IT-BUSINESS Aktion:

#ITfightsCorona

Sicherheit für und mit der Blockchain

Security-Channel punktet doppelt bei Blockchain-Projekten

| Autor / Redakteur: Oliver Schonschek / Sarah Gandorfer

Ein mehrschichtiges Blockchain-Modell bietet mehr Sicherheit.
Ein mehrschichtiges Blockchain-Modell bietet mehr Sicherheit. (Bild: denisismagilov - stock.adobe.com)

Blockchains schneiden gegenüber klassischen zentralen Datenbanken in den Punkten Verfügbarkeit und Robustheit gegen Missbrauch gut ab. Dem stehen Nachteile im Bereich der Vertraulichkeit gegenüber, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Der Security-Channel kann sich deshalb in Blockchain-Projekten gleich mehrfach einbringen.

Laut dem IDC Spending Guide sollen die Ausgaben für Blockchain-Projekte in Europa bis 2023 auf 4,9 Milliarden US-Dollar steigen. Fertigung, professionelle Dienstleistungen, Einzelhandel und Bankwesen haben die besten Aussichten für zukünftige Investitionen in Blockchain. „Unternehmen beginnen, Blockchain nicht nur wegen seiner kryptografischen Mittel zu betrachten, sondern auch als Management-Tool, mit dem Artikel, Informationen und Kundendaten nachverfolgt werden können“, sagte Carla La Croce, Senior Research Analyst bei Customer Insights and Analysis, IDC. „Immer mehr Unternehmen wenden sich an Blockchain, um eine sichere und zuverlässige Lösung zu finden.“

Die Gartner-Studie „Hype Cycle for Blockchain Business 2019“ nennt viele Einsatzbereiche, bei denen eine umfassende Security entscheidend ist. Einige Funktionen können über die Blockchain erbracht werden, doch es können auch weitere Security-Services notwendig sein, gut für den Security-Channel, der gleich doppelt punkten kann.
Die Gartner-Studie „Hype Cycle for Blockchain Business 2019“ nennt viele Einsatzbereiche, bei denen eine umfassende Security entscheidend ist. Einige Funktionen können über die Blockchain erbracht werden, doch es können auch weitere Security-Services notwendig sein, gut für den Security-Channel, der gleich doppelt punkten kann. (Bild: Gartner)

Für die genannten Branchen wie Fertigung und Banking ist es elementar, dass die Vorstellungen von den Sicherheitsfunktionen einer Blockchain-Lösung stimmig sind. „Wie bei vielen Themen mit hoher medialer Aufmerksamkeit ist es wichtig, auch bei den Diskussionen um die Blockchain den Bezug zu den technischen Grundlagen zu wahren“, so BSI-Präsident Arne Schönbohm. „Dies gilt insbesondere für den Aspekt der IT-Sicherheit, da durch die Nutzung von Blockchain häufig ein Sicherheitsgewinn erhofft wird“. Die Nutzung von Blockchain allein löse aber keine IT-Sicherheitsprobleme. „Zahlreiche Sicherheitsvorfälle mit Schäden in Millionenhöhe zeigen, dass Maßnahmen zur Herstellung von IT-Sicherheit auch durch Nutzung von Blockchain nicht obsolet werden“, meint Schönbohm.

Blockchain verwendet Technologien wie öffentliche und private Schlüssel, um die Daten in den Blöcken sicher aufzuzeichnen. Die Teilnehmer können ihre Identität und andere persönliche Informationen kontrollieren und nur das teilen, was sie für eine Transaktion benötigen. Abgeschlossene Transaktionen werden kryptografisch signiert, mit einem Zeitstempel versehen und nacheinander hinzugefügt. Datensätze können nicht manipuliert oder anderweitig geändert werden, es sei denn, die Teilnehmer stimmen dem zu.

Unternehmen können Blockchain-basierte Anwendungen zum Beispiel verwenden, um die Ablaufverfolgung und Authentifizierung in der gesamten Lieferkette zu verbessern, erklärt die Boston Consulting Group (BCG). Eine bessere Transparenz in der gesamten Liefer- und Vertriebskette könnte beispielsweise Fälschungen und damit verbundene Gesundheits- und Sicherheitsprobleme durch gefälschte Teile verringern und so finanzielle Schäden und Reputationsschäden mindern.

Durchaus Geschäftspotenzial für den Channel

Mit „Security by Design“ eignet sich die Blockchain-Technologie grundsätzlich für viele Anwendungsbereiche, so der Verband der Internetwirtschaft Eco. Der Verband nennt als Beispiele Anwendungen für Automobilindustrie, Banken, Retail und Energiesektor. Mit entsprechendem Blockchain- und Security-Knowhow kann sich der Channel als Dienstleister somit in vielen, spannenden Projekten einbringen, denn knapp 90 Prozent der von dem Digitalverband Bitkom befragten Unternehmen sagen, ihnen fehle das qualifizierte Personal für den Einsatz von Blockchain-Technologien. Nicht vergessen werden sollte aber, dass die Sicherheit für Blockchain eine Herausforderung ist, da es an Best Practices und Standards mangelt, wie die Marktforscher von Gartner erklären.

Im Bereich Kryptowährungen beispielsweise sind viele Millionen Dollar aufgrund von Missverständnissen, Codefehlern, Betrug und Sicherheitsfehlern verloren gegangen oder sie wurden gestohlen. Sicherheitslücken bestehen auch in der Technologie. Dies bedeutet, dass alle Blockchain-Projekte auf Technologie, Governance und Compliance, Fehler und weitere Risiken bewertet werden müssen. Auch hier kann sich der Security-Channel als wertvoller Dienstleister erweisen. Die EU-Agentur für Cybersicherheit empfiehlt zusätzliche Maßnahmen bei Blockchain-Projekten, die sich auch als Security-Service anbieten würden, darunter die Überwachung der Aktivitäten, die Automatisierung von Compliance-Maßnahmen und -Kontrollen und die Begrenzung der Datenweitergaben auf das wirklich Notwendige.

„Führungskräfte im Bereich Sicherheit und Risikomanagement müssen nicht nur die möglichen Vorteile der Blockchain, sondern auch die Bedrohungen kritisch untersuchen“, sagt Mark Horvath, Research Director bei Gartner. „Erwägen Sie die Verwendung eines mehrschichtigen Modells der Blockchain-Sicherheit, damit die Risiken auf geschäftlicher, technischer und kryptografischer Ebene klar sind.“ Blockchain-Plattformen bringen bereits mehrere Security-Funktionen mit, die man als Dienstleister konfigurieren und betreiben kann. Bei dem Azure Blockchain-Dienst zum Beispiel gibt es mehrere Optionen zur Sicherung des Zugriffs auf Transaktionsknoten, einschließlich Firewallregeln, Basisauthentifizierung, Zugriffsschlüssel und Azure Active Directory-Integration.

AWS und Accenture

Die Managed Blockchain von AWS sichert die Zertifikate des jeweiligen Netzwerks mit AWS Key Management Service (KMS-Technologie), damit das Anwenderunternehmen keinen eigenen Schlüsselspeicher einrichten muss. Accenture wiederum hat eine Lösung entwickelt, die die Integration der Blockchain-Technologie in die Hardware-Sicherheitsmodule (HSMs) vereinfachen soll, die von Banken bereits häufig zum Schutz und zur Verwaltung digitaler Schlüssel verwendet werden. Diese Kryptoprozessoren generieren, schützen und speichern Schlüssel sicher im HSM – nicht einfach auf einem Server oder in der Software – und können von nicht autorisierten Benutzern nicht extrahiert werden. Es zeigt sich: Blockchain-Projekte sind für den Security-Channel durchaus interessant, da die Anwenderbranchen wie Banking hohe Security-Anforderungen erfüllen müssen, die Blockchain verschiedene Security-Funktionen mit sich bringt, aber auch Bedarf zeigt für weitere Security-Leistungen, die man als Dienstleister anbieten kann.

Fazit des BSI

Das BSI hat eine ausführliche Blockchain-Analyse veröffentlicht und kommt darin unter anderem zu diesen Schlüssen: Die Nutzung von Blockchain allein löst keine IT-Sicherheitsprobleme. Vielmehr bleiben wohlbekannte Probleme wie die Sicherheit von Hard- und Software bestehen. Hinzu kommen neue Angriffsvektoren auf verschiedene Komponenten des Systems. Neben den Konsensmechanismen, mittels deren die verteilt gespeicherten Daten konsistent gehalten werden, und den Smart Contracts, die die Ausführung von Programmen im Blockchain-Netzwerk erlauben, sind hier beispielsweise externe Schnittstellen zum Einfügen und Auslesen von Daten zu nennen.

Konkrete Vorfälle zeigen, dass die Angriffsmöglichkeiten nicht nur theoretischer Natur sind. Außerdem decken Analysen existierender Smart Contracts eine große Zahl von Sicherheitsproblemen auf. Sie reichen von Fehlern im Code – die technologiebedingt nicht korrigiert werden können – über manipulierbare Zufallszahlen bis hin zu fehlender Authentizität der Daten, die aus der realen Welt kommend im Contract verarbeitet werden. Eine Berücksichtigung dieser Einschränkungen und Schwachstellen ist unerlässlich für einen verantwortungsbewussten Umgang mit Smart Contracts. Da die Sicherheit von Blockchains in starkem Maße auf den verwendeten kryptografischen Algorithmen basiert, müssen diese sorgfältig ausgewählt werden, um das angestrebte Sicherheitsniveau hinsichtlich der Schutzziele Integrität, Authentizität und Vertraulichkeit zu erreichen. Neben den kryptografischen Verfahren müssen auch die Sicherheitseigenschaften der Konsensmechanismen klar verstanden und berücksichtigt werden. Diese Aspekte sollten entsprechend für Blockchain-Anwendungen von Anfang an bedacht werden.

Blockchain als Service für den Mittelstand

Blockchain(s) as a Service (BaaS)

Blockchain als Service für den Mittelstand

28.02.20 - Nur die wenigsten Unternehmen haben die nötige Infrastruktur für ein Blockchain-Pilotprojekt, geschweige denn für ein -Deployment. BaaS-Dienste wollen in die Bresche springen. Bieten sie denn wirklich die nötigen Voraussetzungen für einen Erfolg? lesen

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46541875 / Software)