BSI: Blockchain allein löst keine Sicherheits­probleme

Die oberste deutsche Sicherheitsbehörde veröffentlicht Empfehlungen für sichere Blockchains.
 
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Papier zur Sicherheit von Blockchain-Anwendungen publiziert. Blockchain alleine löse noch keine Sicherheitsprobleme, es seien viele Fragen erst noch zu klären, schreibt das deutsche Amt in einer Mitteilung. So hat das BSI Empfehlungen – fünf sogenannte Eckpunkte – formuliert.
 
Eine vertrauenswürdige zentrale Stelle wird auch beim Einsatz von Blockchain in vielen Anwendungen nicht überflüssig. Zwar wirkt sich die Unveränderlichkeit, Nachvollziehbarkeit und Dezentralität wie auch die kryptographische Fundierung positiv auf die Sicherheit aus. Aber zugleich muss nicht nur die verwendete Hard- und Software sicher sein, sondern auch die notwendigen externen Schnittstellen, insbesondere jene, über die Daten eingespeist werden.
 
Ja nach Anwendung muss das geeignete Blockchain-Modell gewählt werden. Nicht nur der richtige Konsensmechanismus zur Einigung über den korrekten Zustand der Blockchain (zum Beispiel Proof-of-Work oder Proof-of-Stake) ist je nach Anwendungsfall zu bestimmen. Man muss auch den Zugang zum Netzwerk sowie den Zugriff auf die Daten und das Rechtemanagement passend definieren. Die bei Bitcoin verwendete "unpermissioned public" Blockchain mit Proof-of-Work-Konsens etwa sei für viele Anwendungen ungeeignet, schreibt das BSI.
 
Bei der Konstruktion einer Blockchain sollte man Sicherheitsaspekte frühzeitig berücksichtigen. Je nach definiertem Sicherheitsziel sind Vertraulichkeit, Integrität und Authentizität der Transaktionsdaten, die sichere Ausführung von Smart Contracts sowie das Identitätsmanagement der User passend zu modellieren und umzusetzen. Besonders anspruchsvoll ist hierbei laut BSI die Vertraulichkeit von Daten.
 
Sensible Daten mit langfristigem Schutzbedarf müssen besonders gesichert werden. Denn angesichts langer Verfügbarkeit und potentieller Sensibilität von Daten stellt Langzeitsicherheit eine grosse Herausforderung dar. Da etwa eine Gefährdung durch Quantencomputer und Fortschritte bei der Kryptoanalyse entstehen könnten, müssen Sicherheitsmechanismen der Blockchain bei Bedarf ausgetauscht werden können.
 
Für die Blockchains müssen einheitliche Sicherheitsniveaus etabliert werden. Bei der notwendigen Standardisierung von Blockchains muss insbesondere die IT-Sicherheit berücksichtigt werden. So sind etwa für ausgewählte Komponenten Sicherheitszertifizierungen denkbar, transnationale Blockchains erfordern eine internationale Abstimmung.
 
Das BSI beobachte die Entwicklung und werde an Empfehlungen und Anforderungen mitwirken, schreibt das Amt.
 
Die Eckpunkte des BSI (PDF) lassen sich von der Website des Bundesamtes herunterladen. (ts)