IT-Sicherheit

Auch die Blockchain ist verwundbar

Die Blockchain bietet eine interessante Lösung, um die ­Integrität von Daten zu gewährleisten. In Sachen ­Datenschutz und -sicherheit kommen auf die Verantwortlichen aber auch neue Herausforderungen zu.

  • Läufer hält sich das Knie am Strand

    Welche neuen Herausforderungen hinsichtlich der Datensicherheit und des Datenschutzes birgt die Blockchain-Technologie? ((Bild: Gettyimages/iStock))

  • Vitaly Mozkov, Kaspersky

    Vitaly Mozkov, Kaspersky ((Bild: Kaspersky))

  • Christian Schultze-Wolters, IBM

    Christian Schultze-Wolters, IBM (Bild: IBM))

Die Erwartungen sind hoch. Die Blockchain soll die Art und Weise revolutionieren, wie Menschen und Unternehmen miteinander Geschäfte machen oder Vereinbarungen treffen. Anwälte und Notare werden künftig nicht mehr benötigt, Verträge brauchen niemanden mehr, der sie beglaubigt. Das grundlegende Blockchain-Prinzip soll vor Manipulationen schützen: Die Kopie einer Transaktion wird bei jedem Teilnehmer einer Blockchain gespeichert. Die Kontrolle der Transaktionen liegt bei den Teilnehmern, die Daten können nicht von einem Einzelnen geändert werden.

Unternehmen beginnen, mit der Technologie zu experimentieren. IT-Anbieter versuchen, das Thema in den Markt zu bringen. Thyssenkrupp beispielsweise hat mithilfe von IBM bereits eine Plattform entwickelt, um über die Blockchain 3D-Druckprozesse abzusichern, bei denen Daten an Dienstleister herausgegeben werden. Dank der Technologie entsteht dabei eine „Single Source of Truth“, wie Christian Schultze-Wolters erklärt, Geschäftsbereichsleiter Blockchain Solutions bei IBM.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2019. Bestellen Sie ein kostenfreies Probe-Abo.

Die Blockchain ist deshalb so interessant, weil sie Vorteile in Sachen Datenschutz und Datensicherheit bringt. Beim Beispiel Thyssenkrupp schützt sie etwa das geistige Eigentum der Kunden, welche die CAD-Daten ihrer Bauteile an die Dienstleister aushändigen. Außerdem sorgt die Blockchain für Datensouveränität. Der Kunde kann genau kontrollieren, welcher Dienstleister sein Bauteil additiv fertigt und wie oft dieses tatsächlich gedruckt wird.

Aber dennoch gilt: „Die Nutzung von Blockchain allein löst keine IT-Sicherheitsprobleme“, heißt es in einer Analyse des Bundesamts für Sicherheit in der Informationstechnik (BSI). Vielmehr bleiben wohl bekannte Probleme wie die Sicherheit von Hard- und Software bestehen. Dazu zählt etwa das Verschlüsseln der in der Blockchain abgelegten Daten durch die passenden kryptografischen Mechanismen. „Diese müssen sorgfältig ausgewählt werden, um das angestrebte Sicherheitsniveau hinsichtlich der Schutzziele Integrität, Authentizität und Vertraulichkeit zu erreichen“, betont die Autoren der BSI-Studie.

Mit der Blockchain kommen jedoch weitere Herausforderungen hinzu. Das liegt u.a. an dem grundlegenden Prinzip, dass die Daten auf allen Rechnern der Blockchain-Teilnehmer liegen. Wenn es sich dabei um sensible Daten handelt, dürfte das für ein Firma eine große Hürde sein, die neue Technologie zu nutzen. Eine einfache und praktische Lösung für das Vertraulichkeitsproblem ist es laut dem BSI, sensible Daten nicht direkt in der Blockchain zu speichern, sondern nur Referenzen der Daten zu verwenden – also Hash-Werte. Die Daten selbst müssten dann in einer externen Struktur – etwa in einer Datenbank – gespeichert und dort vor unbefugter Einsichtnahme geschützt werden. „Bei dieser Lösung können in der Blockchain aber nur die Existenz und Integrität der Daten  bescheinigt werden, ihre Verfügbarkeit für die Ausführung von Aktionen wie beispielsweise in Smart Contracts ist nicht garantiert“, schränken die BSI-Experten ein.

Private Blockchains bevorzugen


Vitaly Mzokov, Head of Innovation Hub beim Sicherheitsspezialisten Kaspersky, empfiehlt Unternehmen grundsätzlich, für Geschäftsanwendungen auf private Blockchains zu setzen. Im Gegensatz zu der öffentlichen Variante, auf der etwa Bitcoin basiert, besteht in einer privaten Blockchain das Netzwerk nicht aus anonymen Teilnehmern. Beispiel dafür ist Hyperledger Fabric, die grundlegende Technologie für die Thyssenkrupp-Plattform. Wer dort mitmachen möchte, muss sich anmelden. „Der Betreiber der Blockchain weiß, wer mit dabei ist“, erklärt IBM-Mann Schultze-Wolters. Das schaffe Transparenz und Vertrauen unter den teilnehmenden Unternehmen.

Eine Governance-Struktur regelt, wer welche Daten lesen oder bearbeiten darf. „Wir sind in der Lage, die verschiedenen Daten zu 100 Prozent voneinander zu trennen“, so Schultze-Wolters. Das stellt sicher, dass die Daten auch sicher vor den Blicken von konkurrierenden Unternehmen sind, wenn diese Mitglied im gleichen Blockchain-Netzwerk sind. Um auch den Transport der Daten zwischen diesen Teilnehmern zu schützen, nutzt IBM den sogenannten Industrial Data Space (IDS). „Dabei handelt es sich um eine Vereinigung von Unternehmen“, berichtet Schultze-Wolters. „Diese haben sich zusammengeschlossen, um einen Datenraum zu schaffen, in dem sicher und schnell kommuniziert werden kann.“ Durch die IDS-Konnektoren könnten die Eigentümer der Daten stets die Kontrolle über diese behalten und ihre eigenen Datenschutzvorgaben durchsetzen. Daten werden nur dann ausgetauscht, wenn sie von vertrauenswürdigen, zertifizierten Partnern angefragt und freigegeben werden.

Vitaly Mzokov sieht die Risiken beim Thema Blockchain weniger in dem zugrunde liegenden Konzept der verteilten Datenhaltung. Seiner Meinung nach können eher Schwachstellen in den Applikationen entstehen, die auf die Blockchain aufgesetzt werden. So seien etwa deren Schnittstellen zu den im Unternehmen bestehenden Systemen potenziell verwundbar. Außerdem sieht er Smart Contracts als Herausforderung, wenn es um das Thema Sicherheit geht. Diese sollen eine sichere Abwicklung von Verträgen zwischen mehreren Partnern ohne die Gefahr von Manipulationen ermöglichen. Smart Contracts sind laut Mzokov ein wichtiges Werkzeug, das die Blockchain bietet, und gewinnen extrem an Bedeutung. „Ein Datenmissmanagement in einem Smart Contract kann jedoch schwerwiegende Folgen für ein Blockchain-Projekt haben, an dem mehrere Unternehmen beteiligt sind“, so Mzokov. Davon könnten die Prozesse aller involvierten Firmen betroffen sein.

Sicherheitsfallen bei Smart Contracts


Auch das BSI bestätigt das potenzielle Risiko durch Smart Contracts. Analysen existierender Contracts hätten bereits eine große Zahl von Sicherheitsproblemen aufgedeckt. „Diese reichen von Fehlern im Code, die technologiebedingt nicht korrigiert werden können, über manipulierbare Zufallszahlen bis hin zu fehlender Authentizität der Daten, die aus der realen Welt kommend im Contract verarbeitet werden“, heißt es. Eine Berücksichtigung dieser Einschränkungen und Schwachstellen sei unerlässlich für einen verantwortungsbewussten Umgang mit Smart Contracts.

Kaspersky hat für Unternehmen eine spezielle Lösung in Form von verschiedenen Services entwickelt, die Blockchain-Anwendungen schützen soll. Diese fokussiert sich auf die von Mzokov genannten verwundbaren Punkte. So gehört zur Lösung ein Smart Contract/Chain Code Audit, das Verstöße im dokumentierten Verhalten, mögliche Schwachstellen sowie Fehler in der Geschäftslogik aufdecken soll. Damit lässt sich u.a. die Ausführung eines Vorgangs verhindern – etwa wenn der Code falsche Daten aus der Blockchain verwendet oder aufgrund eines Entwicklerfehlers oder böswilliger Absichten zu falschen Ergebnissen führt.

Weiterer Bestandteil der Lösung ist ein Application Security Assessment. Dieses deckt Schwachstellen innerhalb von Anwendungen auf, die in der Blockchain-Infrastruktur ausgeführt werden. So wird laut Kaspersky sichergestellt, dass die Applikationen die Integrität der Blockchain nicht beeinträchtigen. Dabei werden White-Box-Tests, die auf Quellcode-Analysen basieren, Grey-Box-Tests, die Insiderwissen emulieren, sowie Black-Box-Tests durchgeführt, bei denen ein erfahrener externer Angreifer nachgebildet wird. Die Resultate werden in einem Bericht zusammengefasst.

Der Bedarf für solche und ähnliche Lösungen wird künftig wachsen. Mzokov geht davon aus, dass mit der zunehmenden Verbreitung von Blockchain-Anwendungen auch Angriffe häufiger auftreten werden. Die Blockchain weckt somit nicht nur Begehrlichkeiten bei Unternehmen, sondern auch bei Kriminellen.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok