Gefahr für E-Voting-Systeme

ETH-Informatik-Doktoranden zeigen auf: Die Verknüpfung zweier bekannter Technologien kann für Webservices hoch problematische Folgen haben. [...]

Anwenderinnen und Anwender können ihre digitale Identität an Dritte vermieten, was für E-Voting-System problematisch ist.
Anwenderinnen und Anwender können ihre digitale Identität an Dritte vermieten, was für E-Voting-System problematisch ist.(c) geralt / Pixabay

Daten sind im Informationszeitalter längst zur Handelsware geworden. Mit gezielten Werbeangeboten finanzieren Unternehmen ihre „Gratisangebote“. Doch nicht nur Daten sind im Internet bares Geld wert. Auch mit digitalen Interaktionen lässt sich Geld verdienen. Bereits heute bezahlen Unternehmen Anwenderinnen und Anwender, damit diese im Netz bestimmte Aufgaben ausführen. Die Möglichkeiten reichen von bezahlten Postings auf Social-Media-Plattformen über Kommentare bis hin zu bezahlten aber nicht als solche zu erkennende Produkt- oder Kundenbewertungen. Fachsprachlich nennt sich dieses Geschäftsfeld Crowdturfing.

Da beim Crowdturfing Profile von richtigen Menschen hinter den Kommentaren stehen, wirken diese für Dritte echt und sind für die Betreiber der jeweiligen Plattform nur schwer als Fälschung zu identifizieren. Es gibt jedoch auch Nachteile: Die gekauften Anwenderinnen und Anwender müssen instruiert, bezahlt und die Ausführung der bezahlten Aktion überwacht werden. Die Bezahlung wiederum legt die Beziehung von Käufer und Verkäufer mehr oder weniger offen. Mit ihrem Projekt namens TEEvil haben die ETH-Doktoranden Ivan Puddu, Daniele Lain, Moritz Schneider und Sinisa Matetic nun ein Verfahren entwickelt, das diese Nachteile kompensiert, indem es zwei bestehende Technologien kombiniert.

Geschützter Datenraum

Eine der genutzten Technologien ist TEE oder Trusted Execution Environment. TEE stellt in handelsüblichen Prozessoren neueren Datums eine sicherere Laufzeitumgebung (Container) für Applikationen zur Verfügung, wobei die Daten im Container vor jeglichem Zugriff geschützt sind. Damit könnten Personen etwa ihre Gesundheitsdaten für Dritte zugänglich machen, ohne dass diese den eigenen Rechner verlassen. Ausserdem können sie festlegen, welche Daten von wem wie lange genutzt werden können – eine positive Eigenschaft von TEE. Die Idee der Doktoranden war nun, TEE mit Kryptowährungen zu kombinieren, um die Anonymität in beide Richtungen sicherzustellen. Damit werden vollkommen geheime Transaktionen ermöglicht, aus denen sich weder Rückschlüsse auf den Sender noch den Empfänger schliessen lassen. Selbst die Höhe des Betrags bleibt geheim.

Vermietete Identität

Das von den ETH-Doktoranden entwickelte System erlaubt es nun, bestimmte Aktionen auf bestimmten Plattformen zu vermieten, etwa Facebook-Posts oder auch, viel gravierender, Stimmen, die auf einer E-Voting-Plattform abgegeben werden. Die Aktion wird zwar von einer Drittperson ausgeführt, findet aber auf dem Rechner des Verkäufers statt. „Der Verkäufer vermietet in diesem Fall quasi seine digitale Identität, weshalb wir von Identity Lease sprechen“, sagt Schneider. Das Tückische daran: Für den Betreiber der Plattform ist nicht auszumachen, ob der Nutzer die Aktion selber ausführt oder ob sein Account vermietet wurde. Kommt hinzu, dass sich der Vermieter darauf verlassen kann, dass der Mieter nur die zuvor festgelegten Manipulationen vornehmen kann.

Anfällig für Missbrauch

Mit ihrer Arbeit wollen die Doktoranden neben den Chancen vor allem die Risiken aufzeigen, die durch die Verknüpfung eines sicheren persönlichen Datencontainers mit einer Kryptowährung entstehen. „Es besteht zum Beispiel die Gefahr, dass diese Technologien genutzt werden, um Fake News zu verbreiten, Meinungen zu manipulieren oder Abstimmungsresultate zu beeinflussen“, warnt Moritz Schneider. Entsprechend wichtig sei es, dass Betreiber von sozialen Netzwerken oder E-Voting-Plattformen wissen, dass – genügend kriminelle Energie vorausgesetzt – die von ihnen zur Verfügung gestellte Technologie mit verhältnismäßig wenig Aufwand zu einem Manipulationsinstrument geformt werden kann. „Die Betreiber von sozialen Plattformen haben große Fortschritte darin gemacht, Bots – also nichtmenschliche Akteure – zu identifizieren und auszuschalten. Auf authentische, aber gekaufte Accounts sind diese Systeme jedoch nicht vorbereitet“, gibt Schneider zu bedenken.

„Jede neue Technologie hat das Potenzial, Nutzen zu stiften und Schaden anzurichten“, mahnt ETH-Professor Srdjan Capkun. Er leitet die System Security Group, der auch die beiden Doktoranden angehören. TEE und Kryptowährungen lassen sich so kombinieren, dass anonyme digitale Marktplätze entstehen, auf denen sich digitale Stimmen genau so handeln lassen wie Facebook-Likes. Bei einem System wie TEEvil wäre es außerdem auch bei begründetem Verdacht kaum möglich, eine illegale Interaktion rechtssicher nachzuweisen. „Wir müssen TEE als mögliches Einfallstor für manipulative Absichten unbedingt im Auge behalten,“ so Capkun. „TEEvil verstehen wir als Modell, das plakativ zeigt, wo wir mit der heutigen Technologie ein Problem haben, das gelöst werden muss.“

*Der Autor Markus Gross hat diesen Text ursprünglich für „ETH-News“, der Nachrichten-Website der Eidgenössischen Technischen Hochschule Zürich (ETH Zürich), verfasst.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*