Künstliche Intelligenz
Digitaler Euro: Trilog startet, viele technische Fragen bleiben
Das Europäische Parlament in Straßburg hat am Donnerstag in erster Lesung seine Position zum Gesetzespaket für den digitalen Euro. Schon ab der kommenden Woche könne der Trilog starten, sagte Parlamentsberichterstatter Fernando Navarrete Rojas (EPP). Wissenschaftler eines vom deutschen Forschungsministerium geförderten Projekts warnen zugleich vor ungelösten Sicherheitsfragen des geplanten Konzepts.
Weiterlesen nach der Anzeige
Mit 416 gegen 169 Stimmen verabschiedete das Parlament die von Rojas vorbereitete Parlamentsposition, um die lange gerungen wurde. Der ehemalige spanische Zentralbankexperte hatte in seinem ersten Entwurf zunächst die Beschränkung des digitalen Euro auf eine Token-basierte Offline-Bezahlvariante befürwortet. Die Mehrheit im Finanzausschuss des Parlaments hatte im Juni dann aber die parallele Einführung der Offline- und einer Konten-gebundenen Online-Variante des digitalen Euro verabschiedet.
Rojas unterstrich in einem Pressegespräch, dass man in der Verordnung auch die gleichberechtigte Nutzung von Bargeld nochmals unterstreiche. Man wolle den Bürgern die Wahl überlassen, wie sie bezahlen.
Er wies gegen „Gerüchte“ zurück, der Konten-basierte Digitaleuro werde Bezahlvorgänge leicht überwachbar machen. „Niemand wird wissen, wofür wir unser Geld ausgeben“, versprach Rojas im Plenum.
Kein Vertraulichkeits-Plus
Wissenschaftler der Uni Dresden beurteilen die aktuellen Pläne von EZB und EU Gesetzgeber dagegen skeptisch. Der Konten-basierte digitale Euro verspreche zwar Privacy by Design and Default. Die Trennung von Identifikations- und Transaktionsdaten – ersteres erledigen die Endkundenbanken, letzteres läuft bei der EZB zusammen – sei aber ungeeignet, echte Vertraulichkeit zu garantieren, betonten sie in einer kurz vor der Abstimmung veröffentlichten Pressemitteilung.
Zu leicht ließen sich die von den Kundenbanken ausgegebenen EZB-Nummern über Transaktionshistorien oder unter Hinzuziehung weiterer Daten auflösen, versichert Mikolai Gütschow vom Lehrstuhl Distributed Networked Systems an der TU Dresden.
Ist das Pseudonym einmal aufgeflogen, wird das Bezahlverhalten des Nutzers transparent. Problematisch ist aus Sicht der Forscher zudem, dass die Zentralisierung der Transaktionsdaten die dafür geschaffene EZB-Infrastruktur zu einem attraktiven Honeypot machen dürfte.
Weiterlesen nach der Anzeige
Europäische Datenschützer sehen die Gefahr der De-Pseudonymisierung ebenfalls und empfahlen daher im Frühjahr, die EZB Nummern mindestens dynamisch zu vergeben.
Tokens und ihre Nachteile
Die Datenschützer befürworteten in ihrem Papier grundsätzlich Token-Systeme für beide Digitaleuro-Varianten. Dadurch sei ein dem Bargeld vergleichbares Level an Anonymität realisierbar, lautete die Einschätzung.
Die Forscher warnten jedoch in ihrer Pressemitteilung vor den Sicherheitsproblemen der Token-Lösung. „Es ist eine schöne Idee“, sagte Gütschow in Gespräch mit heise online. „Aber das Problem des Double Spending ist unlösbar.“ Einmal vom Secure Element des Mobiltelefons geknackt, ließen sich Digitaleuros beliebig kopieren. Die Liste geknackter Secure Elements sei lang, notierten Gütschow und Kollegen aus Hamburg in einem ausführlichen Papier.
Für Verluste, die auf Basis infrastruktureller Schwächen entstehen, müsste laut dem vom Parlament eingefügten Erwägungsgrund 60c am Ende wohl die Zentralbank geradestehen.
Teures Unterfangen
Zu den Gesamtkosten des Megaprojektes merken die Forscher darüber hinaus in einer Studie mit Kollegen aus Hamburg, Groningen und Basel an, dass die ursprünglich von der Zentralbank veranschlagten Kosten von 1,3 Milliarden Euro bereits jetzt für externe Dienstleister ausgegeben wurden. Die Studie ist auf dem Dokumentenserver arXiv abrufbar.
Allein für die Alias-Lookup-Funktion, mit der Zahlungsdienstleister die Bank des Gegenübers finden können, wurden bis zu 55,8 Millionen veranschlagt. Für die Entwicklung des Offline-Euro-Tokensystems, das von Giesecke+Devrient vorbereitet wird, hat die EZB bis zu 661 Millionen Euro eingeplant.
Da bleibe für die intern geplante Entwicklung der Kerninfrastruktur der Zahlungsabwicklungen zwischen Kunden, Payment Service Providern, Zentralbanken und EZB nicht mehr viel übrig, resümieren die Forscher.
In dem vom Bundesministerium für Forschung, Technologie und Raumfahrt geförderten Projekt „Concrete Contracts“ favorisieren die Wissenschaftler Digitalbezahlsysteme mit Doppelt-Blind-Signaturen. Das GNU-Projekt Taler hat dazu die notwendige Software entwickelt und getestet. Bei der EZB konnten die Macher der freien Softwareideen aber nicht landen. Ihnen fehlte der für die Abgabe von Angeboten notwendige Hintergrund.
(wpl)