Sicherheitskontrollen für Blockchain-Anwendungen

Nach dem Gartner-Bericht „Top 10 Strategic Technology Trends for 2018“ entwickelt sich die Blockchain von einer Infrastruktur für Digitalwährungen zu einer Plattform für digitale Transformation ^[1]. Unternehmen verschiedener Branchen haben bereits in diese Technologie investiert und erste Schritte aus dem Proof-of-Concept-Stadium (PoC)^[2] in ausgereiftere und kommerziell relevantere Umgebungen vollzogen.

Bei der Integration der ersten PoCs in existierende Anwendungen und Infrastruktur-Ökosysteme muss darauf geachtet werden, dass diese durch eine Reihe bewährter Sicherheitskontrollen, z. B. auf Basis der NIST-, ISO-27002- oder ISF-Frameworks geschützt werden. Dies ist insbesondere bei der Anwendung in stark regulierten Branchen wie Finanzdienstleistungen oder dem Gesundheitswesen von besonderer Bedeutung. Tatsächlich benötigen Blockchain-basierte Systeme zum sicheren Betrieb ungeachtet ihrer kryptografischen Wurzeln weiterhin Kontrollmechanismen. In unserem letzten Newsletter-Artikel „Schutz des Distributed Ledger“ ^[3],haben wir das verbreitete Missverständnis angesprochen, Blockchain-Technologie wäre inhärent sicher. Tatsächlich bietet die Blockchain automatisch Schutz vor nachträglichen Veränderungen, konserviert die zeitliche Abfolge von Transaktionen und enthält Fehlertoleranz-Mechanismen. Aspekte wie die Einhaltung behördlicher Auflagen, Datenschutz, Vorfallreaktion oder Resilienzeigenschaften werden jedoch keineswegs standardmäßig mitgeliefert. Ein bekanntes Sicherheitsproblem, das zu finanziellen und Reputationsschäden führte, war der so genannte „DAO-Hack“, ^[4] bei dem der Angreifer einen Designfehler der Smart Contracts ausnutzte* und 60 Millionen US-Dollar erbeutete.

Im Folgenden benennen wir die wichtigsten Anwendungsgebiete für Sicherheitskontrollen, die notwendig sind, um die inhärenten Blockchain-Sicherheitseigenschaften zu ergänzen und Blockchain-Anwendungen zu schützen.

Sicherheits-Governance

Sicherheits-Governance ist für alle Systeme in einer Unternehmensumgebung unverzichtbar, unabhänig davon, ob sie nun Blockchain-basiert sind oder nicht. Die Realität sieht so aus, dass die Festlegung der Sicherheits-Governance in verteilten Umgebungen wesentlich schwieriger ist als bei zentralisierten Designs. So zwang z. B. im Fall des DAO-Hacks das Fehlen antizipativer Richtlinien die DAO-Community dazu, inmitten der Krise ad hoc einen Vorfallreaktionsprozess zu etablieren.

Wir werden zeigen, inwiefern die Blockchain drei wichtige Aspekte der Sicherheits-Governance berührt und welche Maßnahmen zur Einrichtung einer soliden Governance in Blockchain-basierten Systemen erforderlich sind.

1. Governance-Modelle

Einer der wichtigsten Beweggründe für die Entwicklung von Blockchains war das Fehlen einer zentralen Steuerungsstelle. In einer Unternehmensumgebung sind jedoch eine Governance-Struktur und ein dazugehöriges Betriebsmodell unverzichtbar, um das korrekte Funktionieren und die Einführung sogenannter Permissioned Blockchains zu ermöglichen, in denen Nodes vor der Aufnahme in das Netzwerk zuerst einer Überprüfung unterzogen werden. Die Wahl des richtigen Governance-Modells wirkt sich auf wichtige Geschäftsprozesse wie das Change Management (z. B. Aktualisierungen des Kern-Codes oder Anwendung von Sicherheitspatches) und Know-Your-Customer-Prozesse (KYC) aus. Deshalb muss die Sicherheits- Governance an das allgemeine Governance-Modell der Blockchain angepasst werden, welches meist die Form eines Konsortiums, eines Joint Ventures oder einer öffentlich-rechtlichen Organisation annimmt,^[5], muss den Konsensmechanismus, den Blockchain-Typ (privat/öffentlich/mit oder ohne Zugriffsberechtigungen ^[6]) und den Überprüfungsprozess für neue Nodes berücksichtigen.

2. Rechtliche Anforderungen

Die rechtlichen Anforderungen an ein Blockchain-basiertes System variieren je nach der jeweiligen Branche. Einige der inhärenten Eigenschaften dieser Technologie erschweren die Durchsetzung bestimmter Anforderungen im Vergleich zu herkömmlichen, zentralisierten Systemen. Die Umsetzung von Datenschutzrichtlinien analog zur DSGVO wie Vertraulichkeit, das Recht auf Vergessen und die Löschung von Daten erfordern spezielle Überlegungen in Bezug auf das Datendesign, wie z. B. die Entscheidung, keine persönlichen Daten in der Blockchain zu speichern oder die Verwendung pseudonymer Identifier oder von Zero-Knowledge Proofs ^[7]. Daher ist es außerordentlich wichtig, bei der Entwicklung Blockchain-basierter Systeme den Datenschutz von vornherein in das Systemdesign zu integrieren (Privacy-by-Design). Dazu gehören u. a. Überlegungen zur Datenminimierung, -speicherung und -löschung.

3. Risikomanagement für Dritte

Die Beteiligung Dritter an Blockchain-Netzwerken erhöht das Sicherheitsrisiko. Drittparteien, die Blockchain-Nodes betreiben, sind unbedingt zur Einhaltung derselben Sicherheitsstandards zu verpflichten, die für interne Nodes gelten, und während des Onboardings sollte eine Blockchain-spezifische sorfältige Prüfung (siehe Prävention und Resilienzkontrollen weiter unten) durchgeführt werden. Je nach verwendetem Governance-Modell (siehe Punkt 1 oben) kann die sorfältige Prüfung durch ein Konsortium, ein Joint Venture oder eine öffentlich-rechtliche Organisation durchgeführt werden.

Prävention

Präventionskontrollen stärken die Sicherheit kritischer Vermögenswerte gegen bekannte und neu auftretende Gefährdungen. Da die Blockchain auf kryptografischen Verfahren basiert, liegt es nahe, diese wissenschaftlichen Methoden auch für Präventionskontrollen einzusetzen; hier geht es also um die Einrichtung zusätzlicher Kontrollmechanismen über die standardmäßig bereits vorhandenen Eigenschaften hinaus, und es geht darum, sicherzustellen, dass diese Kontrollen auf allen Nodes des Netzwerks angewendet werden.

Im Folgenden benennen wir die wichtigsten Anwendungsgebiete für Präventionskontrollen, die über Daten-, Anwendungs- und Infrastrukturschichten hinweg beim Design Blockchain-basierter Anwendungen berücksichtigt werden sollten.

1. Datenschutz

Blockchain-Technologie basiert auf kryptografischen Grundstrukturen wie Hashfunktionen zur Sicherung der Datenintegrität (Unveränderlichkeit) und digitalen Signaturen zur Realisierung von Nichtabstreitbarkeit und Authentizität. Während Datenintegrität und Authentizität in der Blockchain per Design gewährleistet sind, bietet die Technologie keine Mechanismen für den Datenschutz.

Digitale Signaturen nutzen die Public-Key-Infrastruktur (PKI), mit deren Hilfe Daten innerhalb der Blockchain, z. B. durch Verschlüsselung, zusätzlich geschützt werden können. Andere kryptografische Techniken können die Abhängigkeit von einzelnen Nodes reduzieren oder ganz beseitigen, indem z. B. die verteilte Entschlüsselung oder Datensignierung durch mehrere Nodes mithilfe von Multi-Signatur-Verfahren gefordert wird. Schließlich lassen sich Daten auch durch Datenminimierung schützen, d. h. durch sichere Speicherung sämtlicher sensiblen Daten außerhalb der Blockchain.

Die Nutzung der vorhandenen PKI für den Datenschutz ist verlockend, sie birgt jedoch wegen der intensiven Nutzung der PKI für verschiedene Zwecke – Authentifizierung, Autorisierung, Datenschutz – Verfügbarkeitsrisiken. Im folgenden Abschnitt über Resilienz gehen wir auf diesen Aspekt näher ein.

2. Anwendungsschutz

Eine große Herausforderung bei der Absicherung von Blockchain-Anwendungen besteht darin, das Verständnis der Sicherheitstechniker für die zugrundeliegenden Technologien, deren Eigenschaften und deren Auswirkungen auf die Sicherheit des Gesamtsystems zu schulen. Darüber hinaus können Blockchain-Techniken wie Smart Contracts bei der Implementierung komplexe Codes erfordern. Die Dringlichkeit sicherer Entwicklungsprozesse und -richtlinien, die gewährleisten, dass vorab genehmigte und getestete Software-Bibliotheken und Schnittstellen, regelmäßige Code Reviews und Patches zuverlässig eingesetzt werden, wird durch den Umstand verschärft, dass Smart Contracts vollständig automatisiert arbeiten. Gründlichere Code Reviews hätten z. B. den „DAO-Hack“ durch Aufdecken von Designfehlern in Smart Contracts verhindern können. Darüber hinaus nutzen Smart Contracts oft Eingangsdaten von außerhalb der Blockchain, z. B. Währungswechselkurse oder Messdaten intelligenter Sensoren. In solchen Fällen müssen die Eingangsdaten und deren Integrität sachgerecht überprüft werden, um Funktion und Integrität des gesamten Systems zu schützen.

3. Infrastrukturschutz

Da die Blockchain-Technologie auf traditionellen Komponenten beruht, sind alle typischen Angriffsvektoren wie Malware und Hacking für Blockchain-Anwendungen weiterhin relevant. Deshalb ist die Einhaltung traditioneller Infrastrukturkontrollen wie Sicherheitslücken-Scanning und zuverlässiges Patch-Management auf sämtlichen Nodes ausgesprochen wichtig. Gegebenenfalls ist die Einrichtung eines dedizierten Gateways für ein Virtuelles Privates Netzwerk (VPN) erforderlich, um sichere Verbindungen und eine sichere Kommunikation zwischen geografisch verteilten Nodes zu gewährleisten.

Resilienz

Als die DAO bemerkte, dass aus ihrem System Gelder abgeschöpft wurden, gab es keinen Notfallplan. Es gab mehrere Versuche, die Folgen des Vorfalls einzudämmen, aber das Netzwerk konnte in der kurzen zur Verfügung stehenden Zeit keinen Konsens erzielen. Es dauerte länger als einen Monat, um die Folgen des Vorfalls zu beheben ^[8].

Resilienzkontrollen ermöglichen es Unternehmen, schnell auf interne und externe Veränderungen, Anforderungen, Störungen und Bedrohungen zu reagieren, sich der veränderten Situation anzupassen und den Betrieb mit minimalen Auswirkungen auf das Geschäft weiterzuführen. Resilienz ist eine der wichtigsten Triebfedern für Unternehmen, Blockchain-Technologie einzusetzen. Dennoch wohnt diese Eigenschaft der Technologie nicht in dem Maße inne, wie manche glauben. Die Blockchain eliminiert eine einzelne Problemstelle und schützt die Stabilität des Betriebs durch ihre immanente Redundanz. Andererseits ist sie in hohem Maße abhängig von Internetkonnektivität, ausreichender Verteilung der Nodes (vor allem in privaten Netzwerken) und PKI, sodass die Berücksichtigung von Resilienzanforderungen beim Design solcher Systeme nach wie vor von großer Bedeutung ist.

Die Implementierung der Geschäftskontinuität und Systemwiederherstellung nach Sicherheitsvorfällen wird durch die dezentrale Philosophie der Blockchain unterstützt. In diesem Zusammenhang ist es wichtig, den verwendeten Konsensmechanismus und dessen Auswirkungen auf die Systemverfügbarkeit in Situationen zu kennen, in denen einige Nodes nicht mehr ansprechbar sind. Ungeachtet der inhärenten Resilienz der Blockchain hängt die Geschäftskontinuität in hohem Maße von der Verfügbarkeit der PKI ab; wenn die PKI eines Systems nicht resilient ist, gilt das auch für das Gesamtsystem. Deshalb ist die Implementierung sicherer und resilienter zentraler Managementprozesse entscheidend, einschließlich sicherer Schlüssel-Backups und manipulationssicherer Hardwareumgebungen zur Speicherung privater Schlüssel. Da die kryptografischen Grundlagen der Blockchain-Technologie einem ständigen Rüstungswettlauf unterliegen, müssen Unternehmen außerdem die neusten Entwicklungen der Kryptoanalyse im Auge behalten, die die Sicherheit einzelner Protokolle oder ganzer Systeme beeinflussen könnten.

Unternehmen, die die Überführung Blockchain-basierter Systeme in den Echtbetrieb planen, sollten die hier genannten Problemfelder im Kontext ihrer Sicherheits-Kontrollframeworks berücksichtigen, um rechtliche, geschäftliche und finanzielle Risiken zu managen.

Referenzen :

* Oder, je nach Betrachtungsweise, ein Feature.

^[1]Top 10 Strategic Technology Trends for 2018, Gartner

^[2]Blockchain solutions are moving beyond the proof of concept stage, Business Insider, July 2017 Online.

^[3]Cyber Flash – Protecting the distributed ledger, Deloitte, Online.

^[4]Inside the Bold Attempt to Reverse a $55 Million Digital Heist, Bloomberg Markets, June 2017, Online.

^[5]Blockchain Control Principles in Financial Services, Deloitte, Online.

^[6]The difference between public and private blockchain, IBM, May 2017 Online.

^[7]Zero Knowledge Proofs, Ben Lynn, Stanford, Online.

^[8]The DAO – Chronology of a daring heist, Deloitte Blockchain Institute.