NicoElNino - stock.adobe.com

Web3: Security-Gefahren und Geschäftsrisiken für Unternehmen

Die dritte Generation des Internets trägt erste Früchte. Mit der Verbreitung der Blockchain kommen aber neue geschäftliche und sicherheitsrelevante Risiken auf die Unternehmen zu.

Einige in der Tech-Industrie sind begeistert vom sogenannten Web der dritten Generation, auch verkürzt als „Web3“, manchmal auch als Web 3.0, bezeichnet. Der Begriff steht für eine Internet-Bewegung, die die wirtschaftlichen Vorteile des weltweiten Netzes zurück zu den Personen bringen will, die verteilte digitale Netzwerke wie Blockchains oder Krypto-Währungen nutzen.

Die Web3-Bewegung hat bereits heftige Debatten zwischen ihren Befürwortern und Gegnern ausgelöst. Das gilt ganz besonders, wenn es um die massive Kontroll-, Finanz- oder Informationsasymmetrie geht, die zum Vorgänger gehören, dem Web der zweiten Generation (Web2 oder Web 2.0). Beispiele dafür sind die zentralisierte Suche im Internet, der gewaltige E-Commerce oder die Dominanz der Social-Media-Giganten.

Die entbrannten Diskussionen drehen sich häufig um zentrale Kontrollen, die Rolle der Regulierungsbehörden und um teils bereits uralte Taktiken, um schnell viel Geld zu verdienen. Nebenbei werden dabei allerdings oft die wirtschaftlichen Risiken vereinfacht dargestellt.

Bei all den Aktivitäten, neuartigen Finanzierungen und dem gesamten Rummel rund um das Web3, haben sich jedoch nur wenige Menschen tatsächlich intensiv mit den dahinter liegenden Geschäftsrisiken beschäftigt. Das birgt viele Gefahren. Im Folgenden stellen wir Ihnen deswegen drei dieser Gefahren vor und beschreiben, um was es dabei geht.

1. Cybersicherheit: Neuartige Konzepte sorgen für neue Taktiken, viel Verwirrung und halbseidene Kompromisse

Das Web3 hat zu einer neuen Art von Cyberbedrohungen geführt. Auch wenn dezentralisierte Daten und Dienste die Gefahr gezielter Attacken immer wieder auch gesenkt haben, besteht doch das Risiko, dass sie die Daten einer breiteren Gefährdung aussetzen. Zu beobachten sind einerseits traditionelle Angriffstaktiken, aber auch Attacken, die erst mit den Netzwerken und Interfaces der Blockchain möglich geworden sind.

Einige Beispiele für neuartige Bedrohungen:

  • Attacken gegen Smart Contracts. Dabei geht es um in der Blockchain „vertraglich“ festgelegte Abläufe. Mehrere in den letzten Monaten beobachtete Hacks haben sich gegen Funktionen und Services wie etwa die Interoperabilität, Krypto-Kredite, Projektführung und Wallets gerichtet. Attacken gegen Smart Contracts führen zudem zu essenziellen rechtlichen Fragen, die noch geklärt werden müssen. Bisher werden Smart Contracts noch nicht oder nur unzureichend von Gesetzen abgedeckt. Oft sind sie zudem über verschiedene Gerichtsbarkeiten verteilt, so dass gar nicht klar ist, wer überhaupt zuständig ist.
  • Krypto-Jacking. Von dieser Art von Attacken spricht man, wenn Eindringlinge heimlich eine Krypto-Mining-Software auf fremden Computern installieren.
  • Rug Pulls. Der Begriff lässt sich grob mit dem Wegziehen eines Teppichs übersetzen. Gemeint sind damit Attacken, bei denen Insider, Krypto-Entwickler, aber auch kriminelle Gruppen oder bezahlte Influencer erst für einen Hype um ein bestimmtes Projekt sorgen, dann jedoch nach einiger Zeit mit den Geldern der Investoren untertauchen.
  • Ice Phishing. Beim Ice Phishing sollen Anwender überzeugt werden, eine Transaktion zu beglaubigen, durch die aber die Token in ihrem Besitz an die Angreifer überschrieben werden.

Die genannten neuen Methoden existieren neben schon bekannten, eher traditionellen Sicherheitsgefahren wie Phishing-Attacken. Dezentralisierung macht Zensur schwierig. Sie wirft aber Fragen der Qualität der verteilten Informationen und ihrer Genauigkeit auf, die beantwortet werden müssen. In der Folge ist es schon mehrfach zu teils massiven Fehlinformationen und Sicherheitsproblemen gekommen. Denken Sie nur an die Schwierigkeiten, Cyberkriminelle zu verfolgen, die über verteilte Netzwerke und noch dazu meist anonym aktiv sind oder die sich als virtuelle Avatare in einem Metaversum bewegen.

Andere bereits beobachtete Web3-Risiken sind Angriffe gegen Endpoints, Überlastungen der Kapazität attackierter Netze und gezielte Exploits gegen ihre Verfügbarkeit. Allen diesen Bedrohungen ist gemein, dass sie nicht durch eine traditionelle IT-Abteilung verhindert werden können. Verteilte Netze bieten aber trotzdem auch aus Sicherheitssicht eine Reihe von Vorteilen. Allerdings sind diese Netze bei weitem nicht immun gegen Exploits, Bugs oder menschliche Fehler.

2. Identitäten: Größere Kontrolle bringt auch eine größere Verantwortung mit sich

Web3-Fähigkeiten wie die von den Nutzern kontrollierten Wallets, die Übertragbarkeit von Identitäten und die Minimierung von Daten reduzieren manche noch im Web2 bestehenden Datenschutzrisiken, da sie den Einzelpersonen mehr Entscheidungsfreiheit und Kontrolle über ihre Daten geben. Allerdings haben auch selbstbestimmte Identitäten (Self-sovereign Identities, SSI), Pseudonymisierung und Anonymisierung ihre Nachteile. Der transparente Aufbau öffentlicher Blockchains, die jedem Teilnehmer die Einsicht in alle durchgeführten Transaktionen ermöglichen, sorgen aber für Vertrauen, ohne dass dazu extra ein externer Vermittler hinzugezogen werden muss. Auf der anderen Seite müssen aus Sicherheits- und Datenschutzsicht aber auch Kompromisse eingegangen werden.

Ein paar Beispiele für diese Art identitätsbezogener Risiken:

  • Nutzererfahrung. Die meisten SSI-Umsetzungen und Krypto-Wallets erfordern aufwendige Onboarding-Prozesse. Außerdem müssen die Nutzer den Umgang mit privaten Schlüsseln oft erst lernen und zudem mit verschiedensten Versionen einer Software umgehen können, die noch dazu nicht immer miteinander kompatibel sind.
  • Datenschutz. Das Web3 wirft viele neue Fragen zum Thema Datenschutz auf. Welche Informationen sind innerhalb der Kette gespeichert und welche nicht? Wer muss darüber Bescheid wissen, wann und wie Transaktionen authentifiziert werden? Wer trifft überhaupt diese Entscheidungen und auf Basis welcher Parameter?
  • Compliance. Die Pseudonymisierung im Web3 sorgt aus Sicht von Regulierungsbehörden für Lücken in den zur Verfügung stehenden Daten und öffnet daher auch Türen für die Wäsche von Geld oder die Finanzierung von Terroristen. Dezentralisierte Identitäten erschweren zudem bereits bestehende Regelungen wie die der Datenschutz-Grundverordnung (DSGVO). Das macht es schwierig, die für die Verarbeitung von personenbezogenen Daten verantwortlichen Personen von denjenigen zu unterscheiden, die die Daten weiterverarbeiten.
  • Anonymität. Die Bots im Web2 haben gezeigt, dass zu viel Geheimhaltung auch zu einigen Missverständnissen und zu einer Aushöhlung sozialer Normen führen kann. Die Anonymität im Web3 wirft aber ihrerseits neue Fragen zu den Themen Verantwortlichkeit, Haftung, Rechtsschutz oder dem Schutz der Verbraucher auf.

Im kommenden Jahrzehnt werden wir vermutlich noch viele Veränderungen bei Web3-Anwendungen sehen. Unternehmen sollten deshalb die potenziellen Risiken genau kennen, die mit den verwendeten Techniken sowie auch mit dem politischen und sozialen Kräftespiel zusammenhängen:

  • Wie wird sich die Nutzung biometrischer Lösungen auf die Identitäten im Web3 auswirken, egal ob es sich um die Authentifizierung von anonymen Nutzern oder um Angestellte in einem Unternehmen handelt? Welche Auswirkungen hat die Nutzung dieser Daten auf zum Beispiel ihre gesundheitliche Versorgung?
  • Wie werden sich IoT-Devices (Internet of Things) in Web3-Umgebungen verhalten, wenn zunehmend auch Infrastruktur wie Autos oder Solar-Panele wirtschaftliche Akteure werden?
  • Wie werden sich institutionelle Rückschläge, politischer Missbrauch und in manchen Ländern auch zentral verwaltete Blockchains auf eigentlich unveränderliche Identitätsdaten und den Eigentumsbegriff auswirken?

Wie man sieht, müssen sich Unternehmen wie bereits schon vorher im Web2 auch im Web3 mit vielen Fragen auseinandersetzen, die den Umgang mit Anwendungen, Regelungen, Menschenrechten und Geld betreffen.

Abbildung 1: Auf Basis der Blockchain will das Web3 anders sein als die Vorgänger.
Abbildung 1: Auf Basis der Blockchain will das Web3 anders sein als die Vorgänger.

3. Wirtschaftlichkeit im Web3: Soziale und finanzielle Anreize sind die Grundlage für die Zukunft des Webs der dritten Generation

Mikroökonomie, Währungen und andere finanzielle Vermögenswerte sind ein Teil der meisten Web3-Anwendungen und der damit entstehenden digitalen Gemeinschaften. Das führt dazu, dass neue positive als auch negative Anreize die Risikobewertungen in den Unternehmen verändern.

Nehmen Sie nur die Cybersicherheit als ein Beispiel. Die in Web3 meist enthaltenen ökonomischen Architekturen führen im Vergleich zu traditionellen Cloud- oder IT-Umgebungen zu noch einmal deutlicheren Anreizen für Angreifer. In bisherigen Umgebungen werden Daten und Dienste immer wieder attackiert, ohne dass auf den ersten Blick ein sofortiger finanzieller Vorteil zu erkennen ist. Das ist bei der Blockchain in der Regel anders. Hier befinden sich direkt in ihr oft sehr hohe Werte, was sie für Angreifer noch attraktiver macht

Unternehmen, die sich mit dem Web3 beschäftigen, müssen sich außerdem oft mit rechtlichen, ökologischen und gesellschaftlichen Risiken und Fragen auseinandersetzen. Im selben Maße wie Bereiche wie persönliches Eigentum, finanzielle Teilhabe oder dezentrale Beteiligung durch das Web3 verändert werden, sollten sich Unternehmer mit den folgenden Punkten beschäftigen:

  • Wie können Unternehmen Barrierefreiheit unterstützen und mit ihren Initiativen nicht auch noch die finanzielle und digitale Benachteiligung bestimmter Nutzergruppen verschärfen?
  • Wie können Unternehmen gesellschaftliche und ökologische Verbesserungen unterstützen, wenn Nutzererfahrungen nur noch materiell ausgewertet werden und Interaktionen von Tokens, künstlicher Knappheit oder anderen käuflichen Merkmalen bestimmt werden, die rein äußerlich vorgegeben sind?
  • Wie können eher traditionelle Firmen mit rein Web3-basierten Organisationen interagieren und welche rechtlichen Vorgaben werden sie dabei schützen?
  • Am wichtigsten ist aber die Frage, wie Unternehmen das Vertrauen der Teilnehmer und anderer Organisationen in Web3-Umgebungen verbessern können?

Die genannten Bereiche sind nur ein kleiner Teil der in der Erforschung von Web3-Umgebungen bislang aufgetauchten Risiken. Die nächste Webgeneration dreht sich nicht einfach nur darum, den Teilnehmern mehr Macht durch verteilte Systeme zu verschaffen. Es geht auch darum, das gesamte Ökosystem technisch, gesellschaftlich und ökologisch weiterzuentwickeln und besser abzusichern.

Teilnehmer am Web3, gleichgültig ob etablierte Firmen oder emsige Start-ups, spielen eine entscheidende Rolle beim Schutz vor diesen Risiken. Security by Design darf nicht einfach nur ein Schlagwort bleiben. Das Konzept ist bei der Entwicklung von Web3-Systemen unverzichtbar. Die Prinzipien sicherer Architekturen müssen die gesamte Infrastruktur sowie die Prozesse zur Reaktion auf Vorfälle bestimmen.

Trotz der rasanten Entwicklung des Marktes sollten sich die beteiligten Teams aber ausreichend Zeit nehmen, um für einen soliden Schutz vor zum Beispiel Insider-Angriffen zu sorgen. Dafür müssen ihre Contracts und der verwendete Code von unabhängiger Seite analysiert und auditiert werden. Auch die Entwickler müssen in der Lage sein, Risiken vor, während und nach der Implementierung ihrer Produkte bewerten und gegebenenfalls beheben zu können. Alle ihre Crypto-Assets sollten daher in bereits vorhandene Modelle zur Bewertung von Bedrohungen integriert werden.

Unternehmen müssen sich heutzutage auch auf die Sicherheitsrisiken vorbereiten, die das Web3 mit sich bringt. Dazu sollten sie sich auf die Bereiche Zusammenarbeit, Kooperation und Flexibilität konzentrieren.

Erfahren Sie mehr über Bedrohungen