Der bekannteste Bezahldienstleister im Internet ist zweifellos PayPal.com. Die Firma wurde von Peter Thiel gegründet, der u.a. den Datensammler Rapleaf.com aufgebaut hat, als einer der Hauptinvestoren die Entwicklung von Facebook maßgeblich mitbestimmt hat und zum Steering Committee der Bilderberg Konferenzen gehört. Das Credo von P. Thiel ist eine totale Personalisierung des Internet.
Die Nutzung von PayPal.com ist das Gegenteil von anonym. Bei jedem Zahlungsvorgang wird eine Verknüpfung von persönlichen Daten (EMail Adresse, Kontoverbindung) und gekauften Waren hergestellt. Die Daten werden an mehr als 100 Firmen übertragen zum Monitoring der Überweisung.
PayPal.com nutzt seine Marktposition für die Durchsetzung politischer Interessen der USA. Gemäß der Embargo-Politik der USA werden Internetnutzer in über 60 Ländern ausgesperrt. Internationales Aufsehen erregte die Sperrung der Konten von Wikileaks. Daneben gibt es viele weitere Fälle. Mehr als 30 deutschen Online-Händlern wurden die Konten gesperrt, weil sie kubanische Produkte (Zigarren, Rum, Aschenbecher) in Deutschland anboten. Die Sperre wurde mit einem amerikanischen Handelsembargo gegen Kuba begründet, das für Europäer belanglos ist.
Aufgrund dieser politischen Instrumentalisierung hat Anonymous zum Boykott von PayPal.com aufgerufen und an Nutzer appelliert, ihre Accounts bei diesem Bezahldienst zu kündigen. 35.000 PayPal-Nutzer sollen dem Aufruf umgehend gefolgt sein.
Zukünftig möchte PayPal.com auch in der realen Welt präsent sein. Das Bezahlsystem soll die Geldbörse in zwei Jahren ersetzen, wie Ebay-Chef John Donahoe sagte, natürlich mit den üblichen Schnüffeleien:
Beim Einsatz von PayPal in den Geschäften könnten die Einzelhändler mehr über Vorlieben ihrer Kunden erfahren und sie entsprechend besser bedienen.
Kreditkarten
Die Kreditkarte ist ein ungeeignetes Zahlungsmittel im Internet. Es ermöglicht das Tracking aller Einkäufe im Web. Außerdem kann die Kreditkarte durch Datenverluste beim Online-Händler kompromittiert werden. Das passiert öfters:
• 400.000 Kunden beim Internetkonzern Unister betroffen (Dez. 2012).
• 1,5 Millionen Kunden bei Global Payments betroffen (Juni 2012).
• Tausenden Nutzer der israelischen Sport-Webseite One.co.il betroffen
(Jan. 2012).
• 24 Millionen Kunden der Amazon-Tochter Zappos betroffen (Jan. 2012).
In Carder-Foren kann man diese Kreditkarten für 3-10 Euro kaufen.
Prepaid-Kreditkarten
Eine Alternative sind Prepaid-Kreditkarten. An Tankstellen usw. kann man Prepaid-Karten von mywirecard.com kaufen. Die Karte kostet ca. 10 Euro und kann bis zu 100,Euro mit Bargeld beim Kauf aufgeladen werden. Man zahlt also 10% Security-Bonus.
Die Prepaid-Karte muss anschließend im Internet aktiviert werden. Dabei wird ein Code per SMS an eine Handynummer gesendet, der auf der Internetseite einzugeben ist. Die Anonymität hängt also davon ab, ob man ein anonymes Prepaid-Handy nutzt. Man braucht nicht immer die große, richtige Anonymität. Wenn ich ein SSL-Zertifikat für den Webserver awxcnx.de kaufe, dann ist mehr oder weniger eindeutig klar, wer dahinter steckt. Vergleichbare Anwendungsbeispiele lassen sich für den Leser sicher leicht finden.
Mit einer Prepaid-Karte kann man einen anonymen PayPal-Account mit fiktiven Daten anlegen. Das eröffnet Möglichkeiten zur anonymen Nutzung von kommerziellen Angeboten im Internet wie Wuala oder Cilent Circle, die nur Bezahlung via PayPal.com oder Kreditkarte anbieten.
Hinweis: Tor Onion Router kann nicht als Anonymisierungsdienst für PayPal.com genutzt werden. Paypal.com prüft anhand der IP-Adresse den Standort des Nutzers und sperrt den Account, wenn etwas seltsames passiert. Wenn man sich bspw. mit einer deutschen IP-Adresse einloggt und 10min später mit einer amrikanischen IP-Adresse auf den Account zugreifen möchte, dann geht PayPal.com von einem Hacker-Angriff aus und sperrt den Account. Mit JonDonym gibt es keine Probleme, wenn man immer die gleiche Mix-Kasakde nutzt.
Bezahlsysteme der Deutschen Bahn
Am 28. September 2011 veröffentlichte die Leaking Plattform Cryptom.org in der Liste der Online Spying Guides einen Leitfaden zum Datenzugriff der Generalstaatsanwaltschaft München.
Das Dokument zeigt auch, wie das Bezahlsystem der Deutschen Bahn in die Überwachung eingebunden wird. Für das e-Ticketing der Deutschen Bahn gibt es ein konkretes Überwachungszenario. Durch die Abrechnung übers Mobiltelefon verfüge die Deutsche Bahn über die Daten sämtlicher Funkzellen, die der Nutzer durchfahren hat. Diese Daten werden langfristig gespeichert und können von den Behörden auf Gundlage von §100g StPO abgerufen werden. Der Zugriff auf die Reiseprofile ist damit nicht nur bei schweren Straftaten möglich, sondern auch bei allen Straftaten, die mittels Telekommunikationstechnik begangen wurden.
Das Beispiel zeigt, wie bei Nutzung Handy-basierter Bezahlmethoden neue Datenbestände anhäufen. Teilweise können diese Daten auch als Rechnungsdaten abgerufen werden ohne die juristischen Hürden des Zugriffs auf Kommunikationsdaten.
Als Konsequenz kann man Reisenden mit der Deutschen Bahn nur zu anonymen Bargeldzahlungen raten. Wie schnell man plötzlich ein Terrorist wird, zeigte das Beispiel Andrej Holm.
Paysafecard, UKash, Liberty Reserve, Pecunix
Bei der Nutzung von Alternativen ist man abhängig von den Angeboten der Online-Händler. Man kann nicht bei allen Händlern mit allen Varianten bezahlen und muss als Kunde etwas flexibel sein.
• Paysafecard: entstand aus einem Forschungsprojekt der EU. In vielen Geschäften oder Tankstellen kann man Gutscheincodes kaufen. Die Webseite von Paysafecard bietet eine Umkreis-Suche nach Verkaufstellen. Diese Codes kann man ähnlich anonym wie Bargeld im Web zur Bezahlung verwenden (wenn der Händler PSC aktzepiert).
Bei der Bezahlung wird man von der Webseite des Händlers zur Webseite von Paysafecard weiter geleitet. Dort gibt man den gekauften Code ein und der Händler erhält die Information, dass die Bezahlung erfolgt ist. Es ist nicht notwendig, dass man einen Gutscheincode genau mit dem geforderten Betrag vorweisen kann. Man kann mehrere Gutscheine für eine Bezahlung verwenden oder nur einen Teilbetrag von Gutschein einlösen. Der Restbetrag bleibt erhalten und kann später verwendet werden.
Eine Paysafecard ist 12 Monate uneingeschränkt gültig. Danach werden für jeden weiteren Monat 2 Euro vom Guthaben abgezogen. Es ist also sinnvoll, kleinere Guthaben bei Bedarf zu kaufen. Das verhindert auch eine technisch mögliche Verkettung mehrerer Einkäufe über den
gleichen Gutscheincode.
Nach praktischen Erfahrungen von sind die Verkäufer im Supermarkt, Tankstellen u.ä. nicht immer über die angebotene Möglichkeit des Verkaufes von Paysafecard Gutscheinen informiert. Hartnäckig bleiben und die Verkäuferin auf das Paysafecard Symbol im GUI der Kasse hinweisen hilft.
Durch Verschärfung der Sicherheitsvorkehrungen im April 2012 kommt es häufig zu gesperrten Gutscheinen, wenn die Gutscheine von verschiedenen IP-Adressen genutzt oder abgefragt werden. Nachfragen beim Support von Paysafecard, wie man die Sperrung der Gutscheincodes vermeiden kann, wurden bisher nicht beantwortet. Wenn ein Gutschein gesperrt wurde, muss man sich an den Support von Paysafecard wenden. Restbeträge kann man sich unter Angabe der eigenen Kontonummer erstatten lassen.
Aufgrund des Gesetzes gegen Geldwäsche ist Paysafecard gezwungen, die Anonymität des Zahlungsmittels einzuschränken. Deutsche Nutzer sollen (aber müssen nicht) auf der Website unter “My PaySafaCard“ einen Account erstellen und können diesen Account mit Gutscheincodes aufladen. Wer mehr als 100,Euro pro Monat nutzen möchte, muss sich mit Ausweisdokumenten identifizieren. Probleme mit gesperrten Gutscheinen soll es dann nicht geben.
Eine Nutzung von mehreren Gutscheinen mit Restbeträgen für einen Bezahlvorgang ist seit Sept. 2012 NICHT mehr möglich! Restbeträge kann man sich unter Angabe der Kontonummer erstatten lassen. Damit wird die Anonymität des Zahungsmittels leider etwas ausgehebelt. Passende Paysafecards gibt es nicht immer, es gibt nur Gutscheine für 10, 15, 20, 25, 30, 50 oder 100 Euro.
• UKash: funktioniert ähnlich wie Paysafecard, bietet aber nicht ganz so viele Verkaufsstellen in Deutschland. Im Gegensatz zu Paysafecard sind keine Probleme mit gesperrten Gutscheincodes bekannt. Außerdem wird man bei UKash nicht zur Einrichtung eines Accounts gedrängt. Die Nutzung ist damit anonymer, als mit Paysafecard.
Mit UKash Codes kann man Konten bei Liberty Reserve (via eCardOne) oder cashU aufladen. Dabei muss man such jedoch mit einer Kopie des Ausweises oder Pass authentifizieren.
• Liberty Reserve: ist ein weiterer vertrauenswürdiger Bezahldienstleister im Web. Man muss einen Account erstellen, die Angaben werden aber nicht überprüft. Lediglich die E-Mail Adresse muss gültig sein. Bei Liberty Reserve werden getrennte Konten für Dollar und Euro geführt. Man muss darauf achten, welche Währung der Webshop akzeptiert.
Aufladen des Accounts mit Guthaben ist über verschiedene Exchanger möglich. Bei eCardOne kann man den Liberty Reserve Account mit UKash Codes aufladen, muss sich dafür aber neuerdings mit einer Ausweiskopie identifizieren. Da Liberty Reserve ein sehr großer Bezahldienstleister ist, gibt es viele unseriöse Anbieter, die ein Aufladen des Account versprechen aber nur die Zahlung einsacken und nichts dem Liberty Reserve Accout gutschreiben (z.B. UCash Exchanger) oder Gebühren von mehr als 50% der Zahlung nehmen (z.B. cashvoucers).
Nutzen Sie nur die auf der Website von Liberty Reserve gelisteten und verifizierten Exchanger!
• Pecunix: wickelt Bezahlungen in Gold ab. Die Geldbeträge werden bei Bezahlung automatisch in Gold umgerechnt. Um mit Pecunix zu bezahlen, ist ein Account zu erstellen, bei dem ebenfalls lediglich die E-Mail Adresse gültig sein muss. Als einziger Bezahldienstleister kann Pecunix den gesamten E-Mail Verkehr zu den Nutzern mit OpenPGP verschlüsseln. Man kann seinen eigenen OpenPGP-Schlüssel im Account hochladen und die Option zur Verschlüsselung aktivieren.
Um mit Pecunix bezahlen zu können, muss man eGold kaufen. Auf der Webseite von Pecunix findet man einen Liste von Exchangern.
• cashU: ist ein Bezahlservice, der hauptsächlich in der arabischen Welt verwendet wird. Registrieren kann man sich wie man will und die Konten bleiben unüberprüft bestehen. Die cashU Währung lässt sich auf der Webseite durch UKash Codes aufladen, wenn man sich mit einer Kopie des Ausweises identifiziert. Einen anderen Weg habe ich von Deutschland aus noch nicht gefunden.
Anonyme Online-Zahlungen vor dem Aus?
Die Bundesregierung bereitete unter dem Deckmantel des Kampfes gegen Geldwäsche ein Gesetz vor, das für anonyme Bezahlungen im Internet das Aus bedeutet hätte. Künftig sollen Verkaufsstellen von Paysafecards und UKash Vouchers die Käufer identifizieren und die Daten für eine mögliche Prüfung 5 Jahre bereithalten. Im Gegensatz zu Bareinzahlungen, die statt bisher ab 15.000 Euro zukünftig ab 1.000 Euro berichtspflichtig werden, sollten für E-Geld keine Mindestgrenzen gelten.6
Nach Ansicht von Udo Müller (Paysafecard-Geschäftsführer) wären diese Anforderungen auch für die Vertriebsstruktur das AUS. 95% der Partner wie Tankstellen, Geschäfte usw. würden unter diesen Bedingungen den Verkauf von Paysafecard Gutscheinen und UKash Vouches einstellen.
Unklar ist, wie die bei E-Geld üblichen Kleinbeträge in nennenswertem Umfang für Geldwäsche genutzt werden können. Die Regierung hat dafür keine sinnvolle Erklärung geliefert. Nach den vom BKA vorgelegten Zahlen zum Missbrauch von Prepaidkarten zur Geldwäsche ist der Missbrauch sehr gering.6 http://heise.de/-1269409
Nur in 94 von 14.000 Verdachtsfällen, die gemeldet wurden, spielten Prepaidkarten eine Rolle. Das sind 0,7% aller Verdachtsfälle. Der Bundesdatenschutzbeauftragte Schaar hat sich gegen den Entwurf ausgesprochen: „Ich appelliere an den Gesetzgeber, den überzogenen Ansatz der neuen Vorschläge entsprechend zu korrigieren.“ Die 82. Konferenz der Datenschutzbeauftragten Ende September 2011 verfasste zu diesem Gesetzentwurf eine Stellungnahme:
Nach den vorgesehenen Regelungen würden noch mehr personenbezogene Daten unbescholtener Bürgerinnen und Bürger erfasst und ganz überwiegend anlasslos gespeichert. Dies steht in Widerspruch zur Rechtsprechung des Bundesverfassungsgerichts. Am 01. Dez. 2011 hat der Deutsche Bundestag das Gesetz in einer etwas entschärften Version beschlossen. Für den Kauf von Prepaidkarten bis 100 Euro ist keine Identifizierung der Käufer nötig. Für Prepaidguthaben von mehr als 100 Euro sind die Käufer zu identifizieren. Die Daten sind 5 Jahre lang zu speichern. Der Bundesdatenschutzbeauftragte kommentierte die Verabschiedung des Gesetzes u.a. mit folgenden Worten:
So begrüßenswert es ist, dass der anonyme Erwerb von E-Geld damit nicht generell abgeschafft wird, so kritisch sehe ich die nach wie vor bestehende Tendenz, individuelles Handeln in immer stärkerem Maße zu registrieren. Die Diskussion über Identifikationspflichten vor allem bei der Inanspruchnahme des Internets ist damit aber sicherlich noch nicht beendet.
Bitcoin
Bitcoin ist eine digitale Peer-2-Peer Währung ohne zentrale Verwaltung. Sie ist unabhängig von der Geldpolitik einer Zentralbank und entwickelt sich marktgetrieben durch die Aktivitäten der Teilnehmer, die Bitcoin als Zahlungsmittel akzeptieren oder verwenden.
Die Wurzeln der ökonomischen Theorie dieser virtuellen Währung liegen in der Austrian school of economics, die von den Ökonomen Eugen v. Böhm-Bawerk, Ludwig Mises und Friedrich A. Hayek entwickelt wurde. Die Ökonomen kritisieren das gegenwärtige System des Fiatgeldes der Zentralbanken. Sie sehen in den massiven, politisch motivierten Interventionen der Zentralbanken in den Geldumlauf eine wesentliche Ursache für den Krisenzyklus. Als Ausweg empfehlen sie eine Internationalisierung der Währungen und die Rückkehr zum Goldstandard.
Gegenwärtig ist Bitcoin die populärste Umsetzung einer Währung in Anlehnung an die Konzepte der Austrian school of economics. Die Software löst mit kryptografischen Methoden vor allem zwei Probleme:
1. Das Kopieren und mehrfache Verwendung der Bits und Bytes, die ein
Coin repräsentieren, ist nicht möglich.
2. Die Gesamtmenge der verfügbaren Coins ist limitiert. Neue Bitcoins werden nach einem festen Schema generiert und die Gesamtzahl ist limitiert.
Darauf aufbauend kann Bitcoin als Bezahlmethode verwendet werden. Bitcoins lassen sich in reale Währungen hinund zurücktauschen. Der Kurswert der Bitcoins beim Tausch gegen reale Währungen (z.B. Euro) ergibt sich dabei ausschließlich aus dem Markt. Die Bezahlungen können relativ schnell am PC abgewickelt werden. Es dauert in der Regel nur 1-2h, bis das Bitcoin Netzwerk eine Transaktion hinreichend bestätigt hat.
Viele Dienste im Netz akzeptieren Bitcoins als Bezahlung. Eine Übersicht findet man im Bitcoin Wiki 7. Man kann Musik, E-Books, Webund Mailhosting oder Anonymisierungsdienste / VPN-Anbieter mit Bitcoins bezahlen. Der Kurs wird dabei von jedem Anbieter selbst festgelegt. Dabei kann es vorkommen, dass Anbieter vom mittleren Tauschkurs abweichen.
Um mit Bitcoins zu bezahlen, braucht man selbst ein paar Bitcoins. Diese kann man auf verschiedenen Markplätzen gegen reale Währung kaufen oder man bietet selbst Dienstleistungen gegen Bitcoins als Bezahlung an. Die Markplätze dienen dabei nur zur Anbahnung der Transaktionen Geld gegen Bitcoin. Der Austausch des reales Geldes erfolgt in der Regel auf direktem Weg zwischen den Beteiligten.
Exchanger / Marktplätze
Man kann Bitcoin komplett ohne Installation einer Software nutzen. Es gibt Webdienste (die sogenannten Exchanger oder Markplätze), die den Handel mit Bitcoins zwischen den Personen einleiten und eine Bitcoin Brieftasche (eWallet) für Nutzer bereitstellen. Das vereinfacht die Nutzung von Bitcoin als Zahlungsmittel, da eine Installation von Software nicht zwingend nötig ist. Die erworbenen Bitcoins können aber auch auf den eigenen PC transferiert und mit einem Bitcoin Client verwaltet werden.
Die Exchanger verifizieren die Identität der Nutzer. Eine anonyme Nutzung ist nicht möglich. Hinweise zum anonymen Kauf von Bitcoins findet man weiter unten im Abschnitt Anonymität von Bitcoin.
Eine Übersicht zu den Marktplätzen findet man auch im Bitcoin Wiki. Für den Einstieg gefällt mir www.bitcoin.de sehr gut. Die Webseite wird professionell betreut, bietet in einer übersichtlichen Struktur alle nötigen Informationen für Kaufen, Verkaufen und die Verwaltung der eigene Bitcoins und ist für die ersten Schritte gut geeignet. Allerdings ist der Dienst nicht ganz kostenfrei. Es wird eine Gebühr von 1% für den Handel mit Bitcoins erhoben.
Die Anmeldung bei Bitcoin.de erfordert die Angabe einer E-Mail Adresse und einer Bankverbindung. Die Bankverbindung wird durch eine einmalige Überweisung von 1 Cent verifiziert. Temporäre E-Mail Adressen sollten nicht genutzt werden, da bei jeder Transaktion Informationen per Mail gesendet werden. Man kann zusätzliche die Zahlungsmöglichkeiten Liberty Reserve und Money Bookers nutzen.
Bitcoins kaufen: Im Markbereich stehen in einer Liste mehrer Verkaufsangebote. Durch Klick auf den Link Kaufen kann man ein Kaufangebot annehmen. Sie erhalten ein E-Mail mit den Daten für die Bezahlung. Überweisen Sie dem Verkäufer das Geld und bestätigen Sie die Überweisung auf der Webseite innerhalb von 12h. Wenn der Verkäufer den Zahlungseingang bestätigt, erhalten Sie die Bitcoins. Wenn kein passendes Angebot zu finden ist, können Sie ein Kaufangebot einstellen und auf Angebote warten.
Der Käufer sendet dem Verkäufer den Kaufpreis abzüglich 0.5% und erhalten dafür Bitcoins abzüglich 1% des Kaufangebotes. Somit teilen sich Käufer und Verkäufer die Marktgebühr von 1% jeweils zur Hälfte. Ein Rechenbeispiel:
• Das Angebot lautet: 1 BTC für 40,00 Euro.
• Der Käufer überweist 39,80 Euro an den Verkäufer.
• Er erhält dafür 0,99 BTC auf seinem Konto.
Die für ihre Transaktion gültigen Zahlen werden jeweils bei Annahme des Kaufangebotes und in der E-Mail angezeigt. Die Kontodaten des Verkäufers erhalten Sie ebenfalls per E-Mail.
Bitcoin Software
Wenn man einem externen Webserver nicht vertraut, kann man seine Bitcoins lokal auf dem eigenen Rechner oder Smartphone verwalten. Dafür muss ein Bitcoin Client wie Bitcoin-Qt oder Electrum installiert werden.
Bitcoin-Qt ist der Standard Client des Bitcoin Projektes und steht zum Download unter http://bitcoin.org/en/download bereit. Er ist einfach bedienbar, bietet eine Übersicht über alle Transaktionen und kann beliebig viele Adressen verwalten.
Ein Nachteil für Gelegenheitsnutzer ist der ständige Download der gesamten Blockchain. Die Downloadseite weist darauf hin, dass die erste Initialisierung bis zu einem Tag dauern kann. Wenn man nach 3-4 Wochen Pause wieder einmal mit Bitcoins bezahlen möchte, dann benötigt Bitcoin-Qt ein bis zwei Stunden für die Aktualisierung der Blockchain, um wieder arbeitsbereit zu werden.
Electrum ist eine leichtgewichtige Alternative für Gelegenheitsnutzer. Er überlässt die Hauptarbeit speziellen Servern im Netz und benötigt die komplette Blockchain nicht. Trotzdem ist sichergestellt, dass die privaten Schlüssel ausschließlich in der Verfügung des Anwenders liegen. Die Installation für unterschiedliche Betriebssysteme ist auf der Downloadseite http://electrum.org/download.html beschrieben.
Die Oberfläche ist einfach gehalten. Für die Übersicht der Transaktionen, zum Senden und Empfangen sowie eine einfache Adressliste gibt es Reiter im Hauptfenster.
Alle Transaktionen werden in der Blockchain gespeichert. Sie können mit dem Seed aus diesem ewigen Logfile rekonstruiert werden. Ein vollständiges Backup der Konfiguration ist nicht nötig. Man benötigt nur den Seed, der wie eine lange Passphrase aus zwölf Worten besteht. Für ein Backup des Seed klickt man auf zweite Symbol von rechts in der Statusleiste und speichert die Passphrase (z.B. in einer verschlüsselten Passwortdatenbank wie KeepassX). Mit dem QR-Code kann man den Seed schnell auf ein Smartphone übertragen.
Die Netzwerkeinstellungen öffnet man mit einem Klick auf das rechte Icon in der Statusleiste, dass üblicherweise ein grüner Punkt ist. Hier kann man festlegen, welchen Server man für die rechenintensiven Aufgaben nutzen möchte. Der Server kann aus der Liste frei gewählt werden, da keine Accountdaten auf dem Server gespeichert werden. Die Server werden durch Spenden finanziert und die Betreiber sind für eine kleine Spende in Bitcoins dankbar. Die Spendenadresse für den aktuell genutzten Server findet man auf dem Reiter Console im Hauptfenster.
Außerdem kann man in den Netzwerkeinstellungen den Proxy konfigurieren. Da Electrum nur geringen Datenverkehr verursacht, ist eine sinnvolle Kombination mit den Anonymisierungsdiensten Tor oder JonDonym möglich. Das verhindert eine zukünftige Deanonymisierung des Nutzers durch Analyse des ewigen Logfiles.
Anonymität von Bitcoin
Über die Anonymität von Bitcoin gibt es viele Missverständnisse. So wie jeder Geldschein eine eindeutige Nummer hat und verfolgt werden kann, ist es einem potenten Beobachter auch möglich, Bitcoin Zahlungen zu verfolgen.
Alle Bitcoin Transaktionen werden in der öffentlich zugäglichen Blockchain protokolliert (ein ewiges Logfiles). Das ist kein Designfehler sondern notwendig, um double spending zu verhindern. Forscher der TU Darmstadt haben auf dem 28C3 eine Analyse des ewigen Logfile von Bitcoin vorgestellt. Eine weitere Analyse wurde von D. Ron und A. Shamir publiziert 10. Beide Analysen konnten scheinbar unabhängige Bitcoin Adressen zusammen führen und die IP-Adressen von Nutzern ermitteln. Dazu zählen beispielsweise Spender, die an Wikileaks via Bitcoin gespendet haben. Außerdem wurden Zahlen zur Bitcoin Nutzung von Wikileaks als Beispiel veröffentlicht. Bis März 2012 nutzte Wikileaks 83 Bitcoin Adressen und erhielt 2605.25 BTC von Unterstützern.
Die Forscher kommen zu dem Schluss, dass die Anonymität von Bitcoin geringer ist, als eine einfache Banküberweisung. Informationen zu Banküberweisungen kann man nicht einfach so bekommen. Das Bankgeheimnis verwehrt den Zugriff auf die Kontoinformationen. Die Bitcoin Transaktionen kann jeder analysieren, der über die nötige Rechenleistung verfügt.
Die CIA hat nach eigenen Aussagen Bitcoin als Zahlungsmittel bereits auf dem Radar. Im Juni 2011 wurde Gavin Andresen (ein führender Bitcoin Entwickler) ins CIA-Haupquartier zu einer Präsentation eingeladen. Das US-Militär sucht(e) bereits Anti-Terror Finanzexperten mit Bitcoin Erfahrung. Die Europäische Zentralbank (EZB) sieht laut einem Bericht von Okt. 2012 in Bitcoin eine Gefahr, da es außerhalb der Kontrolle der Zentralbanken läuft. Die EZB empfiehlt eine intensivere Beobachtung. Es gibt also viele Gründe, möglichst anonym zu bleiben.
Da das gesamte System von Bitcoin auf Informationsaustausch im Internet basiert, ist es mit Anonymisierungsdiensten möglich, Bitcoin auch vollständig anonym zu nutzen. Dabei sind folgende Punkte zu beachten:
Bitcoin-Brieftasche anonym verwalten: Man kann einen Webservice verwenden und mit den Anonymisierungsdiensten JonDo+JonDoFox oder dem TorBrowserBundle das eWallet anonym auf den Servern verwalten.
• Blockchain.info bietet die Verwaltung eines anonymen eWallet auf dem Webserver und erfordert keine persönlichen Angaben bei der Registrierung.
• StrongCoin.com erfordert die Angabe einer E-Mail Adresse bei der Registrierung. Wegwerfadressen werden akzeptiert. Das Webinterface ist für Smartphones geeignet.
• OnionBC ist ein anonymer eWallet Service, der nur als Tor Hidden Service unter 6fgd4togcynxyclb.onion erreichbar ist. (Ich bin immer etwas skeptisch bei Tor Hidden Services. Wenn man nicht weiss, wer den Dienst betreibt, kann es sich oft um Scam handeln. TORwallet hat sich z.B. als Scam herausgestellt.)
Wenn man einem Webdienst nicht vertrauen möchte, kann man den Bitcoin Client Electrum installieren und den Datenverkehr mit Tor oder JonDonym anonymisieren. Electrum überlässt die Hauptarbeit speziellen Servern und muss deshalb nicht das ewige Logfile ständig aktualisieren. Das reduziert den Datenverkehr und ermöglicht eine sinnvolle Kombination mit JonDonym oder Tor. Die privaten Schlüssel bleiben aber immer auf dem eigenen Rechner.
Bitcoins anonym kaufen
Man kann beim Kauf von Bitcoins die Angabe eines Bankkontos oder anderer identifizierender Informationen vermeiden.
• Auf der Webseite LocalBitcoins.com findet man Anbieter in der Umgebung, die Bitcoins gegen Bargeld verkaufen.
• Im IRC Channel #bitcoin-otc im Freenode Netz kann man beliebige Formen der Geldübergabe mit dem Verkäufer vereinbaren.
• In Berlin trifft sich die Bitcoin Community an jedem ersten Donnerstag im Monat im room 77 (Graefestr. 77, 10967 Berlin-Kreuzberg). Dort findet immer jemanden, der Bitcoins gegen Bargeld verkauft.
• Wer den Anonymisierungsdienst JonDonym nutzt, kann im Bitcoin Shop der JonDos GmbH kaufen und mit Paysafecard bezahlen. Damit kann man auch Restbeträge von Paysafecards verwenden.
Bitcoins als Zahlungsmittel verwenden: Beim Einkauf virtueller Güter (z.B. JonDonym Premium Codes oder eBooks, die per E-Mail zugestellt werden) gibt es keine weiteren Probleme. Muss man beim Kauf realer Güter eine Lieferadresse angeben, dann sollte man ein anderes Bitcoin eWallet verwenden als für die anonyme Bezahlung virtueller Güter. Anderenfalls könnten auch die anonymen Zahlungen deanonymisiert werden.
Mixing-Services? Im Bitcoin-Wiki werden Mixing-Services wie Blockchain Mixing Service oder Cleanbit.org empfohlen, um die Spuren einer Transaktion zu verwischen. Die Analyse von D. Ron und A. Shamir lässt vermuten, dass diese Mixing-Services mit entsprechendem Aufwand analysiert werden könnten und zukünftig einen potenten Angreifer nicht von einer Verfolgung der Transaktionen abhalten können.