. Denn die meisten Organisationen und Personen müssen sich vor der NSA kaum fürchten. Es sind die Behörden und datengierigen Institutionen in unserer allernächsten Umgebung, die mit unseren Daten mehr anfangen könnten. Die Wahrheit ist: es gibt nur eine Organisation, der wir ganz vertrauen können. Nur eine, deren Interesse es ist, Privatsphäre und Integrität unserer eigenen und der uns anvertrauten Daten zu schützen - nämlich die eigene Organisation. Es liegt an uns, geeignete Schritte zu ergreifen, um uns selber zu schützen. Das ist nicht kompliziert, aber es erfordert einen klaren Willen und Sorgfalt."

James Staten, Analyst, Forrester Research
"Wir denken, dass die US-Cloud-Provider durch die NSA-Enthüllungen bis 2016 rund 180 Milliarden Dollar weniger verdienen werden. [...] Es ist naiv und gefährlich, zu glauben, dass die NSA-Aktionen einzigartig sind. Fast jede entwickelte Nation auf dem Planeten betreibt einen ähnlichen Aufklärungsdienst [...] So gibt es beispielsweise in Deutschland die G 10-Kommission, die ohne richterliche Weisung Telekommunikationsdaten überwachen darf."

Benedikt Heintel, IT Security Consultant, Altran
"Der Skandal um die Spähprogramme hat die Akzeptanz der ausgelagerten Datenverarbeitung insbesondere in den USA aber auch in Deutschland gebremst und für mehr Skepsis gesorgt. Bislang gibt es noch keinen Hinweis darauf, dass bundesdeutsche Geheimdienste deutsche IT-Dienstleister ausspäht, jedoch kann ich nicht ausschließen, dass ausländische Geheimdienste deutsche Firmen anzapfen."

Viktor Mayer-Schönberger, Professor für Internet Governance and Regulation
"Die NSA profitiert von ihren Datenanalysen, für die sie nun am Pranger steht, deutlich weniger als andere US-Sicherheitsbehörden, über die zurzeit niemand redet. Das sind vor allem die Bundespolizei FBI und die Drogenfahnder von der DEA. [...] Es gibt in der NSA eine starke Fraktion, die erkennt, dass der Kurs der aggressiven Datenspionage mittelfristig die USA als informationstechnologische Macht schwächt. Insbesondere auch die NSA selbst."

Aladin Antic, CIO, KfH Kuratorium für Dialyse und Nierentransplationen e.V.
"Eine der Lehren muss sein, dass es Datensicherheit nicht mal nebenbei gibt. Ein mehrstufiges Konzept und die Einrichtung zuständiger Stellen bzw. einer entsprechenden Organisation sind unabdingbar. [...] Generell werden im Bereich der schützenswerten Daten in Zukunft vermehrt andere Gesichtspunkte als heute eine Rolle spielen. Insbesondere die Zugriffssicherheit und risikoadjustierte Speicherkonzepte werden über den Erfolg von Anbietern von IT- Dienstleistern entscheiden. Dies gilt auch für die eingesetzte Software z.B. für die Verschlüsselung. Hier besteht für nationale Anbieter eine echte Chance."

ein nicht genannter IT-Verantwortliche einer großen deutschen Online-Versicherung
"Bei uns muss keiner mehr seine Cloud-Konzepte aus der Schublade holen, um sie dem Vorstand vorzulegen. Er kann sie direkt im Papierkorb entsorgen."

Szenario 2: Auch Angestellte haben die Möglichkeit, Tor zu benutzen und umgehen damit möglicherweise Restriktionen für das Surfen im Internet oder Regeln der Unternehmens-Firewall. Regeln, die dazu dienen sollten, das interne Netzwerk vor potenziell gefährlichen Websites zu schützen und die Acceptable Use Policy (AUP) zu stärken.

Das ist natürlich nicht das Ende vorstellbarer Szenarien. Der Schaden, den ein Mitarbeiter seinem Unternehmen zufügt, ist ungleich größer, sollte er beispielsweise illegale Käufe tätigen oder verborgene Dienste installieren im Netzwerk installieren.

Zugang begrenzen

Sollte ein Unternehmen sich darüber Gedanken machen, was passiert, wenn seine Mitarbeiter Tor benutzen, ist es mit dem Sperren nicht ganz so einfach. Das Deep Web zu benutzen ist genauso einfach wie es ist, sich das Tor-Bundle von der entsprechenden Website herunterzuladen. Gebrauchsfertig sozusagen. Tor ist standardmäßig konfiguriert, über SSL auf Port 80 zu kommunizieren wie jeder andere Datenverkehr im Web. So verschleiert Tor die Kommunikation innerhalb der legitimen Kommunikation im Web und über jedes andere durchschnittliche Netzwerk.

Es kann ein erster Schritt sein, dass die IT-Abteilung den Zugang zu den Web-Seiten blockt, von denen man das Tor-Bundle herunterladen kann. Das wird einige, aber nicht alle abhalten. Interessierte werden zum Beispiel auf Mirror-Sites mit den gespiegelten Inhalten fündig oder bringen die Software einfach von zu Hause mit ins Unternehmen.

Eine andere Methode den Zugriff auf Tor zu begrenzen: Online nach Tor IP-Knoten zu suchen. Verzeichnisse solcher IPs sind online verfügbar und man kann sie nutzen um auf dieser Basis Blacklists zu erstellen, die dann wiederrum in die Firewall-Regeln einfließen.

Keine dieser Listen ist allumfassend. Aber sie funktionieren deutlich besser, als IP-Listen zu pflegen, die auf demselben Status bleiben und nicht berücksichtigen, dass neue User neue Knoten mit neuen IPs erstellen oder Knoten nicht einbeziehen können, die verschiedene IPs nutzen. Blacklists haben einen weiteren Vorteil: Mit ihrer Hilfe kann man die internen Hosts überwachen, und feststellen, wenn diese versuchen über einen der bekannten Tor-Knoten eine Verbindung herzustellen. So kann man den entsprechenden Mitarbeiter direkt konfrontieren.

Fazit

Tor selbst ist weder gut noch böse. Das Netzwerk kann auf die eine und auf die andere Art benutzt werden. Dessen sollte man sich bewusst sein und entsprechende Vorkehrungen treffen. Wenn man als Geschäftsführer eines Unternehmens beunruhigt ist, sollte man sich nicht scheuen, Richtlinien durchzusetzen, die Tor-Software schlicht zu verbieten. Den Zugriff auf das Tor-Netzwerk wirksam zu begrenzen läuft vermutlich darauf hinaus die genannten Methoden miteinander zu kombinieren und gleichzeitig eine strikte Policy nicht nur zu definieren, sondern auch durchzusetzen. (sh)