Manchmal sind es gerade die Zeiten abseits der Arbeit, die für große Durchbrüche sorgen. Zum Beispiel Pausenzeiten. In einer solchen Pause nämlich, genauer der Mittagspause an der Humboldt-Universität zu Berlin, fanden ein Professor und seine Mitarbeiter mehr oder weniger durch Zufall eine massive Sicherheitslücke im Anonymisierungsnetzwerk Tor.

"Das waren die üblichen Diskussionen beim Mittagessen. Und irgendwann sagte ein Mitarbeiter, was passiert denn, wenn wir das machen und die erste Reaktion war, das kann ja gar nicht sein. So einfach kann das gar nicht funktionieren. Wir haben immer mehr darüber nachgedacht. Wir haben ausprobiert und wir haben festgestellt, es ist tatsächlich so einfach."

Björn Scheuermann ist Professor für Technische Informatik und ebenjener Professor, der die Lücke aufdeckte, die wohl schon seit Anbeginn der Software bestand. Ein klarer Fehler in der Architektur. Der Fehler lässt sich stark vereinfacht so beschreiben: Schafft es ein Angreifer einen Tor-Knotenpunkt mit einer großen Menge Daten über längere Zeit zu überlasten, fällt er aus. Zum Verhängnis wird dem Tor-Netz, dass nur die erste und letzte Instanz wissen, wie viel Daten wohin fließen. Das Problem kennt auch die Netzwerktechnik, die dafür allerdings Abhilfe gefunden hat.

"Im Internet wird auch diese Rückmeldung Ende-zu-Ende zwischen diesen Endpunkten ausgetauscht. Wenn es dem Zwischenknoten zuviel wird, darf er die Daten einfach verwerfen."

Genau das dürfen die Knoten bei Tor nicht. Sie müssen die Daten halten, bis sie neue Anweisungen bekommen. Würden Sie einfach Daten verwerfen, würde die Anonymität der Nutzer leiden, sagt Björn Scheuermann.

"Jetzt könnten sich die Endpunkte absprechen. Schaufeln ganz viele Daten ins Netzwerk. Die stapeln sich da in dem Zwischenknoten. Der darf sie nicht verwerfen und irgendwann stirbt der Prozess. Niemand hat darüber nachgedacht, was in dieser Situation passiert. Und der Tor-Knoten stürzt deswegen ab, weil er die vielen Daten in seinem lokalen Speicher nicht mehr halten kann."

Ein Angreifer könnte nun hingehen und gezielt Tor-Knoten ausschalten und so die Nutzer auf einen Weg durchs Tor-Netzwerk leiten, den er unterwandert beziehungsweise manipuliert hat. In der Folge könnte der Angreifer den oder die Nutzer identifizieren. Vergleichbar ist das Szenario mit dem Straßennetz. Möchte ich ein Auto gezielt auf eine Strecke führen, blockiere ich als Angreifer einfach alle anderen Routen. Ist der Nutzer auf der gewünschten Fährte, kann ich ihn mir schnappen. Zwar gibt ebenso wie tausende Straßen auch einige tausend Tor-Knoten, doch die Zahl der Möglichkeiten ist trotzdem begrenzt.

"Die Kombinationsmöglichkeiten an Routen sind schon, wenn man die alle nutzt, tatsächlich gewaltig. Aber da gibt es natürlich Korrelationen. Ich möchte vielleicht auch darauf achten, dass die drei Knoten, die ich mir für meinen Weg wähle, jetzt nicht alle innerhalb der selben Organisation stehen, vielleicht nicht einmal innerhalb der selben Jurisdiktion stehen. Und dementsprechend bricht die Zahl der Möglichkeiten, die ich habe, wenn ich einen Angreifer annehme, der gezielt einzelne Knoten auswählen und ausschalten kann, sehr, sehr schnell zusammen."

Zusammen mit amerikanischen Forschern vom Tor-Projekt haben Björn Scheuermann und seine Mitarbeiter eine Lösung für das Problem gefunden. Dabei schafften sie den Spagat zwischen Netzwerksicherheit und Wahrung der Anonymität.

"Ein entsprechender Patch in der Tor-Software ist jetzt auch seit mehreren Wochen in der freien Wildbahn und hoffentlich auf dem Großteil der Tor-Knoten inzwischen auch installiert."

Ob der fundamentale Fehler in der Vergangenheit ausgenutzt wurde, ist indes nicht bekannt.

"Wir gehen davon aus, dass wenn es passiert wäre, zumindest wenn es in nennenswertem Maße passiert wäre, dass man es festgestellt hätte. Der Ausfall der Torknoten der hätte sich ja gezeigt. Die fallen nicht aus, ohne dass man es bemerkt."