„Dezentralität kann nachteilig sein“
Vielen gilt sie als vermeintlich sichere Technologie. Dabei gibt es diverse Risiken, über die bislang wenig gesprochen wird.
Foto: panthermedia.net/perig76
Hackerangriffe haben bei Kryptowährungen, die auf der Blockchain basieren, bereits zu Millionenschäden geführt. Der Blockchain-Experte Michael Kreutzer erklärt im Interview die Sicherheitslücken der Blockchain und ihrer Umgebung. Er ist Projektleiter am Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt.
Eine Blockchain ist eine ständig erweiterbare Liste von Datensätzen (Blöcke), die durch kryptografische Verfahren miteinander verkettet sind. Sie wird chronologisch aktualisiert und auf allen teilnehmenden Rechnern gespeichert. So kann man ein Buchführungssystem dezentral und transparent führen und unter den Teilnehmern eine Einigung über den richtigen Zustand der Buchführung erreichen.
Spätere Transaktionen bauen auf früheren Transaktionen auf und bestätigen sie als richtig, indem sie die Kenntnis der früheren Ausführungen beweisen. Dadurch ist es unmöglich, frühere Transaktionen zu manipulieren, ohne alle späteren zu zerstören. Wird eine neue Transaktion getätigt, muss sie von mindestens sechs bis sieben Servern bestätigt werden, bevor sie gültig wird. Dafür werden diese Computer finanziell belohnt. Das ist das „Mining“.
Die Blockchain ist die technische Basis für Kryptowährungen, kann – im Vergleich zu zentralen Systemen – aber auch in verteilten Systemen die Transaktionssicherheit verbessern. Bitcoin ist die älteste Blockchain, die noch im Betrieb ist. Bei Finanztransaktionen liegt einer der größten Vorteile darin, dass ein Vermittler, klassischerweise eine Bank, nicht mehr nötig ist.uh
VDI Nachrichten: Wie beurteilen Sie die Sicherheit der Blockchain?
Kreutzer: Das grundsätzliche Problem aus Sicht der Nutzer ist, dass sie technisch schwer zu verstehen ist. Dazu kommt die Unerfahrenheit im Umgang. Beides kann man ausnutzen.
ist seit Ende 2015 verantwortlich für den Bereich Internationalisierung und strategische Industriebeziehungen am Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt.
wurde nach verschiedenen Positionen als IT-Consultant 2005 wissenschaftlicher Koordinator der IT-Sicherheitsforschungszentren der TU Darmstadt.
studierte Informatik an der Universität des Saarlandes und promovierte an der Universität Freiburg im Bereich robuster Vernetzung von IT-Systemen.jdb
Was sind die größten Lücken?
Da sind verschiedene Bereiche zu unterscheiden. Die Wallets, eine Art digitale Geldbörsen für Kryptowährungen, können angegriffen werden. Wenn sich jemand Zugang zum privaten Schlüssel verschafft, hat er auch Zugriff auf das Geld in der Wallet. Wenn die Bitcoins auf einem unsicheren Speicher gelagert sind, können sie ebenfalls erbeutet werden. Die Wallets können auf der eigenen Festplatte und auf einem Internetserver gespeichert sein. Beides hat spezifische Risiken, zum Beispiel der Zugriff der Hacker auf den Rechner nach einem Phishing-Angriff. Ein Trojaner kann die Wallet leerräumen. Aber es gibt nicht nur Risiken bei Bitcoin.
Wie sehen die bei anderen Kryptowährungen aus?
Die neue Währung Iota war anfangs aus Nutzersicht unvollständig programmiert. Websites von Betrügern boten Generatoren für den privaten Schlüssel an. Dadurch konnten Hacker die Konten in einem großen Fischzug leeren. Wer das verhindern wollte, wurde mit DDoS-Attacken angegriffen. Der Abwehrkampf dauerte einen Tag.
War das ein Einzelfall oder ist es ein generelles Problem?
Es können immer Programmierfehler in der Blockchain-Software auftreten. Und Kryptoverfahren können veralten, indem zum Beispiel die Schlüssellängen zu kurz werden. Die Verfahren müssen dann auch in der Blockchain aktualisiert werden. Bei diesen Problemen müssen sich alle Miner (s. Kasten) einigen, wie sie reagieren. Das dezentrale System und die mangelnde Regulierung der Blockchain sind hier ein Nachteil. Mit der Kryptoagilität, das heißt, mit Ersatzmechanismen für künftige, bessere Kryptoverfahren, beschäftigen wir uns hier beim Fraunhofer SIT.
Sind denn die Transaktionen sicher?
Nein, nicht bei ausgefeilten Angriffen. Wenn die Täter wissen, dass eine Großtransaktion ansteht, können sie mit einem Man-in-the-Middle-Angriff vorspiegeln, dass eine Blockchain existiert. Das Geld wird dann an den falschen Empfänger gesendet. Diese Methode ist aber sehr aufwendig und teuer. Der Hack muss sich ja rentieren.
Können die Nutzer den Marktplätzen vertrauen, auf denen gehandelt wird?
Die Betreiber von Marktplätzen können unseriös sein und Geld stehlen. Der Marktplatz muss seine Vertrauenswürdigkeit nachweisen. Auch hier kann die Dezentralität nachteilig sein. Ebenso ist das Einspielen von Patches schwierig, da sich die Mehrheit darauf einigen muss. Das kann den Hackern einen Zeitvorteil geben. Die Philosophie der Community – „code is law“ – ist ein Problem. Das technische System ist gleichzeitig das regulierende System. Technokratie kann aber schlimmer sein als menschliche Fehler.
Bekommt man als Nutzer sein Geld zurück, wenn man gehackt wurde? Wer haftet dann?
Auch das ist ein Problem der Dezentralität. Es gibt keine Klagemöglichkeit, keine Haftung und keine Gewährleistung für mangelhafte Ware wie im Kaufvertrag. Wer seine Festplatte verliert, auf der die Daten gespeichert sind, dessen Kryptogeld ist in der Regel verloren. Kryptowährungen wie Monero gewähren übrigens mehr Anonymität als Bitcoin. Das macht sie für Kriminelle im Darknet interessant.
Was empfehlen Sie als Schutz gegen all diese Risiken?
Man sollte sich unbedingt erst fit machen, wie eine Blockchain funktioniert und sich über die Risiken informieren. Da sind gute Kenntnisse nötig, insbesondere dann, wenn man Kryptowährungen nutzen möchte und größere Summen investieren will. Die neue Bundesregierung wird laut dem Koalitionsvertrag eine Blockchain-Strategie auflegen und will sich um die Verhinderung von Missbrauchsmöglichkeiten kümmern.
Wie lautet Ihr Gesamtfazit?
Trotz der Risiken bietet die Blockchain enorme Potenziale, da zum Beispiel Vermittler bei Transaktionen wegfallen und diese dadurch in vielen Fällen schneller und billiger werden. Firmen sollten sich daher intensiv damit beschäftigen. Die Blockchain-Technologie kann ein Game Changer sein. Grundvoraussetzung dafür sind aber die Gewährleistung von IT-Sicherheit und Datenschutz.
