1 Einleitung
Mit mehr als zwei Millionen Nutzerinnen und Nutzern pro
Tag[1] stellt das Tor-Netz[2] das derzeit populärste Anonymi-
sierungsnetz dar. Die Infrastruktur, insbesondere die zahlreichen
Relay-Server, werden von Freiwilligen betrieben und laufen häu-
fig auf deren privaten oder angemieteten Servern. Relays stellen
damit das Rückgrat des Tor-Netzes dar und sind maßgeblich für
die Sicherheit und Performanz verantwortlich.
In diesem Beitrag berichten wir von unseren Erfahrungen mit
dem Betrieb von Tor-Exit-Knoten an Universitäten. Während der
Forschung im Bereich der Anonymisierung im Allgemeinen und
am Tor-Netz im Speziellen sind wir auf eine Vielzahl an Beden-
ken gestoßen, die beim Betrieb eines Tor-Knotens aufkommen.
Mit den Argumenten und Gegenargumenten werden wir uns in
diesem Beitrag auseinandersetzen, wollen damit die Diskussion
anregen und zugleich motivieren, eigene Erfahrungen beim Be-
trieb eines Tor-Knotens zu sammeln.
Universitäten stellen hervorragende Umgebungen für den Be-
trieb von Tor-Knoten dar. Sie besitzen für gewöhnlich eine gute
Netzanbindung, die notwendige technische Expertise ist vorhan-
den und zudem sind sie geschützte Umgebungen für freie For-
schung und ermöglichen somit selbstverständlich die Forschung
an und mit Anonymisierungsnetzen. Obwohl die Sicherheitsfor-
schung auch und gerade in Deutschland einen hohen Stellenwert
hat, werden derzeit nur an zwei Universitäten Tor-Exit-Knoten
betrieben.
Im Folgenden erklären wir kurz, wie das Tor-Netz funktioniert.
Anschließend argumentieren wir für einen Betrieb von Tor-Kno-
ten an Universitäten und quantifizieren den Anteil am Tor-Netz,
den Universitäten global und insbesondere in Deutschland über
die vergangenen zehn Jahre zu dessen Betrieb beigetragen ha-
ben. Außerdem berichten wir auf technischer und organisato-
rischer Ebene über unsere Erfahrungen beim Aufbau und Be-
trieb von Tor-Exit-Knoten, wie wir sie an zwei deutschen Univer-
sitäten gemacht haben. Wir nutzen diese Erkenntnisse schließ-
lich, um typische Bedenken zu diskutieren und entwickeln dar-
aus eine Checkliste, um Universitäten dabei zu helfen, Tor-Kno-
ten zu betreiben. Unsere Arbeit zeigt, dass zwar Herausforderun-
gen bestehen, aber auch, dass diese vollständig handhabbar sind.1
1 Foto: ECDF/PR/Noak
Christoph Döpmann, Matthias Marx, Hannes Federrath, Florian Tschorsch
Tor Relays an Universitäten
Erfahrungen und Abwägungen
Während Universitäten mit ihrer Infrastruktur und Kompetenz ideale Bedingungen
für den Betrieb von Tor-Knoten bieten, ist ihr Anteil am Tor-Netz erstaunlich
gering. Wir berichten über unsere Erfahrungen beim Betrieb von zwei Exit-
Knoten an Universitäten und geben Empfehlungen für deren Betrieb.
Christoph Döpmann
ist wissenschaftlicher Mitarbeiter am
Fachgebiet für Distributed Security
Infrastructures der Technischen Uni-
versität Berlin
E-Mail:
Matthias Marx
ist wissenschaftlicher Mitarbeiter
am Arbeitsbereich Sicherheit in Ver-
teilten Systemen an der Universität
Hamburg.
E-Mail:
mar[email protected].de
Prof. Dr. Hannes Federrath
ist Leiter des Arbeitsbereichs Sicher-
heit in Verteilten Systemen an der
Universität Hamburg und Präsident
der Gesellschaft für Informatik e.V.
E-Mail:
federra[email protected].de
Prof. Dr. Florian Tschorsch
ist Professor für das Fachgebiet
Distributed Security Infrastructures
an der Technischen Universität Berlin
und dem Einstein Center Digital
Future (ECDF)1
E-Mail: [email protected]
320 DuD • Datenschutz und Datensicherheit 5 | 2021
AUFSÄTZE
In der Vergangenheit haben andere Studien Erfahrungen aus
dem Betrieb von Anonymisierungsdiensten präsentiert[3, 4, 5],
doch diese Beiträge liegen schon viele Jahre zurück, sodass eine
Einschätzung aus heutiger Sicht geboten scheint.
2 Tor Relays
Im Kern besteht das Tor-Netz [2] aus einer Menge sogenannter
Tor-Knoten (auch Relays oder Weiterleitungsknoten genannt).
Ihre Funktion besteht darin, gemäß dem Onion-Routing-Proto-
koll [6] Daten weiterzuleiten und damit durch das Netz zu trans-
portieren. Typischerweise werden drei Tor-Knoten von einem Tor
Client, der im Vertrauensbereich der jeweiligen Nutzerinnen und
Nutzer betrieben wird, zu einem sogenannten Circuit (Kanal) zu-
sammengeschlossen. Jeder Knoten verwaltet viele Circuits von
unterschiedlichen Tor Clients gleichzeitig.
Abbildung 1 | Drei Relays werden zu einem Circuit
kombiniert. Jedes Relay kennt nur seinen direkten Vor-
gänger und Nachfolger.
Je nachdem, an welcher Position im Circuit sich ein Relay befin-
det, kommen ihm unterschiedliche Rollen zu, die in Abbildung1
dargestellt sind. Zwei dieser Rollen kommt dabei eine besonde-
re Bedeutung zu: Das erste Relay ist das einzige, das eine direkte
Verbindung vom Tor Client entgegennimmt und wird daher auch
Entry Guard (Eingangsknoten) genannt. Insbesondere die beson-
ders vertrauenswürdige Funktion eines Guard wird dabei nur an
Relays vergeben, die dafür einige Bedingungen, im Hinblick auf
eine hohe Verfügbarkeit und Bandbreite, erfüllen müssen. Betrei-
berinnen und Betreiber solcher Knoten können zwar die IP-Ad-
ressen von Clients beobachten, nicht jedoch, mit welchen Zielser-
vern sich diese verbinden. Auf der anderen Seite stellen Exit Re-
lays (Ausgangsknoten) das Ende eines Circuits dar und sind von
besonderer Bedeutung, da sie letztendlich den anonymen Zugang
ins Internet realisieren. Insbesondere stellen Exit Relays im Auf-
trag der Tor Clients TCP-Verbindungen zu Zielservern im Inter-
net her. Betreiberinnen und Betreiber solcher Knoten können al-
so beobachten, wohin sich Tor Clients verbinden, kennen jedoch
die IP-Adressen der dahinter stehenden Nutzerinnen und Nutzer
nicht. Aufgrund ihrer Funktion sind Exit Relays gegenüber exter-
nen Servern im Internet sichtbar und können in deren Log-Datei-
en auftauchen. Im Falle einer missbräuchlichen Nutzung von Tor,
beispielsweise um eine Internetseite anzugreifen, scheint dann
das Exit Relay der Angreifer zu sein. Da dies für Betreiberinnen
und Betreiber von Exit Relays mit Komplikationen verbunden
sein könnte, übernehmen Relays diese Funktion standardmäßig
nicht. Stattdessen muss die Exit-Funktionalität explizit aktiviert
werden. In der Vergangenheit führte dies dazu, dass die von Exit
Relays zur Verfügung gestellte Bandbreite eine knappe Ressour-
ce war [7]. Betreiberinnen und Betreiber von Exit Relays können
zudem den Zugriff auf bestimmte IP-Adressen und Ports ein-
schränken. Diese Regeln werden als Exit Policy bezeichnet. Exit
Relays spielen noch aus einem anderen Grund eine besondere
Rolle: Sie sehen den Datenverkehr der Clients im Klartext. Um
Integrität und Vertraulichkeit zu garantieren, muss die Kommu-
nikation zusätzlich durch geeignete Verschlüsselungs- und Au-
thentifizierungsmechanismen wie TLS gesichert sein.
Über den anonymen Internetzugriff hinaus bietet Tor die Mög-
lichkeit, mittels sogenannter Onion Services Daten vollständig
anonym Tor-intern zur Verfügung zu stellen. Somit können auch
Diensteanbieter (und nicht nur die Tor Clients) anonym bleiben.
Dabei verlassen die Daten an keiner Stelle das Tor-Netz.
3 Tor an Universitäten
Das Tor-Netz besteht derzeit (Stand Januar 2021 [1]) aus insge-
samt ca. 6.800 Relays (davon knapp 1.400 Exits), die von Frei-
willigen betrieben werden. Rund um Tor existiert ein Ökosys-
tem, das unter anderem die Tor-Nutzerinnen und -Nutzer und
die Forschungsgemeinschaft umfasst. Obwohl umfassend an und
mit Tor geforscht wird, stellen Universitäten nur einen Bruchteil
der Relays und Bandbreite. In diesem Abschnitt quantifizieren
wir diesen Sachverhalt. Aufgrund seiner Bedeutung für das Tor-
Netz konzentrieren wir uns zunächst auf Deutschland. Weiter-
hin diskutieren wir, warum die Situation in Deutschland ein re-
Abbildung 2 | Anzahl der Relays im Deutschen Forschungs-
netz (AS 680) und in Deutschland über die letzten zehn
Jahre.
Abbildung 3 | Bandbreite (Gbit/s) der Relays im Deutschen
Forschungsnetz (AS 680) und in Deutschland über die
letzten zehn Jahre
DuD • Datenschutz und Datensicherheit 5 | 2021 321
AUFSÄTZE
präsentatives Beispiel für das gesamte Tor-Netz darstellt. 3.1 Si-
tuation in Deutschland
Wir konzentrieren uns aus mehreren Gründen auf das Beispiel
Deutschland: Erstens werden in Deutschland mit Abstand die
meisten Tor-Knoten betrieben [1]. Zweitens haben Datenschutz
und Forschungsfreiheit als Grundrechte in Deutschland einen
hohen Stellenwert. Man würde daher erwarten, dass eine große
Anzahl von Exit Relays auch an deutschen Universitäten betrie-
ben wird. Drittens ist der Internetzugang deutscher Universitäten
homogener als in anderen Ländern, da die überwiegende Mehr-
heit der Universitäten mit dem Deutsches Forschungsnetz (DFN,
AS 680) denselben öffentlichen gemeinnützigen Internet-Provi-
der nutzt. Aus diesem Grund kann zuverlässig ermittelt werden,
ob Relays zu einer Hochschule gehören oder nicht.
Um die Situation von Relays an deutschen Universitäten be-
urteilen zu können, konzentrieren wir uns zunächst auf Exit Re-
lays und untersuchen die folgenden Größen:
(1) Die gesamte Exit-Bandbreite des Tor-Netzes,
(2) die Exit-Bandbreite von Relays in Deutschland und
(3) die Exit-Bandbreite von Relays im DFN (AS 680).
Wir betrachten nicht nur die heutige Situation sondern auch die
historische Entwicklung. Wir haben hierzu historische Daten zu
Relays verarbeitet und nutzen die MaxMind-Datenbank2 für IP-
Geolokalisierung und AS-Informationen.
Deutsche Knoten stellen etwa 30% der Exit-Bandbreite von Tor.
Deutsche Universitäten machen nur 0,2% der weltweiten Exit-
Bandbreite aus. Innerhalb des DFN werden 13 Relays betrieben,
darunter zwei Exit Relays. Im Vergleich dazu gibt es Vereine und
Einzelpersonen, die zwischen 1% und 20% der Exit-Bandbreite
beitragen [8].
Ein Blick auf die historischen Daten zeigt, dass dies in der Ver-
gangenheit ähnlich war. Abbildungen 2 und 3 zeigen die An-
zahl sowie die Bandbreite der Relays für Exits und Non-Exits in
Deutschland in den vergangenen zehn Jahren. Seit 2014 ist die
Anzahl der Non-Exits in Deutschland mit rund 1.400 relativ kon-
stant. Die Anzahl der Exit Relays in Deutschland schwankte stär-
ker und erreichte 2011 (244) und 2020 (261) ihre Höhepunkte.
2016 sank die Zahl auf 71 Relays. Die bereitgestellte Bandbreite
weist einen konstanten Aufwärtstrend auf.
Der Anteil der Relays an deutschen Universitäten war sowohl
hinsichtlich der Bandbreite als auch in Bezug auf die Anzahl der
Knoten immer klein. An den Universitäten wurden höchstens
73 Non-Exits betrieben (2015). Seitdem ist die Zahl auf 13 Relays
gefallen. Bei Exits sind die Zahlen noch deutlicher. In den letz-
ten zehn Jahren gab es an deutschen Universitäten maximal fünf
Exits, meist ein, zwei oder über lange Zeiträume auch gar keine.
Seit August 2018 gibt es mindestens ein Exit Relay (betrieben an
der TU Berlin). Seit Januar 2019 gibt es mit Unterbrechungen ein
zweites Exit Relay (betrieben an der Universität Hamburg). Wir
stellen fest, dass die Universitäten in Deutschland nur wenig zum
Tor-Netz beitragen.
Wir glauben, dass Universitäten ein geeigneter Ort sind, um
Tor Relays zu betreiben. Dies liegt nicht nur daran, dass Tor
Gegenstand von Forschung und Lehre ist. Universitäten können
auch als Orte der akademischen Freiheit (Freiheit der Forschung,
Lehre und des Studiums) dazu beitragen, dass Überwachung ver-
hindert wird und Meinungen frei geäußert werden können. Uni-
versitäten sind auch aus technischen Gründen gut geeignet. Sie
2 https://dev.maxmind.com/geoip/geoip2/geolite2/
verfügen häufig über einen eigenen IP-Adressbereich, der zur
Vermeidung von Konflikten bei Missbrauchsbeschwerden hilf-
reich ist. Darüber hinaus verfügen sie normalerweise über eine
gute und zuverlässige Anbindung ans Internet. Daher wäre es
wünschenswert, dass in Zukunft mehr (Exit) Relays an Univer-
sitäten betrieben werden.
3.2 Globale Situation
Während unser Hauptaugenmerk auf Deutschland liegt wid-
men wir uns in diesem Abschnitt der globalen Situation. Wir
zeigen, dass die nationale Situation repräsentativ für das gesam-
te Tor-Netz scheint. Da nicht jedes Land über ein ausgewiese-
nes Forschungsnetz für Universitäten verfügt, was die automati-
sierte Einordnung erschwert, konnte die Messung für das globa-
le Netz nicht direkt reproduziert werden. Wir nutzen stattdessen
einen Dienstleister3, der IP-Adressen bestimmten Nutzergrup-
pen zuordnet (z. B. „Unternehmen“, „Hosting“ oder „Bildung“).
Wir können keine bestimmte Genauigkeit garantieren. Die Er-
gebnisse erscheinen jedoch plausibel. Zudem haben wir manu-
ell überprüft, dass unsere Ergebnisse keine falsch positiven Zu-
ordnungen enthalten.
Wir haben alle Tor Relays anhand einer aktuellen Momentauf-
nahme des Tor-Netzes (am 8. Dezember 2020) klassifiziert und
festgestellt, dass Bildungseinrichtungen weltweit etwa 0,5% der
Exit-Bandbreite beitragen (10 von 1.381 Exit Relays). Dieser Ein-
druck stimmt weitestgehend mit der Situation in Deutschland
überein und zeigt, dass die Universitäten mehr zum Tor-Netz bei-
tragen sollten.
4 Erfahrungen mit Exit-Knoten
Im Folgenden fassen wir unsere Erfahrungen beim Betrieb von
Exit Relays an unseren Universitäten zusammen. Nach heutigem
Stand handelt es sich hierbei um die beiden einzigen Exits an
deutschen Universitäten.
4.1 Fallstudie: Technische Universität Berlin
Seit August 2018 betreibt unsere Forschungsgruppe „Distribu-
ted Security Infrastructures“ an der TU Berlin einen Exit-Kno-
ten für das Tor-Netz.4 Diese Entscheidung trafen wir, um das Tor-
Netz zu stärken, aber auch um unsere Forschung zu unterstüt-
zen, beispielsweise um ein besseres Verständnis der Dynamik des
Datenverkehrs im Tor-Netz zu erlangen. Darüber hinaus bieten
wir Lehrveranstaltungen zum Thema anonyme Internetkommu-
nikation an und das Exit Relay erlaubt es uns, praktische Erfah-
rungen in die Lehre einfließen zu lassen. Nachdem wir zuvor an
anderen Universitäten schon Relays betrieben hatten, war dies
unser erstes Exit Relay. Die technische Umsetzung an der TU Ber-
lin gestaltet sich wie folgt: Die Universität betreibt vor Ort ein Re-
chenzentrum, welches sowohl ein Housing von physischen Ser-
vern als auch die Bereitstellung virtueller Maschinen anbietet.
Wir entschieden uns für eine virtuelle Maschine mit zwei CPU-
Kernen, 2GB RAM und einer Internetanbindung von 1Gbit/s.
Die Internetverbindung des Rechenzentrums wird über das DFN
3 https://ipinfo.io/
4 Relay-Fingerabdruck E91905CFEB230B1BEA6B0309816F9EE9C1A1A83A
322 DuD • Datenschutz und Datensicherheit 5 | 2021
AUFSÄTZE
realisiert. Wir sind uns etwaiger Nachteile der Benutzung vir-
tueller Maschinen bewusst, beispielsweise der Beeinträchtigung
anderer virtueller Maschinen. Im Allgemeinen wird empfohlen,
Tor-Knoten auf physischen Maschinen zu betreiben, um sie von
der restlichen Infrastruktur zu trennen. Aufgrund finanzieller
Rahmenbedingungen ergab sich diese Option für unsere For-
schungsgruppe jedoch zunächst nicht. Dank einer Hardware-
Spende, die vom Artikel10 e.V. vermittelt wurde, werden wir je-
doch in naher Zukunft dazu in der Lage sein, einen eigenen phy-
sischen Server zu nutzen. Das Housing stimmen wir gerade mit
dem Rechenzentrum ab.
Bei der Konfiguration der Tor-Software legten wir großen Wert
darauf, gültige und funktionierende Kontaktinformationen zu
hinterlegen. Beispielsweise wird auf Port 80 eine Informationssei-
te angezeigt, die Tor und unsere Forschung erläutert, zusammen
mit den Kontaktdetails. Damit beabsichtigen wir, Dritte, welche
von unserem Relay stammenden Datenverkehr beobachten, of-
fen und direkt zu informieren. Weiterhin wird auf diesem Weg
für die Tor-Community ersichtlich, dass unser Knoten auch für
Forschungszwecke genutzt wird. Als Exit-Policy verwenden wir
einen der empfohlenen Regelsätze, der einen Kompromiss zwi-
schen Nutzbarkeit und Missbrauchsrisiko darstellt [9]. Zudem
entschieden wir uns dazu, zunächst mit einer stark beschränk-
ten Bandbreite zu beginnen, um Erfahrungen zu sammeln. Spä-
ter erhöhten wir die Bandbreite auf 160Mbit/s. Unseren Beob-
achtungen zufolge nutzen wir damit die verfügbaren Systemres-
sourcen (insbesondere CPU und RAM) vollständig aus. Die kons-
tante Inanspruchnahme hoher Datenraten stellte für die TU Ber-
lin kein Problem dar, im Gegensatz zu den anderen Universitä-
ten, an denen wir in der Vergangenheit Relays betrieben hatten.
Wir ziehen von der Einrichtung und dem Betrieb des Knotens
ein sehr positives Fazit. Wir wurden nur mit sehr wenigen Vor-
fällen konfrontiert, die unsere Aufmerksamkeit erforderten. Ein-
mal nahmen das DFN und die Betreiber des Rechenzentrums der
TU Berlin Kontakt zu uns auf – angesichts eines möglicherweise
missbräuchlichen Verhaltens unseres Exit Relays, der Schadsoft-
ware zu verteilen schien. Wir erklärten die Situation und der Be-
trieb konnte normal weitergehen. Als eine ähnliche Meldung er-
neut aufkam, baten wir im Sinne einer dauerhaften Lösung dar-
um, derartige Warnungen zu unserem Server an uns zu delegie-
ren. Dies erwies sich als möglich, da das DFN solche Warnun-
gen als Dienstleistung gegenüber seinen Kunden (in diesem Fall
die TU Berlin) auffasst und die Bearbeitung solcher Fälle nicht
streng einfordert. Ein weiteres Mal hatten wir direkten Kontakt
mit einer australischen Firma, die von unserem Server ausgehen-
de Brute-Force-Angriffe beobachtete. Auch hier war die Situa-
tion schnell geklärt. Weitere Vorfälle wurden uns nicht bekannt.
Die angegebene Kontakt-E-Mail-Adresse empfängt große Men-
gen an Spam, doch da wir ein separates E-Mail-Konto verwen-
den, stellt dies kein Problem dar. Der Wartungsaufwand ist na-
hezu vernachlässigbar. Letztlich besteht er hauptsächlich darin,
regelmäßig Software-Updates durchzuführen, was auch automa-
tisiert werden könnte.
4.2 Fallstudie: Universität Hamburg
Unser Arbeitsbereich „Sicherheit in verteilten Systemen“ an der
Universität Hamburg betreibt seit Januar 2019 ein Tor Relay.5
5 Relay-Fingerabdruck 83C50784528AD3823CB7E7DF4B34B92A42CC7639
Nachdem uns im September 2019 ein eigener kleiner IP-Adress-
bereich zugeteilt wurde, wird dieses als Exit Relay betrieben. Mit
seinem eigenen IP-Adressbereich ist der Arbeitsbereich auch für
die Bearbeitung von Missbrauchsmeldungen (Abuse-Meldungen)
verantwortlich. Damit mehrere Beschäftigte die Meldungen be-
arbeiten können, wurde ein Mailverteiler aufgesetzt. Außerdem
wurde eine einfache Antwort als Template vorbereitet.
Während der Vorbereitung des Betriebs wurden die Empfeh-
lungen des Tor-Projekts für den Betrieb von (Exit) Relays berück-
sichtigt [12,13]. Die Richtlinien zur Nutzung der Universitätsinf-
rastruktur waren aus anderen Projekten bekannt.
Tor läuft auf einem dedizierten Server, der über das DFN mit
dem Internet verbunden ist. Die Software Ansible6 wird zur Ver-
waltung des Relays verwendet.
Ungefähr einmal pro Tag erhält die Arbeitsgruppe automati-
sierte Warnungen vom DFN-CERT, da Malware auf dem Server
ausgeführt zu werden scheint. Tatsächlich nutzt Malware das Exit
Relay lediglich, um über Tor eine Verbindung zu Command and
Control Servern herzustellen. Da diese Warnungen keine Ant-
wort erfordern und die Ursache bekannt ist, ergreifen wir keine
weiteren Maßnahmen.
Um die Anzahl der Missbrauchsmeldungen gering zu halten,
ist die Exit Policy normalerweise auf die Ports 80 und 443 be-
schränkt. Während verschiedener Experimente wurden jedoch
vorübergehend auch andere Ports zugelassen. Experimente sind
auch der Grund für verschiedene Ausfallzeiten. Es fällt auf, dass
die Freigabe von Port 22 (SSH) zu einer signifikanten Zunahme
von Missbrauchsmeldungen geführt hat.
Die meisten der erhaltenen Abuse-Meldungen wurden automa-
tisch generiert (z.B. von Fail2Ban) und beziehen sich auf Brute-
Force-Angriffe. Einige Meldungen enthielten keine gültige Ant-
wortadresse. In einigen wurde darum gebeten, künftigen Miss-
brauch zu verhindern. Die betroffenen IP-Adressen wurden dann
über die Exit Policy ausgeschlossen.
In einem Fall im Jahr 2020 wandte sich die Polizei mit einem
Ermittlungsersuchen an uns. Die Polizei wurde darüber infor-
miert, dass unter der angefragten IP-Adresse ein Exit Relay be-
trieben werde und eine Zuordnung von IP-Adressen zu einzel-
nen Nutzerinnen und Nutzer technisch nicht möglich sei. Außer-
dem wurden laufende, das Tor Relay betreffende Forschungsvor-
haben kurz erläutert.
5 Diskussion
Bei dem Betrieb eines Tor-Knoten sollten einige Punkte beachtet
und abgewogen werden. Im Folgenden diskutieren wir, basierend
auf unseren Erfahrungen, typische Bedenken und Argumente.
5.1 Mögliche Bedenken
Tor-Knoten können erhebliche Mengen an Daten weiterleiten.
Betreiberinnen und Betreiber können die genaue Menge jedoch
gut steuern. Dazu bietet die Tor-Software Konfigurationsoptio-
nen an, mit denen sich obere Schranken für die durchschnittliche
sowie die Burst-Datenrate festlegen lassen. Damit erhalten Re-
lay-Betreiberinnen und -Betreiber die Möglichkeit, die zur Ver-
fügung gestellte Bandbreite genau zu steuern.
6 https://www.ansible.com
DuD • Datenschutz und Datensicherheit 5 | 2021 323
AUFSÄTZE
Eine Herausforderung besteht an Universitäten unter Umstän-
den darin, die ordnungsgemäße Erreichbarkeit des Dienstes zu
gewährleisten. Insbesondere müssen etwaige Firewalls entspre-
chend konfiguriert werden. In solchen unternehmensartigen
Umgebungen können strenge Firewall-Regeln und mangeln-
de Bereitschaft, diese anzupassen, dem Betrieb eines Tor-Kno-
tens entgegenstehen. Diesbezüglich gibt die Tor-Software den Be-
treiberinnen und Betreibern jedoch einige Flexibilität: Die TCP
Ports, unter denen das Relay erreichbar sein soll, können frei ge-
wählt werden und lassen sich damit an die Netzwerkumgebung
anpassen.
Um den Tor-Datenverkehr von anderem Datenverkehr klar
trennen zu können, ist es empfehlenswert, den Tor-Knoten auf
einem separaten Server mit separater IP-Adresse zu betreiben.
Dies beugt ggf. rechtlichen Streitigkeiten im Fall von Beschwer-
den über eine missbräuchliche Nutzung vor. Ein separates IP-
Subnetz kann auch von Vorteil sein, da manche Anbieter von E-
Mail- und anderen Diensten IP-Adressen von Tor-Knoten sper-
ren [10].
Der Konfigurationsaufwand zur Bereitstellung eines Tor-Kno-
tens kann insgesamt als niedrig eingeschätzt werden, auch auf-
grund der vom Tor-Projekt bereitgestellten Beispiel-Ressourcen.
Eine wichtige Entscheidung beim Einrichten eines Tor-Kno-
tens besteht darin, ob dieser auch als Exit-Knoten agieren soll.
In dieser Betriebsart wird die IP-Adresse von Exit-Knoten von
öffentlichen Internetdiensten, auf die darüber zugegriffen wird,
als Quelladresse wahrgenommen. Eine etwaige missbräuchli-
che Nutzung würde zunächst der Relay-Betreiberin bzw. dem –
Betreiber zugeschrieben werden. Die praktische Erfahrung hat
gezeigt, dass Anonymität auch illegale Aktivitäten anzieht. Be-
treiberinnen und Betreiber von Exit-Knoten sollten daher dar-
auf vorbereitet sein, mögliche Beschwerden zu dem vom Exit-
Knoten weitergeleiteten Datenverkehr zu bearbeiten. Die beiden
Fälle der von uns betriebenen Exit Relays haben jedoch gezeigt,
dass die Häufigkeit solcher Beschwerden nach heutigem Stand
recht gering ist. Dabei spielt die Wahl einer geeigneten Exit Po-
licy eine wichtige Rolle, insbesondere der Ausschluss von SSH-
Verbindungen.
Wir gehen davon aus, dass verschiedene Faktoren dazu beige-
tragen haben, das Risiko für Betreiberinnen und Betreiber von
Exit-Knoten deutlich zu senken. So wird beispielsweise die Funk-
tionsweise von Tor inzwischen deutlich besser von offiziellen Be-
hörden wahrgenommen. Zudem haben schärfere Datenschutz-
gesetze wie die DSGVO dazu geführt, dass beispielsweise WHO-
IS-Daten mehr geschützt werden und nicht mehr anlasslos öf-
fentlich einsehbar sind. Dadurch werden vollständig automati-
sierte Beschwerden gegen die Betreiberinnen und Betreiber von
Tor-Knoten erschwert.
5.2 Gewonnene Erkenntnisse
Wir nutzen unsere Erfahrungen vom Aufbau und Betrieb von
Exit-Knoten an Universitäten, um eine Checkliste zu erstellen,
die dabei helfen soll, dieses Vorhaben auch an anderen Universi-
täten umzusetzen. Die Liste basiert dabei auf mehreren öffentli-
chen Quellen [11, 12, 13], doch wir nutzen unsere Erfahrungen,
um deren Punkte geeignet zu filtern, zusammenzufassen und zu
ergänzen. Die Liste geht davon aus, dass die Betreiberinnen und
Betreiber bereits ausreichende (technische) Kenntnis des Tor-Net-
zes besitzen, um Tor-Knoten aufzusetzen und zu konfigurieren.
Damit ist die Checkliste als eine Sammlung von Aktivitäten zu
verstehen, die im Vorfeld bewusst erwogen werden sollten.
Offen kommunizieren: Kontaktieren Sie Verantwortliche an
der Universität und erläutern Sie das Vorhaben. Stellen Sie auch
an anderer Stelle funktionierende Kontaktdaten zur Verfügung
(WHOIS etc.), um etwaige Fragen und Beschwerden zu beant-
worten.
Freiheiten nutzen: Gerade in Deutschland ist die Freiheit der
Forschung ein hohes Gut, auf das Sie sich berufen können. Mit
dem Betrieb eines Tor Relays kann Ihre Universität zudem
Ihren Einsatz für eine freie Gesellschaft unterstreichen.
Zusammenarbeiten: Suchen Sie sich Unterstützer an der Uni-
versität, aber auch in der Tor Community. Letztere ermöglicht
Ihnen z.B. durch Mailing-Listen oder Meetups, auf dem aktu-
ellen Stand über Tor zu bleiben.
Wartung organisieren: Der Wartungsaufwand eines Tor Re-
lays ist gering. Zeigen Sie jedoch, dass Sie auf Unwägbarkeiten
vorbereitet sind, indem Sie bereits im Voraus Zuständigkeiten
und ggf. Abläufe festlegen, wie beispielsweise Beschwerden be-
arbeitet werden.
Tor vermitteln: Greifen Sie Tor in der Lehre auf. Nicht nur
profitieren Studierende und Mitarbeitende von einem tieferen
technischen Verständnis von Tor. Der Betrieb eines Tor Relays,
beispielsweise im Rahmen eines Seminars, kann auch eine be-
sondere, praktische Perspektive auf Privatsphäre im Internet
vermitteln.
Insgesamt zielen die genannten Punkte darauf ab, den Betrieb
eines Exit-Knotens zu ermöglichen, denn davon kann das Tor-
Netz am meisten profitieren. Es besteht jedoch immer die Option,
zunächst mit einem Non-Exit zu beginnen und die Exit-Funktio-
nalität später zu aktivieren, wenn die Betreiberinnen und Betrei-
ber genügend Vertrauen in den Aufbau gewonnen haben. Unse-
re Erfahrung ist, dass Verantwortlichkeiten vorab geklärt werden
müssen und dass es wichtig ist, mit allen beteiligten Personen in
Kontakt zu treten und sich mit typischen technischen und nicht-
technischen Argumenten gegen den Betrieb von (Exit)-Knoten
auseinanderzusetzen. Zudem eröffnet der Betrieb eines Tor-Kno-
tens neue Möglichkeiten in der Forschung und Lehre. Mögliche
Themengebiete umfassen dabei Anonymisierungstechniken im
Allgemeinen oder Verbesserungen für Tor im Speziellen, Zensur
im Internet sowie juristische und ethische Erwägungen beim Be-
trieb von Anonymisierungsnetzen.
6 Fazit
Unsere Ergebnisse zeigen, dass ein stärkeres Engagement von
Universitäten bei der Unterstützung des Tor-Netzes, durch den
Betrieb von Tor-Knoten, nicht nur sinnvoll und vielleicht sogar
notwendig, sondern auch möglich ist. Am Beispiel von Deutsch-
land haben wir aufgezeigt, dass das Tor-Netz mit zusätzlichem
Engagement von Bildungseinrichtungen erheblich gestärkt wer-
den könnte. Basierend auf unseren Erfahrungen beim Betrieb
von Exit Relays an Universitäten ermuntern wir dazu, eigene Er-
fahrungen im Betrieb von Tor-Knoten zu sammeln und die For-
schung in diesem Bereich zu stärken.
324 DuD • Datenschutz und Datensicherheit 5 | 2021
AUFSÄTZE
Loading more pages...