Zahlreiche Branchen untersuchen derzeit den möglichen Einsatz von Blockchain-Anwendungen im Rahmen von Pilotprojekten. Unsere jüngste Studie „Die Blockchain (R)Evolution. Die Schweizer Perspektive“ (1) vermittelt einen allgemeinen Überblick über die Blockchain-Anwendungen auf dem Schweizer Markt. Die meisten dieser neuen Anwendungen haben zum Ziel, sensible Daten zu verarbeiten und zu speichern. Im Gesundheitssektor können dies etwa Patientenakten, medizinische Metadaten, Informationen zu klinischen Studien sowie personenbezogene Daten sein. Wir erhalten daher zunehmend Anfragen von besorgten Kunden in Bezug auf die Sicherheit sowie die Fähigkeiten und Grenzen von Blockchain beim Schutz derart kritischer Daten.
Nach unserer Erfahrung erschweren drei Faktoren das Management der Blockchain-Sicherheit:
Unterschiedliche Konsens-Algorithmen – z. B. „Proof of Work“ (Transaktionsvalidierung) oder „Proof of Stake“ (Beteiligungsnachweis) –, Blockchain-Arten – z. B. erlaubnispflichtig oder erlaubnisfrei – sowie die Komplexität der zugrunde liegenden kryptografischen Protokolle erschweren Sicherheitsspezialisten die Aufgabe, Datenflüsse und potenzielle Sicherheitsschwächen voll und ganz zu verstehen. Zudem gibt es unterschiedliche Blockchain-Plattformen und -Implementierungen, und Anwendungen müssen auf ihre Eignung zur Integration in ein spezifisches Blockchain-System bewertet werden.
Die Blockchain-Technologie unterliegt derzeit noch keiner behördlichen Aufsicht und beinhaltet daher rechtliche Unsicherheiten und Grauzonen – man denke etwa an den DAO-Angriff (2), bei dem die Anfälligkeit von Smart Contracts (3) (Digitalverträge) aufgrund fehlender Kontrollen und gesetzlicher Bestimmungen für Blockchain-Netzwerke dazu führte, dass es einem Angreifer binnen weniger Stunden gelang, Kryptogeld im Gegenwert von 60 Millionen US-Dollar im Blockchain-Netzwerk abzuzweigen (4).
Die Blockchain-Technologie beruht auf dem Public-Key-Kryptosystem sowie digitalen Signaturen und Hash-Funktionen, was insgesamt einen falschen Eindruck von Sicherheit vermitteln kann. Allzu oft wird bei der Sicherheitsanalyse eines Blockchain-Netzwerks übersehen, dass kryptografische Protokolle ihre Grenzen haben und ganzheitliche Sicherheit nicht nur Technologie, sondern auch Menschen und Prozesse umfasst.
Um diese Schwierigkeiten zu überwinden, raten wir unseren Kunden beim Aufbau der Blockchain-Sicherheit zu einem risikobasierten Ansatz , der gewährleistet, dass Sicherheitskontrollen im Einklang mit den Geschäftsanforderungen und Geschäftsanwendungsfällen ausgewählt werden. Dieser Ansatz kann wie folgt zusammengefasst werden:
Auf Basis dieser Angriffsvektoren können Risikoszenarien aufgeführt und auf ihre Wahrscheinlichkeit und Auswirkung hin bewertet werden.
Wenn Sie ein erstes Gespräch über Blockchain-Sicherheit führen und den Ansatz von Deloitte kennenlernen möchten, setzen Sie sich bitte mit unserem Team in Verbindung.
-Deloitte AG, The Blockchain (R)evolution The Swiss Perspective, February 2017
-Etherscan
-ENSIA, Distributed Ledger Technology & Cybersecurity – Improving information security in the financial sector, December 2016