Grundlagen der Blockchain – Teil 2 Sicherheit, Vertraulichkeit und Integrität in der Blockchain

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

Welche Blockchain ist für welche Anwendung das Mittel der Wahl? Was ist zu tun, wenn besonders sensible Informationen in einer Blockchain gespeichert werden sollen? Das sind wichtige Fragen, denen sich auch deutsche Behörden und Unternehmen stellen müssen, wenn Sie in Zukunft auf die Blockchain-Technologie setzen wollen.

Bei Blockchain tut sich was! Wie im Koalitionsvertrag festgelegt will die Bundesregierung noch im Sommer 2019 eine umfassende Blockchain-Strategie entwickeln. Dazu passende stellte das BSI im Frühjahr auf seiner Konferenz in Bonn Bad-Godesberg die druckfrische Studie „Blockchain sicher gestalten“ vor. Sie knüpft an das Eckpunkte-Papier vom Februar des Vorjahres an. Das BSI gibt nur Empfehlungen ab und darf bei marktgängigen Technologien auch keine Bewertungen vornehmen. Der zur Verfügung stehende Raum nötigt aber dazu, eine Auswahl zu treffen. So werden von den Kryptowährungen Bitcoin und Ethereum im Detail vorgestellt. Ebenso Hyperledger Fabric, eine Blockchain, die als Plattform für Smart Contracts dient und den Teilnehmern die Nutzung preiswerter, weil nachrichtenbasierter Konsensverfahren ermöglicht. Die Studie soll „Entwickler und potenzielle Nutzer von Blockchain-Lösungen dabei unterstützen, Chancen und Risiken fundiert zu bewerten“, so BSI Präsident Arne Schönbohm. Es scheint also Beratungsbedarf zu bestehen.

Bildergalerie

Deutschland wäre nicht Deutschland, wenn die Sicherheitsaspekte die Diskussion nicht dominieren würden. Welche Blockchain ist für welche Anwendung das Mittel der Wahl? Was ist zu tun, wenn besonders sensible Informationen durch Ketten-Blöcke gespeichert werden sollen. Das sind Fragen, denen sich das BSI ausgiebig widmet. Ebenso das Problem der Langzeitsicherheit schützenswerter Informationen. Vielleicht ein gutes Gegengewicht zu Asien und den USA. Hier wurden diese Fragen weit weniger präzise formuliert, und die Anwender mussten teures Lehrgeld bezahlen. Einige Beispiele finden sich in Teil 1 dieser Serie. Bitcoins im Wert vieler Millionen Euro gingen verloren. Das einige Teilnehmer trotzdem entschädigt werden konnten, beruht auf Datenspuren, die sich letztlich als ausreichend erwiesen. Zudem wurden bereits verloren geglaubte Bitcoin in Sicherheitskopien wiedergefunden, wie nach der Pleite von Mt.Gox. Beide Vorgänge geben jenen Argumentationshilfe, die diese Technik als noch nicht ausgereift ansehen.

Blockchains stehen mit Sicherheit im Mittelpunkt der aktuellen IT-Entwicklungen. Die Bedrohung durch Quantencomputer, die europäische Datenschutzgrundverordnung, Neuronale Netze und sogar das Internet der Dinge, so gut wie alle aktuellen Themen weisen Berührungspunkte zur Blockchain-Technologie auf. Wer Blockchain mit Bitcoin gleichsetzt, macht es sich zu einfach. Politik sowie Wissenschaft und Forschung reagieren darauf. Im September 2018 wurde in Darmstadt das „Center fort Secure Distributed Ledgers an Contracts“ der TU-Darmstadt gegründet.

An der Hochschule für Angewandte Wissenschaften Hamburg (HAW Hamburg)forscht Prof. Volker Skwarek am Thema Blockchain und natürlich beschäftigt sich auch der Branchenverband Bitkom damit. Beim Bitkom steht der Datenschutz im Fokus, und mit ihm das in Europa verbriefte Recht auf Löschung. Ein Aspekt, der vor allem bei den angelsächsischen Entwickler zunächst nicht im Fokus ihrer Überlegungen stand, und die Blockchain-Technologie fordert.

Das Leibniz-Institut für Wirtschaftsforschung an der Universität München e. V., besser bekannt als IFO Institut, berechnete die ökonomischen Kosten des Bitcoin Minings und die Deutsche Bundesbank analysiert Chancen und Risiken der neuen Technik. Bei Blockchain tut sich was. Handelsplätze und Technologieführer finden sich aber nach wie vor in Asien und den USA. Auch das muss gesagt werden.

Flexible Technik

Blockchains sind eine Technologie mit dem Potenzial, die Welt zu verändern. Von der Finanzwirtschaft bis zum produzierenden Gewerbe sollen sie als universelle Datendrehscheibe dienen, eine Mischung aus sicherem Datenbunker, Ersatzwährung und Handelsplatz. Gesucht wurde eine Technik, die in Peer-to-Peer-Netzwerken wie dem Internet eine Verteilte Datenhaltung ermöglicht. Die Herkunft der Daten und ihre Struktur bleibt zunächst offen, obwohl Kontostände und Vertragszustände von sogenannten Smart Contracts sicher die bekanntesten Anwendungen sind. Entscheidend ist die Fähigkeit der Technik, einen Konsens unter den Teilnehmern herzustellen. ganz allgemein spricht man von einer Distributed-Ledger-Technologie, also einer verteilten Buchführung, wobei das „Ledger“ also das Journal des Buchführers hier stets digitale und virtuell zu verstehen ist. Schriftform und analoge Belege sind bei Blockchain nicht vorgesehen, sondern werden höchstens am Rand der Prozesse erzeugt, etwa wenn ein Teilnehmer bei einer Bank eine Kryptowährung erwirbt oder veräußert und sich anschließend einen Kontoauszug ausdrucken lässt. Blockchains selber kommen ohne gedruckte Kontobelege aus. Wie im ersten Teil gesehen, kann das nach dem Zusammenbruch eines Handelsplatzes zu Problemen führen, wenn es gilt, Belege für den Schadensersatz vorzuweisen. Blockchains und die auf ihnen beruhenden Kryptowährungen sind noch lange nicht vollständig in unserem Wirtschafts- und Justizsystem angekommen. Wussten die US-Behörden bei der Zerschlagung des Handelsplatzes Silk-Road nicht, wie sie Gesetzeskonform mit den beschlagnahmten Bitcoin umgehen sollten. Die Kurse schwankten so stark, das nicht klar war, wie sie werterhaltend damit umgehen sollten.

Öffentlich und Nicht-Öffentlich

Wer Blockchain auf Bitcoin reduziert mach rasch den Fehler, stets eine große, möglichst weltumspannende Nutzergemeinde zu erwarten. Dem ist aber nicht so, denn Blockchain kennt zwei Arten von Anwendungen.

Einerseits wird unterschieden zwischen privaten (private) und öffentlichen (public) Blockchains. Hierbei geht es um die Verwendung des Netzwerks und die Einsehbarkeit der Daten. Öffentliche Blockchains erlauben uneingeschränkt das Einstellen von Daten im Netzwerk und die Einsicht in alle Transaktionen der Blockchain. Dagegen schränken private Blockchains diese Nutzung auf bestimmte Nutzergruppen, ein. Des weiteren wird unterschieden, ob alle Netzwerkknoten an der Validierung beteiligt sein dürfen, oder nicht. Es wird also zwischen genehmigungsbasierten (permissioned) und genehmigungsfreien (unpermissioned/permissionless) Blockchains unterschieden, das betrifft vor allem das Recht, die Blockchain fortzuschreiben. Validierung von Transaktionen, Bildung neuer Blöcke und die Konsensbildung bei Unstimmigkeiten sind die Kernelemente einer Blockchain. Abhängig vom Nutzerkreis und je nach Anwendungsbereich sollte bereits bei der Konzipierung einer Blockchain eine Einordnung in die passenden Klassen vorgenommen werden, rät das BSI in seiner Studie. Bitcoin ist das Paradebeispiel einer öffentlichen genehmigungsfreien (public unpermissioned) Blockchain. Sie kommt im Normalbetrieb ohne eine zentrale Instanz aus, was zum Erfolg von Bitcoin entscheidend beigetragen hat. Genehmigungsbasierte Blockchain kommen hingegen ohne eine Instanz, die Berechtigungen und Einschränkungen verwaltet, nicht aus.

Ein wichtiges Beispiel für diese Spielart sind Hyperledger Fabric, die als Plattform für Smart Contracts dienen. Befürworter dieser Technik loben hier den im Vergleich zu genehmigungsfreien Verfahren deutlich geringeren Rechenaufwand, der sich spürbar auch in den Kosten niederschlägt. Bitcoins, darauf weisen Kritiker immer wieder hin, lassen sich rentabel nur noch mit Spezialhardware errechnen, wobei diese bevorzugt in kühlen Ländern mit geringen Stromkosten betrieben werden sollten. Dies ist einer der Gründe, warum viele Bitcoins in Island geschürft werden. Ein weiterer Nachteil dezentraler Lösungen ist der verminderte Durchsatz infolge hoher Latenzzeiten, die aus dem Kommunikationsbedarf der Teilnehmer resultiert. Auch bieten sie nur eine geringe Korrekturmöglichkeit nach Manipulationen. Dafür ist ihre Verfügbarkeit infolge der hohen Verteilung als hoch einzuschätzen. Vorausgesetzt, es werden alle benötigten Informationen in der Blockchain gespeichert. Finden sich dort nur Verweise, ist die Verfügbarkeit der Quellen zu berücksichtigen.

Die Schutzziele einer Blockchain

Design-Ziel einer Blockchain ist die Integrität, also die Vollständigkeit und Korrektheit, das heißt Unversehrtheit der Daten, das betrifft auch die Angaben zum Autor. Gleiches gilt für die Authentizität der Kommunikationspartner, ganz gleich, ob es sich um Personen oder um Komponenten eines IT-Systems handelt. Die Integrität auf privaten oder genehmigungsbasierten Blockchains kann schneller gesichert werden als auf öffentlichen, genehmigungsfreien Blockchains.

Auch Vertraulichkeit, also der Schutz vor unbefugter Preisgabe, sowie die Anonymität sind Forderungen an das Design der Produkte. Anonymität garantiert insbesondere, dass die Daten einer Person nicht mit anderen Informationen dieser Person verknüpft werden können. Denselben Zweck erfüllt, zumindest teilweise, die Pseudonymität, also die Verwendung von nicht auflösbaren Pseudonymen. Das Praxis hat gezeigt, das moderne Datenbanksysteme und KI diesen Schutz durch Verwendung sehr großer Datenmengen aushebeln können. Hier sind die Hürden für die Entwickler also hoch. Gleiches gilt für die Vertraulichkeit. Diese ist konstruktionsbedingt bei Blockchains nur schwer zu garantieren, da alle Transaktionsdaten allen teilnehmenden Knoten zur Verfügung stehen.

Aktuell vermag weder das BSI noch andere Institutionen Produkte zu benennen, welche die jeweiligen Forderungskataloge nachweislich erfüllen. Vielmehr scheinen die Design-Ziele Wegmarken zu sein, an denen sich die Entwickler der nächsten Blockchain- Generation orientieren sollen. Vor allem Anonymität und Pseudonymität sollten nach den Erfahrungen der letzten Jahre bei den heute gebräuchlichen Kryptowährungen nicht als gesichert angesehen werden. Nachbesserungen scheinen nötig.

(ID:46075625)