Nochmal, diesmal abseits von Plausibilitätsbetrachtungen, und als Diskussionsbasis …
*Nachträglich* könnte man folgendes Nachweisen:
* den Eingang des Postings auf dem Server der es veröffentlicht hat ist bekannt. Da das TOR Netzwerk m.E. keine nennenswerte Verzögerung verursacht wüsste man daraus die Uhrzeit, zu der der Absender online gewesen sein muss. Und der benutzte Tor Ausgang ist bekannt, und da der Server ja irgendwo sein muss, auch sein Betreiber.
* Um jetzt den zugehörigen Eingang zu finden müsste man die Logs der Tor Server (so welche existieren), auswerten um den Eingangsserver zu finden. Da Tor Server genau das nicht tun [sollen] (mitloggen), und sich die Betreiber irgendwo auf exotischen Inseln verstecken könnten, ist hier der Faden logtechnisch unterbrochen. Der Angreifer bleibt unentdeckt. Außer die Betreiber der Server würden sicherheitshalber, um sich im Notfall bei einer Anklage wegen Beihilfe den Hals aus der Schlinge ziehen zu können, entgegen ihrer Versicherungen *doch* mitloggen wer wann und mit welcher IP Benutzer war. Ich würde es an ihrer Stelle auf jeden Fall tun, und es aber so lange wie möglich abstreiten (smile). Dann wäre die Herausgabe der Daten eine Frage der Druckmittel. Von da ab wäre es einfach: über die Logs der verschiedenen Tor Sever findet man den Eingangsserver, aus dem Log des Servers die IP Adresse des Absenders, die führt zum Provider und dessen Verbindungslog zum Anschluss des Bösewichts - oder in ein Internetcafe (smile).
* Bleibt noch die Uhrzeit. Man könnte beim Provider des Beleidigers die Verbindungsdaten abfischen und damit feststellen, ob er zu der fraglichen Uhrzeit online war. Wenn er aber, so heute üblich, über einen Router mit Flatrate angeschlossen ist, ist er praktisch 24 Stunden online. Oder wir landen wieder im Internetcafe. Und selbst wenn er über ein Modem genau in der Minute des Eingangs der Beleidigung online war und sofort danach aufgelegt hat ist damit nicht bewiesen, dass er es war. Aber es wäre ein Indiz.
Fazit: die nachträgliche Verfolgbarkeit hängt davon ab, ob es gelingt, die internen Logs der Tor Server [soweit überhaupt welche geführt werden] in die Hände zu bekommen.
Anders schaut die Sache aus, wenn sich die Polizei nach dem Hinweis auf den Beleidiger bei dessen Provider mit einem Sniffer auf die Lauer legt, und der so blöd ist, seine Tat vom selben, eigenen Anschluss aus zu wiederholen. Man könnte ihm dann die Verbindung zu Tor nachweisen, und auf Grund des Timestamps und der Größe der Nachricht mit großer Sicherheit die Beleidigung nachweisen, selbst wenn er so fit wäre seine Verbindung mit SSL zu verschlüsseln. Macht er das nicht kann man die Nachricht sogar im Klartext lesen und er ist geliefert, außer er kann glaubhaft machen, dass nicht er sondern jemand Anders an seinem PC saß. Ein gehacktes WLAN wäre auch eine gute Idee, die Sache jemand Anderem ans Bein zu binden, und auf Grund des miserablen Loggings der WLAN Router selten nachzuweisen. Ein fast ganz gerissener Beleidiger würde deshalb ein WLAN offen rumstehen lassen, als Plan B für den Fall, dass sein Anschluss ermittelt wurde 
Ein ganz gerissener Beleidiger geht ins Internet-Cafe
Fazit: ob sich die Polizei auf Grund eines Hinweises den exorbitanten Aufwand, einen Sniffer auf einen Anschluss anzusetzen, der dann mit geringer Erfolgschance monatelang auf der Lauer liegt, antut, hängt wohl davon ab, wie wichtig der Beleidigte dem Staat ist.
Die dritte Möglichkeit bestünde darin, den PC des vermutlichen Beleidigers zu kassieren und auszuwerten. Verbindungen mit Explorer hinterlassen lokale Spuren, zumindest in der Adresshistorie des Browsers. Wenn der Beleidige nicht schlau genug ist, das zu löschen (dazu gibt es übrigens Programme …), dann kann man ihm zwar die Tor Verbindung nachweisen, aber nicht feststellen wann sie erfolgt ist, und was er darüber gemacht hat. Der Beweis wäre also nur ein Indiz und sehr wackelig, und man kann einen PC nicht einfach so auf Verdacht beschlagnahmen und filzen lassen.
Ich denke deshalb, dass datentechnische Überführungsversuche auf den hinter einem Anonymisierer versteckten Beleidiger *möglicherweise theoretisch denkbar aber praktisch chancenlos" sind, es sei denn, die Betreiber der Anonymisierer würden Server-Logs führen und auf Druck herausrücken. Ich bin, ohne es beweisen zu können, davon übezeugt dass sie es zu ihrem eigenen Schutz tun. Und der Rest ist eine Frage der Druckmittel, wie der Fall „Google gegen die Chinesische Regierung“ eindrücklich gezeigt hat.
Für Hinweise auf Denkfehler offen …
…Armin