Cybersicherheit bei Blockchain: Was es zu beachten gilt

4.6.2018

Wenn es um Blockchain-Systeme und Anwendungen geht, ist ein entscheidender Aspekt die Sicherheit, die das dezentrale System bietet. Dabei ist es wichtig, nicht aus den Augen zu verlieren, dass auch Blockchain-Lösungen (unter bestimmten Umständen) angreifbar und manipulierbar sind. Eine Reihe von Hackerattacken auf Blockchain-Anwendungen und -Dienste hat bereits gezeigt, dass diese Technologien ein ausnehmend attraktives Ziel für Angreifer darstellen. Aus diesem Grund bietet das Lernlabor Cybersicherheit auch Weiterbildungen zum Thema Blockchain an. Neben den Präsenzseminaren gibt es auch in Kooperation mit University4Industry Online-Module zu Blockchain und Sicherheit.

In diesen können die Teilnehmer bedarfsgerecht ihren Wissensstand zur Blockchain-Technologie vertiefen: Fraunhofer-Wissenschaftler erklären die technischen Grundlagen der Technologie, Anwendungsmöglichkeiten sowie wichtige Sicherheitsaspekte der Blockchain.

Angriffsmuster und Schwachstellen

Welche Gefahren gibt es nun? Der eingesetzte Konsensmechanismus ist stark entscheidend für die jeweilige Blockchain, so dass sich je nach gewähltem Mechanismus unterschiedliche Möglichkeiten für Manipulationen oder Angriffe ergeben. Der 50-Prozent-Angriff ist eine solche Methode, die einen enormen Einsatz von Rechenleistung oder Kapital erfordert. Dabei geht es im Grunde darum, dass ein Akteur, der mehr als die Hälfte der Rechenleistung oder des Kapitals kontrolliert, die Blockchain verändern kann. Daraus lassen sich verschiedene Manöver ableiten.

Zum einen kann ein Akteur, der über mehr als 50 Prozent verfügt, schneller neue Blöcke an die Kette anhängen und somit etwa gezielt andere Einträge aus der Blockchain heraushalten. Zum anderen lassen sich systematisch die letzten Transaktionen oder Dateneinträge manipulieren. Eine Spielart davon stellt etwa ein Double-Spending-Betrug dar: Ein Akteur tätigt eine Transaktion, die er in Block A hinterlegt. Sein Transaktionspartner kann diesen einsehen und gibt den Gegenwert frei, während der Block A entsteht. Gleichzeitig betreibt der Betrüger aber Mining an einem Block B, der eine widersprüchliche Transaktion enthält – und das Geld noch einmal ausgibt. Wenn dieser Block B als erstes fertiggestellt und angehängt wird, konnte er mit der Summe doppelt Handel treiben, sein ursprünglicher Geschäftspartner hat das Nachsehen. 

Gegen derartige Manöver lassen sich Blockchains am ehesten durch eine größere Zahl von Minern und Knoten absichern, so dass es schwieriger wird, die Mehrheit der Mining-Leistung zu stellen, und ein Angriff schneller auffällt. Miner sind dabei Computer, die an Blöcken für die Blockchain arbeiten, also Datenblöcke oder Kryptowährung schaffen. Knoten sind die Computer, die über eine Kopie der Blockchain verfügen, neue Transaktionen hinzufügen und so das Netzwerk der Blockchain bilden.

 

Netzwerkangriffe und DoS-Attacken

Aber auch Netzwerkangriffe sind in Peer-to-Peer-Netzwerken möglich. Beispielweise lassen sich Knoten oft ohne große Kontrolle oder Kapitalaufwand erstellen. Mit vielen selbst kontrollierten Knoten können Angreifer dann etwa gezielt andere Knoten isolieren – wenn diese Informationen nur an feindliche Knoten weitergeben können, um sie dem Netzwerk zu übergeben, können ihre Signale blockiert werden.

Routing-Attacken können ebenfalls durchgeführt werden. Dabei identifizieren Akteure den Verlauf von Informationen über Knoten hinweg und platzieren ihre Knoten gewissermaßen im Pfad der Information, um sie zum Beispiel zu blockieren. Klassische DoS-Angriffe gibt es ebenfalls. Gerade bei Blockchains mit geringen Einschränkungen für die Teilnehmer kann es ohne geeignete Sicherheitsmaßnahmen passieren, dass Knoten gezielt durch eine Überflutung z. B. mit Bestätigungsanfragen ausgelastet werden.

 

Wann Blockchains sinnvoll sind – und wann nicht

Generell ist es für Unternehmen wichtig, sich die Frage zu stellen, warum sie Blockchain-Anwendungen und -Systeme einsetzen wollen und ob es ihnen tatsächlich einen Vorteil bietet. Ein wesentlicher Nutzen der Blockchain liegt darin, dass keine zentrale Instanz benötigt wird. In Fällen, in denen diese schwierig festzulegen ist oder Teilnehmer wenig Vertrauen in sie besitzen, stellt der Blockchain-Einsatz eine gute Lösung dar. Denn es gibt keine übergeordnete Stelle, auf deren korrekte, unparteiische Arbeit die Teilnehmer angewiesen sind. In anderen Fällen sind dagegen traditionelle Datenbanken sinnvoller und sicherer.

Schützen lassen sich Datenbanken leichter – und sie sind weniger ressourcenintensiv im Betrieb. Blockchain-Anwendungen müssen dagegen erst abgehärtet werden. Denn während bei Datenbanken aufgrund ihrer Etabliertheit auch Sicherheitsmechanismen bewährt sind, erfordern Blockchains auch den Aufbau von Wissen, welche Schutzmaßnahmen notwendig und effektiv sind.

 

Neue Technologien bergen Risiken

Andere Sicherheitsprobleme, gerade im neuen Bereich der Smart Contracts, entstehen schlicht deshalb, weil Blockchain-Anwendungen neue Technologien sind, bei denen viel getestet und experimentiert wird. Da ist es nachvollziehbar, dass etwa durch Programmierfehler Sicherheitslücken entstehen. Im Unterschied zu klassischer Software lassen sich diese aber erheblich schwieriger beheben. Das liegt auch an der inhärenten Irreversibilität: Alte Zustände und Versionen bleiben ja gespeichert und müssen oft auch kompatibel bleiben. Und ohne zentrale Instanz lassen sich fehlerhafte Vorgänge – etwa falsche Überweisungen – auch nicht einfach über diese rückabwickeln.

Weitere Probleme können durch die mangelnde Interoperabilität entstehen. Die meisten Blockchains können nur auf sich selbst zugreifen und benötigen für die Interaktion mit anderen Systemen Schnittstellen (z. B. sogenannte Orakel für Informationen aus der analogen Welt), an denen wiederum Angreifer nach Schwachpunkten suchen können.

Es gibt also eine ganze Reihe von möglichen Gefahrenquellen zu beachten, wenn Unternehmen sich die Potenziale von Blockchain-Technologien erschließen wollen. Es ist bei neuen Technologien normal, dass deren Chancen und Risiken erforscht und abgewogen werden müssen. Die Chancen bei Blockchain sind groß, mit dem richtigen Know-how lassen sich die Risiken minimieren. Daher ist es lohnend, die eigenen Mitarbeiterinnen und Mitarbeiter in Sicherheit für Blockchain zu schulen.