Corner-top-right-trans
Berliner Beauftragter für Datenschutz und Informationsfreiheit

Anonymisierung der Netzverbindung

Beschreibung der Funktionsweise von Anonymisierungsdiensten

Will man die Kommunikationsbeziehung, d. h. den Zusammenhang zwischen Quelle und Ziel von Nachrichten, vor Beobachtung sichern, bietet sich die Nutzung von “Anonymisierungsdiensten” an. Solche Dienste schützen Kommunikationsverbindungen, indem der Datenstrom über Zwischenstationen umgeleitet und zumindest über ein Teil des Wegs verschlüsselt übertragen wird.

Anonymisierende Proxies

Die einfachste, schnellste, aber auch stark eingeschränkte Möglichkeit, sich vor Beobachtung seiner Kommunikationsbeziehungen zu schützen, ist die Nutzung anonymisierender Proxy-Server, kurz “Anon-Proxies”. Für das World Wide Web haben solche Systeme, z. B. Anonymouse.orgExterner-link oder beHidden.comExterner-link, bereits einen recht hohen Bekanntheitsgrad erlangt. Ihr größter Vorteil besteht darin, dass auf dem eigenen PC keine zusätzlichen Programme installiert werden müssen: Es wird im Webbrowser die Adresse des Anon-Proxy aufgerufen und in das angezeigte Formularfeld die gewünschte Zieladresse eingetragen. Der Anon-Proxy ruft beim Zielserver die Daten in seinem eigenen Namen ab, als wäre er der Benutzer, und verschleiert so die Adresse der tatsächlich nutzenden Person.

Anon-Proxies haben zwei strukturelle Nachteile: Erstens schützen sie keine Anfrage vor dem Betreiber des Anon-Proxies, d. h., dieser weiß genau, wer bzw. welche IP-Adresse sich hinter der Anfrage verbirgt. Zweitens schützen Anon-Proxies nicht gegen “professionelle” Überwacher. Wer große Teile des Netzes beobachtet, weiß (zumindest theoretisch) genau, zu welchem Zeitpunkt eine Anfrage in den Anon-Proxy eingegangen ist. Da dieser die eingehenden Anfragen sofort bearbeitet, d. h. den Zugriff auf die gewünschte Adresse ausführt, können Beobachtende beides leicht miteinander verketten, selbst wenn die Nachrichteninhalte verschlüsselt sind.

Auf dem gleichen Konzept basieren sog. VPN-Anonymisierer. Auf dem Nutzerrechner wird dazu ein VPN-Programm installiert, welches eine verschlüsselte Verbindung zum Proxy-Server aufbaut. Da auch hier nur ein einzelner Proxy-Server verwendet wird, treten die schon für Anon-Proxies beschriebenen Probleme analog auf. Einziger Vorteil ist, dass grundsätzlich eine Verschlüsselung der Verbindung zwischen der nutzenden Person und Proxy erfolgt, sodass der Internet-Zugangsprovider keine Surf-Informationen erhält. Bei den oben vorgestellten Anon-Proxies wird diese unbedingt notwendige Verschlüsselung meist gar nicht oder nur optional angeboten.

Mixe

Eine Weiterentwicklung der Anon-Proxies stellen die sog. “Mixe” dar, die David ChaumExterner-link bereits 1981 publizierte. Die Technik löst die Probleme der Anon-Proxies, indem jede Zwischenstation (Mix) immer erst eine Menge von Nachrichten sammelt, ehe diese in veränderter Reihenfolge weitergeleitet und immer über eine Folge von mehreren Mixen “umgeleitet” werden, bevor sie ihr Ziel erreichen.

Wie funktioniert ein Mix?

Ein Mix sammelt zunächst die eingehenden Nachrichten und verhindert so, dass bei einer “professionellen” Überwachung die in einem Mix eingehenden Nachrichten den ausgehenden Nachrichten zugeordnet werden können. Diese Zuordnung könnte aber auch anhand des Aussehens der Nachrichten erfolgen. Dies wird verhindert, indem die Nachrichten im Mix umkodiert werden. Nachdem die Nachrichten vor dem Senden mit einem vom Mix veröffentlichten Schlüssel asymmetrisch verschlüsselt wurden, entschlüsselt der Mix jede erhaltene Nachricht wieder und leitet sie unverschlüsselt, aber im Aussehen verändert, gemeinsam mit den anderen Nachrichten weiter.

Das Problem des Vertrauens in den einzelnen Mix löst Chaum, indem er mehrere Mixe zusammen einsetzt: Alle Nachrichten werden über eine Folge von Mixen transportiert, wobei die Nachrichten in jedem Mix umkodiert und gemischt werden. Dazu müssen die Nachrichten vor dem Absenden mehrfach verschlüsselt werden, vergleichbar mit einer Postkarte, die in einen Briefumschlag gesteckt wird und dieser wiederum in einen weiteren Briefumschlag und so weiter. Jeder Mix entschlüsselt hingegen nur eine Schicht – entfernt einen Briefumschlag – und findet einen an den nächsten Mix adressierten Brief vor. Die Nachricht liegt erst dann im Klartext vor, wenn sie in der richtigen Reihenfolge von jedem Mix entschlüsselt wurde. Für diese spezielle Verschlüsselung von einer Folge von Mixen ist immer ein besonderes Programm auf dem Computer der nutzenden Person notwendig.

Leistungsfähige Anonymisierungsdienste wie z. B. JAPExterner-link oder TORExterner-link basieren auf der Mix-Technik. Der Datenstrom durchläuft zwischen nutzender Person und Ziel-Webseite nacheinander mehrere Zwischenstationen. Bei dem Dienst JAP stehen mehrere fest vorgegebene Folgen von Mixen zur Auswahl. Bei dem Dienst TOR wird die Reihenfolge der Zwischenstationen nicht vorgegeben, sondern die Software auf dem Nutzerrechner wählt zufällig einige der aktiven TOR-Server für die zu übertragende Nachricht aus.

Im Idealfall werden die Mixe bzw. TOR-Server von unabhängigen Anbietern betrieben. Bei JAP wird dies schon bei der Zusammenstellung der Kaskade berücksichtigt. Zudem kann man sich genau informieren, wer jeden der Mixe betreibt. Bei TOR erfolgt die Wahl der Zwischenstationen zufällig. Durch die eingesetzte Technik der Mixe könnte eine nutzende Person nur dann beobachtet werden, wenn alle Zwischenstationen gemeinsam gegen sie agieren würden.

Ende 2007 war in der Presse über den Anonymisierungsdienst TOR zu lesen, dass es gelungen ist, Hunderte von Login-Kennungen und Passwörtern von TOR-Nutzenden zu ermittelnExterner-link, indem der Beobachtende eigene TOR-Server betrieben hat. Dabei handelt es sich um ein typisches Problem: Anonymisierungsdienste wie TOR und JAP schützen zwar zuverlässig die Anonymität der IP-Adressen der Nutzenden, sind jedoch von sich aus nicht in der Lage, den Inhalt von Nachrichten zu schützen. Dazu ist zusätzlich eine Ende-zu-Ende-Verschlüsselung (vom Webbrowser der nutzenden Person bis zum Webserver des Anbieters) erforderlich. Mit aktuellen Webbrowsern ist dies möglich, wenn das besuchte Webangebot ebenfalls Verschlüsselung akzeptiert. Geschieht dies wie in den dokumentierten Fällen nicht, so können die übertragenen Daten auf dem Weg zwischen dem letzten TOR-Server bzw. dem letzten Mix abgehört werden.

Zwar entsteht das Problem, dass das Abhören von Passwörtern möglich ist, nicht erst durch Nutzung eines Anonymisierungsdienstes, sondern dies ist beispielsweise dem Internet-Zugangsprovider ebenso möglich, wenn keine Ende-zu-Ende-Verschlüsselung eingesetzt wird. Jedoch ist im Konzept von TOR der Umstand besonders problematisch, dass jedermann einen eigenen TOR-Server betreiben kann. Das Abhören von Kommunikationsinhalten ist damit für alle möglich: Notwendig ist nur eine Verbindung zum Internet und die Installation der TOR-Software, da das Tor-Netz Datenübertragungen quasi zum Beobachtenden “umleitet”.

Der Anonymisierungsdienst JAP ermöglicht hingegen niemandem, anonym einen Mix zu betreiben, und erwartet die Einhaltung einer Selbstverpflichtungserklärung, sodass ein vergleichbarer Angriff zwar nicht ausgeschlossen werden kann, aber unwahrscheinlicher ist.

14.11.2008