Gefahr für E-Voting-Systeme

ETH-Informatik-Doktoranden zeigen auf: Die Verknüpfung zweier bekannter Technologien kann für Webservices hoch problematische Folgen haben. [...]

Anwenderinnen und Anwender können ihre digitale Identität an Dritte vermieten, was für E-Voting-System problematisch ist.
Anwenderinnen und Anwender können ihre digitale Identität an Dritte vermieten, was für E-Voting-System problematisch ist.(c) geralt / Pixabay

Daten sind im Informationszeitalter längst zur Handelsware geworden. Mit gezielten Werbeangeboten finanzieren Unternehmen ihre „Gratisangebote“. Doch nicht nur Daten sind im Internet bares Geld wert. Auch mit digitalen Interaktionen lässt sich Geld verdienen. Bereits heute bezahlen Unternehmen Anwenderinnen und Anwender, damit diese im Netz bestimmte Aufgaben ausführen. Die Möglichkeiten reichen von bezahlten Postings auf Social-Media-Plattformen über Kommentare bis hin zu bezahlten aber nicht als solche zu erkennende Produkt- oder Kundenbewertungen. Fachsprachlich nennt sich dieses Geschäftsfeld Crowdturfing.

Da beim Crowdturfing Profile von richtigen Menschen hinter den Kommentaren stehen, wirken diese für Dritte echt und sind für die Betreiber der jeweiligen Plattform nur schwer als Fälschung zu identifizieren. Es gibt jedoch auch Nachteile: Die gekauften Anwenderinnen und Anwender müssen instruiert, bezahlt und die Ausführung der bezahlten Aktion überwacht werden. Die Bezahlung wiederum legt die Beziehung von Käufer und Verkäufer mehr oder weniger offen. Mit ihrem Projekt namens TEEvil haben die ETH-Doktoranden Ivan Puddu, Daniele Lain, Moritz Schneider und Sinisa Matetic nun ein Verfahren entwickelt, das diese Nachteile kompensiert, indem es zwei bestehende Technologien kombiniert.

Geschützter Datenraum

Eine der genutzten Technologien ist TEE oder Trusted Execution Environment. TEE stellt in handelsüblichen Prozessoren neueren Datums eine sicherere Laufzeitumgebung (Container) für Applikationen zur Verfügung, wobei die Daten im Container vor jeglichem Zugriff geschützt sind. Damit könnten Personen etwa ihre Gesundheitsdaten für Dritte zugänglich machen, ohne dass diese den eigenen Rechner verlassen. Ausserdem können sie festlegen, welche Daten von wem wie lange genutzt werden können – eine positive Eigenschaft von TEE. Die Idee der Doktoranden war nun, TEE mit Kryptowährungen zu kombinieren, um die Anonymität in beide Richtungen sicherzustellen. Damit werden vollkommen geheime Transaktionen ermöglicht, aus denen sich weder Rückschlüsse auf den Sender noch den Empfänger schliessen lassen. Selbst die Höhe des Betrags bleibt geheim.

Vermietete Identität

Das von den ETH-Doktoranden entwickelte System erlaubt es nun, bestimmte Aktionen auf bestimmten Plattformen zu vermieten, etwa Facebook-Posts oder auch, viel gravierender, Stimmen, die auf einer E-Voting-Plattform abgegeben werden. Die Aktion wird zwar von einer Drittperson ausgeführt, findet aber auf dem Rechner des Verkäufers statt. „Der Verkäufer vermietet in diesem Fall quasi seine digitale Identität, weshalb wir von Identity Lease sprechen“, sagt Schneider. Das Tückische daran: Für den Betreiber der Plattform ist nicht auszumachen, ob der Nutzer die Aktion selber ausführt oder ob sein Account vermietet wurde. Kommt hinzu, dass sich der Vermieter darauf verlassen kann, dass der Mieter nur die zuvor festgelegten Manipulationen vornehmen kann.

Anfällig für Missbrauch

Mit ihrer Arbeit wollen die Doktoranden neben den Chancen vor allem die Risiken aufzeigen, die durch die Verknüpfung eines sicheren persönlichen Datencontainers mit einer Kryptowährung entstehen. „Es besteht zum Beispiel die Gefahr, dass diese Technologien genutzt werden, um Fake News zu verbreiten, Meinungen zu manipulieren oder Abstimmungsresultate zu beeinflussen“, warnt Moritz Schneider. Entsprechend wichtig sei es, dass Betreiber von sozialen Netzwerken oder E-Voting-Plattformen wissen, dass – genügend kriminelle Energie vorausgesetzt – die von ihnen zur Verfügung gestellte Technologie mit verhältnismäßig wenig Aufwand zu einem Manipulationsinstrument geformt werden kann. „Die Betreiber von sozialen Plattformen haben große Fortschritte darin gemacht, Bots – also nichtmenschliche Akteure – zu identifizieren und auszuschalten. Auf authentische, aber gekaufte Accounts sind diese Systeme jedoch nicht vorbereitet“, gibt Schneider zu bedenken.

„Jede neue Technologie hat das Potenzial, Nutzen zu stiften und Schaden anzurichten“, mahnt ETH-Professor Srdjan Capkun. Er leitet die System Security Group, der auch die beiden Doktoranden angehören. TEE und Kryptowährungen lassen sich so kombinieren, dass anonyme digitale Marktplätze entstehen, auf denen sich digitale Stimmen genau so handeln lassen wie Facebook-Likes. Bei einem System wie TEEvil wäre es außerdem auch bei begründetem Verdacht kaum möglich, eine illegale Interaktion rechtssicher nachzuweisen. „Wir müssen TEE als mögliches Einfallstor für manipulative Absichten unbedingt im Auge behalten,“ so Capkun. „TEEvil verstehen wir als Modell, das plakativ zeigt, wo wir mit der heutigen Technologie ein Problem haben, das gelöst werden muss.“

*Der Autor Markus Gross hat diesen Text ursprünglich für „ETH-News“, der Nachrichten-Website der Eidgenössischen Technischen Hochschule Zürich (ETH Zürich), verfasst.


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

News

Von Views zu Likes: Tipps, um die Zuschauer-Interaktion auf YouTube zu steigern

Bei YouTube ist die Zuschauerinteraktion ein entscheidendes Element für den Erfolg eines Kanals. Besonders im Jahr 2024 wird deutlich, dass Likes, Kommentare und Shares nicht nur für die Sichtbarkeit wichtig sind, sondern auch eine Schlüsselrolle im Algorithmus von YouTube spielen. Eine hohe Zuschauerbindung ist für Kanäle essenziell, um deren Inhalte optimal zu promoten. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*