Amazon will mit Datenmarktplatz Bitcoin-Transaktionen deanonymisieren

The Eye. Bild von XoMEoX via flickr.com. Lizenz: Creative Commons

Ein Patent von Amazon zeigt, wie der IT-Konzern mit einem Marktplatz vorhat, die Privatsphäre im Internet zu durchlöchern. Im Fokus stehen wohl vor allem Bitcoin-Transaktionen, die beispielsweise mit den IP-Adressen verbunden werden sollen. Jedem, der ein Interesse an Datenschutz hat, sollte es kalt den Rücken runterlaufen.

Daten werden erst mächtig, wenn man sie verbindet. Solange sie fragmentiert und unzusammenhängend sind, verraten sie noch nicht so viel über den einzelnen. Doch wenn man sie zusammensetzt, ergeben sie ein schockierend genaues Raster.

Amazon möchte diesen Fakt mit einem Datenmarktplatz ausnutzen. Ein kürzlich vergebenes Patent beschreibt einen Markplatz für Datemströme. Individuen, Unternehmen oder Organisationen können Datenströme anbieten, und Kunden können diese abonnieren, korrelieren und kombinieren. Die so gewonnen Kombinationen können ebenfalls auf dem Marktplatz angeboten und weiter kombiniert werden. Denn immer, wenn man Rohdaten nützlich zusammensetzt, entstehen Werte.

Das Patent nennt ein Beispiel, wie Datenkombinationen mehr wert sein können als die Summe der Teile. Es geht dabei um Bitcoin-Transaktionen, die für jeden Teilnehmer des Netzwerks sichtbar sind, aber die Identität von Sender und Empfänger hinter einer pseudonymen Adresse verbirgt. “Diese rohen Transaktionsdaten verraten dem Kunden nur wenig, solange er sie nicht mit verschiedenen Elementen von anderen nützlichen Datenströmen korreliert.” So könnten etwa Händler, die Bitcoin akzeptieren, die Lieferaddresse mit den Daten der Bitcoin-Transaktion korrelieren und diese Kombination als neuen Datenstrom republizieren. Dann können etwa die Internetprovider diese Datenströme abonnieren, mit den IP-Adressen korrelieren und als neues Paket auf den Datenmarktplatz stellen, wo etwa die Finanzämter sie herunterladen und mit Steuerdaten verbinden können. Und so weiter.

Ein solcher Datenstrom könnte Händlern helfen, die von manchen Regulierern ersehnten “Sperrlisten” umzusetzen. So wie etwa bei online abgeschlossenen Mobilfunkverträgen automatisch die Daten von Credit-Scoring-Anbietern wie der Schufa abgefragt werden, könnten Händler bei Annahme einer Transaktion automatisch danach fragen, ob diese zu nahe an dunklen Quellen steht. Ob dies wünschenswert ist, um zu verhindern, dass beispielsweise Bitcoins aus Erpressungen in Umlauf geraten, oder ob dies die Fungibilität von Bitcoin – und damit dessen Eignung als Zahlungsmittel – beeinträchtigt – darüber kann man, immerhin, diskutieren. Nicht diskutieren kann man jedoch darüber, dass es verheerend ist, wenn sich jeder Gauner auf dem Datenmarktplatz die Informationen zusammenklauben kann, um zu erfahren, wie viele Bitcoins jemand hat, der an diesem oder jenen physischen Ort wohnt. Ebenfalls nicht diskutabel ist, dass allein das Vorhandensein dieser Korrelationen eine anlasslose Massenüberwachung unschuldiger Bürger darstellt…

Man kann und sollte darüber klagen, dass Amazon vorhat, in Massen die Privatsphäre auszuhöhlen. Man kann auch auf den deutschen oder europäischen Datenschutz hinweisen, der es vermutlich untersagt, dass man einfach so die Adress- oder IP-Daten von Kunden auf einen Marktplatz wirft, wo sie prinzipiell von jedem gesehen werden können. Allerdings stellt Amazons patentierter Datenmarktplatz leglich eine Methode dar, um das, was sowieso schon geht, noch effizienter zu betreiben. Es gibt bereits die Daten, die Bitcoin-Transaktionen mit IP- und physischen Adressen verbinden können. Sie sind bisher zwar noch isoliert in den Silos von verschiedenen Servern, aber man weiß nie, ob sie nicht schon kombiniert wurden. Ein Datenmarktplatz würde, immerhin, die bestehende Unsicherheit beseitigen: Man müsste davon ausgehen, dass alle Daten, die man produziert, bereits verknüpft sind.

Für die User bliebe dann nur eine Möglichkeit übrig: So wenig Daten wie möglich zu produzieren. Inwieweit das aber möglich ist, ist schwer zu sagen. Man kann nicht permanent Tor benutzen, um seinen Internetanbieter daran zu hindern, seine IP-Adresse mit einer physischen Adresse zu verbinden. Eventuell hilft ein VPN, eventuell hat man das Glück, dass der Internet-Anbieter dynamische Adressen vergibt. Auf der Seite der Bitcoin-Transaktionen bleibt einem nur, eine strenge Wallet-Hygiene zu betreiben. Man sollte Coins, die “beschmutzt” in dem Sinn sind, dass sie in Kontakt mit einer Firma kamen, die die Daten möglicherweise verkauft – etwa Amazon – von Coins separieren, die noch nicht mit solchen Firmen in Kontakt kamen und daher nicht mit der Adresse korreliert werden. Vielleicht hilft es, Dienstleister zu vermeiden, die nicht in einem Land mit starkem Datenschutz, wie Deutschland oder der Niederlande, beheimatet sind.

Die vermutlich stärkste Lösung wäre es wohl, Mixer oder andere Verfahren zu verwenden, um Coins zu anonymisieren. Denn dies würde die auf Bitcoin-Adrese abzielenden Korrelationen brechen, und es auch schwierig oder unmöglich machen, von dieser Adresse auf andere abzuleiten, die derselben Person gehören. Allerdings haben diese Verfahren den Stallgeruch von Geldwäsche. Wer sie benutzt, riskiert, seine Coins zu beschmutzen oder auf einer schwarzen Liste zu landen – also die Situation nur noch schlimmer zu machen. Hier jedoch wäre es an der Zeit, umzudenken. Wenn es die deutsche Justiz mit dem Datenschutz wirklich ernst meint, sollte sie es nicht dulden, dass Verfahren, um die Privatsphäre auf der Blockchain gegen solche Angriffe zu schützen, von der Polizei mit Geldwäsche gleichgesetzt werden. Sie sollten, im Gegenteil, explizit erlaubt und vielleicht sogar von der Regierung selbst zertifiziert und herausgegeben werden.

In den 70ern hat das NIST in den USA den kryptographischen Algorithmus DES veröffentlicht, um sicherzustellen, dass amerikanische Bürger und Unternehmen sicher über das Internet kommunizieren können. Das Patent von Amazon zeigt, dass es an der Zeit ist für eine ähnliche Initiative bei Kryptowährungen.

About Christoph Bergmann (1256 Articles)
Das Bitcoinblog wird von bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder. Wenn Ihnen das Blog gefällt, freuen wir uns über Spenden. Sie können Bitcoin oder Bitcoin Cash an die folgende Adresse spenden: 1BvayiASVCmGmg4WUJmyRHoNevWWo5snqC Weitere Adressen (bech32, SegWit, Litecoin, Ethereum) finden Sie HIER. Dort erfahren Sie auch, wie Sie das Bitcoinblog anderweitig unterstützen können, etwa durch Affiliate-Links. Tipps für Stories sind an christoph.bergmann@mailbox.org immer erwünscht. Wer dies privat machen möchte, sollte meinen PGP-Schlüssel verwenden.

13 Comments on Amazon will mit Datenmarktplatz Bitcoin-Transaktionen deanonymisieren

  1. Bitcoin hat kein Address mixer. Aber die alternative wie Verge $XVG Paccoin $PAC

  2. interessant, wie der Artikel es schafft, nicht einmal auf wirklich anonym nutzbare Währungen zu verweisen. Sich jetzt Gedanken zu machen, wie man Legacy-Bitcon mit Privatsphäre ausstattet, ist wie ein Kutscher der seinem lahmen Pferd angesichts vorbeifahrender Autos einen Auspuff anklebt.

    Aber keine Sorge, wir wissen alle, dass es auch heute noch viele echte Anwendungsfälle für Pferde gibt.

    Bitcoin bleibt ein “store of value”, bei Pornhub nutzen wir Verge 🙄 und der Rest ist bei Monero gut aufgehoben.

  3. oder Monero,Zcash und Grin welches Mimblewimble implementiert.
    Man nehme schlicht andere Coins die Privatsphäre ernst nehmen.

  4. Das Problem ist nicht nur Technik von Bitcoin. Es ist noch gar nicht lange her, da hat Bitcoin.de selbst gegen Nutzer ermittelt und zur Deanonymisierung beigetragen. Das zeigt uns, dass wir andere Coins benutzen sollten, da wir Marktplätze, Börsen und andere in der Bitcoin-Ökonomie nicht trauen können und die Ideale verraten haben.

  5. Lol, soso,IP-Adressen… ist doch lächerlich… bitcoind kann doch schon seit Ewigkeiten über Tor betrieben werden. Einfach tor laufen lassen und die Option “proxy=127.0.0.1:9050” in die Config eintragen, am besten noch zusammen mit “listenonion=1” und das Problem der IP-Adressen ist gelöst. Und es gibt ja auch noch eine Unmenge an anderen, “richtigen” Lösungen, z.B. zcash und dezentrale Exchanges, wie BarterDEX und, und, und… meiner Meinung nach ist jeder Versuch der Deanonymisierung reine Zeit- und Ressourcenverschwendung.

    • Naja, dein ISP kann etwa eine Lieferadresse mit deiner IP zusammenbringen. Einmal kein Tor an, und schon könnte deine ganze Wallet deanonymisiert sein.

      • Mein Ausspruch “ist doch lächerlich” war nicht auf den Artikel bezogen, lediglich auf die Versuche von, in diesem Fall Amazon, alles zu deanonymisieren. Ich finde es sehr interessant, dass immer noch viele Menschen den IP-Adressen eine Bedeutung zuschreiben. Meiner Meinung nach haben IP-Adressen in Zeiten von Tor und VPN keine Bedeutung mehr und sind nicht geeignet Dinge zu sperren oder Erkenntnisse zu gewinnen.

  6. um himmels willen…
    mal vollkommen ausser acht gelassen, dass nur durch die metadaten die komplette identität inkl aller verbindungen weniger als ein kinderspiel festgestellt werden kann und natürlich auch wird.
    solange man keinen fremden zugang mit einem ausschliesslich für diesen zweck zu verwendendes endgerät benutzt, ist eine ip adresse sowas wie eine festnetz oder ausweisnummer, tor oder vpn hin oder her.
    aber selbst wenn man mit solch einem endgerät mit seinem eingebuchten handy zum fremenden wlan fährt, ist die sache schon wieder sinnlos.
    vpn ist eh nur was fürs gewissen und dass tor kompromitiert ist, sollte sich doch wohl auch schon rumgesprochen haben, da man nicht weiss wer die betreiber der nodes sind.
    um mal ein gefühl für den banalen oberflöchenkrams von metadaten bekommen möchte, sollte sich mal “nothing to hide” anschauen.
    wie gesagt, das ist dort nur kindergarten zu demo zwecken….

    • Also auf meinem Handy läuft auch tor, nennt sich Orbot… und auf meinem Laptop auch… spielt also überhaupt keine Rolle in welchem WLAN oder sonstwas ich eingewählt bin.
      Und das kompromittierte Tor ist meiner Meinung nach ein Mythos, man muss eine Menge Entry- und Exit-Nodes kontrollieren, über einen sehr großen Zeitraum (ohne entdeckt zu werden) und auch noch eine Menge Glück haben, damit man da etwas herausfinden kann… das ist also ein rein theoretisches Angriffsszenario und kaum praktikabel.

      Ist aber auch egal, jeder kann benutzen was er für sicher hält, Hauptsache ist, man tut etwas und lässt das alles nicht einfach so mit sich machen.

  7. Apropos: Bin zur Tat geschritten und betreibe 7 Server auf der ganzen Welt verteilt (5 davon bei AWS selbst), die für folgende Coins auf Verbindungen aus Tor horchen: BTC, BCH, KMD, SIB, ZEC, ZCL, BTCZ, BTX, DGB, DOGE, DASH, FAIR, HUSH, LTC, NMC und VIA. Weitere werden folgen. Bisher sehe ich aber kaum Verbindungen von Tor, nur bei BTC sind es ein paar. Den Leuten scheint es total egal zu sein… da bleibt nur noch zu sagen: Selber schuld. Die meisten empören sich nur kurz künstlich, schwätzen viel, machen aber nichts.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s