BSI sieht allerhand Probleme in der Blockchain

Die Liste der deutschen Sicherheitsbehörde ist lang. Sie reicht von fehlerhaftem Code über manipulierte Daten bis zu rechtlichen Unsicherheiten.
 
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Blockchains unter Security-Gesichtspunkten untersucht. Im umfangreichen Bericht kommt die deutsche IT-Security-Behörde zum Schluss, auch mit dem Einsatz von Blockchain "bleiben wohlbekannte Probleme wie die Sicherheit von Hard- und Software bestehen". Es würden neue Angriffsvektoren auf verschiedene Komponenten des Systems dazukommen, hält das BSI zudem fest.
 
Generell ständen Schutzziele der IT-Sicherheit, Anforderungen an die Effizienz sowie die Designziele von Blockchains in einem Spannungsverhältnis. So widersprechen etwa die gewollte Transparenz in Blockchains dem Wunsch nach Vertraulichkeit und Anonymität. Zwar böte der dezentrale Ansatz Vorteile in Sachen Robustheit gegen Missbrauch sowie bei der Verfügbarkeit, aber er hinke gegenüber zentralen Datenbanken in den Punkten Vertraulichkeit und Effizienz hinterher.
 
"Angriffe sind auf verschiedene Komponenten des Blockchain-Systems möglich und können gravierende Auswirkungen haben", bilanziert das deutsche Amt. Als Angriffsvektoren nennt das Amt unter anderem die kryptografischen Routinen, die Konsensmechanismen, das Netzwerk, die Schlüsselsicherheit sowie die praktische Implementierung der Software.
 
Smart Contracts: Fehler im Code, manipulierte Daten…
Für Smart Contracts, Programme die automatisch rechtlich relevante Handlung auslösen, erfordere die Unveränderlichkeit des Codes und die automatisierte Ausführung höchste Sorgfalt bei der Programmierung, mahnt das BSI.
 
Es erwähnt zudem das sogenannte Orakel-Problem: Um Smart Contracts auf einer Blockchain ausführen zu können, müssen Daten über externe Schnittstellen eingespiesen werden. Zu nennen wäre etwa Flugdaten für eine Flugversicherung oder Sportergebnisse für Gewinnauszahlungen. Die Schnittstellen sind aber gerade nicht in der Blockchain gesichert und müssen trotzdem authentische Daten liefern.
 
Zwar würden so genannte Orakel-Dienste einen Authentizität für die gelieferten Daten nachweisen, dies setze dann aber wiederum Vertrauen in diese Akteure voraus. Und ob die Daten bereits im Vorfeld an der Quelle manipuliert wurden, ist damit selbstredend noch nicht ausgeschlossen. Kürzlich hat ein Startup eine mögliche Lösung für das bekannte Problem präsentiert.
 
Aber auch wenn die Daten authentisiert sind, ist die Sicherheit noch nicht gewährleistet: Die Analyse existierender
Übersicht über Angriffe auf Blockchain-Systeme. Grafik: BSI
Smart Contracts habe nämlich eine grosse Zahl von Sicherheits-Problemen zutage gefördert, hält das BSI fest. Diese reichen von Fehlern im Code – die technologiebedingt nicht korrigiert werden können – bis hin zu manipulierbaren Zufallszahlen etwa für Glücksspiele, die auf Smart Contracts abgewickelt werden können.
 
"Sensible langlebige Daten auch verschlüsselt nicht in einer Blockchain ablegen"
Ein weiteres Problem hat das BSI in der Datensicherheit erspäht. Die Schlussfolgerungen sind deutlich: Vertraulichkeit sei in Blockchains schwer zu erreichen, und man solle sensible Daten nicht direkt und ungeschützt auf der Blockchain speichern und verarbeiten. Zudem seien Mechanismen zur Anonymisierung und Pseudonymisierung in Blockchains in der Praxis oftmals nicht zuverlässig. Aussagen zum Sicherheitsniveau der konkreten Blockchain-Anwendungen könnten aber nicht getroffen werden, hält die Sicherheitsbehörde fest.
 
"Um sensible Daten langfristig zu schützen, müssen Massnahmen zur Verfügung stehen, die den Austausch kryptografischer Algorithmen ermöglichen, deren Sicherheitseignung abgelaufen ist." Ohne eine solche Krypto-Agilität sind die unveränderlichen Daten in der Blockchain längerfristig nicht geschützt. Deshalb sollten sensible Daten auch verschlüsselt nicht in einer Blockchain abgelegt werden, so das BSI. Am wenigsten bedenklich sei dies noch in privaten, genehmigungsbasierten Blockchains.
 
Aus dem Datenschutzaspekt folgen auch vielfältige rechtliche Probleme, die auch aufgrund einer fehlenden zentralen Instanz anfallen. Gerade im Bereich DSGVO würden sich auf der Blockchain viele Probleme ergeben. Überhaupt existiert noch keine gefestigte Rechtsprechung in Sachen Blockchain, wie das deutsche Amt erklärt.
 
Das 100-seitige Dokument "Blockchain sicher gestalten" (PDF) kann man von der Website des BSI herunterladen. Was man beachten sollte, wenn man auf Blockchain setzt, hat die Sicherheitsbehörde bereits im Februar 2018 in fünf Eckpunkten definiert. (ts)