Die fortschreitende Digitalisierung von Assets birgt im Hinblick auf IT-Sicherheit große Herausforderungen. Einerseits ist mit einer Zunahme von Cyberattacken zu rechnen, je mehr Assetklassen in Form von Token gehandelt werden. Andererseits rückt die effiziente Interaktion von Mensch und Maschine in den Mittelpunkt bei der Durchführung von Transaktionen und der Anwendung dezentraler Applikationen. Anbieter in diesem Umfeld müssen neben der notwendigen IT-Sicherheit besonderen Fokus auf Nutzerorientierung ihrer Anwendungen legen.
Authors: Benjamin Schaub, Carolyn Guthoff, Andre Meyer
Digitalen Assets gehört die Zukunft. Kryptowerte wie der Bitcoin haben der Distributed-Ledger-Technologie (DLT) den Weg bereitet. Bereits jetzt erfolgt die Digitalisierung von Assets wie Immobilien oder Kunstobjekten und weitere Anlageklassen, beispielsweise Industriegüter, werden künftig digital handelbar. Durch progressive Regulatorik in Deutschland und das Entstehen erster Produkte, ist aber auch im Bereich der klassischen Wertpapiere in den kommenden Jahren mit einer enormen Dynamik durch Security Token zu rechnen.
All diese digitalen Assets haben gemeinsam, dass sie als Kerninfrastruktur die Kryptoverwahrung benötigen. Dabei geht es um die Verwahrung, Verwaltung und Sicherung der privaten Schlüssel, mit denen Besitzer von Kryptowerten, wie z.B. Bitcoin, Transaktionen autorisieren bzw. signieren. Wer in einem dezentralen System, wie der Bitcoin Blockchain, über den privaten Schlüssel einer Adresse verfügt, kontrolliert die der Adresse zugeordneten Kryptowerte. Unbefugter Besitz der privaten Schlüssel führt aufgrund der dezentralen Natur des Netzwerkes zum unwiderruflichen Verlust der Assets.
Die BaFin hat die Bedeutsamkeit im Sinne des Investorenschutzes in Deutschland früh erkannt und die Kryptoverwahrung als lizenzpflichtige Finanzdienstleistung deklariert. Mit Coinbase konnte im Juni 2021 bereits ein international etablierter Player im Kryptouniversum diese Lizenz erlangen. Weitere Lizenzen sind zeitnah zu erwarten. Aufgrund zahlreicher erfolgreicher Angriffe auf Kryptobörsen in der Vergangenheit, haben Anbieter in diesem Umfeld unterschiedliche hochkomplexe Technologien entwickelt, um die Verwahrung der privaten Schlüssel sicher zu gestalten.
Der technologische Reifegrad steigt, Probleme bleiben
Festzuhalten ist, dass die Sicherheit bei der Verwahrung von privaten Schlüsseln deutlich gestiegen ist. Das zunehmende Angebot von digitalen Assets auch durch etablierte Finanzunternehmen wie Goldman Sachs und JP Morgan zeigt, dass die Technologie mittlerweile den Ansprüchen traditioneller Marktteilnehmer gerecht wird. Während der Reifegrad der Technologie somit auch institutionellen Investoren ermöglicht in digitale Assets zu investieren, zeigen zwei aktuelle Themen, dass menschliche Interaktion nach wie vor ein Risiko darstellt, welches es durch bestmögliche Handhabe im Sinne der Nutzer zu minimieren gilt.
Im Frühjahr diesen Jahres erlangte der Deutsche Stefan Thomas mediale Aufmerksamkeit,, da er die Zugangsdaten zu seiner Wallet vergessen hat, auf der sich die privaten Schlüssel für 7002 Bitcoin befinden, nach heutigem Stand ca. 284 Mio. Euro. Im Juni diesen Jahres wurde der Kryptoverwahrer Fireblocks von der Staking Plattform StakeHound wegen angeblicher Fahrlässigkeit verklagt, die zum Verlust der Kryptowährung Ethereum im Wert von über 70 Mio. geführt haben soll. Erste Anzeichen lassen bei diesem Fall darauf schließen, dass es sich nicht um einen technischen Fehler handelte, sondern der Verlust auf eine Fehlkommunikation zwischen dem Verwahrer und dem Kunden zurückzuführen ist.
Forschungsergebnisse zum Thema Usable Security decken Schwachstellen auf
Beide Beispiele zeigen, dass es vor allem bei der menschlichen Interaktion mit technischen Produkten zu Fehlern kommen kann. In der Kryptoverwahrung, für die es weder eindeutige nationale oder internationale Regularien von staatlicher Seite, noch perfekte technische Umsetzungen gibt, kann es bei Fehlern zu Verlusten kommen. Hier setzt das Thema Usable Security an.
Ziel der Usable Security ist es, Sicherheit und nutzerorientierte Anwendung bestmöglich zu vereinen. Dies kann viele Facetten haben und involviert Forschung zu vielen verschiedenen Themen rund um Sicherheit, überall dort wo Menschen involviert sind, vom Kryptographen, der z.B. einen Verschlüsselungsalgorithmus entwirft, über den Entwickler, der diesen umsetzt, bis hin zum Endnutzer, der die entwickelten Lösungen z.B. durch eine App nutzt. Ein Beispiel zum Thema aus der Forschung ist eine Veröffentlichung aus 2016, welche sich mit den Erfahrungen von Nutzern im Rahmen des Bitcoin Ökosystems befasst. In einer Onlinestudie mit 990 Teilnehmern wurden die Themen Sicherheit, Privatsphäre und Anonymität beleuchtet. 22,5% der Teilnehmer gaben an schon mindestens einmal Bitcoin verloren zu haben, 43,5% davon sogar wegen eigener Fehler. Dies ist generell auf den Verlust der zugehörigen privaten Schlüssel zurückzuführen. Ein weiteres Beispiel ist eine Studie aus dem Jahr 2020, die sich mit den mentalen Modellen, die Nutzer von Kryptowährungen haben, befasst. Hierbei zeigen die Autoren einige Dinge auf, die Nutzer missverstehen. Unter anderem fällt es Nutzern schwer, eine Verbindung zwischen der Funktion ihres privaten Schlüssels und der Durchführung von Transaktionen herzustellen. Wer über den privaten Schlüssel verfügt, kann Transaktionen durchführen, weshalb es von äußerster Wichtigkeit ist, diesen privaten Schlüssel auch geheim zu halten. Die Autoren der Veröffentlichung empfehlen, die Schlüsselerstellung und die Erstellung von Backups so weit es geht zu automatisieren, die Vorgänge aber dennoch so transparent wie möglich zu halten. Nutzer müssen nachvollziehen können, dass ihr privater Schlüssel geheim bleiben muss und ein Schlüssel bei Verlust nicht wiederherstellbar ist.
Auch Smart Contracts bieten Angriffsflächen
Aber nicht nur auf Endnutzerseite kann es zu Problemen kommen. Anfang August wurde eine Sicherheitslücke in einem Smart Contract des Poly Network ausgenutzt. Hierbei konnten “gutartige Hacker” über 600 Mio Dollar stehlen, die anschließend allerdings auch wieder zurückgegeben wurden. Smart Contracts sind Computer Programme, die beispielsweise eine Transaktion automatisiert auslösen, sobald vorher definierte Bedingungen der Vertragsparteien eintreten. Da Smart Contracts auch menschlicher Hand entspringen, können auch in diesem Bereich Fehler nie gänzlich ausgeschlossen werden.
Um die Sicherheit von Kryptowerten zu gewährleisten wird insbesondere in der DLT Software-Entwicklung eine sog. “formal verification” (deutsch: Formelle Überprüfung) durchgeführt. Die formal verification ist als mathematischer Beweis zu verstehen, in der die Anforderungen des Smart Contracts mit einem mathematischen Modell verglichen wird. Diese Herangehensweise ermöglicht dem Entwickler, alle Programmabläufe zu berücksichtigen, die sich durch unterschiedliche Eingaben ergeben können. Selbstverständlich hat eine solche Kontrolle eine limitierte Wirkung und kann nicht alles auffangen.
Desweiteren handelt es sich bei dem Poly Network um ein sogenanntes Multi-Chain Netzwerk, was dem Benutzer ermöglicht, verschiedenste Kryptowerte miteinander zu handeln, ohne für die jeweilige Blockchain eine separate Wallet erstellen zu müssen. Diese Funktionalität fordert jedoch, dass die erstellten Smart Contracts außerhalb des jeweiligen Netwerkes aufgerufen werden können, um Interoperabilität zu ermöglichen. Hierdurch ergibt sich eine eine hohe Komplexität, durch die letztendlich auch im Falle des Poly Network Hacks die ausgenutzte Angriffsfläche entstanden ist. Zukünftig wird die Überprüfung des zugrundeliegenden Computer Codes von Smart Contracts durch Auditoren große Bedeutung zukommen, um Schwachstellen möglichst zu eliminieren und dezentrale Systeme für die breite Masse zugänglich zu machen.
Anmerkungen
Wenn Ihnen dieser Artikel gefällt, würden wir uns freuen, wenn Sie ihn an Ihre Kollegen weiterleiten oder in sozialen Netzwerken teilen würden. Wenn Sie ein Experte auf diesem Gebiet sind und den Artikel oder einige seiner Teile kritisieren oder konstruktiv würdigen möchten, dann senden Sie uns gerne eine private Nachricht, oder hinterlassen Sie gerne nachfolgend oder oben kontextspezifisch im Text einen Kommentar. Wir werden uns zurückmelden.
INTAS.tech ist ein Blockchain-Beratungsunternehmen, dass von der Frankfurt School und Plutoneo gegründet wurde und speziell auf die Bedürfnisse von Finanzorganisationen zugeschnitten ist. INTAS.tech fokussiert sich auf die Integration und den Umgang mit Digital Assets sowie der strategischen Bewertung von Blockchain-Einsatzmöglichkeiten und deren Implementierung
Das CISPA Helmholtz-Zentrum für Informationssicherheit ist eine nationale Forschungseinrichtung des Bundesrepublik Deutschland innerhalb der Helmholtz-Gemeinschaft. Es erforscht die Informationssicherheit in all ihren Facetten.
adesso ist einer der führenden IT-Dienstleister im deutschsprachigen Raum und konzentriert sich mit Beratung sowie individueller Softwareentwicklung auf die Kerngeschäftsprozesse von Unternehmen und öffentlichen Verwaltungen. Mit langjähriger Erfahrung ist die Finanzbranche dabei ein Schwerpunkt. In der adesso Group sind aktuell über 5.300 Mitarbeitende an mehr als 40 Standorten beschäftigt.
Autoren
Benjamin Schaub ist Senior Consultant bei INTAS.tech. Seine Interessen umfassen die Entwicklung und Integration von Blockchain-Anwendungsfällen in der Finanzindustrie sowie die Kryptoverwahrung.
Carolyn Guthoff ist Doktorandin am CISPA Helmholtz-Zentrum für Informationssicherheit. Sie forscht im Bereich Usable Security zum Thema Schlüsselmanagement von kryptographischen Schlüsseln.
Andre Meyer ist Senior Software Developer bei adesso. Zuvor hat Andre bei einem Ethereum-Blockchain Unternehmen gearbeitet und konnte so Erfahrung mit Smart Contracts und der Umsetzung von dezentralisierten Anwendungen (dApps) sammeln.
Referenzen
[1] https://www.nytimes.com/2021/01/12/technology/bitcoin-passwords-wallets-fortunes.html
[2] https://www.coindesk.com/fireblocks-being-sued-for-allegedly-losing-over-70m-of-ethereum-report
[3] https://link.springer.com/chapter/10.1007%2F978-3-662-54970-4_33
[4] https://www.tagesschau.de/wirtschaft/krypto-raub-101.html
[5] https://www.usenix.org/conference/soups2020/presentation/mai
