Übersicht  

Unreguliert und angreifbar

Ein wesentliches Argument für die Blockchain-Technologie ist ihre Fälschungssicherheit. Die Wahrheit ist: Es ist schwer, bei der Benutzung von Blockchains nicht in Sicherheitslücken zu stolpern.

31.01.2018
Artikel zum Anhören

Blockchain-Systeme sind auf bewährten Verschlüsselungssystemen aufgebaut, was viele Angriffe grundsätzlich verhindert. Beispielsweise ist es Angreifern unmöglich, Transaktionen von Konten zu erzeugen, deren Zugangsdaten sie nicht besitzen. Ausgehende Transaktionen müssen mit diesen Zugangsdaten kryptographisch signiert werden.

Allerdings sind relevante Blockchain-Systeme komplex und geografisch weit verteilt, was einige Angriffe ermöglicht. Unabhängig von der technischen Angreifbarkeit sind die Einsatzbereiche für Blockchains oft großteils unreguliert und anfällig für betrügerische Geschäfte05.

Szenario 1: Angreifer kontrolliert sehr, sehr, sehr viel Rechnerleistung

Bei Systemen, deren Sicherheit auf der Lösung von kryptographischen Aufgaben beruht, wird die Integrität des Systems durch geleistete Rechenarbeit garantiert. Miner verwenden oft spezielle Geräte, die nur auf die Lösung dieser Aufgaben ausgelegt sind. Die Aufgaben werden automatisch schwieriger, je mehr Rechenleistung an den Blockchain-Netzwerken teilnimmt. Es ist höchst unwahrscheinlich, dass einzelne Angreifer über ein Vielfaches der Rechenleistung von etablierten Blockchains verfügen. Sollten solche Angreifer existieren, könnten sie zwar immer noch nicht Überweisungen von Konten fälschen, auf die sie keinen Zugriff haben. Aber sie könnten beispielsweise die komplette Geschichte der Blockchain neu schreiben. Das gesamte Bitcoin-Netzwerk würde aktuell etwa 200 Tage dafür benötigen. Hätte ein Angreifer die 200-fache Rechenleistung der Blockchain, wäre es jedoch in einem Tag erledigt.

Was bringt ein Neuschreiben der Geschichte? Die Angreifer könnten beispielsweise alle ihre Einnahmen in der Blockchain belassen und alle ihre Ausgaben ungeschehen machen.

icon-bubble

Top Kommentar

Szenario 2: Angreifer kontrolliert etwas mehr als 50 Prozent des Blockchain-Netzwerks

Kontrolliert ein Angreifer das Bitcoin-Netzwerk, etwa indem er etwas über 50 Prozent der Rechenleistung des Netzwerks übernimmt, ist eine weitere Art von Attacke möglich. Der Angreifer kann seinen Teil des Netzwerks abkapseln, dem kleineren Rest des Netzwerks eine Transaktion übermitteln und sie bestätigen lassen. Das Netzwerk des Angreifers kann jedoch eine alternative Blockchain ohne die Transaktion weiterführen und diese jederzeit dem kleineren Teil des Netzwerks übermitteln. Da die alternative Blockchain mehr Rechenleistung beinhaltet, überschreibt sie die Blockchain, die die Transaktion beinhaltet – sie wurde also bestätigt, durchgeführt, ist aber im Nachhinein trotzdem nicht geschehen.

icon-bubble

Top Kommentar

Szenario 3: Verkäufer will nicht auf Bestätigung warten

Ähnlich wie in Szenario 2 kann man auch die Situation ausnutzen, dass Verkäufer digitale Güter verkaufen, die sie sofort bereitstellen wollen. Für diese Art von Transaktion ist es relativ einfach, die Verkäufer zu betrügen, da der Transaktion oft nicht genug Zeit gegeben wird, in einem Block bestätigt zu werden. Für Verkäufer, die solche und verwandte Probleme vermeiden wollen, gibt es mittlerweile Versicherungen, die sie gegen Szenario 2 und Szenario 3 absichern.

icon-bubble

Top Kommentar

Szenario 4: Angreifer kontrolliert eine Wallet-App

Eine übliche Wallet ermöglicht einem User die Verwaltung von Vermögen auf Blockchains auf mehreren Adressen, inklusive der Möglichkeit, neue Adressen zu generieren.

Hier gibt es mehrere Szenarien, wie ein Angriff oder ein Betrug ausgeführt werden könnte. Die Wallet könnte die generierten Zugangsdaten an einen Angreifer übermitteln, ohne dass es dem User bewusst ist. Dieser kann dann damit jedes aktuell oder in Zukunft in der Adresse vorhandene Vermögen an eine andere Adresse überweisen. Die Wallet könnte auch eine unsichere Funktion verwenden, um die Adresse zu generieren, wodurch die Zugangsdaten einfach genug mit einer Brute-Force-Attacke zu erraten sind. Auf diese Art muss keine Information an den Angreifer übermittelt werden, wodurch der Angriff schwerer zu entdecken ist. Da die Transfers nicht umkehrbar sind, kann der Geschädigte seine Coins nicht mehr zurückholen.

icon-bubble

Top Kommentar

Schwache Zufallszahlen in IOTA-Wallets

Mehrere IOTA-Wallets wurden kompromittiert, da ein oft verwendeter Programmcode zur Generierung von Zugangsdaten eine nicht ausreichend „zufällige“ Funktion zur Generierung von Zufallszahlen verwendete. Ob der Autor dieses Codes von dieser Schwachstelle wusste und sie absichtlich ausnutzte, oder ob der Fehler von einem anderen Angreifer entdeckt und ausgenutzt wurde, ist nicht klar.

Zugriff auf eine Wallet-App können Angreifer auf mehrere Arten erlangen. Ein Wallet-Anbieter könnte beispielsweise den Betrug von langer Hand planen und warten, bis seine Wallet-Software eine kritische Masse erreicht, sodass der Angreifer mehr Geld stehlen kann, als die Entwicklung und Bewerbung der Software gekostet hat. Abhilfe schafft Open-Source-Software, wenn sie von vielen Experten regelmäßig auf Schwachstellen überprüft wird. Wallets, deren Quellcode nicht offen ist, sollten auch nicht empfohlen werden.

Einfallstor Auto-Update

Eine weitere Möglichkeit ist das Einschleusen von schadhaftem Code mittels Autoupdate oder einer anderen Sicherheitslücke. Normalerweise muss der Code des Autoupdates vom Ersteller der Software signiert sein. Falls der Signatur-Private-Key des Herstellers jedoch kompromittiert ist, könnte jeder Angreifer Schadcode als Software-Update nachliefern. Als User kann man sich vor dieser Art von Attacke schützen, indem man nur von Experten empfohlene Wallets verwendet, welche regelmäßig überprüft werden. User sollten außerdem regelmäßig überprüfen, ob die Wallet weiterhin als sicher angesehen wird.

Menschliche und technische Sicherheitslücken

Angreifer können außerdem mittels Phishing oder Ausnutzen von Sicherheitslücken die Kontrolle über Computer übernehmen. Dann ist es für den Angreifer einfach, auf dem Computer gespeicherte Zugangsdaten auszulesen. Abhilfe schafft es, Passwörter für den Zugriff auf Zugangsdaten festzulegen oder eine Hardware-Wallet zu verwenden, welche die Transaktionen signiert, ohne dass die Zugangsdaten jemals im Speicher des verwendeten Rechners liegen.

icon-bubble

Top Kommentar

Szenario 5: Angreifer kontrolliert einen Bitcoin-Exchange

Etwa 850.000 Bitcoin konnten Angreifer 2014 übernehmen, indem sie den Bitcoin-Exchange Mt. Gox hackten. Bitcoin-Exchanges müssen, um die Konten für ihre Kunden zu verwalten, die Zugangsdaten für die kontrollierten Konten selbst speichern – und können sie deswegen auch verlieren. Der Hack von Mt. Gox ist nicht der einzige Hack eines Exchanges. Wer Cryptocurrencies hält, sollte also zumindest andenken, die Sicherheit des Blockchainvermögens selbst in die Hand zu nehmen.

Zusammenfassend lässt sich sagen: Es ist nicht ganz einfach, bei der Benutzung von Blockchains nicht in Sicherheitslücken zu stolpern. 

icon-bubble

Top Kommentar

Eine Brute-Force-Attacke ist ein Angriff, der durch das Ausprobieren aller möglichen Werte durchgeführt wird. Einfache, kurze Passwörter können durch Angriffe dieser Art recht einfach erraten werden. Korrekt erzeugte Zugangsdaten, wie sie zum Zugriff auf Blockchain-Konten üblich sind, sind üblicherweise ausreichend zufällig, sodass es Jahre dauern würde, alle möglichen Werte durchzuprobieren.

Phishing (abgeleitet von fishing/angeln) ist ein Angriff, der menschliche Sicherheitslücken ausnutzt. Angreifer erstellen E-Mails oder Websites, die Benutzer dazu bringen, ihre persönlichen Daten oder Passwörter preiszugeben. Beispielsweise werden E-Mails versendet, die vorgeben, von einer Bank verschickt zu werden. In ihnen befinden sich Links zu Websites, die wie die Websites von Banken (oder beispielsweise Google) aussehen, die aber die eingegebenen Daten an die Angreifer übermitteln.

Eine Hardware-Wallet ist ein eigenes Gerät, auf dem Zugangsdaten zu Konten auf Blockchains gespeichert werden können. Sie erlauben den Zugriff auf diese Konten, ohne dass die geheimen Zugangsdaten jemals das Gerät verlassen müssen.

Das ganze Paket

Sie wollen unsere Inhalte verbreiten? Wir stellen Ihnen diesen Artikel mit seinen Elementen zur Verfügung.
Paket downloaden
download_icons

Inhaltspaket downloaden

Dieser Artikel und seine Inhalte können übernommen und verbreitet werden. Folgende Bedingungen sind dabei zu beachten:

  • Addendum als Quelle zitieren
  • Backlink zum ursprünglichen Artikel auf addendum.org setzen
  • Inhalte können nicht ohne Absprache mit Addendum verändert werden
  • Wird der gesamte Artikel veröffentlicht, muss ein Zählpixel eingebaut werden, Instruktionen dazu finden Sie in unseren Nutzungsbedingungen
  • Weitere Bilder können auf Anfrage an [email protected] beantragt werden

Bitte beachten Sie die Nutzungsbedingungen zur Verwendung unserer Inhalte, welche Sie unter folgendem Link in ihrer aktuellen Form abrufen können: http://add.at/nbd

close

Vielen Dank!

Ihr Download ist nun bereit!

Addendum_017_03_Blockchain.zip
6 MB

Inhaltspaket anfordern
31.01.2018

Das Rechercheteam

Markus „Fin“ Hametner
Team Daten

Markus Hametner hat Informatik studiert, baut seit 2011 Brücken zwischen Technologie und Journalismus und beschäftigt sich seit 2014 als Datenjournalist mit internationalen Datenrecherchen und interaktiven Visualisierungsformen. In seiner Freizeit betreibt er als Mitgründer des Forum Informationsfreiheit die Plattform FragDenStaat.at und trägt erfolgreich Rechtsstreite mit Behörden aus, die Auskünfte verweigern.

Martin Thür
Team TV

Martin Thür ist seit 18 Jahren Fernsehjournalist. Von 2002-2017 war er in der ATV-Nachrichtenabteilung tätig und hat dort Nachrichten, Reportagen und Wahlberichterstattung gemacht. Von 2014-2017 war er Moderator der politischen Interviewsendung “Klartext”. Für Addendum gestaltet er TV-Reportagen.

Elisabeth Oberndorfer
Team Recherche

Elisabeth Oberndorfer startete ihre journalistische Karriere in der Innenpolitik-Redaktion von derStandard.at und war unter anderem stellvertretende Chefredakteurin des Medienwirtschaft Verlags. 2013 ging sie als freie Korrespondentin nach San Francisco. Für Gründerszene, Wired Germany, NZZ.at und andere deutschsprachige Medien berichtete sie über Wirtschaft, Technologie und Silicon Valley. Während ihrer Zeit in Kalifornien gründete das Online-Magazin Fillmore.at. Bei Addendum verantwortet sie als Chefin vom Dienst die Plattform.

Ralph Janik
Team Experten

Ralph Janik hat in Wien und Alcalá de Henares (Madrid) Rechtswissenschaften und Politikwissenschaft studiert. Danach Studium in internationalem Recht und Europarecht an der Universität Amsterdam. Beruflich unter anderem wissenschaftlicher Assistent an der Universität Amsterdam und an der rechtswissenschaftlichen Fakultät der Universität Wien.

Stefan Schett
Team Social Media
stefanschett

Stefan Schett hat in Wien Politikwissenschaft studiert und arbeitet nebenbei an seinem Zweitstudium Publizistik. Er war lange Zeit als freier Journalist und Social Media Manager tätig, journalistische Erfahrung sammelte er unter anderem beim Kurier und bei Puls 4. Für Addendum kümmert er sich um die Konzeption und Erstellung von Social Media-Content.

Viktor Sohm
Team Experten
x

Folgende Artikel gehören zum Projekt 017 Blockchain

017_01 Gelesen

So funktioniert die Blockchain

017_02 Gelesen

Wie Konzerne Blockchain-Milliarden heben wollen

017_03 Gelesen

Unreguliert und angreifbar

017_04 Gelesen

Warum Kryptobetrug so verlockend ist

017_05 Gelesen

Im Kontext: Der Bitcoin-Hype – gefährliches Spiel?

TV-Reportage
017_06 Gelesen

Wie ein Staat mit seiner eigenen Kryptowährung an reales Geld kommen will

017_07 Gelesen

Verwaltungsreform via Blockchain? Nicht in Österreich

017_08 Gelesen

Strom, Lebensmittel, Datenspeicher: Wie die Blockchain Österreich erreicht

Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Addendum ist nicht werbefinanziert und nutzt Cookies, um mehr über das Nutzerverhalten zu erfahren und so das Angebot zu verbessern.
Hier erfahren Sie mehr über Cookies und Datenschutz bei Addendum.

QVV Siegel

Zum Newsletter anmelden

Jede Woche informieren wir Sie über unser aktuelles Projekt mit tiefgründigen Recherchen.

Zum Newsletter angemeldet

Bitte bestätigen Sie die Newsletter-Anmeldung in Ihrer Mailbox.