Weiterlesen mit NEWS. Jetzt testen.
Lesezeit ca. 8 Min.

Security, Recht, Praxis: Blockchain: Grundlagen und Sicherheit


TecChannel Compact - epaper ⋅ Ausgabe 9/2019 vom 02.09.2019

Dieser Artikel erläutert die Grundlagen der Blockchain-Technologie und erklärt, was man bei der Entscheidung für oder gegen Blockchain beachten sollte.


Die Blockchain wird in den nächsten Jahren eine Schlüsseltechnologie in der IT werden. Trotz einiger Nachteile, etwa dem immensen Stromverbrauch, überwiegen Vorteile wie die hohe Manipulations- und Ausfallsicherheit. In diesem Artikel wird die Technologie hinter der Blockchain vorgestellt. Nach der Abbildung des Ablaufes einer Blockchain werden Vor- und Nachteile der Technik diskutiert. Abschließend wird ein Leitfaden beschrieben, anhand dessen man ...

Artikelbild für den Artikel "Security, Recht, Praxis: Blockchain: Grundlagen und Sicherheit" aus der Ausgabe 9/2019 von TecChannel Compact. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: TecChannel Compact, Ausgabe 9/2019

Weiterlesen
epaper-Einzelheft 16,99€
NEWS 30 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von TecChannel Compact. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 9/2019 von Grundlagen: Botnet-FAQ: So funktionieren Mirai, Reaper, Echobot und Co.. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Grundlagen: Botnet-FAQ: So funktionieren Mirai, Reaper, Echobot und Co.
Titelbild der Ausgabe 9/2019 von Der Faktor Mensch: Was ist Usable Security?. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Der Faktor Mensch: Was ist Usable Security?
Titelbild der Ausgabe 9/2019 von Bedrohungsszenarien: GPS-Spoofing: Die Risiken durch gehackte GPS-Systeme. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Bedrohungsszenarien: GPS-Spoofing: Die Risiken durch gehackte GPS-Systeme
Titelbild der Ausgabe 9/2019 von Security Know-how: Advanced Persistent Threats (APTs). Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Security Know-how: Advanced Persistent Threats (APTs)
Titelbild der Ausgabe 9/2019 von Zahlungsverkehr : PSD2: Das steckt hinter der neuen EU-Zahlungsdienstrichtlinie. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Zahlungsverkehr : PSD2: Das steckt hinter der neuen EU-Zahlungsdienstrichtlinie
Titelbild der Ausgabe 9/2019 von Authentifizierung: Identity & Access Management: Alles, was Sie über IAM wissen müssen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Authentifizierung: Identity & Access Management: Alles, was Sie über IAM wissen müssen
Vorheriger Artikel
Grundlagen: Botnet-FAQ: So funktionieren Mirai, Reaper, Echobot u…
aus dieser Ausgabe
Nächster Artikel Der Faktor Mensch: Was ist Usable Security?
aus dieser Ausgabe

... entscheiden kann, ob eine Blockchain wirklich die beste Lösung für das jeweilige Problem ist.

Die Blockchain wird in den nächsten Jahren eine Schlüsseltechnologie in der IT werden. (Foto: enzozo, Shutterstock.com)


Blockchain heute: Bitcoin ist nicht alles

Die technischen Grundlagen für Blockchain wurden bereits um die Jahrtausendwende herum beschrieben. Bitcoin und Co. haben die Technologie jedoch erst vor etwa zehn Jahren publik gemacht, worauf ein Hype um die Kryptowährungen losbrach. Mittlerweile flaut die Euphorie aufgrund teils großer Kursverluste zwar etwas ab, das Potenzial der Blockchain-Technologie selbst sorgt aber weiterhin für viel Gesprächsstoff.

Anwendung findet sie in nahezu allen Bereichen, zum Beispiel in der Finanz- und Versicherungsbranche, dem Energiesektor, der Industrie 4.0, der Pharmaindustrie und dem Internet der Dinge (Internet of Things, IoT), insbesondere in der Lieferkette (Supply Chain). Digitalexperten im Energiesektor sehen in Blockchain beispielsweise eine Möglichkeit, die großen Datenströme aufgrund der Energiewende effizient zu verwalten und zu sichern. Banken testen Blockchain als transparentes Buchhaltungssystem, das Zwischeninstanzen im weltweiten Handel ersetzen und damit Prozesse schneller und effizienter machen könnte.

Bis zur Marktreife dieser Ansätze dauert es wahrscheinlich noch ein wenig und Blockchain wird auch nicht die Antwort auf alle IT-Sicherheits-Fragen sein. Dennoch sollten IT-Verantwortliche das Thema auf dem Schirm behalten und grundsätzlich verstehen, was die Technologie ist und kann.

Vereinfacht kann Blockchain auf drei Arten eingesetzt werden: als öffentliche (Public), private oder Konsortium-Blockchain.

Dieöffentliche Blockchain ist ein durch und durch dezentralisiertes Netzwerk ohne übergeordnete Instanz – wie es bei den meisten bekannten Kryprowährungen der Fall ist. Jede Transaktion wird von jedem Knoten der Blockchain verifiziert und synchronisiert, bevor sie in das System geschrieben wird. Dadurch wird diese Variante relativ langsam und sehr ressourcenintensiv, dafür jedoch transparent und sicher.
Bei derprivaten Blockchain betreibt ein Unternehmen das System und besitzt die Hoheit über die Transaktionen. Es verifiziert und schreibt als einziger Teilnehmer jede Transaktion in das System. Zudem können die Leserechte für die Transaktionen je Nutzer eingeschränkt werden, was höheren Datenschutz erlaubt als die öffentliche Variante. Da die Größe der privaten Blockchain durch die Unternehmensgrenzen beschränkt ist, hält sich auch der Ressourcenbedarf und die Rechenzeit pro Transaktion in Grenzen. Allerdings geht mit Aufgabe des komplett dezentralen Ansatzes auch ein Teil der Ausfallsicherheit verloren.
DieKonsortium-Blockchain ist eine Art Hybrid aus privater und öffentlicher Variante. Hier teilt sich eine Gruppe von Teilnehmern die Entscheidungsgewalt über die Verifikation und Verteilung der Leserechte von Transaktionen. Dies bietet viele Vorteile der privaten Blockchain wie Effizienz und Datenschutz der Transaktionen ohne die gesamte Hoheit in eine Hand zu legen.

Die Funktionsweise von Blockchain einfach erklärt

Der Ablauf einer Blockchain-Aktion besteht aus folgenden sieben Schritten:Transaktion: Die Transaktion ist die elementare Grundeinheit der Blockchain. Zwei Parteien tauschen Informationen miteinander aus. Dies kann der Transfer von Geld oder Vermögenswerten, der Abschluss eines Vertrags, eine Krankenakte oder eine Urkunde sein, die digital gespeichert wurde. Transaktionen funktionieren im Prinzip wie das Versenden von E-Mails.

Verifizierung: Die Verifizierung prüft, ob eine Partei die entsprechenden Rechte für die Transaktion hat. Die Prüfung erfolgt augenblicklich oder es wird in eine Warteschlange geschrieben, die die Prüfung später durchführt. An dieser Stelle werden Knoten, also Computer oder Server im Netzwerk, eingebunden und die Transaktion verifiziert.

Struktur: Die Transaktionen werden zu Blöcken zusammengefasst, wobei diese mit einer Hash-Funktion als Bit-Nummer verschlüsselt werden. Die Blöcke können durch die Zuweisung des Hash-Wertes eindeutig identifiziert werden. Ein Block enthält einen Header, eine Referenz auf den vorhergehenden Block und eine Gruppe von Transaktionen. Die Abfolge der verlinkten Hashes erzeugt eine sichere und unabhängige Kette.

Validierung: Bevor die Blöcke erzeugt werden, müssen die Informationen validiert werden. Das am meisten verbreitete Konzept für die Validierung von Open-Source-Blockchains ist das „Proof of Work“-Prinzip. Dieses Verfahren stellt in der Regel die Lösung einer schweren mathematischen Aufgabe durch den Nutzer beziehungsweise dessen Computer dar.

Blockchain Mining: Der Begriff Mining stammt aus der Bergbau und meint das „Schürfen“. Bei diesem Vorgang wird der Block erzeugt und gehasht. Um zum Zug zu kommen, müssen die Miner ein mathematisches Rätsel lösen. Wer als Erstes die Lösung hat, wird als Miner akzeptiert. Der Miner erhält für seine Arbeit ein Honorar in Form von Kryptowährung (Bitcoin).

Die Kette: Nachdem die Blöcke validiert wurden und der Miner seine Arbeit verrichtet hat, werden die Kopien der Blöcke im Netzwerk an die Knoten verteilt. Jeder Knoten fügt den Block an der Kette in unveränderlicher und unmanipulierbarer Weise an.

Verteidigung: Wenn ein unehrlicher Miner versucht, einen Block in der Kette zu ändern, so werden auch die Hash-Werte des Blockes und der nachfolgenden Blöcke geändert. Die anderen Knoten werden diese Manipulation erkennen und den Block von der Hauptkette ausschließen.

Was sind die Vor- und Nachteile der Blockchain?

Eine Blockchain ist eine Datenbank mit zwei elementaren Eigenschaften. Zum einen kann sie aufgrund eines sehr aufwendigen Verschlüsselungsverfahrens, der sogenannten Hash-Funktion, als relativ manipulationssicher angesehen werden. Zum zweiten sind sehr viele Kopien der Datenbank im gesamten Netzwerk verteilt. Um erfolgreich einen Datenbankeintrag zu fälschen müsste mehr als die Hälfte aller Instanzen geändert werden. Mit der heutigen Rechentechnik müssten Milliardensummen investiert werden, um nur einen einzigen Eintrag in die Blockchain zu manipulieren. Dies ist komplett unwirtschaftlich und führt letztendlich zu der hohen Manipulationssicherheit der Blockchain. Ein wichtiger Gesichtspunkt ist die dezentrale Natur der Blockchain. Fällt bei einer klassischen Datenbank der Server aus, so kann sie nicht mehr genutzt werden. Falls ein Teil der Knoten der Blockchain ausfällt, können die übrigen teilnehmenden Knoten trotzdem weiter arbeiten.

Wichtig ist weiterhin, dass die Daten dauerhaft und revisionssicher gespeichert werden. Dies bietet klassische Cloud-Technologie zum Beispiel nicht. Zum einen könnten die öffentlichen Server durch Naturkatastrophen oder ähnlichen Vorkommen zerstört oder die Cloud das Ziel von Hackerangriffen werden. Für den Fall, dass der Cloud-Anbieter in Konkurs geht sind alle sensiblen Daten verloren beziehungsweise nicht mehr zugänglich.

Ein weiterer Vorteil ist, dass die Blockchain ohne große Infrastruktur auskommt. Blockchains können auch in Ländern wie Afrika oder Asien für Bankgeschäfte angelegt werden, ohne dass eine Bank als zentrale Instanz existieren muss. Auch eine Art Grundbuch und Geburtenregister, was es nicht in allen Ländern gibt, könnte über eine Blockchain abgebildet werden. Auf Unternehmensebene bietet sich in dieser Hinsicht die Möglichkeit, große Datenmengen unternehmensübergreifend zu sammeln, zu analysieren und auszuwerten. Die generellen Kosten für die Infrastruktur werden reduziert und durch entsprechende Nachverfolgungen werden Schwachstellen in Lieferketten und Geschäftsprozessen aufgedeckt. Auch firmeninterne Reportings können in ihrer Effektivität gesteigert werden.

Die Prozesse werden durch Blockchain generell transparenter, günstiger und sicherer. Des Weiteren gilt die Technologie als extrem sicher. Der finanzielle Aufwand, der für die Manipulation betrieben werden muss, steht – wie oben beschrieben – nicht im Verhältnis zu dem Nutzen.

Wie jede Technologie hat auch die Blockchain Nachteile, wobei in der Summe jedoch die Vorteile überwiegen. Zu nennen sind die geringe individuelle Skalierbarkeit, der geringe Datendurchsatz, begrenzter Speicherplatz und das Berechtigungsmanagement. Ohne einen schnellen Netzzugang kann die Blockchain nicht implementiert werden. Mitunter ist es nicht trivial, die Blockchain in bestehende IT-Infrastrukturen einzubinden.

Ein weiter gravierender Nachteil der Bitcoin-Blockchain ist ihr großer Energiehunger, der aus dem Proof-of-Work-Algorithmus herrührt (siehe Mining). Wenn die Hälfte der Weltbevölkerung, die derzeit nicht über ein eigenes Konto verfügt, eines Tages die Blockchain-Technologie nutzte, dann würde dafür mehr Strom verbraucht als heute insgesamt produziert wird. Schon wenn nur zehn Prozent der Weltbevölkerung auf die Blockchain-Technologie setzten, würden dafür 22,9 Prozent der weltweiten Stromproduktion in Anspruch genommen.

Brauche ich eine Blockchain?

Vor der Implementierung einer Blockchain muss sorgfältig geprüft werden, ob diese Technik die richtige Wahl ist. Folgender Leitfaden soll der Entscheidungsfindung dienen:

(1) Zunächst muss das Problem, welches gelöst werden soll, identifiziert werden. Welches sind die möglichen Schmerzstellen? Wie sehen die aktuellen Lösungen aus und was fehlt diesen?

(2) Nun muss geprüft werden, ob für dieses Problem wirklich eine Blockchain vonnöten ist. In vielen Fällen kann eine einzelne zentrale Datenbank möglicherweise effizienter sein als eine Blockchain-Implementierung. Es bietet sich an, eine Kosten-Nutzenanalyse und eine Risikobewertung durchzuführen. Ferner muss geprüft werden, ob externe Partner an der Umsetzung beteiligt werden müssen. Eine weitere Frage ist, ob neue Risiken aufgrund der Umsetzung entstehen. Als Ergebnis der Analyse wird festgestellt, ob es in Anbetracht der Risiken besser ist, eine klassische, zentrale, relationale Datenbank zu implementieren.

(3) Fällt die Entscheidung für eine Blockchain aus, müssen verschiedene Merkmale der Blockchain-Technologie definiert und identifiziert werden. Folgende Fragen stellen sich nun:
-Will der Nutzer eine öffentliche, private oder Konsortium-Blockchain?
-Was sind die Zugriffsrichtlinien und gibt es eine Knotenhierarchie?
-Müssen Knoten im Netzwerk anonym sein?
-Wenn sie anonym sein müssen, sollten sie in bestimmten Fällen prüfbar sein?
-Sollten private und vertrauliche Transaktionen zugelassen werden?
-Wie hoch sollte die Stärke der Verschlüsselungstechnologie und -sicherheit sein?
-Welches Konsensverfahren wird angewandt?
-Sollen nur die Hash-Werte der Transaktion in die Blockchain geschrieben werden anstelle vollständiger Daten?
-Wer sind die Validierer und was für eine Validierungslogik wird implementiert?
-Benötigt man für die Lösung mehrere Blockchains, die auch miteinander interagieren?

(4) Sobald man eine Vorstellung von der Art der Blockchain hat, die das Problem lösen soll, müssen Überlegungen angestellt werden, mit welcher Implementierung man das Projekt aufsetzten möchte. Implementierungen, die zur Verfügung stehen sind zum Beispiel Bitcoin, Ethereum, Ripple, Hyperledger oder Faizod Vooledger.
(5) Nach der Entscheidung für eine Implementierung muss überlegt werden, welche Komponenten des Frameworks übernommen werden können und welche Teile neu geschrieben beziehungsweise konfiguriert werden müssen. An dieser Stelle sollten die Auftraggeber und -nehmer in der Lage sein, eine angemessene Schätzung der benötigten Ressourcen zu erstellen, um eine gute Produktionsqualität zu erzielen. An dieser Stelle muss außerdem eine zweite Kosten-Nutzenanalyse durchgeführt werden.
(6) Wenn die Blockchain umgesetzt wird, ist im Verlauf ein „Proof of Concept“ zu implementieren und das System testweise auf einem internen Netzwerk, einer Simulationsumgebung oder einer kommerziellen Cloud wie IBM Bluemix oder Microsoft Azure zu installieren.
(7) Schließlich müssen mögliche Probleme während der „Proof of Concept“-Skalierung wie Leistungsprobleme, Latenz, Arbeitsspeicher, Plattenspeicher und Betriebssystem abgeschätzt werden.

Leitfaden für sichere Blockchain

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschäftigt sich in dem 100-seitigen Leitfaden „Blockchain sicher gestalten“ (PDF,www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Krypto/Blockchain_Analyse.pdf ) detailliert mit Konzepten, Anforderungen und Bewertungen zur Blockchain. Dabei legt die Behörde einen Fokus auf die Möglichkeiten und Hindernisse bezüglich der IT-Sicherheit der Technologie.

Zwar sei die Blockchain gegenüber klassischen zentralen Datenbanken besser verfügbar und robuster gegen Missbrauch – aber bei der Vertraulichkeit und Effizienz gebe es aber Nachteile. Traditionelle Sicherheitsprobleme bei Hard- und Software blieben bestehen. Hinzu kämen auch neue Angriffsvektoren auf verschiedene Komponenten des Systems wie etwa die Konsensmechanismen, Smart Contracts oder externe Schrittstellen zur Blockchain. Fehler im Code, manipulierbare Zufallszahlen und fehlende Authentizität der Daten in der Blockchain sind demnach weitere Probleme. Fehlende Standards führen laut BSI dazu, dass verschiedene Blockchains inkompatibel sein können. Zudem fänden Anwender sich in einer unübersichtlichen Fülle von verschiedenen Lösungen wieder, was es sehr schwierig mache, das richtige Produkt für den langfristigen Einsatz auszuwählen.

Was ist die „richtige“ Blockchain?

Zahlreiche unterschiedliche Möglichkeiten, eine Blockchain auszugestalten, stellen Anwender dem Bundesamt zufolge zusätzlich vor Probleme. Es gelte sorgfältig zu analysieren, welche davon am geeignetsten für den Use Case seien. In diesem Zusammenhang geht das BSI davon aus, dass das Modell von Bitcoin für die meisten Anwendungen nicht sinnvoll ist. Dagegen versprächen Blockchains mit strikter Rechtevergabe und authentifizierten Parteien mehr Nutzen.

Laut BSI ist es wichtig, die kryptografischen Algorithmen, auf denen die Blockchain beruht, sorgfältig auszuwählen. Dabei seien die Schutzziele Integrität, Authentizität und Vertraulichkeit wichtig, um ein hohes Schutzniveau zu erreichen. Was Unternehmen dabei beachten sollten, wird in dem Leitfaden auf Basis technischer Richtlinien des BSI im Detail beschrieben.

Des Weiteren geht der Text auch auf die Langzeitsicherheit der Blockchain ein. Dafür müssten Maßnahmen getroffen werden, um kryptografische Algorithmen ersetzen zu können, wenn sie nicht mehr sicher sind.

Kollision mit dem Datenschutz

Die Frage danach, wie in der Blockchain manipulationssicher gespeicherte Informationen etwa mit dem Recht auf Vergessenwerden der DSGVO vereinbar sind, ist noch nicht geklärt. Auch die der Technologie zugrundeliegende Transparenz der gespeicherten Daten gibt Anlass für datenschutzrechtliche Diskussionen.

Außerdem fehlt der Analyse zufolge in vielen Blockchain-Varianten eine zentrale rechtlich verantwortliche Stelle im Regelbetrieb. Hierzu existierten zwar einige mögliche Lösungsansätze, die bei Sonderformen der Blockchain Verantwortlichkeiten klären. Eine verbindliche und übergreifende Regelung sei aber noch nicht gefunden.

Eine fundierte Basis

Der Leitfaden behandelt diese und andere Problemstellungen im Detail. Zwar hat das Bundesamt nicht auf alle Fragen eindeutige Antworten, der Leitfaden schafft aber einen umfassenden Überblick zu wichtigen Grundlagen und aktuellen Fragestellungen zur Sicherheit von Blockchains. Das Dokument soll Unternehmen als Entscheidungshilfe dienen und eine fundierte Basis für kommende Diskussionen bieten.