TOR für B2B-Anwender

Gute Mitarbeiter, böse Mitarbeiter

10.06.2015
Von 
Fred Touchette ist Manager of Security Research bei AppRiver.
The Onion Router - kurz "Tor"- ist ein Netzwerk, das Web-Verbindungsdaten und Identitäten verschleiert und so die anonyme Nutzung des Internet ermöglicht. Wir erklären, wie es funktioniert, wann es eingesetzt und eher nicht eingesetzt werden sollte und ob sich Unternehmen damit beschäftigen müssen.
  • Tor verschlüsselt Internet-Verbindungsdaten auf mehreren Ebenen - wie die Häute einer Zwiebel.
  • Diese Anonymität ist für Kriminelle äußerst attraktiv, die Gruppe "Silk Road" machte jüngst von sich reden. Auch ein sächsischer Dark-Web-Drogenhändler flog kürzlich auf.
  • Für Unternehmen kann es sinnvoll sein, bestimmten Mitarbeitern das Arbeiten mit Tor zu erlauben. Es gilt jedoch, die richtigen Vorkehrungen zu treffen.

Tor routet den Internet-Datenstrom durch ein freies Netzwerk, getragen von Freiwilligen, die das sogenannte "Onion Network" am Leben halten. Sie tragen innerhalb dieses Netzes dafür Sorge, dass jedwede Kommunikation anonymisiert abläuft. Das zumindest ist der Plan. Die Anonymisierungstechnik Onion Routing ist seit Mitte der 1990er Jahre bekannt und wurde ursprünglich im U.S. Naval Research Laboratory entwickelt, um (geheime) Verschlusssachen zu schützen. Im Jahr 2002 veröffentlichte das Labor dann den Quellcode für das Onion Routing als frei verfügbare Lizenz. Ab da übernahm das Non-Profit-Projekt "The Onion Routing Project" das Netzwerk.

Zur Einführung gibt es ein kleines Glossar mit den wichtigsten Fachbegriffen rund um Tor:

Tor verschlüsselt die Daten auf mehreren Verschlüsselungsebenen, wie die sprichwörtlichen Häute einer Zwiebel. Die Daten bewegen sich dabei in einem Kreislauf: Innerhalb des Tor-Netzwerks passiert jedes einzelne Datenpaket eine eigene Verschlüsselungsebene bis es schließlich seinen Bestimmungsort erreicht. Mit anderen Worten, jede Verschlüsselungsebene wird sozusagen gleich einer Zwiebelhaut "abgezogen", bevor die nächste Stufe des Transits sichtbar wird. Das passiert jedes Mal, wenn die Kommunikationsdaten einen Tor-Knotenpunkt passiert. Bis schließlich die letzte Verschlüsselungsebene beim Empfänger entfernt wird.

Tor und die Anonymität

Innerhalb des Tor-Netzwerkes sind verschiedene, nicht offen zugängliche Dienste verborgen, die ausschließlich über dieses Netzwerk zu erreichen sind. Dieser Bereich wird von vielen als sogenanntes "Dark Web" oder "Deep Web" bezeichnet, wo beispielsweise Instant-Messaging-Dienste, E-Mail und Webseiten verfügbar sind.

Diese Web-Seiten nutzen Pseudo-Top-Level-Domains. Oder aber sie verwenden [dot]onion und Domänennamen, die wie ein 16-stelliger, alpha-numerischer Zufalls-Hashwert aussehen. Dieser wird genau in dem Moment über einen öffentlichen Schlüssel generiert, in dem ein Benutzer damit beginnt die Seite zu konfigurieren.

.onion ist keine echte Top-Level-Domain, so dass die Seiten über traditionelle DNS nicht gefunden werden. Stattdessen verhält sich jeder einzelne Knoten im Tor-Netzwerk wie eine Art DNS-Server.

Er entscheidet, ob die angefragte Seite auf genau diesem Knoten existiert oder nicht. Falls nicht, leitet er die Anfrage zum nächsten Knoten weiter und der Prozess beginnt wieder von vorne. Diese Vorgehensweise verspricht demjenigen, der eine bestimmte Seite aufrufen will, Anonymität. Denn bevor die Anfrage ihren Bestimmungsort erreicht, verfügt sie immer nur über genau die Informationen des jeweils zurückliegenden Knotens. Und nicht über Details zum tatsächlichen Ursprungsort.

Die dunkle Seite

Diese Anonymität hat es allerdings in sich, denn sie ist für "die Guten" nicht weniger interessant als für die weniger Guten. So kann sich eine Familie, vor allem die Kinder, mit Hilfe von Tor schützen oder Werbeagenturen und große Datenbanken auf Tor zurückgreifen, wenn nicht offensichtlich werden soll, wo und wie sie Informationen im Web zusammentragen. Tor wird benutzt, um die Zensur eines Landes zu umgehen.

Das erlaubt es beispielsweise Dissidenten, miteinander in Kontakt zu treten und sich auszutauschen in Ländern, in denen Internetverbindungen extrem begrenzt sind. Auch Journalisten, die beispielsweise für Reporter ohne Grenzen unterwegs sind, benutzen Tor zu ihrer eigenen persönlichen Sicherheit, wenn sie über und von den Gefahrenherden aus berichten.

Aber es gibt auch die andere Seite des Deep Web. Denn naturgemäß gewährt es allen Nutzern gleichermaßen Anonymität. Auch denen, die weit weniger hehre Motive haben, ihre Identität zu verschleiern.

Eine dieser Gruppen, die sich, The Dark Web und Tor jüngst erfolgreich in die Schlagzeilen gebracht haben, sind die Mitglieder von "The Silk Road". Eine Art Online-Basar, der sich vor allem auf den Handel mit Drogen und nicht frei zugänglichen elektronischen Geräten spezialisiert hat. Und tatsächlich findet man innerhalb des Tor-Netzwerkes eine ganze Reihe von illegalen Angeboten: Beispielsweise Produkte, die urheberrechtlich oder durch Handelsabkommen geschützt sind, Foren, in denen gestohlene Kreditkartenummern angeboten werden sowie alle denkbaren Varianten von Hackertools und diverse Malware zum freien Verkauf oder zur Miete.

Sogar Gruppierungen, die hinter Ransomware wie CryptoLocker stehen, haben damit begonnen, ihre Erpressungsversuche über Tor abzuwickeln. Sie benutzen dazu Kryptowährungen wie Bitcoin um gegenüber Behörden wie Opfern gleichermaßen anonym zu bleiben. Und einige andere Geschäftsmodelle bewegen sich in einer Grauzone zwischen legal und illegal.

In Sachsen flog kürzlich ein Drogenhändler auf, der über das Dark Web Kokain, Ecstasy, LSD und Marihuana vertrieb - Bestellung im Netz via Tor, Zahlung per Vorkasse, Lieferung post Post. Nach einjähriger Ermittlungszei nahm die Leipziger Polizei den Drogenhändler fest und beschlagnahmte 360 Kilogramm Stoff mit einem Marktwert von mehr als vier Millionen Euro.