Blockchain: Security first – oder doch nicht?

Wie sicher ist die Blockchain wirklich?

Wie sicher ist die Blockchain wirklich?

Der Hype um Kryptowährungen setzt sich auch 2018 fort. Im Zentrum nach wie vor Bitcoin und die zugrunde liegende Blockchain-Technologie. Nachdem immer mehr digitale Währungen aber auch Anwendungen sich der Blockchain bedienen, fangen nun auch etablierte Player speziell aus der Finanzbranche an, darüber nachzudenken, wie sich die Technologie in ihrem Bereich nutzen lässt.

Das Potenzial der Blockchain-Technologie ist immens und reicht von der Möglichkeit, Netzwerks- und Transaktionskosten erheblich zu verringern oder Kapital freizusetzen, bis hin zur Chance, Risiken stark zu reduzieren. Durch den Einsatz einer Blockchain lassen sich Handels- sowie Clearing und Settlement-Infrastrukturen optimieren, alternative Zahlungsnetzwerke aufbauen, sensible Daten speichern und verschlüsseln sowie Eigentumsrechte nachweisen. Entwickelt werden derzeit zudem komplexere Anwendungen wie „Smart Contracts“, bei denen Vertragsinhalte für bestimmte Assets wie etwa syndizierte Kredite, die gleichzeitig von mehreren Parteien besichert werden, automatisch ausgeführt werden.

Verteilt und gerade deswegen sicher

Im Grunde genommen handelt es sich bei der Blockchain lediglich um eine spezielle Form einer verteilten Datenbank. In dem Fall sind aber nicht nur die Daten verteilt, sondern jeder „Node“ besitzt eine vollständige Kopie der kompletten Blockchain und kann so die Integrität einer Transaktion überprüfen. Wenn ein Node von der Bildfläche verschwindet, sind immer noch alle Daten vorhanden.

Die Technologie unterscheidet sich radikal von anderen Ansätzen, weil Werte direkt „Peer-to-Peer”, also auf individueller Ebene, ausgetauscht werden können, ohne so genannte Intermediäre einzuschalten, die diese Transaktionen prüfen oder verwalten. Die ausgewählten Teilnehmer dieses Ökosystems – dabei kann es sich um Lieferanten, Kunden, Regulatoren oder beliebige andere Stakeholder handeln –  besetzen dabei eine Serie von verteilten „Ledgers”(Knoten). Auch beim Ausfall mehrerer Knoten bleiben alle gespeicherten Informationen erhalten. Dieses „verteilte Kassenbuch”, auf Englisch „Distributed Ledger”, ist die entscheidende Idee hinter der Blockchain und macht sie so sicher.

Kinderkankheiten

Aber auch wenn die Blockchain aktuell in aller Munde ist und angeblich existierende Währungen und Bargeld ablösen könnte – wirklich ausgereift und vor allem massentauglich ist die Technologie noch nicht. Momentan ist z.B. das Bitcoin-Netzwerk, obwohl Milliarden schwer, gerade einmal dazu fähig, einige Transaktionen pro Sekunde zu verarbeiten. Das vereitelt jede breite Nutzung als Zahlungsmittel. Beim Thema Kapazität sind drastische Verbesserungen also unabdingbar.

Ferner müsste ein Standard entwickelt werden, den alle Beteiligten eines Netzwerks akzeptieren. Darüber hinaus gilt es, die rechtlichen Grundlagen für die Nutzung einer Blockchain-Technologie im Business-Umfeld zu schaffen und regulatorische Fragen zu klären. Ein Beispiel: Dass Daten in der Blockchain praktisch unveränderlich sind, kollidiert unter anderem mit dem in der EU-DSGVO verankerten „Recht auf Vergessen”. Man kann jedoch davon ausgehen, dass diese Kinderkrankheiten der Blockchain durch Erweiterungen oder neue Versionen beseitigt werden.

„Narrensichere” Technologie – so weit die Theorie

Eine durchgehende, starke Verschlüsselung sorgt für Sicherheit und der dezentrale Aufbau macht mögliche zentrale Legitimationsinstanzen wie zum Beispiel eine Bank überflüssig. So zumindest der Plan. In der Realität hängen Sicherheit und Integrität von Blockchains vom jeweiligen Kryptokonzept ab – würde die verwendete Technologie geknackt, wäre Manipulationen Tür und Tor geöffnet.

Die Auswahl der richtigen kryptographischen Tools und Methoden ist aber alles andere als trivial, ganz zu schweigen von der Konfiguration. Selbst etablierte Technik wie die Transportverschlüsselung im Web mit Transport Layer Security (TLS) ist nur mit enormem Aufwand zu verstehen und korrekt anzuwenden – übrigens das Internet ist voll von schlecht konfigurierten TLS-Implementierungen. Ob sich dann bei Sicherheitslücken in einer Blockchain wirklich immer alles fixen lässt, steht in den Sternen. Und dann kommen ja auch noch bald die Quantencomputer – und was Postquantenkryptographie angeht, besteht vermutlich noch mehr Unsicherheit als beim Thema Blockchain.

Ransomware & Kontrahentenrisiko

Ein weiterer Faktor ist im vergangenen Jahr ins Zentrum der Aufmerksamkeit gerückt: Ransomware. Cyber-Kriminelle müssen heute gar keine komplizierten technischen Wege beschreiten, um beispielsweise die Bitcoin-Blockchain zu knacken. Viel einfacher ist es, eine Schadsoftware auf Rechnern zu platzieren und anschließend die Anonymität der Kryptowährung zu nutzen, um sich bequem und risikolos das Lösegeld transferieren zu lassen.

Und an dem Punkt kommt ein weiteres Risiko zum Tragen, das so genannte „Kontrahentenrisiko“: Eine Zahlung per Bitcoin ist dahingehend sicher, dass sie erst durchgeführt wird, wenn eine Bedingung erfüllt ist, also in der Regel eine Bestätigung des Auftraggebers erfolgt. Viele Unternehmen mussten aber bei WannaCry & Co. die Erfahrung machen, dass durch Zahlung ihre Bitcoins zwar weg waren, im Gegenzug aber nicht unbedingt ein funktionierender Key zum Entschlüsseln der Daten geliefert wurde. Der Versuch, sein Geld zurückzuerhalten, darf als aussichtslos betrachtet werden.

Wirtschaft bedeutet aber auch Vertrauen auf eine Lieferung zwischen Geschäfts- oder auch Vertragspartnern und nicht ein „vielleicht gibt’s was zurück”. Für die „Entvirtualisierung” von Kryptowährungen in reale Waren oder auch Devisen fehlen aktuell aber noch die notwendigen Garantien.

Acht Tage für eine Transaktion?

Ein weiteres Risiko bei der langfristigen Planung sind die überschaubaren Erfahrungswerte. Selbst die Bitcoin-Blockchain als älteste Implementierung ist noch relativ jung. Auffallend  war aber hier, dass sie dem Bitcoin-Hype der jüngsten Zeit von der Perfomance her ganz eindeutig nicht gewachsen war. Das Gesamtvolumen beträgt aktuell etwa 150 Gigabyte (jeder Beteiligte kann sich theoretisch die komplette Blockchain downloaden), aber vor allem die Masse an Transaktionen hat offenbar Probleme bereitet. Im Januar 2018 haben Bestätigungen für Transaktionen in der Spitze 11.453 Minuten benötigt, also knapp acht Tage (nachzulesen unter https://blockchain.info/charts/avg-confirmation-time?timespan=30days). Wie eine solche Technologie mit Transaktionen in komplexen IoT-Umgebungen klar kommen soll (Stichwort Machine Economy), ist zumindest Stand heute noch schleierhaft.

Fazit: Alles in allem eine faszinierende Technologie mit großem Potenzial. Um dieses zu heben, sind viele Erweiterungen und Verbesserungen notwendig. Sicherheit muss bei all dem im Vordergrund stehen und dafür muss der erste Lackmustest noch bestanden werden.