Die Vorgeschichte des Bitcoins: Was genau Satoshi anders gemacht hat

Satoshi Nakamoto war nicht der erste, der ein digitales Bargeld entwickelt hat. Er war lediglich der erste, der damit dauerhaft Erfolg hatte. Ein Blick in die Geschichte zeigt, was Satoshi anders als alle anderen vor ihm gemacht hat.

In den frühen 90er Jahren des 20. Jahrhunderts schien es, als wäre digitales Bargeld schon so gut wie da. Die meisten, die sich damals mit dem Thema beschäftigt haben, hätten vermutlich laut gelacht, wenn man ihnen erzählt hätte, dass es noch bis 2009 dauern würde, bis digitales Bargeld Wirklichkeit werden würde – und dass es dann auch noch eine eigene Währung brauchen würde.

Digitales Bargeld meint, dass man versucht, Eigenschaften von Bargeld in den digitalen Raum zu übertragen. Die Idee ist nicht wirklich neu, sondern so alt wie das Internet. Wenn nicht noch älter. Seit abzusehen war, dass das „elektronische Zeitalter“ anbricht, haben sich Leute darüber Gedanken gemacht, wie man die Privatsphäre der Menschen in das neue Zeitalter retten kann. Und Bargeld ist Teil der Werkzeuge, mit denen Menschen ihre Privatheit schützen.

Cypherpunks: digitales Geld ist die Essenz der Privatheit

Die sogenannten „Cypherpunks“ stehen wie keine andere Gruppe von Menschen für solche Überlegungen. „Cypherpunk“ ist ein Kofferwort aus „Cypher“ = „Ziffer“ und, nun ja, punk. Es meint mehr oder weniger, dass man Ziffern, also Mathematik oder Kryptographie nutzt, um gegen den Staat, den alten Leviathan, zu kämpfen und die Freiheit der Bürger vor seiner Kontroll- und Überwachungssucht zu verteidigen. In den frühen 90er haben die Cypherpunks diese Kryptorevolution in einer anonyme Mailing-Liste diskutiert. Wenn wir heute Verschlüsselung benutzen, um Webseiten über https anzusteuern, um E-Mails zu verschlüsseln oder um mit TOR anonym zu surfen, dann steckt darin meist auch ein Werk der Cypherpunks.

Was nun digitales Bargeld angeht, hat Eric Hughes, einer der Gründer der Cypherpunks, bereits 1992 im „Cypherpunk Manifesto“ auf den Punkt gebracht, weshalb es notwendig ist:

Da wir Privatheit wünschen, müssen wir sicherstellen, dass jede Partei einer Transaktion nur das Wissen hat, das sie für diese Transaktion benötigt. Da jede Information dokumentiert werden kann, müssen wir dafür sorgen, dass wir so wenig wie möglich enthüllen. In den meisten Fällen ist die persönliche Identität nicht notwendig. Wenn ich in einem Laden ein Magazin kaufe und bar bezahlen, muss der Händler nicht wissen, wer ich bin. Wenn ich meinen E-Mail-Provider bitte, Nachrichten zu versenden und zu empfangen, muss der Provider nicht wissen, mit wem ich kommuniziere oder was ich schreibe oder was andere mir schreiben; mein Provider muss nur wissen, wie er die Mail ausstellt und wie viel ich ihm dafür schulde. Wenn der einer Transaktion unterliegende Mechanismus meine Identität enthüllt, habe ich keine Privatheit. Ich kann mir nicht aussuchen, wann ich mich enthülle; ich muss mich immer enthüllen.

Privatheit in einer offenen Gesellschaft braucht ein anonymes Transaktionssystem. Bis heute ist Bargeld das primäre solcher Systeme. Ein anonymes Transaktionssystem ist kein geheimes Transaktionssystem. Ein anonymes System ermächtigt die Individuen, ihre Identität zu enthüllen, wenn – und nur wenn – sie wollen. Das ist die Essenz der Privatheit.

Digitales Bargeld ist also mit die Essenz der Privatheit. Wir haben es heute, mit Bitcoins, als eine Nischenwährung. Zu der Zeit, als Eric Hughes das Manifest schrieb, sah es jedoch so aus, als würde digitales Bargeld unausweichlich kommen und den Mainstream erobern. Einfach nur, weil es technologisch möglich und politisch wünschenswert war. Der mit Abstand größte Hoffnungsträger dieser Zeit war David Chaum mit seinem ecash.

Blinde Signaturen

David Chaum ist einer der wichtigsten Kryptographen des 20. Jahrhunderts. Der Amerikaner hat zahlreiche Konzepte entwickelt, um mit kryptographischen Methoden die Traffic Analyse zu verhindern. Traffic Analyse meint, dass ich den „Netzwerktraffic“ analysiere, um herauszufinden, wer mit wem in Verbindung steht.

Chaum hat bereits 1982 ein Paper darüber geschrieben, wie man einen Mailserver einrichtet, dessen Traffic es nicht erlaubt, zu erkennen, wer wem etwas schickt. Die wichtigsten Grundlagen für sein ecash schuf er allerdings mit den von ihm entwickelten „Blinden Signaturen.“ Wer hier schon ein Weilchen mitliest, sollte wissen, dass man Bitcoin-Transaktionen mit seinem privaten Schlüssel signiert und ihnen durch diese Signatur Gültigkeit verleiht.

Chaums Idee setzte dagegen bei der Frage an, wie Banken digitales Bargeld herausgeben können. Im Prinzip kann eine Bank einfach eine Datei signieren, in der steht, dass dies hier – diese Datei – einen bestimmten Wert repräsentiert. Die Bank setzt ihre Unterschrift darunter, bucht von meinem Konto Geld ab, ich schicke die Datei jemand anderem, und der tauscht sie bei der Bank wieder ein. Voilá: wir haben ein digitales Pendant zum Geldscheint.

Das Problem ist jedoch, dass ein solches Geld alles andere als anonym ist. Die Bank kann exakt nachvollziehen, was ich mit meinem Geld gemacht habe, da sie die Datei kennt. Chaum hat nun gefragt, ob es möglich ist, dass eine Bank eine Datei „blind“ signiert, also ohne sie zu kennen. Um die Frage zu beantworten, beschrieb Chaum ein mögliches Verfahren einer anonymen Briefwahl: Man nimmt einen Wahlzettel, füllt ihn aus, steckt ihn in einen Umschlag mit Kohlepapier, nimmt diesen Umschlag, steckt ihn in einen anderen Briefumschlag, schreibt darauf seine Adresse und schickt das ganze zum Wahlhelfer. Der öffnet den Umschlag, unterschreibt auf dem Kohlepapier-Umschlag, steckt ihn in einen neuen Umschlag, schreibt darauf meine Adresse und schickt ihn mir zurück. Da eine Unterschrift auf Kohlepapier auch auf den Zettel darunter durchdrückt, habe ich nun also einen unterschriebenen Wahlschein, den ich ohne Absendeadresse, also anonym zurückschicken kann, während der Wahlhelfer weiß, dass ich gewählt habe, ohne dass er weiß, was oder wen.

Mithilfe verschachtelter Signaturen kann man dieses Prinzip auch auf Dateien übertragen. Ich signiere eine Datei, schicke die Signatur – ohne Datei – zur Bank, die signiert die Signatur, ich löse meine Signatur auf, und das Ergebnis ist meine Datei, von der Bank signiert.

Digicash und ecash

In Amsterdam hat David Chaum in den frühen 90ern die Firma Digicash gegründet, die ecash entwickeln und vertreiben sollte. Alles sah gut, sogar glänzend aus. Mehrere Banken wollten mitmachen, und sogar Microsoft plante angeblich, ecash in Windows 95 zu integrieren.

Das Produkt galt allgemein als brillant. Chaum nutzte die blinden Signaturen, um ein digitales Bargeld zu erzeugen, das an sich direkt, von Rechner zu Rechner, übertragen werden konnte. Einzig um Double Spends zu verhindern, also dass jemand dieselbe Einheit mehrfach ausgibt, mussten die Rechner die Banken kontaktieren.

Einige Jahre später, 1998, war Digicash jedoch pleite. Mehrere Banken, darunter die Deutsche Bank und die Mark Twain Bank in den USA, hatten Versuche mit ecash begonnen und wieder abgebrochen. Warum Chaum mit ecash scheiterte, ist zum Teil noch ein Rätsel. Manche suchen die Schuld in seiner Person – er war angeblich kontrollsüchtig und paranoid und hat viele Verträge in letzter Sekunde doch nicht unterschrieben, etwa mit Microsoft – während andere sie in der konzeptionellen Gestaltung von ecash sehen.

Ein Trümmerhaufen

Fakt ist, dass Chaum gescheitert war. Und er war nicht der einzige. James A. Donald hat 1999 eine Liste mit Ansätzen für digitales Bargeld veröffentlicht. Sie ist eine lange Liste erfolgloser Versuche. Entweder handelte es sich nicht wirklich, sondern nur dem Namen nach um elektronisches Bargeld (electronic cash), oder das Projekt war gescheitert. Cybank, Netcheque, Netcash, Cybercash, ecoin, Paycash und viele mehr.

Wenn die Cypherpunks Ende der 90er Jahre über Digitales Bargeld diskutierten, war von der einstigen Euphorie nicht mehr viel übrig geblieben. Der Tonfall war meistens resigniert. Tim May, ein weiterer Gründer der Cypherpunks, antwortete auf James A. Donalds Liste:

Mehr als Zehn Jahre sind vergangen, und wir haben noch immer kein nützliches digitales Bargeld.

Ich schrieb mein Cryptoanarchist Manifesto vor beinah 11 Jahren. Ich traf Chaum 1988. Ich wußte, dass digitales Bargeld nicht sofort erscheinen würde, aber ich hatte nicht erwartet, dass mehr als 10 Jahre später noch immer nichts nützliches da sein würde.

Natürlich, die ‚ Mark Twain Bank‘ hatte einen Fuß im Wasser. Aber niemand nutzte es für irgendetwas interessantes. Ich wäre nicht überrascht, wenn der gesamte Betrag von Transaktionen, die die Markt Twain Bank mit ecash gemacht hat, unter 10.000 Dollar geblieben ist.

Der Fakt ist, dass wir abbauen. Die interessantesten Ideen der frühen Cypherpunk-Liste wurden nicht realisiert.

Auch die folgenden Jahre sollten daran nichts ändern. Es gab zwar spannende Ideen und einige weitere Versuche, aber keinem Ansatz war Erfolg beschienen.

Vorsichtig, zentralistisch, halbseiden

Warum waren all diese Versuche gescheitert? Hierfür gibt es eine Reihe von Erkärungsansätzen. Zum einen schien das Publikum einfach kein Interesse zu haben. Kreditkarten funktionierten, Lastschriftverfahren funktionierten, und als PayPal aufkam, funktionierte auch das. Dass diese Verfahren unsicher und indiskret war, schien niemanden zu interessieren, und wie man heute bei der Verbreitung von Bitcoin im E-Kommerz sieht, interessiert es auch weiterhin niemanden. Chaum sagte, nachdem ecash gescheitert war: „Als das Web wuchs, sank die durchschnittliche Intelligenz der Nutzer. Es war schwer, ihnen zu erklären, warum Privatsphäre wichtig ist.“

Eine andere Erklärung geht dahin, dass die bisherigen Versuche, digitales Bargeld zu erschaffen, auf halbem Weg stecken geblieben sind. James A. Donald kommentiert 1999 ecash:

Getötet von Furcht und Gier, vor allem Furcht. Sie hatten Angst, irgendjemanden zu verletzten, und darum haben sie ihr Bargeld verkrüppelt, so dass sie es für jeden verbieten konnten, der etwas damit anzufangen wusste. Damit haben die wichtigsten Early Adoppter ausgeschlossen: die Produzenten von Pornographie.

Auch James Orlin Grabbe, einer der aufmerksamsten Beobachter von digitalem Bargeld in den 90ern, konstatierte 1997, dass es kein digitales Bargeld gebe. Ecash erfülle diese Bedingungen nicht:

Es gibt keine Anonymität für den Empfänger von ecash. Nur für den Bezahlenden. Laut Digicash ‚wollen Kriminelle typischerweise Geld einsammeln, und werden daher durch die Nicht-Anonymität von ecash gehindert.‘ Dies klingt wie ein Anbiedern an die Aufsicht, oder wie die Entschuldigung für einen grundsätzlichen Fehler im System.

War das der Grund, weshalb die frühen Versuche, digitales Bargeld zu erzeugen, gescheitert sind? Weil sie nicht weit genug gegangen sind?

Vielleicht. In jedem Fall hatten Projekte wie E-Gold, Liberty Reserver oder James Orlin Grabbes Digital Monetary Trust später mehr Erfolg beim Publikum. Diese drei Ansätze haben in den frühen 2000er Jahren kryptographische Verfahren genutzt, um etwas ähnliches wie digitales Bargeld zu erzeugen, auch wenn sie bei weitem nicht so elegant waren wie die Systeme aus der Zeit von Chaum. Sie waren zwar relativ beliebt, endeten aber immer auf dieselbe Weise.

• Grabbe beendete den Digital Monetary Trust 2004, nachdem er zunehmends von Ebay-Betrügern benutzt wurde und auch schon das Ziel von Ermittlern geworden war.
• Die goldgedeckte Digitalwährung e-gold hatte nie ein System zur konsequenten Verifizierung der Nutzer entwickelt und wurde dementsprechend weitläufig von Hackern und Betrügern genutzt. Auch gegen E-Gold wurde ermittelt, im Jahr 2008 gab es eine Verurteilung, einige Zeit später schloss e-gold.
• Nicht viel anders erging es Liberty Reserve, einer von einer Firma in Costa Rica herausgegebenen digitalen Währung. Sie wurde von Kriminellen verwendet, es gab Ermittlungen, und im Jahr 2013 machte die US-Polizei die Schotten dicht.

Es gibt sicherlich noch Dutzende weiterer Beispiele. Das Fazit ist: entweder das Bargeld ist nicht wirklich Bargeld, oder man bekommt Ärger mit der Polizei. Einen Ausweg aus dieser Zwickmühle hatte erst Satoshi entdeckt.

Satoshi und die Versuche, es dezentral zu machen

In einer E-Mail an Dustrin Trammell beschrieb Satoshi im Januar 2009, weshalb seiner Meinung nach die Geschichte des digitalen Bargeldes bisher eine Abfolge des Scheiterns war:

Weißt du, ich denke, in den 90ern interessierten sich sehr viel mehr Leute dafür  [für digitales Bargeld]. Aber nach mehr als einer Dekade von gescheiterten Systemen, die auf dritten, zu vertrauenden Parteien basierten, haben die meisten Leute es für eine vergebliche Mühe angesehen. Ich hoffe, sie können den Unterschied erkennen, dass wir es dieses Mal mit einem System versuchen, bei dem man niemandem vertrauen muss.

Das war kurz nachdem Satoshi das Bitcoin-Whitepaper geschrieben hatte. Als er den Bitcoin ankündigte, schrieb er explizit: „Es ist vollständig dezentralisiert. Es gibt keinen Server und keine zentrale Authorität.“ Das ist das, was Satoshi anders gemacht hat. Offenbar mit erfolg.

Satoshi war der erste, der ein dezentrales System für digitales Bargeld entwickelt hatte. Er war allerdings nicht der erste, der daran gedacht hat. Bereits 1998 hat Wei Dai das Konzept für „b-money“ entwickelt, ein Geldsystem, in dem die Einheiten dadurch entstehen, dass Leute ihre Computer arbeiten lassen. Die Idee wurde vielfach in den Mailinglisten diskutiert, weil sie die ungeliebte dritte Partei unnötig macht, die die Einheiten von digitalem Bargeld herausgeben muss.

Ein Thread, in dem Wei Dai, Adam Back und anonyme Mitautoren in der Mailing-Liste die Idee von b-money ausbauen, kommt Satoshi näher als alles andere, was mir bekannt ist. Das Problem, das Wei Dai beschäftigte, war die Geldmenge. Er kämpfte damit, die Geldmenge zu kontrollieren, ohne eine zentrale Autorität einzubinden. Dabei formulierte er auch die Idee, dass die beteiligten Parteien vereinbaren, wie viele Einheiten b-money in einem bestimmten Zeitraum entstehen.

Bitcoin scheint in diesen Diskussionen so nah zu sein. Das war 1998, und im folgenden ist die Diskussion versickert. Man wundert sich, warum es noch ein Jahrzehnt gedauert hat, bis Bitcoin Wirklichkeit wurde.