Bitcoin: Sicherheit und Datenschutz (Teil 2 von 2)

Zweiter und letzter Teil. In Teil 1 ging es um die Sicherheitsmechanisman, die Bitcoin nutzt.

Datenschutz und Anonymität

In der öffentlichen und medialen Berichterstattung wird das Bitcoin-System oft als anonym bezeichnet und diesbezüglich mit Bargeld verglichen. Ein erster Blick bestätigt diese Vermutung. Um Dienste wie Paypal oder Moneybookers nutzen zu können, muss man die Daten für ein bereits bestehends Bankkonto oder einer Kreditkarte hinterlegen. Damit liegen bereits direkt beim Anbieter verifizierte Daten wie der eigene Name, die Kontonummer und ähnliches vor. Durch Kommunikation mit der Bank des Teilnehmers lassen sich noch deutlich mehr Daten erfahren. Um mit Bitcoins handeln zu können, wird hingegen nur eine Software benötigt. Es ist keine Registrierung notwendig, nicht einmal eine E-Mail-Adresse. Alle Transaktionen finden nur zwischen den im Abschnitt Adressen dargestellten Adressen statt.

Benutzt man für alle Transaktionen nur eine einzige Bitcoinadresse, erreicht man bereits die Anonymität eines Geschäftsbeziehungspseudonyms. Bitcoin motiviert aber die Erstellung einer neuen Adresse für jede Transaktion. Den Nutzer kostet dies eine sehr kleine Menge Speicherplatz, auf das Netzwerk hat die Erstellung einer Adresse überhaupt keine Auswirkungen. Im Original-Client wird automatisch nach jeder Transaktion eine neue Adresse vorgeschlagen. Durch diese Nutzung der Adressen erreicht man die Anonymität eines Transaktionspseudonyms. In herkömmlichen Systemen hat man mit der Kontonummer meist ein nichtöffentliches Personenpseudonym. Die Zuordnung zu einer Identität ist nur wenigen Stellen bekannt, so lange kein Name zur Nummer angegeben wird. Die von Bitcoin erreichte Anonymität ist zunächst also deutlich stärker als die anderer Geldsysteme, mit Ausnahme von Bargeld.

Rückverfolgbarkeit

Durch die Veröffentlichung jeder Transaktion an alle Teilnehmer und die Struktur der Transaktionsgeschichte ermöglicht Bitcoin allerdings die totale Rückverfolgbarkeit von Geld. Dies ist in anderen Zahlungssystemen nur schwer oder gar nicht möglich und ist eine Besonderheit der Bitcoins. Sobald durch das Erzeugen eines Blocks ein Nutzer A Bitcoins gutgeschrieben bekommt, wird dies in einer Generierungs-Transaktion öffentlich festgehalten. Nutzt A nun dieses Geld, um einem Nutzer B etwas zu überweisen, prüft Nutzer B, dass die Bitcoins wirklich A gehörten. Diese Kette wird immer weiter gereicht, so dass irgendwann ein Nutzer K, und alle anderen Teilnehmer des Bitcoin-Netzwerks das von K erhaltene Geld über alle Stationen hinweg bis zurück zu ihrer Generierung für A zurückverfolgen können. Betrachtet man das Netzwerk nur für sich, hat das keine Auswirkungen auf die Anonymität. Die Nutzung von Bitcoins wäre aber sinnlos, wenn man mit ihnen nichts kauft. Doch sobald die Bitcoins gegen Waren und Dienstleistungen oder andere Währungen ausgetauscht werden, beginnt die Anonymität zu sinken.

Deanonymisierung

Im Folgenden soll grob ein Szenario skizziert werden, in dem Bitcoinadressen eines Online-Shop-Kunden ihre Anonymität verlieren. Ein Nutzer Bob besitzt mehrere Bitcoin-Adressen, darunter die beiden Adressen 12yfLbr und 16u9P3E mit je vier Bitcoins. Er kauft beim Online-Händler Shop42 ein Buch und bezahlt dafür sechs Bitcoins an die Händler-Adresse 1KvBAbv.
Um die Ware zu sich nachhause geliefert bekommen zu können, muss er seinen echten Namen und seine Adresse beim Händler hinterlegen. Die Transaktion, mit der die Ware in Bitcoins bezahlt wird, wird dem
Netzwerk bekanntgegeben. Jeder Nutzer hat jetzt folgende Informationen zur Verfügung:

  • Die Input-Adressen 12yfLbr und 16u9P3E gehören ein und demselben Nutzer X

  • Nutzer X hatte vor der Transaktion auf beiden Adressen je vier Bitcoins
  • Output-Adresse 1KvBAbv erhält sechs Bitcoins, Adresse 19eLAtL erhält zwei Bitcoins (das übrig gebliebene Wechselgeld)

Jedem Teilnehmer ist also bekannt, dass die zwei Bitcoin-Adressen einem Nutzer gehören, dem wahrscheinlich auch noch eine der Output-Adressen gehört. Dies ist noch kein Bruch der Anonymität. Der Händler
aber kann den Input-Adressen den Namen und die Lieferadressen aus seiner Kundendatenbank zuordnen. Außerdem weiß er, welche der Output-Adressen ihm selbst gehört, und welche Adresse für das Wechselgeld bestimmt ist. Die ihm vorliegenden Informationen sind also schon viel präziser:

  • Die Adressen 12yfLbr und 16u9P3E gehören Käufer Bob, wohnhaft in Dresden, Rathausstraße 24

  • Käufer Bob besitzt insgesamt acht Bitcoins
  • Käufer Bob kauft das Buch „Datenschutz für Dummies“ für sechs Bitcoins
  • Käufer Bob besitzt nach dem Kauf noch zwei Bitcoins auf Adresse 19eLAtL

Wenige Tage später enthält eine Transaktion zwei Bitcoins von Bobs Adresse 19eLAtL und weitere sechs Bitcoins von einer anderen Adresse 12cbQLT. Die Output-Adresse 1Q2TWHE erhält fünf Bitcoins und Adresse 1JhxuRH erhät drei Bitcoins. Für jeden Nutzer außer Bob und dem Händler sehen die Informationen wieder so aus, wie in der ersten Transaktion beschrieben. Der Händler kann aber sein Wissen auf diese Transaktion anwenden und weiß zusätzlich nun auch:

  • Bob besitzt zusätzlich die Adresse 12cbQLT mit sechs Bitcoins

  • Bob besitzt entweder die Adresse 1Q2TWHE mit fünf Bitcoins oder die Adresse 1JhxuRH mit drei Bitcoins

Später erhält der Händler eine Bestellung, die von Adresse 1JhxuRH bezahlt wird. Durch Verknüpfung mit seiner Kundendatenbank erhält er nicht nur Informationen zu Alice, der die Adresse gehört, sondern auch weitere Informationen zu Bob, denn er weiß jetzt, weche der beiden Output-Adressen zu ihm gehört:

  • Bob besitzt die Adresse 1Q2TWHE mit fünf Bitcoins

Bekommt Bob von einem weiteren Nutzer auf eine seiner bekannten Adressen eine Einzahlung, etwa drei Bitcoins auf 1Q2TWHE, wird auch dies dem Händler bekannt. Er weiß insgesamt also:

  • Die Adressen 12yfLbr und 16u9P3E gehören Käufer Bob, wohnhaft in Dresden, Rathausstraße 24

  • Käufer Bob wohnt in Dresden, Rathausstraße 24
  • Käufer Bob besitzt insgesamt acht Bitcoins
  • Käufer Bob kauft das Buch „`Datenschutz für Dummies“‚ für sechs Bitcoins
  • Käufer Bob besitzt nach dem Kauf noch zwei Bitcoins auf Adresse 19eLAtL
  • Bob besitzt die Adresse 1Q2TWHE mit acht Bitcoins
  • Bob hatte einen finanziellen Kontakt mit Alice

Diese Liste lässt sich solange erweitern, wie die bekannten Adressen für eingehende oder ausgehende Transaktionen verwendet werden. Zusätzlich hat der Händler analoge Informationen zu den Adressen von Alice und allen weiteren seiner Kunden, die mit Bitcoins bezahlen. In diesem Szenario findet der Kontakt zwischen zwei der Kunden direkt statt, je nach Kundenanzahl des Händlers sind solche Direktverbindungen wahrscheinlicher oder unwahrscheinlicher. Aber auch indirekte Verbindungen können weiterverfolgt werden, da ja alle Transaktionen offen liegen. Die Beziehungen der einzelnen Adressen lassen sich umso leichter verknüpfen, desto öfter eine Adresse wiederverwendet wird. Eine ähnliche Verknüpfbarkeit wie dargestellt gibt es natürlich auch, wenn Bitcoins im Tausch gegen eine andere Währung gekauft werden.

Diese Deanonimisierbarkeit hat auch Auswirkungen auf die unter Abschnitt Adresswechsel und Sicherheit der Geldbörse beschriebenen Angriffe. Dem Angreifer nutzen die Bitcoins nichts, wenn er sie nicht irgendwann gegen eine andere Währung oder eine Ware austauscht. Gelingt es dem Diebstahlsopfer oder einer Strafverfolgungsbehörde, innerhalb des weiteren Weges der Bitcoins die Identität eines Adressinhabers festzustellen, kann die Kette eventuell bis zurück zum Angreifer aufgelöst werden.

Es ist möglich, eine einmal erfolgte Deanonymisierung wieder aufzuheben, indem man die kompromittierten Adressen mit einem anderen Nutzer tauscht. Dies kann zum Beispiel über einen Mixing-Service geschehen: Viele Nutzer zahlen ihre Bitcoins in einen großen Pool ein, aus dem sie dann wieder Geld abheben. Die Anonymität eines solchen Mixes steigt mit der Zahl der Nutzer. Problematisch ist, dass der Anbieter des Service letztendlich im Besitz aller Bitcoins der Nutzer ist und dieses auch für sich selbst nutzen kann. Es ist also ein hohes Maß an Vertrauen erforderlich.

Eine weitere Angriffsmöglichkeit auf die Anonymität stellt das Abhören des Netzwerkverkehrs dar. Kann etwa ein Internet Service Provider zuordnen, von welcher IP-Adresse eine Transaktion an das Bitcoin-Netzwerk gesendet wurde, kann er die Absenderadresse und die bei ihm zur entsprechenden IP vorliegenden Daten verknüpfen und die Anonymität auflösen. Einen Schutz dagegen bietet die Nutzung eines Anonymisierungsdienstes wie Tor.

Analyse der Anonymität durch Reid und Harrigan

Um Bitcoin-Adressen mit Informationen zu dessen Inhabern verknüpfen zu können, ist nicht unbedingt der direkte Kontakt zu den Nutzern erforderlich. Eine andere Möglichkeit besteht darin, zum Beispiel Foren nach Bitcoin-Adressen abzusuchen, und zusammen mit den Nutzernamen der Poster und wenn vorhanden auch deren weiteren Kontaktdaten abzuspeichern. Diese Daten können dann wiederum für weitere Suchen verwendet werden.

Die bislang wohl umfangreichste Studie der Auswirkung der öffentlichen Transaktionshistorie erfolgte durch Fergal Reid Martin Harrigan. In ihrer Analyse betrachteten sie alle zwischen dem 3. Januar 2009 und dem 12. Juli 2011 erfolgten Transaktionen. Aus den Daten erstellen sie zwei Netzwerk-Graphen. Im Transaktions-Netzwerk repräsentiert ein Knoten eine Transaktion und jede gerichtete Kante zwischen zwei Knoten den Output an der Quelle und den entsprechenden Input am Ziel. Im Nutzer-Netzwerk steht jeder Knoten für einen Nutzer und jede Kante für eine Transaktion. Entgegen der Erwartung der Autoren lassen sich aus dem Nutzer-Netzwerk viele zyklische Verbindungen ablesen, anstatt in viele nicht verbundene Einmaladressen aufgeteilt zu sein. Trotz der Empfehlung, Adressen nicht wieder zu verwenden, scheinen viele Nutzer also nicht ständig neue Adressen anzulegen, was die Anonymität der genutzten Adressen vermindert.

Um den Adressen indentifizierende Informationen zuordnen zu können, sammelt man zunächst öffentlich gemachte Adressen, die bereits mit anderen Daten verbunden sind. Das können zum Beispiel die IP-Adressen von Spendern auf einer Bitcoin-Spendenwebseite sein oder von den Nutzern selbst in einem Forum oder auf Twitter unter ihrem Nutzernamen veröffentliche Adressen. Diese Daten werden zusammen gespeichert. Mit Hilfe der jetzt schon vorhandenen Informationen können weitere Daten gesammelt werden, zum Beispiel über andere Dienste bei denen der gleiche Nutzername verwendet wird. Diese Daten werden nun den Adressen im Transaktions-Netzwerk zugeordnet. In vielen Transaktionen tauchen dann als Input bereits bekannte zusammen mit bislang unbekannten Adressen auf. Diese Adressen müssen aber zwingend dem gleichen Nutzer gehören. Durch die Wiederverwendung der Adressen werden so viele bisher unbekannte Adressen mit Informationen zu ihrem Besitzer verbunden. Da nun bekannt ist, welche Adressen welchem Nutzer gehören, entstehen auch bislang unentdeckte Verbindungen zwischen den Knoten im Nutzer-Netzwerk.

Die Autoren wenden ihre Analysemethode auch auf den unter beschriebenen Diebstahl an und können die komplizierten Verschleierungstransaktionen des Angreifers nachvollziehen und übersichtlich darstellen.

Bitcoin: Diebstahlsvisualisierung

Bitcoin: Diebstahlsvisualisierung

In ihrer Arbeit nutzen die Autoren nur eine passive Analyse und merken an, dass mit aktivem Eingreifen in das Netzwerk noch deutlich mehr und detailiertere Informationen gewonnen werden können. Denkbar wäre etwa eine Verbindung der aus der Netzwerkanalyse ermittelten Daten mit solchen Informationen, wie sie dem Händler zur Verfügung stehen. Das Bitcoin-Netzwerk könnte so Eigenschaften eines sozialen Netzwerkes bekommen, welches man wiederum mit dafür geeigneten Methoden analysieren und verfeinern kann.

Fazit

Bitcoin ist der aktuellste Versuch, ein zu Bargeld analoges Bezahlsystem im Internet zu etablieren. Es setzt dabei auf eine dezentrale Struktur ohne vertrauenswürdige Drittparteien. Über die Korrektheit einer Transaktion entscheidet, wer am meisten Rechenkapazität investiert hat. Dabei wird davon ausgegangen, dass immer eine Mehrzahl an ehrlichen Teilnehmern im Netz agiert. Die für die Signierung und Validierung der Transaktionen und das Erzeugen neuer Blöcke verwendete Kryptographie ist heute als sicher anzusehen. Ein Angreifer kann aber außerhalb des Systems ansetzen. Gelingt es ihm, private Schlüssel mit deren Bitcoins zu stehlen, ist der Schaden für den Betroffenen nicht wieder rückgängig zu machen. Gleiches gilt für den Verlust der Geldbörse. Ob die Sicherheitsmaßnahmen genügen, liegt also zu einem großen Teil am Verhalten des Nutzers. Durch die Struktur von Bitcoin lassen sich einmal gemachte Transaktionen nicht rückgängig machen. Dieses Risiko muss jedem Nutzer bewusst sein.

Auch die Bitcoin oft nachgesagte Anonymität hängt vor allem davon ab, welche Daten die Nutzer mit ihren Bitcoinadressen verbinden. Für sich gesehen erreicht das System eine sehr hohe Anonymität. Durch die Verknüpfung mit Daten die beim Kauf von Waren und Dienstleistungen anfallen oder die an einer Stelle öffentlich gemacht wurden kann diese Anonymität schrittweise immer weiter reduziert werden. Die Deanonymisierung eines einzelnen Nutzers kann durch die Verkettung der Transaktionen auch zur Deanonymisierung weiterer Nutzer führen. Auch hier gilt also, dass den Nutzern bewusst sein muss, dass sie selbst für ihre Anonymität die Verantwortung tragen.

Quellen/Literatur

Dieser Beitrag wurde unter Software, Technik veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Eine Antwort auf Bitcoin: Sicherheit und Datenschutz (Teil 2 von 2)

  1. Thomas sagt:

    Ein sehr informativer Artikel. Die Meinungen über Bitcoins gehen ja in die unterschiedlichesten Richtungen und mich persönlich hat das ganze System mit dieser virtuellen Währung bislang auch noch nicht überzeugt. Auch die Pleite von Mt. Gox hat nicht dazu beigetragen, dass das ganze einen positiven Eindruck hinterlässt. Ich bin sehr gespannt, ob es sich hierbei nicht einfach wieder um eine Form der „Modeerscheinung“ handelt, die irgendwann wieder durch eine neue ersetzt wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.