Laut dem Bericht "Top 10 Strategic Technology Trends for 2018" von Gartner entwickelt sich Blockchain von einer digitalen Währungsinfrastruktur zu einer Plattform für die digitale Transformation [1]. Daher haben viele Unternehmen aus verschiedenen Branchen in die Technologie investiert und beginnen, über das Stadium des Proof of Concept (PoC) hinaus in reifere und kommerziell relevante Umgebungen zu gelangen.
Da PoCs allmählich in bestehende Anwendungs- und Infrastruktur-Ökosysteme integriert werden, ist es wichtig, dass sie durch eine Reihe von Sicherheitskontrollen geschützt werden, die z.B. auf den NIST-, ISO 27002- oder ISF-Rahmenwerken basieren. Dies ist besonders wichtig, wenn es sich um so stark regulierte Branchen wie Finanzdienstleistungen oder das Gesundheitswesen handelt. Auch wenn die Blockchain ihre Wurzeln in der Kryptographie hat, benötigen Systeme, die auf dieser Technologie aufbauen, dennoch Kontrollen, um sicher zu funktionieren. In unserem früheren Newsletter-Artikel "Protecting the distributed ledger"[2] haben wir auf den weit verbreiteten Irrtum hingewiesen, dass die Blockchain-Technologie von Natur aus sicher ist. Blockchain bietet zwar eine inhärente Unveränderlichkeit, eine zeitliche Ordnung der Transaktionen und Fehlertoleranz, aber Aspekte wie die Einhaltung gesetzlicher Vorschriften, die Vertraulichkeit von Daten, die Reaktion auf Zwischenfälle oder die Widerstandsfähigkeit sind nicht "out of the box". Ein berühmtes Beispiel für ein Sicherheitsversagen, das zu finanziellen und rufschädigenden Schäden geführt hat, ist der"DAO-Hack"[3], bei dem ein Angreifer einen Designfehler in einem intelligenten Vertrag ausnutzte* und mit 60 Millionen USD abhaute.
Im Folgenden heben wir die wichtigsten Sicherheitskontrollbereiche hervor, die erforderlich sind, um die inhärenten Sicherheitseigenschaften der Blockchain zu ergänzen und Blockchain-Anwendungen zu schützen.
Security Governance ist für alle Systeme in einem Unternehmen unerlässlich, unabhängig davon, ob sie Blockchain-basiert sind oder nicht. Die Realität ist, dass die Definition von Security Governance in verteilten Umgebungen schwieriger ist als in zentralisierten Gegenstücken. Im Fall des DAO-Hacks zum Beispiel führte das Fehlen vorhersehbarer Richtlinien dazu, dass die DAO-Gemeinschaft in Krisenzeiten einen Ad-hoc-Prozess zur Reaktion auf Vorfälle einrichten musste.
Im Folgenden zeigen wir auf, wie sich Blockchain auf drei wichtige Aspekte der Sicherheits-Governance auswirkt und was getan werden muss, um eine solide Governance in Blockchain-basierten Systemen zu etablieren.
1. Governance-Modelle
Eine der grundlegenden Motivationen für Blockchain ist das Fehlen einer zentralen Regierungsbehörde. In einem Unternehmensumfeld sind jedoch eine Governance-Struktur und ein Betriebsmodell unerlässlich, um das korrekte Funktionieren und die Annahme von sogenannten permissioned Blockchains zu ermöglichen, bei denen Knoten vor der Aufnahme in das Netzwerk überprüft werden müssen. Die Wahl eines Governance-Modells wirkt sich nämlich auf wichtige Prozesse wie das Änderungsmanagement (z. B. die Aktualisierung des Kerncodes oder die Anwendung von Sicherheits-Patches) und die Know Your Customer (KYC)-Prozesse aus. Daher muss die Sicherheits-Governance an das allgemeine Blockchain-Governance-Modell angepasst werden, das in der Regel die Form eines Konsortiums, eines Joint Ventures oder einer satzungsgemässen Organisation annimmt, und muss den Konsensmechanismus, den Blockchain-Typ (privat/öffentlich, mit oder ohne Erlaubnis [4]) und den Knotenüberprüfungsprozess berücksichtigen.
2. Regulatorische Anforderungen
Die für ein Blockchain-basiertes System geltenden regulatorischen Anforderungen sind branchenspezifisch. Aufgrund der Besonderheiten der Technologie werden einige dieser Anforderungen im Vergleich zu standardmässigen zentralisierten Systemen schwieriger durchzusetzen sein. In der Tat erfordert die Einhaltung von der Datenschutz-Grundverordnung (GDPR) vergleichbaren Datenschutzanforderungen wie die Vertraulichkeit von Daten, das Recht auf Vergessenwerden und die Löschung von Daten einige spezifische Designüberlegungen, wie z.B. die Vermeidung der Speicherung privater Daten in der Kette, die Verwendung von pseudonymen Identifikatoren oder Zero-Knowledge-Proofs [5]. Daher ist es wichtig, bei der Entwicklung von Blockchain-basierten Systemen das Konzept des "Privacy-by-Design" zu nutzen und unter anderem die Anforderungen an die Datenminimierung, -aufbewahrung und -löschung bereits in den ersten Phasen des Designprozesses zu berücksichtigen.
3. Risikomanagement für Dritte
Die Tatsache, dass Dritte an Blockchain-Netzwerken teilnehmen, erhöht das inhärente Sicherheitsrisiko für Dritte. Daher ist es von entscheidender Bedeutung, dass Dritte, die Knoten in der Blockchain betreiben, die gleichen Sicherheitsstandards einhalten müssen und dass die Blockchain-spezifische Due Diligence (siehe Prävention und Resilienzkontrollen unten) während des Onboardings durchgeführt wird. Je nach Governance-Modell (siehe Punkt 1 oben) kann die Sorgfaltsprüfung von einem Konsortium, einem Joint Venture oder einer gesetzlichen Organisation durchgeführt werden.
Präventionskontrollen unterstützen die Fähigkeit, kritische Vermögenswerte gegen bekannte und neue Bedrohungen zu verteidigen. Da das Rückgrat der Blockchain die Kryptographie ist, liegt es auf der Hand, diese Wissenschaft zur Implementierung von Präventionskontrollen zu nutzen. Der Schlüssel liegt darin, sicherzustellen, dass zusätzliche Kontrollen hinzugefügt werden, um die standardmässig vorhandenen zu ergänzen, und dass diese Kontrollen auf allen beteiligten Knoten vorhanden sind.
Im Folgenden weisen wir auf die wichtigsten Bereiche der Präventionskontrollen hin, die bei der Entwicklung von Blockchain-basierten Anwendungen auf Daten-, Anwendungs- und Infrastrukturebene eingeführt werden sollten.
Die Blockchain-Technologie wurde mit kryptografischen Primitiven wie Hash-Funktionen für die Datenintegrität (Unveränderlichkeit) und digitalen Signaturen für die Unleugbarkeit und Authentizität entwickelt. Während Datenintegrität und Authentizität von vornherein gewährleistet sind, bietet Blockchain keine Datenvertraulichkeit.
Digitale Signaturen nutzen die Public Key Infrastructure (PKI), die auch verwendet werden kann, um Daten auf der Kette, d.h. auf der Blockchain selbst gespeicherte Daten, durch Verschlüsselung zu schützen. Andere kryptografische Techniken können verwendet werden, um die Abhängigkeit von einzelnen Knoten zu verringern oder zu beseitigen, z. B. indem mehrere Knoten zur gemeinsamen Entschlüsselung mit gemeinsamen Schlüsseln oder zur gemeinsamen Unterzeichnung kritischer Daten mit Hilfe von Multisignaturverfahren verpflichtet werden.
Schliesslich können die Daten noch weiter geschützt werden, indem die Datenminimierung durchgesetzt wird, d. h. sensible Daten werden sicher ausserhalb der Kette gespeichert und nur unkritische Daten dürfen in die Kette aufgenommen werden.
Die Nutzung der bestehenden PKI zur Gewährleistung der Vertraulichkeit von Daten ist verlockend, birgt jedoch ein Verfügbarkeitsrisiko, da die PKI für mehrere Zwecke, einschliesslich Authentifizierung, Autorisierung und Datenschutz, eingesetzt wird. Dieses Risiko wird im Abschnitt Ausfallsicherheit weiter unten näher erläutert.
Eine grosse Herausforderung beim Schutz von Blockchain-basierten Anwendungen besteht darin, Sicherheitsingenieure darin zu schulen, die Blockchain-Technologie und ihre Eigenschaften zu verstehen und zu erkennen, wie sich diese auf die Gesamtsicherheit der Systeme auswirken, die darauf aufgebaut werden. Ausserdem können Blockchain-basierte Konzepte wie intelligente Verträge komplexen Code enthalten. Der Bedarf an sicheren Entwicklungsprozessen und -richtlinien, die die Verwendung von vorab genehmigten und getesteten Softwarebibliotheken und -schnittstellen, regelmässige Codeüberprüfungen und Patches gewährleisten, wird durch die Tatsache, dass intelligente Verträge vollständig automatisiert sind, noch verschärft. Im Beispiel des "DAO-Hacks" hätte eine gründlichere Überprüfung des Codes den Konstruktionsfehler des Smart Contracts, der den Kern des Vorfalls bildete, verhindern können. Ausserdem beziehen Smart Contracts in der Regel Eingaben von Daten ausserhalb der Blockchain, z.B. Wechselkurse oder Messungen von intelligenten Sensoren. Daher müssen eine angemessene Eingabevalidierung und Datenintegritätsprüfungen durchgeführt werden, um die Funktionalität und Integrität der Systeme zu schützen.
Da die Blockchain-Technologie auf herkömmlichen Komponenten aufbaut, sind alle typischen Infrastruktur-Angriffsvektoren wie Malware und Hacking auch für Blockchain-basierte Anwendungen relevant. Daher müssen herkömmliche Infrastrukturkontrollen wie Schwachstellen-Scans und Patch-Management auf allen Knotenpunkten durchgesetzt werden. Es kann notwendig sein, dedizierte VPN-Gateways (Virtual Private Network) zu implementieren, um die Konnektivität zwischen den Knoten zu gewährleisten und die sichere Kommunikation zwischen geografisch verstreuten Knoten zu ermöglichen.
Als die DAO entdeckte, dass ihre Gelder abgeschöpft wurden, hatte sie keinen Plan zur Wiederherstellung. Es gab mehrere Versuche, den Vorfall einzudämmen, aber das Netzwerk war nicht in der Lage, in der kurzen Zeit, die zur Verfügung stand, einen Konsens zu finden. Es dauerte über einen Monat, bis sich das Netzwerk endlich von dem Vorfall erholt hatte [8].
Mit Hilfe von Resilienzkontrollen kann sich der Betrieb eines Unternehmens schnell an interne und externe Veränderungen, Anforderungen, Störungen und Bedrohungen anpassen und darauf reagieren, so dass der Betrieb mit begrenzten Auswirkungen auf das Unternehmen fortgesetzt werden kann. Resilienz ist eine der Hauptmotivationen für Unternehmen, die Blockchain-Technologie einzusetzen, obwohl diese Eigenschaft vielleicht nicht so inhärent ist, wie manche glauben. Tatsächlich eliminiert die Blockchain-Technologie einen einzigen Ausfallpunkt und bietet durch ihre eingebettete Redundanz betriebliche Ausfallsicherheit. Andererseits ist sie in hohem Masse von Internetverbindungen, einer ausreichenden Verteilung der Knoten (insbesondere in privaten Blockchain-Netzwerken) und PKI abhängig, so dass es nach wie vor wichtig ist, die Anforderungen an die Ausfallsicherheit bei der Entwicklung von Blockchain-basierten Systemen zu berücksichtigen.
Die Implementierung von Business Continuity- und Disaster Recovery-Kontrollen wird durch den dezentralen Charakter der Blockchain-Technologie erleichtert. In diesem Zusammenhang ist es wichtig zu verstehen, welcher Konsensmechanismus verwendet wird und wie sich dies auf die Verfügbarkeit des Systems auswirkt, wenn eine Untergruppe von Knoten nicht mehr reagiert. Trotz der inhärenten Widerstandsfähigkeit der Blockchain ist die Geschäftskontinuität eng mit der Verfügbarkeit der PKI verknüpft; wenn die PKI eines Systems nicht widerstandsfähig ist, ist es auch das System selbst nicht. In Anbetracht dessen ist es von entscheidender Bedeutung, sichere und widerstandsfähige Schlüsselverwaltungsprozesse zu implementieren, einschliesslich sicherer Schlüsselbackups und manipulationssicherer Hardwareumgebungen für die Speicherung privater Schlüssel. Da die Grundlage der Blockchain-Technologie, die Kryptographie, ein Wettrüsten ist, müssen Unternehmen die Fortschritte in der Kryptoanalyse im Auge behalten, die möglicherweise bestimmte Protokolle brechen oder die Sicherheit der Systeme verringern könnten.
Organisationen, die planen, ein Blockchain-basiertes System in Betrieb zu nehmen, sollten die oben genannten Punkte im Zusammenhang mit den Sicherheitskontrollrahmen ihrer Organisation berücksichtigen, um rechtliche, regulatorische, operative und finanzielle Risiken zu managen.
* Oder Feature, je nach Perspektive.
[1]Top 10 Strategische Technologietrends für 2018, Gartner
[2]Cyber Flash - Protecting the distributed ledger, Deloitte, Online.
[3]Inside the Bold Attempt to Reverse a $55 Million Digital Heist, Bloomberg Markets, Juni 2017, Online.
[4]Der Unterschied zwischen öffentlicher und privater Blockchain, IBM, Mai 2017 Online.
[5]Zero Knowledge Proofs, Ben Lynn, Stanford, Online.
[6]Die DAO - Chronologie eines gewagten Raubes, Deloitte Blockchain Institute.