· Crypto-Technologie

Security und Hacking in der Blockchain

„Es fühlt sich so an, … als ob man von einem Gebäude herunterstürzt. Man sieht den Boden näher kommen und man hat das Gefühl, dass man jetzt gleich sterben wird. Mt Gox verwandelte sich von einem interessanten Projekt zu einem – ich würde sagen – Albtraum. Täglich hatte ich mit Banken, Regierungen und Leuten zu tun, von denen ich vorher nicht mal wusste, dass es sie gibt“. (Mark Karpeles, CEO Mt. Gox, gegenüber BBC rückblickend zum Hack der Börse 2014)

Es war der bis dato größte Hack in der noch jungen Geschichte der Crypto-Währungen und kostete die Anleger insgesamt 850.000 Bitcoins (aktueller Wert ca. 6,8 Milliarden Euro). Der Fall der bis zu diesem Zeitpunkt größten Bitcoin-Börse Mt. Gox im Jahr 2014 dämpfte die digitale Euphorie um Bitcoin & Co empfindlich. Er machte gleichsam die Risiken deutlich, die das digitale Transaktionsgeschäft bestimmen können.

Ob im Falle von Mt Gox der Angreifer von außen Zugriff auf Online-Wallets und Private Keys erhielt oder nach Angaben japanischer Behörden maßgeblich ein Insider war, ist strittig. Mark Karpeles wies letzteres jedenfalls stets von sich. Kürzlich äußerte dieser sich noch einmal gegenüber der Online-Community mit großem Bedauern und gab an auf die ihm zustehenden 160.000 Bitcoins (ca. 1 Milliarde Dollar) nach Bereinigung der Insolvenz des Unternehmens verzichten zu wollen.

Trotzdem drohen ihm nach wie vor bis zu 5 Jahre Haft. Bis heute hat der Fall nichts an Brisanz verloren. Die Insolvenzabwicklung dauert an. Immer wieder tauchen Hacker-Wallets auf, die gestohlene Mt.Gox-Coins an anderen Handelsplätzen tauschen wollen. Ihre Anonymisierung macht die personelle Zuordnung indes schwierig.

Was sind die größten Gefahren der Manipulation und wie kann ich mich als Anleger am besten davor schützen? 

Die Sicherheitsrisiken digitaler Währungssysteme und ihrer zugrundeliegenden Technologie stellen sich maßgeblich wie folgt dar:

  • Diebstahl von Private Keys und damit Manipulation der Signatur digitaler Transaktionen bzw. Umleitung von an solche Transaktionen gebundenen Werten
  • Hacking des Proof-of-Work Netzwerkes durch Monopol der Rechenleistung (51% critical mass)
  • Transfer-Trojaner
  • Software Bugs
  • Vernetzungsprobleme
  • Provider Hacking/Angriff auf Online Wallet Dienste

Diebstahl von Private Key und Provider Hacking

Das Ineinandergreifen öffentlicher und privater Schlüssel ist der Dreh-und Angelpunkt für eine validierte Transaktion innerhalb der Blockchain. Der öffentliche Schlüssel im Mining-Netzwerk validiert im Zuge dieser die Transaktion, die Nutzer XY durch Signatur vorher mit seinem privaten Schlüssel in Auftrag gegeben hat. Nach Transaktion auf einen anderen öffentlichen Schlüssel kann der daran gebundene Wert nur durch den Besitzer des entsprechenden „neuen“ privaten Schlüssels genutzt werden.

Gelingt es durch z.B. Hacking des Computers und das Einstreuen von Ransomware ein System zu infiltrieren, dann hat man ganz schnell eine very „hot wallet“ mit nahezu Totalverlust. Die meisten Online Provider z.B. Blockchain.info schützen sich und Ihre Kunden durch zahlreiche Sicherheits- und Cloudbasierte Features um genau dies zu verhindern. Ganz sicher geht man, wenn man „cold storage“-Methoden nutzt (z.B. USB drive, Paper wallets, Hardware wallet). Diese sind im täglichen Gebrauch zwar schwerfälliger, aber letztlich werden die privaten Schlüssel dadurch sicher vor Online-Hackern geschützt. Gute Provider kombinieren „hot &cold storage“ – Methoden.

Hacking des Proof-Of-Work-Netzwerkes – Proof of Work vs Proof of Stake

Wir haben in Teil 1 der Grundlagenartikel bereits erfahren, dass mehr als 50% des Mining-Netzwerkes daran beteiligt ist kryptographische Rätsel zu lösen, um Transaktionen zu verschlüsseln und damit zu validieren. Gelingt es durch z.B. das Einstreuen von Mining Malware andere Miner zu behindern, können Hacker Zugriff auf erhöhte Energiereserven erhalten, um letztlich ein quasi 51%-Monopol darüber zu erhalten welche Transaktionen wohin validiert werden.

Schließen dieser Schwachstelle kann eine Prioritätenverlagerung von Proof-of-Work hin zu Proof-of-Stake-Verfahren sein. Diese gestaltet maßgeblich den Unterschied zwischen Public Blockchains (Bitcoin) und Permissoned Blockchains (z.B.Ripple).

Permissioned Blockchains können prinzipiell das Auditorium begrenzen, als auch die einzelnen Rollen, in denen es gestalten darf. Der Text der chain kann hierbei restriktivem Zugang unterliegen und jene, die Transaktionen validieren können sind selektiv (jene eben mit dem größten stake!). Proof-Of-Stake-Verfahren haben den Vorteil, dass im Falle von Missbrauch dieser erheblichen Renommée-Verlust und unmittelbar einhergehend Werteverlust der entsprechenden Verantwortlichen im Netzwerk zur Folge hat. Daran ist niemandem gelegen.

Irren ist menschlich - Transfer-Trojaner – Software Bugs und Vernetzungsprobleme

Transfer-Trojaner zielen darauf ab auf dem jeweils infizierten Rechner Crypto-Währungs Accounts zu ermitteln und, sobald diese im Rahmen einer Transaktion bedient werden sollen, durch eigene Account-Formate zu ersetzen, um Transaktionen dadurch entsprechend umzuleiten.

Jedes geschriebene Programm, ob nun SDL oder nicht, offenbart seine Wirkmacht in der Anwendung. Bugs sind dabei durchaus keine Tragödie, sondern Teil des Entwicklungsprozesses, der sich durch das Fixen der Bugs weiter optimiert. Dieses Realtime-testing auf letztlich Kosten der Nutzer kann jedoch noch weiter minimiert werden durch mehr white-box security testing.

Das Verbinden von Blockchain-Technologie-basierten mit externen Systemen baut genau an deren Schnittstellen die Brücke über die der Hacker spazieren kann. Mithilfe von Smart Oracles, die an eben diesen Schnittstellen angedockt sind, versuchen die Entwickler das Problem einzudämmen.

Gemessen an ihrer jeweiligen Verwendung unterscheiden wir z.B. Software- von Hardware Oracles. Software Oracles speisen die Blockchain z.B. mit notwendigen Online-Daten, die für den jeweiligen Zweck der Anwendung nötig sind. Sie sind als Teil eines Smart Contract in die Blockchain integriert. Aber auch hier regiert prinzipiell das Vertrauensprinzip in den externen Anbieter der smarten Lösung.

Worst Case Szenario – Wie bekomme ich meinen Schlüssel zurück?

Für Juristen ist das Bitcoin-Universum immer noch eine weitgehende terra incognita, die es zu definieren und im Sinne der Nutzer zu reglementieren gilt. Da Bitcoin physisch nicht existent sind und auch nicht durch eine gewisse Datenmenge repräsentiert sind, besteht ihr tatsächlicher Wert lediglich in der Aufsummung der Schlüsselpaare einer Wallet. Diese bilden erst durch Gestalt ihres Marktwertes einen Vermögenswert. Es ist juristisch bislang nicht definiert wie die Zuordnung dieses Vermögenswertes auszusehen hat. Ist das Schlüsselpaar entscheidend oder der Eintrag auf der Blockchain? – Da ohne den privaten Schlüssel kein Zugriff auf Bitcoins in der Blockchain erfolgen kann hat man den privaten Schlüssel daher als das maßgebliche Bezugsobjekt in vermögensrechtlichem Sinne definiert.

Als Eigentümer von Bitcoin ist man derzeit rechtlich also nur dann geschützt, wenn man, im Besitz der privaten Schlüssel, über an die Bitcoin-Blockchain gekoppelte Vermögenswerte verfügen kann. Es besteht also kein Rechtsanspruch gegenüber gehackten Online-Wallet-Providern bei Bitcoin-Verlusten, da diese meist durch ihre AGB´s und ausgewiesene Sicherheitsmaßnahmen großzügig geschützt sind!

Die juristische Einordnung teilweise neuer Geschäftsbereiche, die durch Blockchain entstanden sind und entstehen werden steht noch am Anfang. Sie bedient sich unterschiedlicher Bezüge zu Vertrags-, Eigentums-und Vermögensrecht oder das Recht am eigenen Datenbestand . Solange es hier noch keine verbindlichen Übereinkünfte gibt sollte man deshalb seine Schlüssel unbedingt auch gemäß cold storage - Methoden sichern! (vgl. Dipl.-Jurist Johannes Seitz, Legal Tribune Online, Januar 2018)

Hier finden Sie alle Grundlagenartikel rund um die Blockchain

2017-11-18-iStock-916553110

BitCoin, Blockchain & Co. - Auf der Spur des digitalen Goldes

Wir führen in das Thema BitCoin und BitCoin Mining ein und wagen einen kleinen Blick auf die Zukunft der Blockchain Technologie wagen. Dabei beleuchten wir Details und die Kehrseite des Bitcoin Mining und geben einen ersten Einblick in den Handel mit Coins.

blockchain

Die Blockchain – Wesen und Wirkung eines technologischen Wunderkindes

Seit dem Wertschöpfen der ersten 50 Coins auf dem „Genesisblock“ durch das Gründerkonsortium im Jahre 2009 und dem daran anschließenden Boom der Crypto-Währungen ist die zugrundeliegende Technologie, die Blockchain, in aller Munde. Was genau verbirgt sich dahinter und welche Bereiche von Wirtschaft und Gesellschaft wird sie künftig nachhaltig beeinflussen? Diesen Fragen wollen wir auf den Grund gehen.

bitcoin

Geheime Zeichen und Schlüssel – Wie bestimmt Kryptographie Bitcoin und Blockchain?

In unserem dritten Abschnitt der Crypto-News-Reihe wollen wir dem Thema Kryptographie innerhalb der CryptoTechnologie den verdienten Raum geben. Was ist Kryptographie eigentlich? Wie funktionieren kryptographische Verschlüsselungsmechanismen in der Blockchain? Sind meine Daten sicher?

crypto-waerung-preisbildung

Wer nichts wagt, der darf nichts hoffen – Einblicke in den Handel mit Crypto-Währungen

Der Handel mit Crypto-Währungen hat sich längst vom Insidergeschäft zu einem attraktiven Markt für Investoren unterschiedlichster Couleur gewandelt. Was es zwischen exorbitanten Gewinnversprechen und Totalverlust zu beachten gilt, um erfolgreich daran teilzuhaben, wollen wir unter der Vorstellung einiger Handlungsmaximen näher beleuchten.

nodes-blockchain

Blockchain Nodes – Definition und Funktionsweise von Nodes

In unseren Einführungstexten zu Bitcoin und Blockchain haben wir die interne Funktionsweise der P2P – Crypto – Netzwerke bereits im Kern vorgestellt. Was es genau bedeutet als Nutzer aka Node ein solches Netzwerk aktiv mitzugestalten und welche Unterschiede es macht, ob man dabei als Miner oder Validator in Erscheinung tritt, wollen wir im Folgenden näher besprechen.

Über den Autor
Kathleen Händel

Kathleen Händel

Kathleen schreibt seit 2018 im Magazin von Unternehmenswelt und Zandura über die wichtigsten Business-Themen & Trends für Gründer & Unternehmer. Zuvor war Kathleen als Redakteurin für die Social Startup-Szene, verschiedene Stiftungen und Kommunikationsagenturen tätig.