Drei deutsche Wissenschaftler haben in einer Studie erforscht, wie Bitcoin-User die Privatsphäre von Bitcoin sehen. Die Ergebnisse zeigen, wie wichtig die User Privacy nehmen – aber dass es Ihnen an Wissen über konkrete Methoden der De-Anonymisierung mangelt.
Die Privatsphäre ist ein heißes Thema in der Bitcoin-Welt. Wissenschaftler entwickeln Methoden, um Transaktionen zu anonymisieren und zu de-anonymisieren, Unternehmen füllen Datenbanken, um die Bitcoin-Adressen mit Identitäten zu verbinden, und Entwickler schreiben Programme, die diese Verbindung kappen sollen. Aber wenn man wissen will, wie die User mit der Privatsphäre umgehen, muss man sie selbst fragen.
Genau das haben drei Wissenschaftler aus Berlin, Potsdam und Leipzig getan. Benjamin Faber, Tatiana Ermakova und Ulrike Sander haben „das Bewusstsein für Privatsphäre und die potenziellen Sorgen“ von Bitcoin Usern erforscht. Dazu haben sie in einer Studie aktive Bitcoin-User gefragt, wie sie es mit der Privacy halten.
Die User
Wie jede empirische Studie steht und fällt auch diese mit dem Sample an Teilnehmern. Wie findet man sie – und wie kann man prüfen, ob sie repräsentativ für die Gesamtheit sind?
Faber, Ermakova und Sander haben die Teilnehmer über verschiedene soziale Medien rekrutiert: Facebook, LinkedIn, Xing, Bitcointalk, r/bitcoin. Darüber hinaus haben sie E-Mails „an alle Studenten einer großen deutschen Universität sowie an alle 195 Unternehmen, die in Deutschland auf coinmap.org gelistet sind, wie auch zu 150 zufällig ausgewählten unternehmen in den USA und Großbritannien“ gesendet und um Teilnahme an der Umfrage gebeten.
Um zu validieren, dass das Sample die Gesamtheit der Bitcoin Community einigermaßen repräsentiert, haben sie die demographischen Eigenschaften ihrer Teilnehmer mit denen aus anderen Studien verglichen. „Die meisten Teilenhmer sind männlich (95%), aus Deutschland (54%) und zwischen 20 und 29 Jahren (35%) oder zwischen 30 und 39 Jahren (32%) alt.“ Abgesehen von der Herkunft entsprechend diese demographischen Eigenschaften perfekt denen von anderen Studien. Es sieht also aus, als sei das Sample der Wissenschaftler repräsentativ.
Bitcoin und Privatsphäre kurz und gut
Bevor wir dazu kommen, wie die Bitcoin-User die Privatsphäre auf der Bitcoin-Blockchain einschätzen, schauen wir und die Ansicht der Wissenschaftler selbst an. Was halten Sie von der Privatsphäre des Bitcoins?
Sie erklären, dass Bitcoin Transaktionen auf der Blockchain öffentlich sichtbar und daher nicht anonym, sondern nur pseudonym sind. Anschießend zeigen wie, sie man diese Pseudonymität brechen kann, indem man Adressen mit Identitäten verbindet:
Einen ersten, wohlbekannten Ansatz findet man im Skelett von Transaktionen selbst. Jede Transaktion besteht aus Inputs und Outputs, die je mit Adressen verknüpft sind. Da viele Transaktionen mehrere Inputs von verschiedenen Adressen kumulieren, ist es möglich, durch eine Analyse der Inputs mehrere Adressen mit einer einzelnen Identität zu verbinden. Man bündelt Adressen zu clustern.
Ein zweiter Ansatz besteht darin, „das Bitcoin-Netzwerk zu de-anonymisieren, indem man die Bitcoin-Adressen mit IP-Adressen verbindet.“ Wie es genau funktioniert, erklären die Wissenschaftler leider nicht, aber offenbar ist ein Spionage-Node im Spiel. Ich vermute, er beobachtet die Transaktionen, die im Netzwerk propagiert werden, und findet durch irgendeine Methode heraus, welcher Knoten sie zuerst gesendet hat. Dass das ohne einen Sybill-Angriff verlässlichen Ergebnisse liefert, kann ich mir jedoch nur schwer vorstellen.
Insgesamt haben die Wissenschaftler jedoch recht, wenn sie notieren, dass, alles in allem, „die Anonymität der Bitcoin-User untergraben werden kann.“
Allerdings können sich die User gegen diese Aushöhlung der Privatsphäre wehren. Faber, Ermakova und Sander erklären zwei Methoden, um die Privatsphäre zu verteidigen: Erstens sollte man Adressen immer nur einmal verwenden, um die Bildung von Adress-Clustern zu erschweren. Stealth-Adressen helfen zweitens, die Adress-Cluster mit Identitäten zu verbinden (sind aber, muss man anmerken, noch nicht marktreif). Coin-Mixer, ob zentral oder dezentral, helfen, die Verbindung von Identitäten durch Transaktionen zu lösen.
Es ist nicht unbedingt einfach, aber mithilfe der richtigen Methoden können Bitcoin-Nutzer ihre Privatsphäre schützen. Aber wissen sie das auch? Dieser Frage gehen die Wissenschaftler nach.
Wie die User die Privacy des Bitcoins einschätzen
Die Teilnehmer der Studie wurden gefragt, was sie über die Privatsphäre von Bitcoin wissen. Wie schätzen sie sie ein? Ist ihnen bewusst, dass es Techniken gibt, um Transaktionen zu de-anonymisieren, und habe sie eine Idee, wie sie sich davor schützen können?
Zunächst halten die User die Anonymität des Bitcoins für weit weniger problematisch, als die Forscher selbst. Die meisten gewähren Bitcoin ein relativ hohes Maß an Anonymität: „Beinah 40% der Befragten schrieben Bitcoin einen mittleren Grad an Anonymität zu, gefolgt von 30%, die die Anonymiät für hoch hielten.“ Ein Viertel der Befragten meinte jedoch, dass Bitcoin wenig (14%) oder gar keine (12%) Anonymität biete. Ein Fünftel erwägt sogar, Bitcoin wegen der fehlenden Anonymität nicht mehr zu benutzen.
Anschließend haben die Forscher gefragt, inwieweit die User über Methoden der De-Anonymisierung Bescheid wissen. Mit 85% war beinah allen Usern bewusst, dass Transaktionen de-anonymisiert werden können, und 50% von ihnen war darüber besorgt. Wie die De-Anonymisierung funktioniert, wussten jedoch nur wenige Nutzer. 34 Prozent der Teilnehmer kannten die Cluster-Analyse nicht, 30 Prozent wussten nichts von der IP-Verlinkung. Jeweils knapp ein Drittel war über die Techniken im Bilde, aber nicht weiter besorgt, während nur 29 bzw. 22% wegen dieser Analysemethoden beunruhigt war. Mit zunehmender Konkretion des Problems, könnte man folgern, schwindet das Ausmaß der Sorge, die es bereitet.
Wie die User versuchen, ihre Privatsphäre zu schützen
Schließlich fragten die Forscher noch, ob die User Techniken nutzen, um ihre Privatsphäre zu verbessern. Überraschenderweise kannte mehr als die Hälfte der User (53%) Stealth Addresses, ein Konzept, das leider von so gut wie keiner Wallet unterstützt wird, was auch der Grund sein dürfte, weshalb nur 7% der User solche Adressen nutzen.
Deutlich höher war das Wissen über die Regel, Adressen nur einmal zu verwenden. „Nur 18% wussten nicht, dass man die Anonymität verbessert, wenn man Adressen nur einmal verwendet. 35% waren sich dessen bewusst, haben aber darauf verzichtet, während 47% die Maßnahme anwenden. Dies zeigt, dass es sich um eine weithin etablierte Technik handelt.“
Nur ein wenig weniger verbreitet ist das Wissen über das Mixen von Coins. „38% der Teilnehmer würde Coin Mixer benutzen. Weitere 38% würde es nicht, und 24% wissen nicht, was Mixen ist.“
Insgesamt zeigt diese Studie deutlich, wie hoch der Stellenwert ist, den Bitcoin-User der Privatsphäre sowie Instrumenten, diese zu verbessern, einräumen. Dies bestätigt, dass die Privacy eine der wichtigsten Eigenschaften von Bitcoin ist.