Gefahr für E-Voting-Systeme

ETH-Informatik-Doktoranden zeigen auf: Die Verknüpfung zweier bekannter Technologien kann für Webservices hoch problematische Folgen haben. [...]

Anwenderinnen und Anwender können ihre digitale Identität an Dritte vermieten, was für E-Voting-System problematisch ist.
Anwenderinnen und Anwender können ihre digitale Identität an Dritte vermieten, was für E-Voting-System problematisch ist.(c) geralt / Pixabay

Daten sind im Informationszeitalter längst zur Handelsware geworden. Mit gezielten Werbeangeboten finanzieren Unternehmen ihre „Gratisangebote“. Doch nicht nur Daten sind im Internet bares Geld wert. Auch mit digitalen Interaktionen lässt sich Geld verdienen. Bereits heute bezahlen Unternehmen Anwenderinnen und Anwender, damit diese im Netz bestimmte Aufgaben ausführen. Die Möglichkeiten reichen von bezahlten Postings auf Social-Media-Plattformen über Kommentare bis hin zu bezahlten aber nicht als solche zu erkennende Produkt- oder Kundenbewertungen. Fachsprachlich nennt sich dieses Geschäftsfeld Crowdturfing.

Da beim Crowdturfing Profile von richtigen Menschen hinter den Kommentaren stehen, wirken diese für Dritte echt und sind für die Betreiber der jeweiligen Plattform nur schwer als Fälschung zu identifizieren. Es gibt jedoch auch Nachteile: Die gekauften Anwenderinnen und Anwender müssen instruiert, bezahlt und die Ausführung der bezahlten Aktion überwacht werden. Die Bezahlung wiederum legt die Beziehung von Käufer und Verkäufer mehr oder weniger offen. Mit ihrem Projekt namens TEEvil haben die ETH-Doktoranden Ivan Puddu, Daniele Lain, Moritz Schneider und Sinisa Matetic nun ein Verfahren entwickelt, das diese Nachteile kompensiert, indem es zwei bestehende Technologien kombiniert.

Geschützter Datenraum

Eine der genutzten Technologien ist TEE oder Trusted Execution Environment. TEE stellt in handelsüblichen Prozessoren neueren Datums eine sicherere Laufzeitumgebung (Container) für Applikationen zur Verfügung, wobei die Daten im Container vor jeglichem Zugriff geschützt sind. Damit könnten Personen etwa ihre Gesundheitsdaten für Dritte zugänglich machen, ohne dass diese den eigenen Rechner verlassen. Ausserdem können sie festlegen, welche Daten von wem wie lange genutzt werden können – eine positive Eigenschaft von TEE. Die Idee der Doktoranden war nun, TEE mit Kryptowährungen zu kombinieren, um die Anonymität in beide Richtungen sicherzustellen. Damit werden vollkommen geheime Transaktionen ermöglicht, aus denen sich weder Rückschlüsse auf den Sender noch den Empfänger schliessen lassen. Selbst die Höhe des Betrags bleibt geheim.

Vermietete Identität

Das von den ETH-Doktoranden entwickelte System erlaubt es nun, bestimmte Aktionen auf bestimmten Plattformen zu vermieten, etwa Facebook-Posts oder auch, viel gravierender, Stimmen, die auf einer E-Voting-Plattform abgegeben werden. Die Aktion wird zwar von einer Drittperson ausgeführt, findet aber auf dem Rechner des Verkäufers statt. „Der Verkäufer vermietet in diesem Fall quasi seine digitale Identität, weshalb wir von Identity Lease sprechen“, sagt Schneider. Das Tückische daran: Für den Betreiber der Plattform ist nicht auszumachen, ob der Nutzer die Aktion selber ausführt oder ob sein Account vermietet wurde. Kommt hinzu, dass sich der Vermieter darauf verlassen kann, dass der Mieter nur die zuvor festgelegten Manipulationen vornehmen kann.

Anfällig für Missbrauch

Mit ihrer Arbeit wollen die Doktoranden neben den Chancen vor allem die Risiken aufzeigen, die durch die Verknüpfung eines sicheren persönlichen Datencontainers mit einer Kryptowährung entstehen. „Es besteht zum Beispiel die Gefahr, dass diese Technologien genutzt werden, um Fake News zu verbreiten, Meinungen zu manipulieren oder Abstimmungsresultate zu beeinflussen“, warnt Moritz Schneider. Entsprechend wichtig sei es, dass Betreiber von sozialen Netzwerken oder E-Voting-Plattformen wissen, dass – genügend kriminelle Energie vorausgesetzt – die von ihnen zur Verfügung gestellte Technologie mit verhältnismäßig wenig Aufwand zu einem Manipulationsinstrument geformt werden kann. „Die Betreiber von sozialen Plattformen haben große Fortschritte darin gemacht, Bots – also nichtmenschliche Akteure – zu identifizieren und auszuschalten. Auf authentische, aber gekaufte Accounts sind diese Systeme jedoch nicht vorbereitet“, gibt Schneider zu bedenken.

„Jede neue Technologie hat das Potenzial, Nutzen zu stiften und Schaden anzurichten“, mahnt ETH-Professor Srdjan Capkun. Er leitet die System Security Group, der auch die beiden Doktoranden angehören. TEE und Kryptowährungen lassen sich so kombinieren, dass anonyme digitale Marktplätze entstehen, auf denen sich digitale Stimmen genau so handeln lassen wie Facebook-Likes. Bei einem System wie TEEvil wäre es außerdem auch bei begründetem Verdacht kaum möglich, eine illegale Interaktion rechtssicher nachzuweisen. „Wir müssen TEE als mögliches Einfallstor für manipulative Absichten unbedingt im Auge behalten,“ so Capkun. „TEEvil verstehen wir als Modell, das plakativ zeigt, wo wir mit der heutigen Technologie ein Problem haben, das gelöst werden muss.“

*Der Autor Markus Gross hat diesen Text ursprünglich für „ETH-News“, der Nachrichten-Website der Eidgenössischen Technischen Hochschule Zürich (ETH Zürich), verfasst.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*