Praxis: Wie wahre ich meine Privatsphäre, wenn ich Bitcoin benutze?

Es ist umstritten, wie privat Bitcoin sein kann. Wir erklären, wie Bitcoin-User ihre Privatsphäre verbessern, stellen grundlegende Angriffe auf den Datenschutz vor und zeigen, wie man sich gegen sie schützt – und was man damit erreichen kann.

Das mit Abstand wichtigste, um als Bitcoin-Nutzer privat zu bleiben, ist das Wissen. Man muss wissen, was bei Bitcoin transparent ist und was nicht, und wie Angriffe auf die Privatsphäre ablaufen. Wer das nicht zumindest im Ansatz versteht, wird seine Privatsphäre kaum erhalten können. Daher fangen wir bei den wesentlichen Informationen an, die ein Überwacher auf der Blockchain findet:

1. Adressen

Jede Zahlung bei Bitcoin geht an eine Adresse und enthält einen Hinweis auf die Adresse, von der sie ausgeht. Die Transaktionen hinterlassen also eine Spur, die sich von Adresse zu Adresse schlängelt, und in die in der Blockchain offenliegt. Wenn Sie immer dieselbe Adresse verwenden, sind damit auch ihre finanziellen Transaktionen vollständig transparent. Sobald jemand erfährt, dass Sie der Besitzer dieser Adresse sind, kennt er ihre gesamten ein- und ausgegangenen Zahlungen, und damit auch Ihren Kontostand.

Machen Sie das niemals. Ihre Wallet sollte für jede neue Zahlung an Sie eine neue Adresse verwenden. Wenn Ihre Wallet das nicht macht – wechseln Sie sie. Auch bei Handelsplattformen wie Bitcoin.de können Sie für jede Einzahlung eine neue Adresse generieren, um Ihre Privatsphäre zu schützen. Auch dies sollten Sie unbedingt tun.

Damit wäre das Problem, dass verschiedene Zahlungseingänge einer Adresse zugeordnet werden können, gelöst. Aber das reicht noch nicht.

2. Wallet Clustering

Neben der Kette von Adresse zu Adresse können Transaktionen aber noch zwei weitere Informationen enthalten.

Erstens, die Inputs. Wenn Ihnen der Begriff nichts sagt, denken Sie bitte an die Münzen und Scheine in Ihrem Geldbeutel. Wenn Sie im Einzelhandel bezahlen, wählen Sie Münzen aus und setzen diese zusammen. Genauso macht es Ihre Wallet. Damit aber hinterlässt sie eine Spur, die für das sogenannte „Wallet Clustering“ missbraucht werden kann: Die beiden Münzen bilden die Inputs einer Transaktion und verraten damit, dass sie derselben Person gehören. Wenn Sie mit Adresse 1Anton und mit Adresse 1Bertha Geld empfangen, weiß zunächst niemand, dass die beiden Adressen zusammengehören. Sobald Sie jedoch die Münzen auf den beiden Adressen in einer Transaktion versenden, wird klar, dass sie beide derselben Person gehören.

Zweitens enthalten die meisten Transaktionen ein Wechselgeld. Auch klar: Wenn Sie mit einer Münze bezahlen, geht es selten auf, und Sie erhalten an der Kasse ein Rückgeld. Das ist bei Bitcoin nicht anders. Wenn Ihre Wallet für das Wechselgeld eine bereits benutzte Adresse verwendet, verbindet sie diese mit Ihrer anderen Adresse. Falls Ihre Wallet das macht – wechseln Sie sie. Aber auch bei einer neuen Adresse für das Wechselgeld besteht die Gefahr, dass ein Analyseprogramm erkennt, welche der beiden Zahlungsausgänge das Wechselgeld ist. Es gibt Algorithmen, die versuchen, das zu schätzen, auch wenn es hier keine vollständige Sicherheit gibt.

Bei einer unbedachten Nutzung der Wallet führt diese Art von Wallet-Clustering dazu, dass ein Beobachter mit den richtigen Werkzeugen in der Lage ist, einen großen Teil der von Ihnen verwalteten Adressen zusammenzuführen. Wir kommen nun zu der Frage, wie man dies verhindert.

3. Mehrere Wallets

Eine einfache Methode, um seine Privatsphäre zu erhöhen, ist es, mehrere Wallet-Dateien zu verwenden. Eine Wallet-Datei speichert die privaten Schlüssel, mit denen eine Transaktion signiert wird. Wenn Sie Ihre Schlüssel und Adressen in verschiedenen Dateien verwalten, ist es für die Wallet gar nicht möglich, die Münzen darin zu verbinden.

Im Idealfall verwendet man für jede Transaktion eine neue Wallet-Datei. Dies ist natürlich für die Praxis zu umständlich, und leidet auch darunter, dass man nicht jede Zahlungsaufforderung mit einer einzelnen Münze begleichen kann. Aber es ist möglich, mit mehreren Wallet-Dateien zumindest den Umfang des Wallet-Clusterings zu verkleinern. Sie können mit Wallets wie Bitcoin Core oder Electrum problemlos beliebig viele Dateien benutzen. Die Hardware-Wallets Ledger und Trezor unterstützen verschiedene Wallets sogar in einer Benutzeroberfläche. Auf mobilen Geräten wird es dagegen komplizierter, vermutlich dürfte hier Electrum die beste Wahl sein.

4. Coin Control

Die meisten Wallets wählen die Münzen auf eine Weise aus, die möglichst privat sein sollen. Aber dies funktioniert nur begrenzt, da Analyse- und Überwachungstools über kurz oder lang lernen, wie die Wallets dies machen, und sich daran orientieren.

Im Idealfall wählen Sie Ihre Münzen selbst aus. Bei Bitcoin Core können Sie dies machen, indem Sie in den Optionen „Coin Control“ aktivieren, bei Electrum, indem Sie „Coins“ über das Ansicht-Menü anzeigen lassen. Nun können Sie selbst auswählen, welche Coins Sie verwenden. Solange es Ihnen gelingt, eine Zahlung mit einem einzelnen Coin zu bestreiten, sollten Sie dies tun. Eine größere Zahlung können Sie durchführen, indem Sie die Coins separat an eine Börse an verschiedene Adressen senden und sie von dort bezahlen bzw. zuvor einen ausreichend großen Coin von der Börse an Ihre Wallet senden.

Das dabei entstehende Wechselgeld sollten Sie markieren, damit Sie wissen, mit welcher Adresse es eventuell in Verbindung gebracht wird. Ein wenig Abwechslung bei der Auswahl der Coins – mal nur knapp über dem Betrag, mal deutlich darüber – macht es schwieriger, das Wechselgeld durch Musteranalysen zu identifizieren.

Coin Control ist nicht nur wichtig, weil es Ihnen erlaubt, die benutzen Münzen individuell auszuwählen und unerwünschte Verbindungen zu vermeiden. Es macht es erst anschaulich, was in der Wallet passiert, und auf welche Weise das Ihre Privatsphäre betrifft. Dementsprechend ist es ein Jammer, dass es nur so wenige Wallets unterstützen. Bei mobilen Wallets ist dies nur mit der mobilen Version von Electrum möglich.

5. Dust

Wenn Sie immer nur eine Münze nehmen, um etwas zu bezahlen, wird diese Münze durch das Wechselgeld immer kleiner. Sobald Sie anfangen, Wechselgeld-Münzen miteinander zu kombinieren, kann dies Rückschlüsse darauf erlauben, welche Adressen Ihre Wallet enthält. Sie können das lange hinauszögern, aber irgendwann liegt in Ihrer Wallet viel „Staub“ (englisch „Dust“), und sie kommen nicht umhin, diesen zu verbinden. Was nun?

Erstens können Sie gezielt kleine Münzen miteinander kombinieren. Hierfür ist es sinnvoll, wenn Sie in Ihrer Wallet notieren, woher eine Dust-Münze kommt. Bitcoin Core sortiert im Menü „Coin Control“ erfreulicherweise die Wechselgeld-Münzen unter der Adresse, mit der man die Bitcoins ursprünglich empfangen hat, was den Umgang mit Dust schon mal erheblich vereinfacht. Sie sollten diesen Schritt aber auf jeden Fall gut überlegen, weil in ihm eine große Gefahr liegt, dass Sie rückwirkend Adressen verbinden.

Zweitens können Sie einen Mittelsmann benutzen. Sie können beispielsweise den Dust Stück für Stück an eine Börse mit je neuen Adressen einzahlen und dann als ganze Münze wieder auszahlen. So weiß zwar die Börse, dass der Staub zu Ihrer Wallet gehört, aber es gibt für Außenstehende und Beobachter, die keinen vollständigen Datenabgleich mit der Börse haben, keine Möglichkeit, es herauszufinden. Anstelle von Börsen können Sie jede Plattform nutzen, die für jede Einzahlung eine neue Adresse anbietet; je mehr Plattformen Sie nutzen, desto schwieriger wird es, Ihre Adressen durch den Dust zu verbinden.

Sollte es Ihnen passieren, dass Sie jemand „dustet“, also Ihnen eine winzige Transaktion zusendet, geschieht dies meist in der Absicht, Sie auszuspionieren. In dem Fall sollten Sie dafür sorgen, dass Sie den Staub wieder loswerden. Dies geht erneut mit Bitcoin Core und Electrum ganz einfach: Markieren Sie die Coins im Coin-Tab oder im Coin-Control-Menü und frieren Sie sie ein. Falls Sie eine andere Wallet benutzen, können Sie den Seed in Electrum einspielen und dann den Dust einzeln – oder gezielt mit einem anderen Mini-Input kombiniert – ausgeben bzw. ins Nirwana schicken.

6. Mixer und CoinJoin

Es gibt auch die Möglichkeit, Instrumente wie Mixer oder CoinJoin zu venutzen, um Münzen zu anonymisieren, indem man die Kette von Transaktion zu Transaktion bricht. Mixer sind meist zentrale Service-Plattformen, die im Grau- bis Schwarzbereich agieren, während CoinJoin etwa durch die Samourai-Wallet lokal verwendet werden kann.

Solche Methoden sind eigentlich super, um etwa Dust in größere Münzen zu konvertieren. Sie verschmelzen die Ein- und Ausgänge mehrere User in einer einzelnen, großen Transaktion, so dass man weder sagen wer, welche Adresse an welche Adresse etwas gesendet hat, noch, dass die Inputs zur selben Wallet gehören. An der richtigen Stelle eingesetzt können CoinJoin und eine Varianten erheblich dazu beitragen, es zu verhindern, dass die Wallet durch Clustering identifiziert wird.

Allerdings haben solche Methoden den Nachteil, dass Ihre Coins mit anderen, potentiell schmutzigen Coins, in Verbindung gebracht werden. Börsen könnten sich weigern, Bitcoins zu akzeptieren, die eine solche Vergangenheit haben, ein „False Positive“ eines Blockchain-Analysten könnte dazu führen, dass Sie Besuch von der Polizei bekommen, die sich Ihre Wallet anschaut. Auch dann, wenn Sie CoinJoin nur benutzen, um rechtmäßigerweise Ihre Privatsphäre vor den Zudringlichkeiten der Überwacher zu schützen, gehen Sie ein gewisses Risiko ein. Ob man dies macht, hängt von der eigenen Präferenz und Priorität ab.

7. Lightning

Transaktionen über das Lightning-Netzwerk sind „offchain“, was bedeutet, dass keine Dokumentation von ihnen auf der Blockchain existiert. Sie könnten beispielsweise Ihren Dust in einen frischen Lightning-Node (oder eine Lightning-Wallet) einspielen und dann an eine andere Wallet überweisen. Schon hätten Sie das Problem gelöst.

Vor allem aber verhindern Lightning-Transaktionen, dass das Problem überhaupt erst auftritt. Zwar sind weiterhin alle Coins in einer Wallet, mit denen Sie Payment Channels eröffnen, miteinander verbunden – und, wenn Sie es falsch benutzen: auch mit Ihrer IP-Adresse!! – aber die Transaktionen selbst sind nicht nachverfolgbar. Dies löst das Problem des Wallet Clusterings nicht vollständig, reduziert aber seinen Schaden deutlich.

8. Altcoins

Natürlich können Sie auch Ihre Privatsphäre durch spezielle Altcoins erhöhen. Es gibt mittlerweile eine Reihe von patenten Altcoins, die versuchen, die Anonymität von Transaktionen zu erhöhen. Wichtige Beispiele sind Monero, Dash, Zcash oder PIVX. Das Problem hier ist aber stets die Rückkonversion in Bitcoins, was erstrebenswert ist, weil die Altcoins in der Regel weniger wertstabil und weniger weit akzeptiert sind.

Weiter könnten Sie mit solchen Altcoins dasselbe Risiko eingehen wie mit Mixern: Sie lösen bei Blockchain-Beobachtern ein „false positive“ aus und landen auf einer Liste von Verdächtigen, was Überwachungsmaßnahmen, die Ihnen ansonsten erspart geblieben wären, erst auslösen.

10. Full Nodes und Tor

Ein bisher kaum angesprochenes Thema ist die IP-Adresse. Die Blockchain hat den großen Vorteil, dass auf ihr keine IP-Daten enthalten sind, weshalb es keinen unmittelbaren Link zu physischen Identität, wie dem Wohnort, gibt. Allerdings können Bitcoin-User an verschiedenen Stellen ihre IP-Adresse leaken, und ein Beobachter von Bitcoin kann sie aufzeichnen.

Electrum-Knoten geben ihre IP-Adresse an Electrum-Server weiter, SPV-Nodes wie Breadwallet (BRD) an andere Full Nodes, Light-Wallets mit Server wie Mycelium an den Server, und auch Hardware-Wallets wie Ledger und Trezor reichen ihre Transaktionen über die Server der Firmen ans Netzwerk (zumindest soweit mir bekannt ist). In jedem dieser Fälle besteht die Gefahr, dass die IP-Adresse im Zusammenhang mit Wallet-Daten wie Adressen und Transaktionen abgegriffen wird, in größerem oder kleinerem Umfang. Hier schützt lediglich ein Full Node, der den gesamten Netzwerk-Traffic, also alle Transaktionen, empfängt und weiterleitet. Er schwitzt kaum Informationen aus, die IP-Adresse und Bitcoin-Adressen zusammenbringen.

Ein besonderer Fall ist Lightning: Wer einen vollwertigen Lightning-Knoten hat, macht seine IP-Adresse UND seine Payment-Channels öffentlich. Diese Freigabe von Information ist ein harscher Eingriff in die Privatsphäre.

Inwieweit ein Überwacher damit systematisiert Informationen sammeln kann, ist schwer zu sagen. Es gibt bei Electrum mehr als 100 Server, und der Client verbindet sich mit einigen zufällig ausgewählten davon; eine SPV-Wallet verbindet sich automatisch mit acht zufälligen Full Nodes, und Firmenserver wie von Mycelium, Trezor oder Ledger werden die Daten – falls sie sie überhaupt sammeln – nicht einfach so herausgeben. Lediglich bei Lightning ist es für einen Überwacher einfach, IP- und Bitcoin-Adressen zusammenzubringen.

Ein Schutz gegen IP-Leaks ist es, ein VPN davorzuschalten oder Tor zu benutzen.

11. Privat genug?

Es ist offenbar umstritten, zu sagen, dass Bitcoin „privat genug“ ist. Logisch – wieviel Privatsphäre ausreicht, ist eine subjektive Ansicht, und das Maß an Privatheit, das Bitcoin bietet, hängt offensichtlich davon ab, wie Bitcoin benutzt wird. Die einen, die nur eine einzige mobile Wallet benutzen, sind viel leichter zu identifizieren und zu überwachen, als diejenigen, die Wallets auf verschiedenen Systemen benutzen und selbst entscheiden, welche Coins sie für was ausgeben.

Manche (wie Paul) sagen, echte Privatsphäre sei nur machbar, wenn sie alle haben. Altcoins wie Monero schützen alle User gleichermaßen, man bekommt entweder alles oder nichts. Andere (wie ich) meinen, dass es sinnvoll ist, Privatsphäre „bedingt“ zu machen, in dem Sinn, dass Verbrecher, wenn es denn wichtig genug ist, mit ressourcenaufwändiger Polizeiarbeit weiterhin über die Geldströme gefasst werden können, während die Bürger sicher davor sind, Opfer von Massenüberwachung zu werden.

Eine weitere Streitfrage wäre, ob Bitcoin diesen Ansprüchen genügt. Theoretisch ja – es gibt genügend Praktiken, die einen, wenn man sie konsequent genug befolgt, davor schützen, überwacht zu werden. In jedem Fall machen sie Massenüberwachung sehr viel schwieriger. Um in Echtzeit von einer auf der Blockchain gefundenen Entität – also einer Wallet – auf die echte Identität zu schließen, müsste ein automatischer Datenabgleich von Überwacher und Börse vorliegen. Wenn dieser gegeben ist, dann gilt er auch für Banken. Selbst in diesem Fall wäre Bitcoin ein sehr großer Fortschritt gegenüber dem, was mit dem etablierten Finanzwesen möglich ist, da die Überwacher nur einen Teil des Ganzen sehen und die Überwachten zahlreiche Möglichkeiten haben, es ihnen schwer zu machen.

Es kommt, mehr als alles andere, darauf an, wie die User mit Bitcoin umgehen. Und darum geht es bei der Kryptowährung ohnehin: dass man selbstbestimmt für sein Geld verantwortlich ist.