Schwedischer IT-Berater verhört: Razzia beim Botschaftshacker

Weil er öffentlich auf Sicherheitslücken im anonymisierenden Netzwerk "Tor" aufmerksam gemacht hatte, bekam Dan Egerstad jetzt Besuch von Polizei und Verfassungsschutz.

"Die Leute haben nicht verstanden, wie Tor funktioniert". Bild: screenshot torproject.org

STOCKHOLM taz Wer auf IT-Sicherheitsmängel aufmerksam macht, für den interessieren sich potenziell schnell auch die Behörden. Das musste der schwedische Sicherheitsberater Dan Egerstad erfahren, bei dem am Montag der örtliche Verfassungsschutz SÄPO und die Stockholmer Polizeispezialeinheit für Computerkriminalität auftauchten, eine Razzia veranstalteten und Egerstad zu stundenlangen Verhören mitnahmen. Gegen ihn sei ein Verfahren wegen "unerlaubtem Eindringen in Netzwerke" eröffnet worden, hieß es.

Der Schwede hatte internationale Aufmerksamkeit erregt, als er Ende August auf seiner Blogseite die E-Mail-Zugänge und Passwörter von Angehörigen internationaler Regierungen, Botschaften und Organisationen veröffentlichte. Darunter waren unter anderem die der diplomatischen Vertretungen von Indien und Russland in weltweit vielen Staaten, die des Büros des Dalai Lama, der britischen Visa-Behörde in Nepal, die des iranischen Außenministeriums und die der Botschaft Usbekistans in Deutschland. Insgesamt hatte Egerstad die Zugangsdaten von mehr als 1000 E-Mail-Konten abschöpfen können.

Gelungen war dem Sicherheitsexperten dies, weil die betreffenden User und Administratoren eine bekannte Schwachstelle bei der Anwendung des Tor-Anonymisierungsnetzwerks nicht berücksichtigt hatten. Die kostenlose, von Netzbürgerrechtlern entwickelte Technologie wird besonders gerne von ausländischen Firmen, Regierungsstellen und Wissenschaftlern verwendet, um mit der Heimat zu kommunizieren, ohne von inländischen Diensten belauscht werden zu können. Tor setzt dabei auf das so genannte Zwiebel-Prinzip: Internet-Daten eines Nutzers, etwa das Surfen im Netz oder das Kommentieren auf Websites, werden über zahlreiche Server in der ganzen Welt weitergeleitet, so dass sich der Urheber nicht mehr zurückverfolgen lässt. Wer beispielsweise eine kritische Meinungsäußerung in China abgeben möchte, kann sich mit Tor sicher sein, von den Behörden nicht zurückverfolgt werden zu können, sagen die Entwickler.

Tor hat aber eine systembedingte Schwachstelle: Der Dienst verschlüsselt die Daten nur auf der Reise von Tor-Server zu Tor-Server, nicht aber am endgültigen Übergangspunkt zum Internet - schließlich müssen sie ja am Ziel auch im offenen Netz ankommen und das geht nur unverschlüsselt. Diese Austrittsserver, genannt "Exit Nodes", kann aber jeder betreiben, der möchte, die Zuverlässigkeit wird nicht überprüft - es gilt in Hackerkreisen dementsprechend als offenes Geheimnis, dass auch Geheimdienste und Polizeibehörden dies tun.

Egerstad selbst betreute testweise mehrere dieser Server - und wunderte sich nicht schlecht, wie viele sensible Daten hier durchliefen. So fragten Botschaftsangehörige unverschlüsselt ihre E-Mail-Konten ab - er konnte das Passwort und die Inhalte also mitlesen. Durch die Abfrage der E-Mails wurde auch die Anonymität, die Tor bietet, ad absurdum geführt: Elektronische Botschaften lassen sich Absendern und Empfängern immer zuordnen. "Die Leute haben einfach nicht verstanden, wie Tor funktioniert", sagt der Sicherheitsexperte. Sie hätten den Anonymisierungsdienstes mit der für diese Zwecke wesentlich sinnvolleren Technik des "virtuellen privaten Netzwerkes" (VPN) verwechselt, bei dem die Verbindung zwischen Nutzer und Ziel durchgehend verschlüsselt ist.

Der mit dieser Aktion schnell als "Botschaftshacker" bekannt gewordene Egerstad hatte die betroffenen Kontoinhaber laut eigenen Angaben sofort informiert und will seine spektakuläre Veröffentlichung der Botschaftsdaten als Mittel verstanden sehen, auf gravierende Sicherheitsprobleme aufmerksam zu machen: "Das habe ich gemacht, nachdem ich zuvor viele angerufen hatte und sie mir überhaupt nicht zuhören wollten." Er bot allen Betroffenen kostenlosen Rat an, wie man sich absichern könnte. Kommerzielle Interessen zu haben, wies er zurück.

Warum der schwedische Verfassungsschutz nach mehr als zwei Monaten nun agierte und was man auf den am Montag beschlagnahmten Rechnern nun noch zu finden hofft, kann Egerstad nicht verstehen: "Ich war ja die ganze Zeit offen, was den gesamten technischen Hintergrund angeht." Aus den Verhören mit ihm schließt er, dass offenbar der Druck ausländischer Staaten auf Stockholm hinter der Aktion steckt. Man hätte ihm auch empfohlen, in eine Reihe von Ländern nicht mehr zu reisen - darunter Hong Kong und Indien.