Sashkin - stock.adobe.com
Wie man die Blockchain absichert: 10 bewährte Verfahren
Die Blockchain-Technologie hat ein enormes Potenzial für Unternehmen. Aber sie bringt auch ihre eigenen Risiken mit sich. Mit diesen zehn Best Practices gelingt die Absicherung.
In den letzten Jahren ist das gesellschaftliche Interesse an der Blockchain und das Interesse institutioneller Anleger an dieser Technologie stark gestiegen. Die Technologie, die über die Kryptowährung Bitcoin bekannt wurde, hat sich seit ihrer Einführung vor mehr als einem Jahrzehnt erheblich weiterentwickelt. Die aktuellen Blockchain-Anwendungen reichen weit über den Währungsbereich hinaus. Die durch Kryptowährungen ermöglichten verteilten Ledger und dezentralen Wirtschaftssysteme stellen ein architektonisches Paradigma für die nächste Generation des Internets dar.
Die Blockchain-Technologie hat jedoch auch eine Reihe von Sicherheitsproblemen mit sich gebracht. Im Jahr 2022 wurden mehr Blockchain-Sicherheitsvorfälle gemeldet als in jedem Jahr zuvor, was zu Verlusten von mehr als 4 Milliarden US-Dollar führte. Dazu gehören traditionelle Angriffe wie Phishing oder Netzwerkangriffe sowie neuartige Bedrohungen, die nur für die Blockchain-Infrastruktur gelten, wie Krypto-Jacking, Rug Pulls, 51-Prozent-Angriffe und weitere Angriffsarten.
Obwohl Blockchain-Technologien mehrere Sicherheitsvorteile bieten, stellt jede Technologie neue Möglichkeiten für böswillige Angreifer dar - ganz zu schweigen von Benutzerfehlern.
In einer Welt verteilter Aufzeichnungen und dezentraler Anwendungen muss jeder Einzelne mehr Verantwortung für seine Online-Sicherheit übernehmen, und Unternehmen müssen Bedrohungen abwehren, die weit über ihre eigenen Grenzen hinausgehen und ihr Eigentum betreffen. Um Blockchain zu sichern, müssen sowohl Einzelpersonen als auch Unternehmen mit einem Sicherheitsbewusstsein beginnen.
Verbraucher, Angestellte, Führungskräfte: Security-Hygiene gilt für alle
Ein Sicherheitsbewusstsein bedeutet, dass Sicherheitsschulungen, -ressourcen und -mitwirkung als Teil der Kultur und der Werte einer Organisation gelebt werden. Es ist eine Orientierung für die Entscheidungsfindung, wenn es um E-Mail, Identitätsmanagement, Sicherheitsupdates, Produkt- und Netzwerkdesign, Partnerschaften, Versicherungen und mehr geht.
Obwohl die Blockchain-Kerntechnologien in der Regel aus der Sicht der Endnutzer abstrahiert werden, sind die Schnittstellen für die Interaktion mit Anwendungen, Kryptowährungen oder damit verbundenen Identitätsverwaltungssystemen ebenso ein Ziel für bösartige Akteure. Phishing kann es beispielsweise Bedrohungsakteuren ermöglichen, private Schlüssel zu stehlen oder in ein Unternehmensnetzwerk einzudringen - eine vorgelagerte Taktik, die immer noch eine Bedrohung für Blockchain-gestützte Anlagen oder Interaktionen darstellt.
Daher gelten bestimmte bewährte Verfahren für alle, darunter die folgenden:
- Implementieren Sie eine Zwei-Faktor-Authentifizierung.
- Eine Liste mit vertrauenswürdigen Absendern und Empfängern erstellen.
- Verwenden Sie eine sichere Zugriffsverwaltung für private Schlüssel.
- Installieren Sie Sicherheitsupdates und Patches.
- Beschäftigen Sie sich mit den Depotdienstleistungen.
- Verwenden Sie eine kalte Speicherung (Cold Storage), beispielsweise eine hardwaregestützte Speicherung für die Wallets.
- Strenge Netzsicherheit durch Zero-Trust-Architektur, VPNs, Firewalls und so weiter.
Blockchain-spezifische Abhilfemaßnahmen und bewährte Sicherheitsverfahren
Sicherheitsverantwortliche müssen ein Gleichgewicht zwischen einem agnostischen Technologieansatz für die Sicherheitsstrategie und einer intensiven Auseinandersetzung mit den Risiken neuer Tools oder Architekturen finden. So sollte beispielsweise die Steuerung von Sicherheitsentscheidungen, die Orchestrierung und die Reaktion technologieübergreifend erfolgen, während gleichzeitig die Besonderheiten bestimmter Architekturen berücksichtigt werden. Dies trägt dazu bei, dass Klarheit und Verantwortlichkeit sowie die organisatorische Ausrichtung erhalten bleiben, unabhängig davon, welche Technologien zum Einsatz kommen.
Um die Blockchain zu sichern, sollten sich Unternehmen auf die Besonderheiten der verteilten Verarbeitung vorbereiten und die folgenden Maßnahmen ergreifen:
Blockchain-spezifische Governance. Legen Sie fest, wie neue Nutzer oder Organisationen dem Netz beitreten oder es verlassen, und aktivieren Sie Mechanismen, um schlechte Akteure zu entfernen, Fehler zu verwalten, Daten zu schützen und Konflikte zwischen Parteien zu lösen. Dies sollte auch Rahmenbedingungen für Designentscheidungen und Compliance-Regelungen umfassen.
Datensicherheit On-Chain vs. Off-Chain. Obwohl die Datenminimierung eine allgemeine Best Practice ist, um zu bestimmen, welche Daten auf der On-Chain gespeichert werden, sollten IT-Verantwortliche zusätzliche Sicherheitsmaßnahmen für Sidechains, Hash-Daten, Daten in Bewegung, Cloud-Speicher und so weiter anwenden.
Konsensmechanismen. Die Dezentralisierung ist ein wesentliches Merkmal der Blockchain-Technologie, bei der verteilte Rechenknoten Daten im Konsens als Gruppe verarbeiten und aufzeichnen. Wenn ein einzelner Knoten einen betrügerischen oder fehlerhaften Datensatz einreicht, der von der Mehrheit der anderen Knoten nicht anerkannt wird, weist das Netzwerk die Daten als unrechtmäßig zurück. Dieses Modell bietet ein gewisses Maß an Sicherheit, da ein Angreifer die Kontrolle über 51 Prozent der Rechenknoten übernehmen müsste, um Netzwerkdaten erfolgreich zu manipulieren. Gelingt es den Angreifern jedoch, bei einem erfolgreichen 51-Prozent-Angriff die Mehrheit eines Netzes zu übernehmen, könnte dies katastrophale Folgen haben. Konsensmechanismen tragen zum Schutz vor solchen Angriffen bei, indem sie die Teilnehmer dazu verpflichten, Zeit und Geld in den Prozess zu investieren, und ihnen einen Anreiz bieten, in gutem Glauben zu handeln. Dazu gehören die folgenden:
- Proof of Work (PoW). Bei PoW, auch bekannt als Mining, konkurrieren vernetzte Computerprogramme um die Lösung komplexer mathematischer Aufgaben, um neue Transaktionsblöcke zu validieren. Wenn Miner erfolgreich Transaktionen verifizieren, aktualisieren sie die Blockchain und erhalten Belohnungen.
- Proof of Stake (PoS). Beim PoS-Modell investiert ein Netzwerk von Validierern seine eigenen Ressourcen in einen Pool in der Hoffnung, die Chance zu erhalten, einen Block von Transaktionen zu validieren. Sobald eine bestimmte Anzahl von Validierern die Richtigkeit eines Blocks bestätigt hat, wird er der Blockchain hinzugefügt. Die Prüfer erhalten eine Entschädigung für ihre Arbeit, zahlen aber Strafen, wenn sie fehlerhafte Daten validieren.
- Delegierter PoS. Delegated PoS funktioniert ähnlich wie PoS, mit dem Unterschied, dass Dritte in die Staking-Pools der Validierer investieren können und so die finanziellen Risiken und Chancen teilen.
Sicherheitsstrategien für private Schlüssel. Unsichere Praktiken zur Verwaltung privater Schlüssel stellen ein ernsthaftes Risiko für die Vermögenswerte eines Unternehmens auf der Blockchain dar. Sicherheitsverantwortliche müssen durchdachte Strategien zum Schutz privater Schlüssel entwickeln, etwa durch Hardware oder Multisignatur-Wallets, und die Nutzer entsprechend schulen. Schulungen zum Sicherheitsbewusstsein sind von zentraler Bedeutung - Phishing-Angriffe und menschliches Versagen stellen nach wie vor die größten Risiken dar, sowohl im Hinblick auf alte als auch auf neue Technologien.
Sicherheit von Smart Contracts. Smart Contracts, auch Chaincode genannt, sind Codesätze innerhalb einer Blockchain, die auf der Grundlage programmierter Bedingungen Transaktionen auslösen. Sie stellen eine weitere Schwachstelle dar, da ihre Integrität über die Zuverlässigkeit des Vorgangs und die Vertrauenswürdigkeit der Ergebnisse entscheidet. Befolgen Sie die bewährten Praktiken für die Sicherheit von Smart Contracts, wie zum Beispiel die sichere Softwareentwicklung, das Testen von Smart Contracts vor dem Einsatz, die Überprüfung des Quellcodes auf Sicherheitsprobleme und die Durchführung von Smart-Contract-Audits.
Blockchain-Netzwerksicherheit. Der Einsatz von Blockchain in Unternehmen erfordert eine hohe Sicherheit des Unternehmensnetzwerks. Der Mehrparteiencharakter der Blockchain bedeutet jedoch, dass die IT- und Netzwerkumgebungen anderer Organisationen potenziell Sicherheitslücken oder -lücken aufweisen können. Ein Teil der Governance muss daher die Überprüfung der Sicherheitsmaßnahmen, Schutzmaßnahmen und Protokolle von Nutzern und Anbietern für den Fall eines Vorfalls umfassen.
Sicherheit von Blockchain-Anwendungen. Über Anwendungen erfolgt der Zugriff auf Daten und viele Nutzungsfälle in der Blockchain. Sie sind eine Schwachstelle und sollten durch starke Benutzerauthentifizierung und Endpunktschutz gesichert werden. Bei genehmigten Blockchains, bei denen der Zugriff und die Nutzung nur überprüften oder bekannten Teilnehmern offenstehen, kann dies variable Zugriffsebenen umfassen, die sich im Laufe der Zeit ändern können.
Interoperabilität. Die Art und Weise, wie Daten, Identitäten und Interaktionen in Netzwerken, Anwendungen und Smart Contracts in großem Maßstab auftreten, ist ein weiterer Aspekt bei der Bewertung einer verteilten Sicherheitslandschaft. Mit zunehmender Komplexität der Schnittstellen und Systeme steigen auch die Bedrohungen. Sicherheitsmängel und Fehler an jeder Stelle des Ökosystems können zu unzureichender Benutzerauthentifizierung, nicht autorisierten Transaktionen, Fehlkonfigurationen, Datenmanipulation und anderen unvorhersehbaren Ergebnissen führen.
Umfassender Einsatz von Technologien zur Verbesserung der Privatsphäre. Es entstehen mehrere benachbarte Techniken zur Wahrung des Datenschutzes, der Anonymität, der Compliance und der Sicherheit, ohne auf den potenziellen geschäftlichen Wert von Daten oder Blockchains zu verzichten. Das Panther-Protokoll beispielsweise schlägt eine Brücke zwischen dezentralen Finanztechnologien und den Bedürfnissen traditioneller Finanzinstitute. Es nutzt die selektive Offenlegung privater Informationen und Zero-Knowledge-Proofs, die auf die Einhaltung der Know-Your-Customer-Vorgaben ausgerichtet sind, und ermöglicht es den Nutzern, zwischen Blockchains zu wechseln und gleichzeitig die Einhaltung der Vorschriften gegenüber ausgewählten Parteien nachzuweisen, ohne die zugrunde liegenden Daten zu teilen. Weitere Beispiele für neue Techniken, die die Sicherheit durch Datenminimierung verbessern, sind der differenzierte Datenschutz, Protokolle für selbstverwaltete Identitäten und die Verwendung synthetischer Daten für die Modellierung.
Einsatz von vertrauenswürdigen Prüfern und Dritten. Sicherheitsbewertungen, Penetrationstests und Audits von Smart Contracts, Quellcode und Blockchain-Infrastruktur sollten nur von vertrauenswürdigen Parteien durchgeführt werden. Nutzen Sie diese, um neu auftretende Bedrohungen wie Hacks auf kryptografische Algorithmen zu entschärfen und sich auf neue Angriffsarten oder automatisierte Agenten vorzubereiten.
Um Blockchain zu sichern und damit verbundene Angriffe zu entschärfen, müssen Unternehmen keinen völlig anderen Ansatz verfolgen als bei der Abwehr anderer Bedrohungen. Blockchains stellen zwar ein Paket neuartiger Designkonfigurationen und Bedenken von Interessenvertretern dar, aber ähnlich wie andere Technologien sind sie anfällig für böswillige Nutzung und menschliche Fehler. Dennoch ist es unerlässlich, einige Blockchain-spezifische Konzepte und Implikationen in eine bestehende Strategie zur Bedrohungsabwehr zu integrieren.