04.05.2018

Ich habe meine Brieftasche im Netz verloren!

Methoden des Blockchain Hacking und wie man Ihrer habhaft werden kann

„Es fühlt sich so an, … als ob man von einem Gebäude herunterstürzt. Man sieht den Boden näher kommen und man hat das Gefühl, dass man jetzt gleich sterben wird. Mt Gox verwandelte sich von einem interessanten Projekt zu einem – ich würde sagen – Albtraum. Täglich hatte ich mit Banken, Regierungen und Leuten zu tun, von denen ich vorher nicht mal wusste, dass es sie gibt“. (Mark Karpeles, CEO Mt. Gox, gegenüber BBC rückblickend zum Hack der Börse 2014)

Es war der bis dato größte Hack in der noch jungen Geschichte der Kryptowährungen und kostete die Anleger insgesamt 850.000 Bitcoins (aktueller Wert ca. 6,8 Milliarden Euro). Der Fall der bis zu diesem Zeitpunkt größten Bitcoin-Börse Mt. Gox im Jahr 2014 dämpfte die digitale Euphorie um Bitcoin&Co empfindlich. Er machte gleichsam die Risiken deutlich, die das digitale Transaktionsgeschäft bestimmen können.

Ob im Falle von Mt Gox der Angreifer von außen Zugriff auf Online-Wallets und Private Keys erhielt oder nach Angaben japanischer Behörden maßgeblich ein Insider war, ist strittig. Mark Karpeles wies letzteres jedenfalls stets von sich. Kürzlich äußerte dieser sich noch einmal gegenüber der Online-Community mit großem Bedauern und gab an auf die ihm zustehenden 160.000 Bitcoins (ca. 1 Milliarde Dollar) nach Bereinigung der Insolvenz des Unternehmens verzichten zu wollen.

Trotzdem drohen ihm nach wie vor bis zu 5 Jahre Haft. Bis heute hat der Fall nichts an Brisanz verloren. Die Insolvenzabwicklung dauert an. Immer wieder tauchen Hacker-Wallets auf, die gestohlene Mt.Gox-Coins an anderen Handelsplätzen tauschen wollen. Ihre Anonymisierung macht die personelle Zuordnung indes schwierig.

Was sind die größten Gefahren der Manipulation und wie kann ich mich als Anleger am besten davor schützen? Teil 4 unserer Crypto-Reihe gibt Aufschluss!

Die Sicherheitsrisiken digitaler Währungssysteme und ihrer zugrundeliegenden Technologie stellen sich maßgeblich wie folgt dar:

  • Diebstahl von Private Keys und damit Manipulation der Signatur digitaler Transaktionen bzw. Umleitung von an solche Transaktionen gebundenen Werten
  • Hacking des Proof-of-Work Netzwerkes durch Monopol der Rechenleistung (51% critical mass)
  • Transfer-Trojaner
  • Software Bugs
  • Vernetzungsprobleme
  • Provider Hacking/Angriff auf Online Wallet Dienste

Diebstahl von Private Key und Provider Hacking

Das Ineinandergreifen öffentlicher und privater Schlüssel ist der Dreh-und Angelpunkt für eine validierte Transaktion innerhalb der Blockchain. Der öffentliche Schlüssel im Mining-Netzwerk validiert im Zuge dieser die Transaktion, die Nutzer XY durch Signatur vorher mit seinem privaten Schlüssel in Auftrag gegeben hat. Nach Transaktion auf einen anderen öffentlichen Schlüssel kann der daran gebundene Wert nur durch den Besitzer des entsprechenden „neuen“ privaten Schlüssels genutzt werden.

Gelingt es durch z.B. Hacking des Computers und das Einstreuen von Ransomware ein System zu infiltrieren, dann hat man ganz schnell eine very „hot wallet“ mit nahezu Totalverlust. Die meisten Online Provider z.B. Blockchain.info schützen sich und Ihre Kunden durch zahlreiche Sicherheits- und Cloudbasierte Features um genau dies zu verhindern. Ganz sicher geht man, wenn man „cold storage“-Methoden nutzt (z.B. USB drive; Paper wallets; Hardware wallet). Diese sind im täglichen Gebrauch zwar schwerfälliger, aber letztlich werden die privaten Schlüssel dadurch sicher vor Online-Hackern geschützt. Gute Provider kombinieren „hot &cold storage“ – Methoden.

Hacking des Proof-Of-Work-Netzwerkes – Proof of Work vs Proof of Stake

Wir haben in Teil 1 bereits erfahren, dass mehr als 50% des Mining-Netzwerkes daran beteiligt ist kryptographische Rätsel zu lösen, um Transaktionen zu verschlüsseln und damit zu validieren. Gelingt es durch z.B. das Einstreuen von Mining Malware andere Miner zu behindern, können Hacker Zugriff auf erhöhte Energiereserven erhalten, um letztlich ein quasi 51%-Monopol darüber zu erhalten welche Transaktionen wohin validiert werden.

Schließen dieser Schwachstelle kann eine Prioritätenverlagerung von Proof-of-Work hin zu Proof-of-Stake-Verfahren sein. Diese gestaltet maßgeblich den Unterschied zwischen Public Blockchains (Bitcoin) und Permissoned Blockchains (z.B.Ripple).

Permissioned Blockchains können prinzipiell das Auditorium begrenzen, als auch die einzelnen Rollen, in denen es gestalten darf. Der Text der chain kann hierbei restriktivem Zugang unterliegen und jene, die Transaktionen validieren können sind selektiv (jene eben mit dem größten stake!). Proof-Of-Stake-Verfahren haben den Vorteil, dass im Falle von Missbrauch dieser erheblichen Renommée-Verlust und unmittelbar einhergehend Werteverlust der entsprechenden Verantwortlichen im Netzwerk zur Folge hat. Daran ist niemandem gelegen.

Irren ist menschlich - Transfer-Trojaner – Software Bugs und Vernetzungsprobleme

Transfer-Trojaner zielen darauf ab auf dem jeweils infizierten Rechner Kryptowährungs-Accounts zu ermitteln und, sobald diese im Rahmen einer Transaktion bedient werden sollen, durch eigene Account-Formate zu ersetzen, um Transaktionen dadurch entsprechend umzuleiten.

Jedes geschriebene Programm, ob nun SDL oder nicht, offenbart seine Wirkmacht in der Anwendung. Bugs sind dabei durchaus keine Tragödie, sondern Teil des Entwicklungsprozesses, der sich durch das Fixen der Bugs weiter optimiert. Dieses Realtime-testing auf letztlich Kosten der Nutzer kann jedoch noch weiter minimiert werden durch mehr white-box security testing.

Das Verbinden von Blockchain-Technologie-basierten mit externen Systemen baut genau an deren Schnittstellen die Brücke über die der Hacker spazieren kann. Mithilfe von Smart Oracles, die an eben diesen Schnittstellen angedockt sind, versuchen die Entwickler das Problem einzudämmen.

Gemessen an ihrer jeweiligen Verwendung unterscheiden wir z.B. Software- von Hardware Oracles. Software Oracles speisen die Blockchain zb. mit notwendigen Online-Daten, die für den jeweiligen Zweck der Anwendung nötig sind. Sie sind als Teil eines Smart Contract in die blockchain integriert. Aber auch hier regiert prinzipiell das Vertrauensprinzip in den externen Anbieter der smarten Lösung.

Worst Case Szenario – Wie bekomme ich meinen Schlüssel zurück?

Für Juristen ist das Bitcoin-Universum immer noch eine weitgehende terra incognita, die es zu definieren und im Sinne der Nutzer zu reglementieren gilt. Da Bitcoin physisch nicht existent sind und auch nicht durch eine gewisse Datenmenge repräsentiert sind, besteht ihr tatsächlicher Wert lediglich in der Aufsummung der Schlüsselpaare einer Wallet. Diese bilden erst durch Gestalt ihres Marktwertes einen Vermögenswert. Es ist juristisch bislang nicht definiert wie die Zuordnung dieses Vermögenswertes auszusehen hat. Ist das Schlüsselpaar entscheidend oder der Eintrag auf der Blockchain? – Da ohne den privaten Schlüssel kein Zugriff auf Bitcoins in der Blockchain erfolgen kann hat man den privaten Schlüssel daher als das maßgebliche Bezugsobjekt in vermögensrechtlichem Sinne definiert.

Als Eigentümer von Bitcoin ist man derzeit rechtlich also nur dann geschützt, wenn man, im Besitz der privaten Schlüssel, über an die Bitcoin-Blockchain gekoppelte Vermögenswerte verfügen kann. Es besteht also kein Rechtsanspruch gegenüber gehackten Online-Wallet-Providern bei Bitcoin-Verlusten, da diese meist durch ihre AGB´s und ausgewiesene Sicherheitsmaßnahmen großzügig geschützt sind!

Die juristische Einordnung teilweise neuer Geschäftsbereiche, die durch Blockchain entstanden sind und entstehen werden steht noch am Anfang. Sie bedient sich unterschiedlicher Bezüge zu Vertrags-, Eigentums-und Vermögensrecht oder das Recht am eigenen Datenbestand . Solange es hier noch keine verbindlichen Übereinkünfte gibt sollte man deshalb seine Schlüssel unbedingt auch gemäß cold storage - Methoden sichern! (vgl. Dipl.-Jurist Johannes Seitz, Legal Tribune Online, Januar 2018)

Über den Autor

Kathleen Händel

Kathleen Händel

Die studierte Kulturwissenschaftlerin arbeitet seit ihrem Master in den Bereichen Tourismus, für verschiedene Stiftungen und Kommunikationsagenturen. Als freie Texterin fokussiert sie sich auf die Themen Nachhaltigkeit, innovative Entwicklungskonzepte und responsible tourism. Im unternehmenswelt.de Team schreibt sie seit 2018 u.a. über die digitale Evolution durch Bitcoin, Blockchain und deren gesellschaftliche Bedeutungen.

Ähnliche News für Gründer und Unternehmer
19.05.2018

Crypto News von Skychain, Ethereum und dem "We are Developers" Kongress

News der Woche 20/2018 - Alle relevanten Neuigkeiten der Crypto Welt aus der vergangenen Woche lesen Sie hier.

Crypto News von Skychain, Ethereum und dem

Die Krypto News der Woche stehen diesmal im Zeichen Gesundheitsvorsorge auf der Basis von AI, IT-Neuerungen im Hause Ethereum und einer nicht uninteressanten Kryptoprophezeiung von Startup- Dinosaurier Apple, die Hauptaktionär Buffet wundern dürfte.

21.05.2018

Ethereum – alle Fakten zum smarten Coin

Ethereum ist hinsichtlich Marktkapitalisierung hinter Bitcoin auf Platz 2 anzusiedeln. Erfahren Sie mehr zum Coin.

Ethereum – alle Fakten zum smarten Coin

Nach dem Start mit Bitcoin in der letzten Woche, führen wir unsere Vorstellung der wichtigsten Coins fort und widmen uns zunächst Ethereum. Dieser Cryptocoin ist hinsichtlich Marktkapitalisierung der Zweitplatzierte und auch sonst ein digitaler Zeitgenosse mit interessanten Features.

28.04.2018

Geheime Zeichen und Schlüssel – Wie bestimmt Kryptographie Bitcoin und Blockchain?

Krypthographie ist keine neuartige Erfindung sondern findet schon seit Jahrtausenden Anwendung

Geheime Zeichen und Schlüssel – Wie bestimmt Kryptographie Bitcoin und Blockchain?

In unserem dritten Abschnitt der Crypto-News-Reihe wollen wir dem Thema Kryptographie innerhalb der CryptoTechnologie den verdienten Raum geben. Was ist Kryptographie eigentlich? Wie funktionieren kryptographische Verschlüsselungsmechanismen in der Blockchain? Sind meine Daten sicher?

unternehmenswelt