Kategorien
Autor: Christian Grothoff eFin-Blog Farbe: hellblau Uncategorized

„Security through obscurity?” Die EZB und mögliche Design-Probleme des Digitalen Euro

„Security through obscurity?” Die EZB und mögliche Design-Probleme des Digitalen Euro

Christian Grothoff im Interview mit Eneia Dragomir – Teil 2

23. September 2024

Bezahlsysteme reichen weit in unseren Alltag hinein und werfen fundamentale datenschutzrechtliche Fragen auf. Wenn man solche Systeme konzipiert, sollte man so tun, als würde man sich selbst nicht über den Weg trauen, so Christian Grothoff. In Teil 2 des Interviews mit dem Experten für IT-Sicherheit und Taler-Initiator geht es um das Design einer CBDC sowie um mögliche Probleme des Digitalen Euro.

Herr Grothoff, das berühmte Bitcoin-White-Paper ist 2008 damit angetreten, die Banken, Zentralbanken und andere Third Parties aus dem Spiel zu nehmen. Taler will das nicht. Dennoch heißt es in einem Paper, die Zentralbanken sollten sich als böswillige Akteure imaginieren, wenn sie das System konzipieren. Warum?

Wir haben mit unserem Text auf ein Paper der Europäischen Zentralbank (EZB) geantwortet, in dem es sinngemäß hieß, wir sind eine öffentlich-rechtliche Institution, deswegen können Sie uns Ihre Daten anvertrauen, die EZB werde sie nicht verkaufen. Das erste Problem dabei: Die EZB ist keine rein öffentlich-rechtliche Institution. Das Eurosystem beinhaltet Griechenland und die griechische Zentralbank ist in privater Hand. Nicht alle Zentralbanken sind öffentlich-rechtliche Institutionen. Die Schweizer Nationalbank beispielsweise auch nicht. Sie hat zwar staatliche Aufgaben und ist staatlich reguliert, aber sie ist eine Aktiengesellschaft.

Das zweite Problem: Es ist schön, dass eine Behörde meint, dass sie zu den Guten gehört, aber vielleicht ist das irgendwann nicht mehr der Fall. Ich sollte daher mein System nie in der Annahme designen, dass ich zu den Guten gehöre. Wenn wir Systeme bauen, die so fundamentale Eingriffe ermöglichen, wie Bezahlsysteme, von denen die Wirtschaft abhängt, die aber auch in das Alltagsleben der Menschen hineinreichen, dann ist besondere Vorsicht geboten. Ich sollte immer den Fall berücksichtigen, dass ein Böser an meine Stelle tritt. Selbst, wenn ein Diktator an meine Stelle tritt, sollte nichts Schlimmes passieren können, selbst dann sollte der Datenschutz gegeben sein. Das ist der richtige Anspruch für das Systemdesign. Dass meine Daten verkauft werden, ist bei weitem nicht das größte Problem. Da sollte der Anspruch sein: Ich vertraue mir selbst nicht und baue das System entsprechend. So halten wir es auch mit dem Taler-System.

Wir laden alle ein, sich unser System anzusehen und nach Schwachstellen zu suchen: Alle Spezifikationen, der gesamte Quellcode, die gesamte Dokumentation, das ist im Netz für alle einsehbar. Alle können sich das ansehen und analysieren und Schwachstellen gerne veröffentlichen, damit wir sie beheben können. Es gibt bestimmt Fehler in der Software, aber maximale Transparenz ist das beste Mittel, das wir haben, um diese zu finden und zu beheben. Das macht die EZB leider anders: Der EZB-Sprecher wurde von einem unserer Mitarbeiter auf einem Forum in Wien gefragt, wie die EZB die Offline-Funktion des Digitalen Euro sicher machen möchte. Antwort: das ist geheim. „Security through obscurity?“, kommentierte mein Mitarbeiter. Sicherheit durch Geheimniskrämerei? Wikileaks und Edward Snowden haben gezeigt, dass selbst Geheimdienste nicht alle ihre Geheimnisse sichern können, aber der EZB wird das gelingen? Geheimhaltung bringt uns weder mehr Sicherheit noch eine vernünftige demokratische Kontrolle der Institution.

Wenn eine Zentralbank das Taler-Bezahlsystem nutzen würde, dann wäre es eine CBDC, also ein digitale Zentralbankwährung?

Genau, eine Retail-CBDC.

Sie haben in verschiedenen Papern die Pläne der EZB für den Digitalen Euro kritisiert. Das letzte ist 2022 erschienen. Gilt diese Kritik auch für den Verordnungsentwurf aus dem Juni 2023?

Auch die aktuellen Entwürfe sind schlecht. Ich sehe da ganz grundlegende Probleme: Der Digitale Euro, so wie die Pläne derzeit sind, bringt eigentlich niemandem einen Vorteil. Ein weiteres Bankkonto, nur diesmal bei der Zentralbank? Die meisten Menschen im Euro-Raum haben schon ein Bankkonto, als europäische Bürger haben wir ein Recht darauf. Brauchen wir ein weiteres Bankkonto? Mit 3.000 Euro Maximalguthaben und ohne Kredit? Bei meiner regulären Bank habe ich eine Einlagensicherung bis 100.000 Euro. In einem weiteren Konto sehe ich keinen Mehrwert.

Weiteres Problem: Für die Kunden sollen die Transaktionen kostenlos sein, für die Händler aber nicht. Für eine SEPA-Überweisung zahle ich heute auch schon nichts. Für die Händler, die dazu verpflichtet werden sollen, Digitale Euro anzunehmen, soll die Transaktion aber nicht kostenlos sein. Wer trägt die Kosten, die bei der Umstellung entstehen? Die Händler werden die Kosten auf die Preise umlegen. Millionen Händler im Euro-Raum werden diese Umstellung vornehmen müssen, innerhalb einer bestimmten Frist, die nicht allzu groß sein darf. Was werden dann die Dienstleister machen, die diese Umstellung vornehmen und die mit Aufträgen überrannt werden? Die Kosten für die technische Umstellung werden steigen, wenn nur wenige Dienstleister Millionen Kunden zeitnah umstellen sollen.

Ein weiteres Problem ist die Verknüpfung mit dem Konto, das man bei seiner Geschäftsbank hat. Warum? Weil auf dem Konto mit den Digitalen Euros nicht mehr als 3.000 Euro gehalten werden dürfen. Jeder Euro, der darüber liegt, soll automatisch auf mein Geschäftsbankkonto „fließen“, das ist die sogenannte Waterfall-Funktion. So soll verhindert werden, dass den Geschäftsbanken die Liquidität entzogen wird. Das leuchtet mir ein. Aber der Wasserfall geht auch in die andere Richtung: Wenn die Deckung des Kontos, auf dem ich Digitale Euro halte, nicht ausreicht, soll automatisch auf das Guthaben des Geschäftsbankkontos zugegriffen werden. Dadurch ergeben sich erhebliche Probleme: Was passiert, wenn mein Konto, auf denen ich Digitale Euro halte, gehackt wird? Dann wird mein Girokonto gleich von den Angreifern über den Wasserfall auch leergeräumt. Wer haftet dann dafür? Die Geschäftsbanken werden wohl kaum das Risiko auf sich nehmen. Und was, wenn das Girokonto ins Minus gezogen wird? Müssen die Geschäftsbanken automatisch Kredite vergeben? Und für die Geschäftsbanken ergibt sich durch das Onboarding auch ein Kostenproblem.

Inwiefern?

Die EZB will nicht selbst 300 Mio. Kunden onboarden – 300 Mio. Kunden prüfen bedeutet, 300 Mio. Personalausweise prüfen etc. Dafür wäre ein Filialnetz nützlich, das die EZB nicht hat. Die EZB will diesen Know-Your-Customer-Prozess an Payment Service Provider (PSP) auslagern, also an kommerzielle Anbieter. Welche kommerziellen PSP sollen diesen KYC-Prozess kostenlos für 300 Mio. Menschen durchführen? Es soll die Kunden ja nichts kosten. Die Eröffnung eines Bankkontos kostet eine Bank etwa 50 Euro. Welche kommerziellen Unternehmen werden das für potenziell 300 Mio. Menschen übernehmen, ohne den Kunden die Kosten zu berechnen?

Eine Antwort ist die europäische eID, also die europäische digitale Identität. Die ist aber erstens nicht ausgerollt und zweitens ist der Aufwand auch mit der eID nicht gleich null, denn auch die eID könnte gestohlen worden sein oder es gibt Probleme beim Vorgang. Und überhaupt ist die Frage nicht geklärt, ob wir die eID wirklich wollen. Die eID birgt erhebliches Überwachungspotential: Muss ich mich, wenn sie eingeführt wird, überall im Netz damit ausweisen? Haben wir diese Gefahr politisch diskutiert?

Zurück zur Kostenfrage: Neben der Kontoeröffnung sollen kommerzielle PSP auch den Kundensupport übernehmen, auch das soll für die Kunden kostenlos sein. Aber sie dürfen bei den Händlern Gebühren erheben. Damit der Digitale Euro attraktiv ist, sollen diese Gebühren gedeckelt werden. Jetzt sind zwei Fälle denkbar: Der Deckel ist zu hoch und der Digitale Euro ist für die Händler unattraktiv oder der Deckel ist zu niedrig, niedriger als die aktuellen Gebühren. Welches private Unternehmen steigt dann aber da ein? Als jemand, der sich mit IT-Sicherheit befasst, überlege ich mir, was könnte das Geschäftsmodell für die privaten Unternehmen sein? Ich darf bei den Kunden keine Gebühren erheben und die Gebühren für die Händler sind stark gedeckelt – wo verdiene ich da Geld? Es bleibt nur die Möglichkeit: Ich spare bei der Sicherheit. Und zwar nicht ein wenig, sondern im WireCard-Stil: gar keine Sicherheit. Sicherheitskosten gehören neben den Kosten für Compliance zu den höchsten Kosten im Bankenumfeld. Ich weiß nicht, wie die EZB sowohl hohe Sicherheit als auch niedrige Kosten erreichen will.

Mit dem Taler-Bezahlsystem können wir das erreichen, weil es technisch ganz anders aufgestellt ist: Die Kundenidentifizierung bleibt bei den Geschäftsbanken, das Double-Spending-Problem lösen wir durch Kryptografie und Anonymität stellen wir durch blinde Signaturen her. So kann ich Einiges einsparen. Der Digitale Euro soll aber kontenbasiert sein, es soll ein Bankkonto sein, also werden auch die Kosten eines Bankkontos anfallen.

Im Bezug zur Retail-CBDC wird die Möglichkeit von offline Bezahlungen diskutiert. Eine taler-basierte CBDC soll aber „online only“ sein. Warum?

Das Problem bei Offline-Zahlungen mit einer CBDC ist, wie bei anderem digitalem Bargeld, das schon angesprochene Double Spending: Wie verhindere ich, dass jemand seine elektronischen Wertbestände kopiert und doppelt ausgibt? Und die Antworten, die wir historisch kennen, raten zur Vorsicht: Wir haben die verschiedensten Arten des Digital Restrictions Managements (DRM), also des Kopierschutzes. Und was hat das gebracht? Waren die Film- und die Musikindustrie mit ihrem Kopierschutz erfolgreich? Nein! Man kann das Kopieren erschweren, aber mit genügend Aufwand geht es immer. Man muss auch kein Informatiker sein, um Filme oder Musik zu kopieren. Das Kopierproblem verschärft sich beim digitalen Bezahlen: Wenn die kriminelle Energie da ist, einen Film zu kopieren, wie groß ist dann die kriminelle Energie, Geld selbst zu drucken? Dazu kommen noch geopolitische Interessen: Wenn Russland der Wirtschaft der EU schaden könnte, indem es Trillionen von Digitalen Euros druckt, wäre es blöd, das nicht zu tun. Es geht also nicht nur darum, dass Privatleute mit beschränkten Ressourcen versuchen könnten, eine CBDC zu kopieren, sondern wir müssen damit rechnen, dass staatliche Akteure mit großem Budget und guter Technik das versuchen werden.

Und deswegen sollte mit einer CBDC nur online gezahlt werden können?

Ja, denn die einzige effektive Möglichkeit, das Kopieren zu verhindern, ist das Digital Watermarking: Ich markiere jede Kopie mit einem mehr oder weniger eindeutigen Siegel, das sagt, „diese Kopie hatte ich dem Herrn Müller gegeben“. Und wenn Herr Müller Kopien anfertigt, dann weiß ich, dass es seine Kopien sind. Jetzt kommt das Problem mit dem Offline-Modus ins Spiel: Die Europäische Zentralbank (EZB) sagt, das Offline-Zahlen wird vollanonym sein. Dann kann ich aber nicht mehr feststellen, dass es Herr Müller war, der die Kopien gemacht hat, denn er war anonym. Und selbst ohne Anonymität gibt es dann noch das Enforcement-Problem. Ein denkbarer Fall wäre: Eine Person in der Familie steht kurz vor dem Tod, ich kopiere ihr Geld, sie verstirbt und ich bringe das kopierte Geld in Umlauf. Selbst wenn der Bezahlvorgang nicht anonym ist, wie soll die EZB das kopierte Geld von der verstorbenen 90-jährigen Oma zurückbekommen? Eine dritte Möglichkeit, das entstehende Problem zu lösen: Die EZB kann dem Händler, der kopiertes Geld entgegengenommen hat, schlicht sagen, dass es doppelt ausgegeben wurde und er Pech gehabt hat und auf seinen Kosten sitzen bleibt. Das kann auch bei Kreditkartenzahlungen passieren: Wenn jemand mit einer gestohlenen Kreditkarte bei einem Händler bezahlt, der gerade offline ist, kann es sein, dass die Kreditkartenfirma dem Händler sagt, „Die Karte war schon gesperrt, Du hast das nicht geprüft, Du bleibst auf Deinen Kosten sitzen.“ Die EZB verspricht aber hohe Sicherheit. Das Erste, was ich von einem sicheren digitalen Bezahlsystem erwarten würde, wäre, dass, wenn mir mein Computer sagt, „Du hast das Geld bekommen“, dass ich das Geld auch wirklich bekommen habe. Das ist aber im Offline-Modus schlicht nicht möglich.

Wir wissen, dass es trotz der DRM-Maßnahmen möglich sein wird, digitale Daten zu kopieren. Man könnte auch Taler offline nutzen, dann können wir aber auch nicht garantieren, dass die Daten nicht kopiert sind bzw., dass das Geld, das ich erhalte, nicht doppelt ausgegeben wurde. Das muss man den Leuten erklären: Das Offline-Bezahlen mit digitalem Cash ist möglich, aber nicht sicher und anonym.

Im Katastrophenfall könnten wir das Risiko hinnehmen. So macht man das in Japan beispielsweise mit der Bezahlkarte für die öffentlichen Verkehrsmittel: Kommt es zu einem Erdbeben und ist das System offline, dann funktioniert die Karte trotzdem, damit die Leute nachhause kommen können. Man rechnet damit, dass es in wenigen Fällen zu Betrug kommen wird, aber wichtiger ist, dass die Menschen nach Hause kommen können. Im Katastrophenfall wird also Menschlichkeit gegenüber korrekter Abrechnung priorisiert.

Die EZB betont immer wieder, der Digitale Euro wird erst nach einem politischen Beschluss eingeführt. Haben Sie noch Hoffnung, dass der Digitale Euro doch noch als token-basiertes System umgesetzt wird?

Während die EZB das verspricht, hat sie schon eine Ausschreibung für 1,3 Mrd. Euro gemacht, in der schon ganz konkrete Vorgaben genannt werden. Und auf diese Ausschreibung konnten sich nur Unternehmen mit einem Mindest-Jahresumsatz von 10 Mio. Euro bewerben. Kleine Akteure, die angeblich auch gefördert werden sollen, sind also schon aus dem Spiel. Die Ausschreibung hatte eine Frist von sechs Wochen, die kürzeste mögliche legale Frist. Man kann doch nicht sagen, wir machen nichts ohne politischen Beschluss und gleichzeitig Gelder für die technische Umsetzung vergeben, die an enge technische Vorgaben geknüpft sind. Damit werden Fakten geschaffen. Und von einem token-basierten Ansatz ist in der Ausschreibung nichts zu finden. Dass die EZB nach einem politischen Beschluss auf einen grundlegend anderen Ansatz umschwenkt, ist nicht zu erwarten.

Ich glaube, dass man sich nur nach einem Scheitern der aktuellen Pläne Hoffnungen darauf machen kann, dass ein token-basierter Ansatz verfolgt wird. Erst wenn der Digitale Euro entweder politisch oder ökonomisch oder technisch gescheitert ist, haben wir aus meiner Sicht eine Chance, eine ordentliche politische Debatte darüber zu führen, was wir eigentlich als Gesellschaft haben wollen. Vielleicht könnte es dann in 15 Jahren einen neuen Anlauf geben. Und dann können wir sehen, ob es mit der Tokenisierung was wird oder nicht.

Herr Grothoff, vielen Dank für das Gespräch.

Zurück zur Startseite des Blogs

Zum Diskursprojekt Demokratiefragen des digitalisierten Finanzsektors

Kategorien
Autor: Christian Grothoff eFin-Blog Farbe: gelb

„Anonymität beim Geldausgeben und Transparenz bei Einkommen“: Das Taler-Bezahlsystem

„Anonymität beim Geldausgeben und Transparenz bei Einkommen“: Das Taler-Bezahlsystem

Christian Grothoff im Interview mit Eneia Dragomir

19. September 2024

„Taxable, Anonymous, Libre, Electronic Resources“, kurz „Taler“ ist ein Versuch, die Eigenschaften des Bargelds für Online-Zahlungen zu reproduzieren. Das soll vor allem durch Kryptografie möglich werden. Digitales Bezahlen und Kryptografie? Was nach einer weiteren so genannten Kryptowährung klingt, soll alles andere als das sein. Wir haben mit Christian Grothoff über das Taler-Projekt, über datenschutzfreundliches digitales Bezahlen sowie über die Probleme des Bitcoin und anderer „Kryptowährungen“, aber auch des Digitalen Euro gesprochen.

Das Interview wird in zwei Teilen veröffentlicht. In diesem ersten Teil geht es um das Taler-Bezahlsystem und darum, warum der Bitcoin eigentlich kein Coin ist.

Herr Grothoff, Sie engagieren sich im GNU-Projekt, einem Betriebssystem, das als freie Software entwickelt wird. Sie sind auch maßgeblich an der Entwicklung des darauf basierenden GNU-Taler-Bezahlsystems beteiligt, unter anderem auch als CEO der Taler Systems SA. Mit dem GNU-Taler soll laut der Unternehmenswebseite ein „digitales Pendant“ zum Bargeld geschaffen werden, das sich durch „Datenschutz und Datenminimierung“ auszeichnet und vor allem dadurch, dass die Anonymität von Bargeldzahlungen digital reproduziert wird. Wie soll dieses datenschutzfreundliche digitale Bezahlen umgesetzt werden?

Also in groben Konturen: Das Taler System wird von einer regulierten Entität betrieben. Das kann eine Bank, wie die GLS Bank in Deutschland oder die Magnet-Bank in Ungarn, eine Zentralbank oder ein Zahlungsdienstleister sein, also irgendjemand, dem wir in Bezug auf Geld ein bisschen Vertrauen schenken können, weil er reguliert ist. Als Kunde kann ich diesem Betreiber durch eine SEPA-Transaktion Geld von meinem Girokonto überweisen und im Gegenzug stellt er mir dafür eine digitale Münze aus.

Diese digitale Münze zeichnet sich durch folgende Eigenschaften aus: Sie hat durch den Aussteller eine digitale Signatur erhalten. Deswegen hat sie einen Wert. Ich kann mir nicht einfach selbst digitale Münzen erstellen, der Betreiber bürgt für den Wert der Münze. Die Signatur beinhaltet auch, wie viel die digitale Münze wert ist, ob sie ein, zwei oder vier Euro wert ist. Das sehe ich als Nutzer eigentlich nicht, denn in meiner Wallet wird der Gesamtbetrag aller meiner digitalen Münzen angezeigt. Ich muss also nicht selbst nachzählen und die Signaturen analysieren. Und wie bei Bargeld können wir die digitale Münze nur einmal ausgeben. Da es sich bei der Erstellung der Münze um eine Art digitales Drucken handelt, besteht prinzipiell die Möglichkeit, dass der Kunde die Münze kopiert. Wenn ich diesen digital signierten Token auf meinem Rechner habe, kann ich eine Kopie machen. Da ich nicht davon ausgehe, dass wir einen absolut sicheren Kopierschutz erfinden werden, das hat die Musikindustrie bislang auch nicht geschafft, setzen wir auf die erwähnte regulierte Entität: Wenn ich die digitale Münze ausgebe, dann muss der Händler sofort online zum Herausgeber der Münze gehen und fragen, „Hey, einer deiner Kunden hat bei mir bezahlt. Prüfe bitte, ob diese Münze gültig ist. Ist sie richtig signiert? Wurde sie schon mal ausgegeben?“ Nur wenn die Münze richtig signiert ist und noch nicht ausgegeben wurde, sagt der Bezahldienstleister, „alles okay, Du kannst dem Kunden die gewünschten Güter geben oder die Dienstleistung ausführen.“ Jede Münze hat eine eindeutige Nummer, durch die der Bezahldienstleister sie wiedererkennen kann. Dadurch kann er verhindern, dass sie doppelt ausgegeben wird.

Das ist die High-Level-Beschreibung: Es wird eine elektronische Münze mit einer Signatur ausgestellt, die nur einmal ausgegeben werden kann. Das macht ökonomisch Sinn, weil keine neue Währung geschaffen wird, und es macht in Hinblick auf den Datenschutz Sinn, weil ich als Bezahldienstleister keine Transaktionshistorie des Nutzers bilden kann.

Also die Signatur der Münze soll diese eindeutig identifizierbar machen? Wie bleibt dann aber der Kunde beim Geldausgeben anonym?

Da kommt die Kryptographie ins Spiel: Wir verwenden keine normale Signatur, sondern eine sogenannte blinde Signatur. Das heißt, beim Ausstellen der digitalen Münze lernt der Aussteller nicht die Seriennummer der Münze. Wenn ich zum Beispiel Herrn Meier so eine Münze mit einer blinden Signatur ausstelle, und er bezahlt damit beim Bäcker, dann habe ich erfahren, dass jemand gerade beim Bäcker war, aber ich kann nicht erkennen, dass die digitale Münze die gleiche war, die ich Herrn Meier ausgestellt hatte. Der Betreiber des Bezahlsystems lernt die Seriennummer und Signatur einer Münze nur, wenn sie eingelöst wird. Er kann zwar sehen, diese Münze hat er mal ausgestellt, aber nicht an wen. Wenn er Hunderte von Kunden hat, weiß er, dass einer dieser Kunden diese Münze bezogen hat. Er weiß, dass sein Kunde ihm einen bestimmten Betrag überwiesen hat und er ihm dafür Taler ausgestellt hat. Aber er kann die Münze, die ausgegeben wurde, nicht mehr mit dem Erstellungsvorgang verknüpfen. Das heißt, er kennt die Kunden, die Geld abheben, er weiß auch, welchen Betrag welcher Kunde bekommt, aber er weiß nicht, welche Münzen genau bei welchen Kunden im Portemonnaie gelandet sind. Es ist wie beim Geldautomaten: Die Bank weiß, wer das Geld abhebt. Theoretisch könnte so ein Geldautomat die Seriennummer der Scheine mitschreiben, in der Praxis tun sie es nicht, sagten uns die Zentralbanken. Beim Taler-Bezahlsystem geht es sogar technisch nicht, denn der Kunde macht die Kryptografie, das heißt, der Kunde hat diese Seriennummer vor dem Bezahldienstleister versteckt, der kann also diese Seriennummer nicht mit diesem Kunden verknüpfen. Kommt die Münze aber zurück, dann kann er sicher sein, dass er sie damals einem seiner Kunden ausgestellt hat und dem Händler das Geld überweisen. Das heißt, technisch hat der Kunde beim Geldausgeben Anonymität – nicht, wenn er das Geld abhebt, nur wenn er es ausgibt. Der Händler ist hingegen transparent, weil er dem Betreiber des Taler-Bezahlsystems sagen muss, ich bin der Geldempfänger, bitte gib mir das Guthaben. Wir haben also Einkommenstransparenz, weil wir wissen, wer Geld bekommt.

Durch die Transparenz der Einnahmen und die Kundenidentifikation bei der Münzausgabe ist das Bezahlsystem auch rechtskonform, denn die „Know Your Customer“- oder KYC-Regel ist damit erfüllt: Die Bank weiß, wem sie Taler ausgestellt hat, und sie weiß, wer Taler bekommt. Aber sie weiß nicht, wie beides zusammenhängt, sie kann also die Transaktionshistorie nicht rekonstruieren. So können wir Rechtskonformität und Datenschutz gleichzeitig herstellen.

Taler ist ein Akronym und steht für „Taxable, Anonymous, Libre, Electronic Resources“, also „besteuerbare, anonyme, freie Ressourcen“. Warum ist die Besteuerbarkeit so wichtig, dass sie Namensbestandteil geworden ist?

Wir wollen für den Kunden, der Geld ausgibt, Anonymität. Aber wir sind keine Absolutisten in Sachen Anonymität. Wir sagen nicht, dass es keinerlei staatliche Kontrolle braucht. Gerade bei der Wirtschaft ist staatliche Kontrolle oder Regulation notwendig! Ein freier Markt und eine funktionierende Gesellschaft brauchen Regulierung und Steuern. Man kann zwar politisch diskutieren, wie hoch die Steuern sein sollen, aber ein Staat, der keine solide Finanzgrundlage hat, ist nicht in der Lage, in die Zukunft, in Bildung, in die Infrastruktur zu investieren. Ein funktionierendes Steuerwesen ist daher essenziell für eine moderne Gesellschaft. Deswegen machen wir das Bezahlen anonym, aber Einkommen transparent. Das T steht insofern auch für „transparent“. Wir haben aber „taxable“ gewählt, weil dann klarer ist, dass es um Einkommen geht, das besteuert werden kann.

Also, welchen Bus ich nehme, welchen Arzt ich besuche, welche Medikamente ich nehme, welche Zeitungen ich lese, wohin ich in den letzten Monaten gereist bin, an welche Organisationen ich spende, dafür brauche ich Datenschutz. Aber die Gesellschaft darf Transparenz verlangen, wenn es um Einnahmen geht. Einkommenstransparenz kann die Gesellschaft verlangen, weil es eigentlich nur zwei Möglichkeiten gibt: Entweder handelt es sich um Einkommen aus Erwerbstätigkeit, also um eine sozial erwünschte Tätigkeit, oder es ist eine kriminelle Tätigkeit, aus der das Einkommen erzielt wird. Und das Bezahlsystem sollte es nicht ermöglichen, das zu verschleiern.

Diesen Trade-off halten wir für gerechtfertigt, weil es darum geht, sich zwischen zwei Extremen zu bewegen: Einerseits der totalen Überwachung, also, der Staat weiß alles über die Individuen und andererseits einem Anonymitätsabsolutismus, der dazu führt, dass ein ökonomischer Wilder Westen entsteht, in dem sich der Stärkere durchsetzt. Wir meinen, dass ein Mittelweg möglich ist: Anonymität beim Geldausgeben und Transparenz bei Einkommen.

Sie haben gesagt, der Kunde macht die Kryptografie. Also die Taler-Wallet auf dem Device des Kunden macht die Kryptografie?

Genau, die Taler-Wallet macht die Kryptografie, die für den Datenschutz des Kunden relevant ist. Das heißt, er muss sich nicht darauf verlassen, dass beim Bezahldienstleister, bei der Zentralbank oder beim Händler die richtige Software läuft. Er muss nur dafür sorgen, dass auf seinem Gerät die richtige Software läuft. Wenn aber irgendwelche Malware auf seinem Gerät läuft, die alles auf seinem Bildschirm mitlesen kann, dann hat er ein Problem.

Das Taler-Bezahlsystem soll ein Micropayment-Dienst sein – warum dieser Fokus auf kleine Beträge?

Wir wollen Anonymität beim digitalen Geldausgeben ermöglichen, aber beim Bezahlen großer Summen gibt es gute Gründe, warum diese Anonymität aufgehoben werden muss: so soll Geldwäsche verhindert werden. Es geht also z.B. nicht um den Hauskauf. Das wäre mit Taler zwar theoretisch möglich, nur ist normalerweise der Käufer anonym und der Verkäufer muss dann gegebenenfalls feststellen, an wen er sein Haus verkauft. Das Bezahlsystem hat die Daten nicht, aber der Verkäufer kann sie selbst anfordern. Zentrale Vorteile von Taler gehen dann aber verloren.

Und der zweite Grund, warum es nur für kleinere Beträge wirklich gut geeignet ist: Ich habe die digitalen Münzen wie Bargeld in Eigenverwahrung. Wenn ich diese digitalen Token bekommen habe, dann sind sie auf meinem Rechner gespeichert, sie sind unter meiner Kontrolle. Ich kann sie ausgeben, wie ich will, aber, wenn ich sie verliere, habe ich sie endgültig verloren. Auch das ist wie beim Bargeld: Einer Bank kann ich auch nicht sagen: Ich habe aus ihrem Geldautomaten 1.000 Euro rausgeholt, ich habe sie leider verloren, gebt sie mir nochmal. Die meisten Leute würden mit 100 Euro durch die Stadt laufen, mit 1000 vielleicht einige, mit 10.000 würden sich die meisten mulmig fühlen, mit 100.000 rennt keiner mehr herum.

In Vorträgen betonen Sie, dass es sich bei Taler nicht um eine sogenannte Kryptowährung handelt. Was unterscheidet den GNU-Taler beispielsweise von Bitcoin?

Also erstmal: Bitcoin ist kein Coin, es ist keine digitale Münze. Bei Bitcoin handelt es sich eigentlich um Accounts, also um Konten, wo der Kontoinhaber über einen privaten Schlüssel identifiziert wird und das Konto über den Hash des öffentlichen Schlüssels. Und alle Transaktionen, die ich über mein Bitcoin-Konto tätige, werden öffentlich in einem verteilten Konto, einem Distributed Ledger, publiziert – in dem Fall einer Blockchain, einem öffentlich einsehbaren Verzeichnis aller Transaktionen. Ein Bitcoin-Wallet hat die privaten Schlüssel, die Kontozugriffsrechte darstellen. Einen Wert haben sie nur, wenn auf das Konto Geld überwiesen und noch nicht abgehoben wurde. Der Wert bestimmt sich somit aus dem Saldo dessen, was eingegangen ist und dem, was rausgegangen ist – ganz klassisch wie bei Bankkonten. Wo ist da ein „Coin“?

Ein Coin oder Token ist eigentlich etwas, das man nur einmal benutzt, wie eine Wertmarke oder ein Busticket für eine einfache Fahrt. Das Ticket wird erstellt, wird gekauft, genutzt und abgestempelt, Müll. Deswegen hat es keine Historie, ich kann also nicht rekonstruieren, wann derselbe Nutzer welche Fahrten gemacht hat. Das Ticket ist ein Token. Und wenn ich die beiden grundlegenden Ereignisse – Erstellung des Tokens, Entwertung des Tokens – nicht miteinander verknüpfen kann, dann handelt es sich um ein anonymes Token. Dieses Token ist datensparsam und datenschutzfreundlich, weil keine Profilbildung möglich ist.

Das ist bei Bitcoin nicht der Fall, bei Taler schon. Taler ist eine digitale Münze, die ich nur einmal ausgeben kann. Beim Taler-Bezahlsystem sind die Signaturen mit dem Token verbunden und nicht mit der Wallet und es kann keine Transaktionshistorie gebildet werden. So kommt der Datenschutz bei Taler zustande. Die Transaktionshistorie jedes Taler-Coins ist im Grunde: wurde ausgestellt, wurde verwendet, Ende. Und die beiden Ereignisse können nicht miteinander verknüpft werden. Es ist dadurch kryptografisch unmöglich, die Identität des Kunden, der das E-Geld abgehoben hat, mit dem Bezahlvorgang zu verbinden. Das ist ganz anders als beim kontenbasierten Bitcoin-System oder den anderen Cryptocurrencies, die auch fast alle de facto kontenbasiert sind.

Und was ist das Problem bei kontenbasierten Systemen?

Bei diesen kontenbasierten Systemen habe ich keinen guten Datenschutz. Wenn ich als Privatperson Datenschutz will, ist es immer möglich, dass ich einen kleinen Fehler begehe und jemand aufgrund meiner Transaktionen ein Bild zusammenträgt und sagen kann, „das Konto gehört Christian“. Dann ist bei einer Blockchain auf einmal meine gesamte Transaktionshistorie öffentlich einsehbar. Aber ohne diese Fehler kann es ebenfalls sein, dass ein Krimineller seine Transaktionen erfolgreich vor dem Staat verstecken kann. Dann wird das Bezahlsystem zum Vehikel für Kriminelle. Bitcoin hat also zu wenig und zu viel Anonymität: Man kann sich weder sicher sein, dass Transaktionsdaten geschützt sind, noch dass der Staat bei Bedarf Transaktionen nachvollziehen kann.

Also: Ein Token hat keine Historie, ein Konto hat einen Wert aufgrund seiner Historie. Das Token kann ich besitzen, es befindet sich unter meiner Kontrolle, während ein Konto etwas ist, was jemand anderes für mich verwahrt und verwaltet. Diese Instanz verwaltet die Liste der Bestände der Konten und ist dafür zuständig, dass mir Beträge gutgeschrieben werden oder Ausgaben abgezogen werden. Das ist auch bei Bitcoin der Fall: Wenn ich Bitcoin nutzen möchte, muss ich mit den Minern verhandeln, dass sie meine Transaktion in die Blockchain eintragen. Dafür muss ich ihnen Gebühren zahlen. Und wenn sie meine Transaktion nicht annehmen, dann wird sie nicht durchgeführt.

Ist der Unterschied, dass beim Taler-System die Keys mit dem Coin verbunden sind und bei Bitcoin mit der Wallet?

Bei Bitcoin gibt es primär den Account-Key, durch den ich die Berechtigung habe, auf die bisher noch nicht ausgegebenen Beträge zuzugreifen. Bei Taler habe ich den Token- oder Coin-Key, der mich dazu berechtigt, die Münze auszugeben. Kryptografische Schlüssel sowie eine Wallet, in der sich Geld befindet, die auf meinem Computer liegen sollte, haben wir in beiden Systemen.

In der Praxis haben ja die wenigsten Leute ihre Bitcoin in einem eigenen Wallet auf ihrem Computer. Die meisten nutzen irgendwelche Anbieter, die ihre Kryptowerte für sie verwalten. Wenn diese Anbieter pleitegehen oder gehackt werden, was ja nicht so selten passiert, dann sind die Bitcoins häufig verloren.

Der wichtigste Unterschied zwischen Taler und Bitcoin ist aber, dass bei Taler die ausgestellten Token nur deswegen einen Wert haben, weil ein regulierter Finanzdienstleister sagt bzw. verbürgt, dieser Token ist einen Euro wert. Er könnte aber auch sagen, dass er eine Feinunze Gold oder einen Schweizer Franken oder auch einen Bitcoin wert ist. Wir nehmen bestehende Assets, bestehende Ressourcen, und digitalisieren bzw. tokenisieren sie. Taler ist nur ein Bezahlsystem, es ist keine eigene Währung und will auch keine sein. Bitcoin hingegen möchte Geldpolitik machen, indem es einen konkurrierenden Mechanismus etabliert, wie und wieviel Geld erzeugt wird. Bitcoin ist 2008 unter anderem damit angetreten, die etablierte Geldpolitik zu kritisieren und eine Alternative zu etablieren. An die Stelle der alten soll eine sehr strikte algorithmische Geldpolitik treten. Klar, kann man über die Geldpolitik im Allgemeinen und über das, was Zentralbanken genau machen, streiten; aber das, was sich ein paar Programmierer ausgedacht haben, die von niemandem gewählt wurden und von Ökonomie häufig keine Ahnung haben, soll besser sein? Die Regeln, die sie sich irgendwann mal ausgedacht haben, sollen für immer gelten und unveränderlich sein? Sind die unfehlbar?

Inwiefern sind diese Regeln problematisch?

Bitcoin schlägt eine vermeintlich einfache Lösung für ein komplexes Problem vor: Unsere Geldpolitik soll darin bestehen, dass wir alle x Jahre ein „Halving“ durchführen, also die Belohnung für die Miner halbieren, sodass weniger Bitcoin in Umlauf gebracht werden, und die absolute Geldmenge deckeln wir auf knapp 21 Mio. Bitcoin, d.h. irgendwann werden gar keine neuen Bitcoins mehr erzeugt.

Vermutlich würde kaum jemand bestreiten, dass die Geldpolitik immer an die realwirtschaftliche Lage angepasst werden sollte: Wenn die Arbeitslosigkeit hoch ist, sollte Geldpolitik dieses Problem adressieren, wenn volkswirtschaftliche Ressourcen nicht genutzt werden, sollte die Konjunktur angekurbelt werden und wenn die knapp sind, sollte die Konjunktur gedrosselt werden, damit die Preise nicht explodieren. Geldpolitik verfolgt durchaus politische Ziele: Ist die Bekämpfung der Arbeitslosigkeit wichtiger oder die Geldwertstabilität? Die Prioritäten können wir politisch debattieren, aber Bitcoin sagt einfach: „Uns interessiert die Realwirtschaft nicht. Wir machen eine fixe Geldpolitik, die wir vor 16 Jahren festgelegt haben. Und die ist automatisch besser als das, was Ökonomen sagen oder was politisch ausgehandelt wird.“

Wir haben es da mit einem Problem zu tun, das keine einfache Lösung hat. Wir können da eigentlich nur manövrieren und versuchen, gesellschaftlich tragfähige Lösungen auszuhandeln.

Wie andere Kritiker des Bitcoin bzw. der Blockchain-Technologien kritisieren sie deren Energiehunger, der beim Proof-of-Work-Verfahren extrem ist. In der Diskussion ist das Proof-of-Stake-Verfahren, das den Energiehunger deutlich senkt. Wie sehen Sie das?

Wenn ich annehme, dass Bitcoin mit Proof-of-Work ein kohlegetriebener Panzer ist, dann ist Proof-of-Stake ein SUV – also deutlich weniger Energieverbrauch, aber bei weitem noch nicht das Transportmittel, das wir in Zukunft brauchen. Um im Bild zu bleiben: Wir haben bisher in einer Welt gelebt, in der alle Fahrrad gefahren sind, wir müssten aber zu Fußgängern werden.

Auch Proof-of-Stake ist immer noch tausendmal ineffizienter als das traditionelle Bankensystem. Warum? Beispielsweise findet bei der Ethereum-Blockchain, die Proof-of-Stake anwendet, kein Mining mehr statt, also diese absolut sinnlose Verschwendung von Rechenleistung. Da wird eine Zahl geraten und immer wieder geraten, bis der erste Miner sie erraten hat. Die gesamte Rechenleistung und die Energie, die dafür aufgewendet wurde, sind verschwendet. Und wofür? Damit die Blockchain um ein paar Transaktionen verlängert wird. Die Rechenleistung wird nicht aufgewendet, um Klimaszenarien zu errechnen oder um Forschung zu betreiben, noch nicht einmal, um ein schönes KI-Bild zu rendern. 99,99 Prozent der Energie wird sinnlos verfeuert.

Proof-of-Stake ist ein anderer Konsensmechanismus, um zu bestimmen, wer die Blockchain verlängern darf. Wir führen jetzt nicht mehr diese sinnlosen Rechnungen durch. Gut. Aber wer darf dann Blöcke hinzufügen? Die, die einen bestimmten Stake der Währung, also einen bestimmten Anteil haben, also die Reichen. Weil sie zu denen gehören, die am meisten haben, dürfen sie Gebühren dafür kassieren, dass sie die Blockchain verlängern. Im Wesentlichen ist Proof-of-Stake also ein Algorithmus, der sagt, die Reichen werden automatisch reicher. Dieses Verfahren hat zwei Probleme: Es verschwendet immer noch unnötig viel Energie, weil die etwa 100.000 Validatoren, die prüfen und validieren sollen, die Transaktionen sehen müssen. Die Zahl wechselt, aber, wenn wir sagen, es sind grob so 100.000, dann brauche ich 100.000-mal die Bandbreite und muss 100.000-mal die Berechnung durchführen. Diese Bandbreite wird tatsächlich für die Validierung der Transaktionen genutzt, aber im Vergleich zu einer Transaktion im traditionellen Bankensystem ist Proof-of-Stake sehr grob gesprochen um den Faktor 1000 langsamer.

Im traditionellen Bankensystem wird die Transaktion von der Bank geprüft, vielleicht auch von der Bank des Empfängers der Transaktion und weiteren Institutionen, aber es sind insgesamt eher wenige Parteien involviert. Diese erstellen zwar auch ein paar kryptografische Signaturen und machen ein paar Datenbankeinträge, aber es sind nicht 100.000 Parteien. Es sind drei, vier oder fünf, bei internationalen Transaktionen vielleicht zehn Parteien.

Proof-of-Stake macht die Reichen reicher?

Genau, Proof-of-Stake ist plutokratisch, denn um mitentscheiden zu können muss ich nachweisen, dass ich einen Stake habe, dass ich also bereits viel Ether besitze, das ist die Währung von Ethereum. Dann darf ich mitmachen und mitverdienen. Das kennen wir aus dem Spätmittelalter und der frühen Neuzeit: Die Banker waren reiche Leute, die Banknoten herausgegeben haben. Die haben nicht viel mit unseren heutigen Banknoten zu tun, die von der Zentralbank ausgestellt werden, sondern es waren Scheine, die auf eine bestimmte Bank gelautet haben. Diese Altcoins, die Coins, die es neben Bitcoin gibt, sind eine Neuauflage dieses vormodernen Systems. Auch sie sagen: „Ich bin reich, Du kannst mir vertrauen, nimm meine Währung.“ Wie die vormodernen Bankiers, setzen sie ihre eigenen Zinssätze bzw. verlangen Gebühren und kassieren dann. Der Unterschied ist, dass heute jeder seine eigene Cryptocurrency erzeugen kann. Die meisten davon sind wertlos und die, die nicht wertlos sind, sind die, die Geld für Marketing haben. Proof-of-Stake will also zu Verhältnissen zurück, die wir im 16., 17. und 18. Jahrhundert hatten, als wir Privatbanken hatten, die ihr Privatgeld herausgegeben haben.

Redaktionelle Notiz: Im zweiten Teil des Interviews, der am 23. September erscheint, geht es um Christian Grothoffs Kritik am Digitalen Euro und inwiefern das Taler-System bzw. ein token-basierter Ansatz Abhilfe schaffen könnte.

Zurück zur Startseite des Blogs

Zum Diskursprojekt Demokratiefragen des digitalisierten Finanzsektors