Bitcoin und der Käuferschutz: Auch nach zehn Jahren ein Problem

Das Bezahlen im Internet ist oft eine ziemliche Qual. Bitcoin könnte es besser machen – macht es aber noch nicht. Was fehlt, ist der Käuferschutz. Dabei gibt es so viele und noch mehr Möglichkeiten, ihn elegant in die digitalen Transaktionen hineinzuschreiben. Wir überlegen, wie die perfekte Lösung aussehen würde.

Vor kurzem hatte ich das Vergnügen, zwei etwas größere Online-Bestellungen bei zwei Shops machen zu müssen, die ich nicht wirklich kannte. Das Einkaufen war schön, aber das Bezahlen hat an den Nerven gezehrt.

Beim ersten Shop wollte ich zunächst per Lastschrift bezahlen. Ich war mir nämlich nicht sicher, wie vertrauenswürdig der Shop ist, und wollte mir die Option vorbehalten, die Lastschrift mit einem Klick in meinem Konto rückgängig zu machen. Allerdings wurde die Lastschrift über die PayPal-Suite verarbeitet, was aus irgendeinem Grund bei mir nicht ging. Also habe ich die nächste Option angewählt, die Sofortüberweisung. Hier habe ich nun das neue EU-Richtlinienwerk P2D2 in Aktion erlebt.

Denn nachdem man sich bei Sofort mit seinem Bankkonto einloggt, erhält man nicht nur wie bisher ein Einmalpasswort per SMS, um die Zahlung zu bestätigen, sondern auch eine SMS, um sich in das Konto einzuloggen. Das ist nun Pflicht. Das Ergebnis war, dass es mich verwirrt hat, ich zweimal das falsche Einmalpasswort eingeben habe, und mein Konto dann für Sofort für ein paar Stunden gesperrt wurde. Da mein PayPal-Guthaben nicht ausreichend war, und ich eine Zahlungsart wollte, die sofort passiert, habe ich schließlich mit der Kreditkarte gezahlt. Eine SMS von meiner Bank später war die Zahlung dann endlich abgeschlossen.

Beim zweiten Shop lief es nicht besser: Hier wurde weder Lastschrift noch PayPal angeboten, sondern nur GiroPay, Kreditkarte, Vorkasse und Sofort. Weil ich keinen GiroPay-Account habe und Sofort in dem Moment nicht mehr ging, habe ich es erneut mit der Kreditkarte versucht. Doch irgendetwas im System des Shops ging schief, so dass es meine Kreditkarte nicht anerkannte. Was blieb, war also die Vorkasse: Ins Bankkonto einloggen, Einmal-Passwort per SMS bestätigen, die Transaktionsdaten ins Formular eingeben, das nächste Einmal-Passwort per SMS anfordern, und dann noch einen Tag warten. Die Vorkasse ist das Gegenteil der Lastschrift – eine mühsame Methode, die lange dauert und mich dazu zwingt, dem Verkäufer zu vertrauen.

Das ganze hat ziemlich viel Zeit geschluckt, Nerven gekostet und am Ende auch zu einer teils unbefriedigenden Lösung geführt. So bezahlt man also im 21. Jahrhundert? Gefühlt ist das ein gewaltiger Rückschritt. Man hat fünf oder sechs Werkzeuge, mit denen man bezahlen könnte – Banküberweisung, Sofort, Kreditkarte, PayPal, Lastschrift – aber jedes braucht – wenn es denn funktioniert – Sicherheitschecks wie mehrere SMS, um durchzugehen. Das Problem ist schlichterdings, dass all diese Zahlungsverfahren nicht oder kaum nativ im Internet sind, weshalb es um sie herum ein Gewebe an Stützen und Prozeduren gibt, damit sie sinnvoll funktionieren.

Bitcoin wäre hierfür die perfekte Lösung. Die Kryptowährung ist nativ digital, die Wallet ist lokal, und eine Zahlung schubst eine digitale Münze auf das andere Konto, anstatt der Gegenseite das Recht zu geben, etwas vom eigenen Konto abzubuchen.

Vorkasse und Nachnahme

Andererseits wurde mir dabei auch klar, dass Bitcoin eben nicht die Lösung. Zumindest nicht derzeit, und zumindest nicht für den Bezahlenden. Denn mit Bitcoin wird man im Online-Handel eben in das Modell gedrängt, das man als Kunde eigentlich vermeiden möchte: Die Vorkasse.

Es gibt zwei Grundmodelle für den Ablauf von Zahlungen: Die Vorkasse und die Nachnahme. Die beiden Modelle unterscheiden sich vor allem darin, wer von den beiden Seiten wem vertraut, und wer den Gerichtsweg gehen muss, wenn der Handel schiefgeht. Dabei ist – zumindest bei geringeren Beträgen – derjenige der Dumme, der vor Gericht ziehen muss.

Bei der Vorkasse gibt der Kunde dem Händler einen Vertrauensvorschuss. Sollte der Händler betrügen – indem er die Ware trotz des Zahlungseingangs nicht ausliefert – muss der Kunde sehen, wo er bleibt, und in letzter Instanz den Gerichtsweg gehen. Das ist für den Kunden eine recht unangenehme Situation. Die Banküberweisung und auch Sofort sind relativ reine Varianten der Vorkasse. Es ist ziemlich schwierig, eine SEPA-Transaktion wieder rückgängig zu machen. Leichter ist dies bei Kreditkartentransaktionen, und bei PayPal geht es dank des Käuferschutzes mit nur einem Klick. Das macht PayPal, obwohl die Zahlung sofort ausgeführt wird, eher zur Nachnahme als zur Vorkasse. Bitcoin dagegen ist die Vorkasse in ihrer reinsten Form, weil es hier niemanden außer dem Verkäufer gibt, der dem Kunden das Geld zurückschicken kann. Es ist mehr oder weniger die ungünstige Zahlungsart für den Käufer.

Das Gegenteil der Vorkasse ist die Nachnahme: Der Kunde bezahlt erst, nachdem er die Ware erhalten hat. Hier gibt der Händler seinen Kunden einen Vertrauensvorschuss. Im extremsten Fall geschieht dies durch eine beiliegende Rechnung, in anderen Fällen, wie der Lastschrift oder auch PayPal, stimmt der Kunde der Transaktion zu, hat aber die Möglichkeit, sie für einen gewissen Zeitraum mit einem sehr überschaubaren Aufwand und ohne die Hilfe der Justiz rückgängig zu machen. Im Online-Handel ist die Nachnahme eher die Ausnahme, während sie offline, etwa im Dienstleistungsbereich, die Regel ist. Auch wenn der Buchhandel mein Buch bestellt, liefere ich dieses wie selbstverständlich per Nachnahme aus. Vermutlich liegt das daran, dass ein kleiner Prozentsatz an unbezahlten Rechnungen – sagen wir, 1-2 Prozent – für einen Händler im Bereich des statistisch hinnehmbaren Risikos liegen – während es für Privatleute meistens viel weniger hinnehmbar ist, wenn eine Bestellung bezahlt, aber nicht ausgeliefert wurde. Statistik funktioniert eben nur bei größeren Mengen.

Oft wird der Online-Handel auch über Plattformen wie Amazon abgewickelt, bei denen der Marktplatz die Einnahmen der Händler verwaltet und erst nach einiger Zeit ausschüttet. Wenn ein Kunde eine Rückzahlung beantragt, wird diese von Amazon in der Regel ohne Prüfung freigegeben. Damit findet auch dieser Handel über ein gemischtes Modell statt, ähnlich wie bei PayPal und der Lastschrift, bei denen der Kunde zwar an sich bezahlt, aber die Zahlung jederzeit ohne den Gerichtsweg wieder zurücknehmen kann.

Die ungünstigste aller Zahlungsarten

Wenn man mit Bitcoin bezahlt, geschieht dies in der Regel als pure Vorkasse. Es gibt zwar auch Mittelsmänner wie BitPay oder CoinGate, die im Prinzip diejenigen sind, die die bezahlten Bitcoins verwalten, bis sie sie an die Händler weiterleiten oder für diese gegen Euro oder Dollar tauschen.

Vermutlich wird es irgendwie möglich sein, über den Support gegen Händler vorzugehen, die nach einer Zahlung nicht ausliefern. Einen formalisierten und garantierten Käuferschutz wie bei Ebay gibt es allerdings nicht. Alles was ich bei BitPay in den Support-Informationen gefunden habe, war ein Erstattungs-Programm, das vom Verkäufer ausgelöst wird. Wenn ein Händler Bitcoins direkt akzeptiert – etwa über ein selbstgestricktes Checkout oder den BTCPayServer – fällt jede Möglichkeit für den Käufer weg, sich außergerichtlich gegen einen betrügerischen Händler zu wehren. Je weniger Mittelsmänner im Spiel sind, desto schlechter sieht es für den Käufer aus.

Die Art, wie man in Online-Shops mit Bitcoins in der Regel bezahlt, ist für den Kunden also die schlechteste aller denkbaren Varianten. Dass dies auch nach zehn Jahren Bitcoin die Norm ist, ist schon ein Stückchen peinlich, oder?

Treuhänder

Natürlich bin ich nicht der erste, dem dieses Problem bewusst wird. Der Käuferschutz bei Bitcoin wird schon seit langem diskutiert, und es gibt zahlreiche Modelle, um hier mit den andernorts üblichen Standards aufzuholen. Ein Beispiel ist der Zahlungsdienstleister UTRUST aus der Schweiz, der für Zahlungen mit mehreren Krypto-Wallets einen PayPal-artigen Käuferschutz anbietet: Er hält die Guthaben, bis eine Ware ausgeliefert wurde (oder es nach Ablauf einer bestimmten Zeit keine Beschwerde gab). Allerdings bin ich noch niemals beim Einkaufen mit Bitcoin auf UTRUST gestoßen.

Es gibt bereits seit langem ein starkes Problembewusstsein. Besonders ausgeprägt ist dieses im Darknet. Wenn man sich dort beispielsweise Drogen kauft, hat man es mit einem anonymen Händler zu tun, der als Krimineller ausgesprochen wenig vertrauenswürdig ist, und da man sich selbst auch strafbar macht, wenn man Drogen kauft, bleibt einem der Gerichtsweg kategorisch verschlossen. Diese Konstellation lädt förmlich zu einem Händlerbetrug durch Vorkasse ein.

Daher gibt es mehrere Praktiken, die das Risiko verringern oder beseitigen: Zum einen übernehmen die Darknet-Marktplätze seit jeher eine Amazon-artige Funktion – sie verwalten die Bitcoins und lassen dem Käufer eine Frist, sich zu beschweren. Wenn es zur Beschwerde kommt, vermittelt der Marktplatz. Spieltheoretisch sind dabei die Käufer in einer Lage, die nicht eben dazu einlädt, die Option auszunutzen, um beispielsweise eine Erstattung des Kaufbetrags trotz einer ausgelieferten Ware zu erwirken: Sie haben es mit einem kriminellen Händler zu tun, der selbst anonym ist, aber unter Umständen die Postadresse des Käufers kennt. Daher dürfte dieses Modell relativ gut funktionieren.

Oft wird – im Darknet und auch bei größeren legalen Transaktionen – ein Treuhand-Service genutzt. Ein solcher Dienstleister ersetzt eine Plattform wie Amazon oder PayPal oder auch den Darknet-Marktplatz, indem er den Kaufbetrag eine bestimmte Frist verwahrt, innerhalb der der Käufer die Chance hat, die Erstattung zu beantragen. Dabei muss man natürlich dem Treuhänder vertrauen; die große Menge verfügbarer Anbieter zeigt zwar, wie stark das Problembewusstsein ist, macht aber die Auswahl eines vertrauenswürdigen Treuhänders schwierig. Gerade wenn dieser die volle Kontrolle über die Coins übernimmt, verlagert man als Käufer – und als Verkäufer – das Risiko durch den Betrug auf eine dritte Partei.

Daher gibt es auch noch andere, technisch ausgefeiltere Methoden.

Satoshis Treuhand-Modell

Bitcoin wird gerne als ein “programmierbares Geld” genannt, und genau das ermöglicht es, neue Arten von Treuhand-Konstruktionen zu entwickeln. Eine Basis-Methode hat bereits Satoshi auf Bitcointalk beschrieben:

Man kann eine Transaktion so schreiben, dass man zwei Signaturen braucht, um sie wieder auszugeben. Man bildet also eine Zahlung, die sowohl die Signatur des Empfängers als auch des Senders benötigt, um ausgegeben werden zu können. Um die Coins aus der Treuhand freizugeben, gibt man dem Empfänger die eigene Signatur, oder der Empfänger kann sie zurücküberweisen, indem er seine Signatur hergibt. Für diesen simplen Fall braucht man keinen Vermittler. Im schlimmsten Fall weigert sich eine der beiden Parteien, die Coins jemals freizugeben, womit man essenziell Geld verbrennt.

Zwei Tage später, am 7. August 2010, erklärt er mehr Details. Der Käufer kann sich weigern, die Zahlung freizugeben, was es ihm aber nicht erlaubt, das Geld zurückzuerhalten. “Aber es gibt ihm die Option, das Geld aus reiner Niedertracht zu verbrennen.” Dieses System garantiere nicht, dass die Parteien etwas verlieren, “aber es entfernt den Profit aus dem Betrug.” Wenn der Verkäufer die Waren nicht absendet, wird er nicht bezahlt; “der Käufer erhält sein Geld zwar nicht zurück, aber zumindest hat der Verkäufer keinen finanziellen Anreiz, zu betrügen.” Natürlich könnte ein Betrüger beginnen, zu verhandeln, und etwa die Hälfte des Geldes verlangen, um es wieder zu erhalten. Satoshi meint aber, dass zu diesem Zeitpunkt jedes Vertrauen so weit verloren ist, dass dies wenig Aussicht auf Erfolg hat.

In gewisser Weise ist das Satoshi-Modell wie das Autoradio oder das Smartphone, das einen Code benötigt, um aktiviert zu werden: Man kann es stehlen, aber der Dieb hat nichts davon. “Stell dir vor,” erklärt Satoshi, “jemand stiehlt etwas von dir. Du kannst es nicht zurückbekommen, aber wenn du die Möglichkeit hättest, einen ferngesteuerten Selbstzerstörungsknopf zu drücken, würdest du es tun? Wäre es eine gute Sache, wenn die Diebe wüssten, dass alles, was du hast, einen solchen Knopf hat, und dass es nutzlos wäre, etwas von dir zu stehlen, auch wenn du es weiterhin verlieren würdest? … Stell dir vor, Gold wird zu Blei, wenn es gestohlen wird. Wenn der Dieb es zurückgibt, wird es wieder zu Gold.”

2 von 3

Spieltheoretisch mag Satoshis Lösung funktionieren, und sie hat den großen Vorteil, dass keine dritte Partei notwendig ist. Allerdings ist es weder für den Käufer noch den Verkäufer wirklich zufriedenstellend, dass die andere Seite die Option hat, das Geld zu verbrennen. Recht zu haben bedeutet hier nicht, zu seinem Recht zu kommen, sondern lediglich, dass der andere keinen Profit macht.

Daher hat sich schon seit langem die “2 von 3”-Lösung durchgesetzt. Diese besteht aus einer Multisig-Transaktion, deren Coins man wieder ausgeben kann, wenn man zwei von drei Schlüsseln vorweist. Das ermöglicht es, die Konstruktion von Satoshi um eine dritte Partei zu erweitern, die als Vermittler einspringt. Wenn sich Käufer und Verkäufer einig sind, muss der Vermittler gar nichts machen, wenn nicht, prüft er die Beweise von beiden Seiten und entscheidet sich, ob er signiert oder nicht. Solche Multisig-Lösungen sind so naheliegend und attraktiv, dass ein Forbes-Blogger schon 2014 fragte, ob Multisig Bitcoin den fehlenden Käuferschutz bringen. Ideal sind diese Lösungen für zentralisierte Plattformen oder Zahlungsanbieter, die anstelle der Verwaltung der Gelder lediglich den dritten Schlüssel verwalten und als Vermittler fungieren.

Im Darknet gibt es wohl Marktplätze, die dieses Verfahren benutzen. Damit reagieren sie auf ein häufiges Problem, nämlich das, dass die Plattform-Betreiber selbst anonym und kriminell sind, und dazu neigen, den “Exit Scam” zu machen, wenn es brenzlig wird – sie verschwinden mit den Bitcoins, die sie treuhänderisch verwahren. Mit einer 2-von-3 Multisig-Lösung sollte der Exit-Scam unmöglich werden. Allerdings weiß ich nicht, wie verbreitet dies ist. Im legalen Bereich ist vor allem BitGo bekannt, die Verwahrungs-Lösungen anbieten, meistens für Börsen, und dabei auf ein solches Multisig setzen: Die drei Schlüssel werden auf User, Börse und BitGo verteilt. Während Multisig für die sichere Verwahrung von Coins oft zum Einsatz kommt, trifft man es beim Online-Einkauf eher gar nicht an.

Eine Multisig-Lösung, bei der ein Zahlungsdienstleister als Vermittler agiert, leidet darunter, dass man erneut einer zentralen Instanz vertrauen muss. Daher gibt es auch Versuche, es dezentraler auszuführen: etwa der dezentrale Marktplatz OpenBazaar oder die Plattform Bitrated. In beiden Fällen übernimmt nicht die Plattform die Rolle des Vermittlers, sondern lässt den Käufer aus einer Liste von verfügbaren Vermittlern wählen, während sie lediglich die Technologie bereitstellt, um die für normale Wallets doch meist zu komplexen Multisig-Transaktionen zu bilden. Während OpenBazaar auch nach rund drei Jahren kaum mehr als einige Dutzend Verkäufe je Woche erreicht (wenn überhaupt), ist BitRated einigermaßen beliebt, wird aber offenbar vor allem für den Handel mit Bitcoins oder anderen Kryptowährungen verwendet.

Wie würde man es richtig machen?

Davon, breitflächig Standards zu bieten, die mit denen der etablierten Online-Zahlungsverfahren gleichziehen können, ist Bitcoin auch im Jahr 2019 noch weit entfernt. Weshalb scheitern Zahlungsanbieter wie BitPay oder CoinGate, die bereits von vielen Händlern benutzt werden, daran, einen Käuferschutz einzurichten? Weshalb ist es noch nicht Standard, dass man die Möglichkeiten hat, Bitcoin-Transaktionen so zu gestalten, dass sie einen automatischen Käuferschutz haben?

Für die erste Frage fällt es mir schwer, eine gute Antwort zu finden. Es wäre an sich – technisch – einfach für BitPay, einen Käuferschutz wie bei PayPal einzurichten: Die Firma zahlt die Einnahmen erst nach zwei Wochen aus, und jeder User bekommt einen Link, mit dem er die Zahlung zurückziehen kann. Weshalb macht BitPay das nicht? Eventuell fürchtet die Firma, zu weit in Auseinandersetzungen zwischen Käufer und Verkäufer gezogen zu werden. Oder sie bewirbt ihren Service bei den Händlern damit, dass es eben keine Möglichkeit für Kunden gibt, das Geld zurückzuholen. Ich kann an dieser Stelle nur spekulieren.

Die zweite Frage dagegen ist einfacher zu beantworten: Die Wallets sind noch nicht bereit. Um auch nur Satoshis simple Multisig-Lösung zu implementieren, müsste man mehrmals mit der Kirche ums Dorf fahren: Zuerst muss der Käufer dem Verkäufer den öffentlichen Schlüssel einer Bitcoin-Adresse in seinem Besitz zusenden. Dann bildet der Käufer daraus eine Multisig-Adresse, auf die der Käufer einzahlt. Schon das verlangt einen Kommunikationskanal zwischen den beiden Parteien, der gewöhnlich nicht gegeben ist. Richtig wild wird es aber erst, wenn der Verkäufer das Geld schließlich auszahlen will: Hierfür muss er die Transaktion signieren und dem Käufer zukommen lassen. Der muss sie dann auch signieren und dann entweder ans Bitcoin-Netzwerk oder den Verkäufer senden.

Zunächst ist also ein Kommunikationskanal zwischen Käufer und Verkäufer notwendig. Mit dem Payment-Protokoll ist das an sich gegeben, auch wenn es meines Wissens nach noch kein Multisig unterstützt. Es wäre aber theoretisch machbar. Sehr viel schwieriger aber ist der zweite Schritt – der Abschluss der Zahlung. Hierfür braucht es zunächst einen weiteren Kommunikationskanal zwischen Käufer und Händler, und die Wallet des Käufers muss in der Lage sein, halbsignierte Transaktionen zu importieren. Mit der derzeitigen Technik ist das wahnwitzig aufwändig. Eventuell wäre es denkbar, dass der Verkäufer dem Käufer bereits zum Kaufzeitpunkt über das Payment-Protokoll die Nachfolge-Transaktion zusendet, so dass der Käufer lediglich in seiner Wallet bestätigen muss, die Ware erhalten zu haben, woraufhin die Wallet dann die Transaktion finalisiert und absendet.

Im Idealfall würde Multisig so ablaufen, dass jede Partei ihre Transaktion ans Netzwerk sendet, und die Wallet des anderen diese dann erkennt und vervollständigt. Dies würde aber erfordern, dass das Kommunikationssystem im Netzwerk geändert bzw. ausgebaut wird, was ein relativ großes Infrastruktur-Update wäre. Dabei ist auch fraglich, ob das von den Bitcoin-Entwicklern überhaupt gewünscht ist: Erst vor kurzem haben sie entschieden, das Payment-Protokoll aus der Core-Software zu entfernen. Die Hoffnung, dass dieses einmal zu einem zu einer Basis des Käuferschutzes bei Bitcoin wird, dürfte damit begraben sein.

Zeitschlösser

Eine weitere, technisch beinah noch interessantere, aber so gut wie gar nicht genutzte Option sind Timelocks, also Transaktionen mit einem Zeitschloss: Es ist möglich, Bitcoins so zu versenden, dass sie erst ab einer gewissen Blockhöhe – also einem gewissen Datum – ausgegeben werden können. Man könnte sich hier relativ viel von den Smart Contracts hinter dem Lightning Netzwerk abschauen.

Lightning benutzt nämlich 2-von-2-Multisig-Adressen, so, wie Satoshi es skizziert hat. Allerdings verhindert Lightning das Problem der Geiselname: Bevor die beiden Parteien Geld in einen Channel einzahlen, signieren sie sich gegenseitig die Folge-Transaktion, mit der der Channel wieder geschlossen wird, so dass beide in der Lage sind, den eingezahlten Betrag auszuzahlen. Zudem kann eine Transaktion nur nach Ablauf einer bestimmten Zeit ausgegeben werden; während es gleichzeitig möglich ist, den gesamten Inhalt des Channels auszuzahlen, wenn die andere Partei eine veraltete Transaktion zur Schließung des Channels einreicht.

Komplizierte Technik, einfacher Sinn: Man könnte durch die Kombination von Multisig-Adressen und Zeitschlössern viele verschiedene Modelle abbilden. So könnte man etwa eine Transaktion bilden, die der Verkäufer nach zwei Wochen ausgeben kann, der Käufer aber vorher zurückziehen, einfrieren oder in einem Multisig-Vertrag mit einem Vermittler überführen kann. Es gibt hier relativ viele Möglichkeiten, die es erlauben, dass der Käufer passiv bleiben kann, um den Abschluss einer Zahlung zu bestätigen, aber durch ein aktives Handeln verhindert, dass der Verkäufer das Geld erhält. Man könnte auch Konstruktionen bilden, bei denen der Käufer ein einfaches Passwort bruteforcen muss, um eine Zahlung zurückzuziehen, wofür dann eventuell sein Computer eine Nacht lang laufen muss.

Es gäbe hier zahlreiche Ideen und Optionen, wie Bitcoin etablierte Modelle der Zahlung nachbildet oder neue erfindet. Dass dies bisher noch nicht geschehen ist, ist bedauerlich.