Kryptowährung klauen statt kaufen?

Wie Bitcoin und Blockchain gehackt werden

08.02.2018 von Roger Grimes und Florian Maier
Sowohl Bitcoins als auch die Blockchain sind anfällig für Hackerangriffe.

Schon früh fragten sich Bitcoin- und Blockchain-Enthusiasten, ob die kryptische Natur der virtuellen Währung und ihrer zugrundliegenden Plattform stark genug sind, um den Taktiken krimineller Hacker stand zu halten.

Krypto wie 100 Prozent sicher? Leider nicht.
Foto: dennizn - shutterstock.com

Die Antwort auf diese Frage ließ nicht lange auf sich warten: Wie alle computerbasierten Dinge von Wert nahmen Cyberkriminelle schnell sowohl Bitcoin (und andere Kryptowährungen) als auch die Blockchain ins Visier. Seitdem wurden durch wiederholte Hackerangriffe mehrere hundert Millionen Dollar in Kryptowährungen gestohlen. Wir nehmen einige der fiesesten Cyberangriffe und Angriffstaktiken in Zusammenhang mit Bitcoin und Blockchain ins Visier und sagen Ihnen, wie Sie sich - und Ihre Kryptowährungen schützen.

Bitcoin Miner Malware

Jeder erschaffene beziehungsweise "geminte" Bitcoin erschwert das Mining neuer Bitcoins. Den größten Kostenfaktor stellt dabei der Betrieb spezieller Mining-Systemen dar. Aus diesem Grund "borgen" sich nicht wenige Bitcoin-Miner Ressourcen für das Schürfen der Kryptowährung. Zum Beispiel, indem sie Rechner am Arbeitsplatz nutzen oder indem sie Mining-Malware verbreiten. Inzwischen sind viele der größten Malware-Botnetze lediglich dazu da, Bitcoins zu schürfen. Der Sicherheitsanbieter Check Point Software kommt in einer aktuellen Studie zu dem Ergebnis, dass weltweit inzwischen 55 Prozent aller Unternehmen mit Malware infiziert sind, die Kryptowährungen schürfen soll.

Sicher gibt es schlimmere Ziele, die mit Malware verfolgt werden können - dennoch stellt eine solche "Strategie" weiterhin eine unzulässige/strafbare Nutzung von Computersystemen dar und kostet das Opfer Geld. Außerdem frisst die Malware natürlich auch die Rechenpower der infizierten Rechner. Gegen die Mining-Malware sollten Sie sich wie gegen jede andere Schadsoftware auch zur Wehr setzen.

Kompromittierte Krypto-Wallets

Kryptowährungen werden in der Regel in Datensafes - sogenannten Wallets - abgespeichert. Diese virtuellen Geldbeutel können kompromittiert, manipuliert oder gestohlen werden - wie alle anderen Daten von Wert, die sich auf einem Computersystem befinden. Doch man muss nicht gehackt werden, um seine Bitcoin-Wallet los zu werden: Wer sein Passwort vergisst oder die Festplatte verliert, auf der die Daten gespeichert sind, dessen Kryptowährungs-Bestand ist in der Regel für alle Zeiten verloren. Dasselbe Schreckensszenario kann aber auch durch Ransomware angestoßen werden. Denn im Gegensatz zu einem traditionellen Bankkonto können Sie sich nicht einfach über einen anderen Rechner einloggen, um auf Ihre Bestände zuzugreifen. Ist die Bitcoin-Wallet einmal weg, ist sie weg.

Was ist was bei Blockchain, Bitcoin und Co.?
Ethereum
Eine weitere Kryptowährung, die auf dem Blockchain-Prinzip basiert. Bietet eine Plattform für programmierbare Smart Contracts. Die "Ether" werden von Fans als legitime Nachfolger der Bitcoins angesehen (siehe auch obiges Bild).
Cryptlet
Von Microsoft für die Azure-Cloud entwickelter Service, mit dessen Hilfe Anwender externe Daten in eine Blockchain einpflegen können, ohne ihre Sicherheit und Integrität zu zerstören. Cryptlets können als indvidualisierte Middleware auch von Azure-Anwendern selbst entwickelt werden - in jeder beliebigen Programmiersprache - und sollen die Brücke von der Blockchain hin zu neuen Business-Services in der Cloud schlagen.
Kryptowährung
Digitales Geld, ohne Münzen und Scheine. Mithilfe von Kryptografie wird ein verteiltes, sicheres und dezentralisiertes Zahlungssystem aufgebaut. Benötigt keine Banken, sondern Rechenpower und technische Hilfsmittel wie die Blockchain.
Blockchain
Eine Blockchain ist eine dezentrale Datenbank, die eine stetig wachsende Liste von Transaktionsdatensätzen vorhält. Die Datenbank wird chronologisch linear erweitert, vergleichbar einer Kette, der am unteren Ende ständig neue Elemente hinzugefügt werden (daher auch der Begriff "Blockchain" = "Blockkette"). Ist ein Block vollständig, wird der nächste erzeugt. Jeder Block enthält eine Prüfsumme des vorhergehenden Blocks. <br /><br /> Entwickelt wurde das technische Modell der Blockchain im Rahmen der Kryptowährung Bitcoin - als webbasiertes, dezentralisiertes, öffentliches Buchhaltungssystem aller Bitcoin-Transaktionen, die jemals getätigt wurden.
Bitcoin Core
Die Open-Source-Software validiert die gesamte Blockchain und wurde Anfang 2009 von einem gewissen <a href="http://www.computerwoche.de/a/neue-hinweise-auf-moeglichen-urheber-von-digitalwaehrung-bitcoin,3220391" target="_blank">"Satoshi Nakamoto"</a> unter dem Namen "Bitcoin" veröffentlicht. Bitcoin Core war in C++ zuächst vor allem für Windows-Systeme programmiert worden. Wenig später folgte die Portierung auf GNU/Linux. Weil die Entwickler sich zerstritten, existieren mittlerweile einige Derivate der Bitcoin-Software, unter anderem Bitcoin XT, Bitcoin Unlimited oder Bitcoin Classic.
BigchainDB
Die "skalierbale Blockchain-Datenbank" kann bis zu einer Millionen Schreibvorgänge pro Sekunde verwalten, Petabytes an Daten speichern und wartet trotzdem mit einer Latenzzeit von unter einer Sekunde auf - das alles dezentralisiert verwaltet und bei höchster Datenintegrität. Technische Grundlage ist die Blockchain-Technologie.
Distributed Ledger
Finanz-Fachbegriff für "verteilte Kontoführung". Bitcoin ist ein komplett neuer technischer Ansatz, um Informationen über bestimmte Zuordnungen zu verteilen. Es gibt hier kein klassisches Konto mehr, das zentral bei einer Bank geführt wird, sondern die "Kontoführung" basiert auf einem Netzwerk von kommunizierenden Systemen.
Smart Contract
Ein Computerprotokoll, das Verträge abbilden oder überprüfen oder die Verhandlung eines Vertrags technisch unterstützten kann. Könnte künftig den schriftlichen Vertragsabschluss ersetzen.
R3CEV
Das Startup R3 CEV baut die blockchainbasierte "Global Fabric for Finance". Mit rund 50 Finanzpartnern soll die größte Blockchain der Welt entwickelt werden - ein erster Testlauf mit elf Großbanken, darunter Barclays, Credit Suisse, HSBC, UBS und UniCredit wurde bereits erfolgreich absolviert. R3CEV ist eine strategische Partnerschaft mit Microsoft eingegangen, um Blockchain-Infrastruktur und -Technologie in der Azure Cloud entwickeln zu können.
Ripple
Ein Open-Source-Protokoll für ein Zahlungsnetzwerk - derzeit noch in der Entwicklung. P2P-Zahlverfahren und Devisenmarkt in einem, basiert auf der Kryptowährung "XRP". Ripple-Nutzer sind jedoch nicht auf diese eine Währung festgelegt, sondern können jede beliebige Währung verwenden - also beispielsweise auch Euro, Dollar oder Yen.

Das Gros der Experten rät Besitzern von Kryptowährungen wie Bitcoin und Konsorten dazu, in einer Offline-Wallet abzuspeichern, die weder von Malware noch von Hackern angegriffen werden kann. Das kann auf der anderen Seite jedoch dazu führen, dass Sie Ihr Kryptovermögen nicht mehr so ohne weiteres einsetzen können: Es kann einige Tage dauern, bis ein Zugriff möglich wird oder eine Aktualisierung durchgeführt ist. Wenn Sie eine Online-Wallet nutzen wollen, sollten Sie wenn möglich Multi-Faktor-Authentifizierung nutzen.

Transfer-Trojaner

Es gibt Krypto-Trojaner, die in Ihrem Rechner lauern. Und zwar solange, bis sie eine Kryptowährungs-Kontonummer registrieren. Wenn es soweit ist, "erwacht" der Trojaner und ersetzt die Kontonummer, an die Sie Bitcoins versenden wollen, durch eine neue. Wenn Sie hier nicht ganz genau (und zum richtigen Zeitpunkt) hinsehen, sind die Bitcoins beim Druck auf den Senden-Button Geschichte.

Implementations-Schwachstellen

"In der Theorie gibt es zwischen Theorie und Praxis keine Unterschiede. In der Praxis schon." Wer diese Aussage zuerst in die Welt gesetzt hat, ist nicht bekannt. Abgedruckt wurde sie zuerst in "Pascal: An Introduction to the Art and Science of Programming" von Walter J. Savitch.

Wie bei jeder Krypto-Implementation ist der zugrundeliegende, kryptologische Algorithmus meistens wesentlich beständiger als die Software, die ihn implementiert. Ganz generell steht und fällt die Angreifbarkeit einer Blockchain mit derer der kryptografischen Lösungen. Ein Bug im Programmcode oder ein unklug gewählter privater Schlüssel kann das ganze Konstrukt zum Einsturz bringen. Natürlich lässt sich das nur schwer erkennen, bevor man sich wirklich tiefgehend mit einer Kryptowährung oder einem Blockchain-Projekt befasst hat. Deshalb sollten Sie unbedingt darauf achten, dass die Softwareentwickler SDL-Prozesse einsetzen, um Bugs zu minimieren.

Es gab bereits Vorfälle, bei denen kriminelle Hacker versucht haben, die Kryptowährungs-Software zu manipulieren, um Wertbestände zu stehlen. In mindestens einem Fall begingen die Angreifer dabei einen Programmierfehler, der ihnen zwar kein Geld einbrachte, aber dafür sorgte, dass auch alle anderen Wallets korrumpiert wurden. So wurden am Ende alle Nutzer um ihr Krypto-Geld gebracht.

Plaintext-Attacken

Eine gute Verschlüsselung sorgt dafür, dass Informationen nicht als Klartext sichtbar sind. Ein krimineller Hacker sollte also in der Theorie auch keine Chance haben, solche Daten zu entschlüsseln. Allerdings ist bei jeder Blockchain-Technologie das Format der einzelnen Blöcke entweder bekannt oder ziemlich leicht herauszufinden. Bestimmte Buchstaben, Zahlen und Sonderzeichen befinden sich in diesen Blöcken immer an derselben Stelle.

So könnten sich Krypto-Hacker ein partielles Abbild vom Klartext in jedem einzelnen Block beschaffen. Zudem ist jederBlockauch eine Funktion des vorherigen Blocks, was wiederum den allgemeinen Schutz der zugrundeliegenden Verschlüsselungs-Technologie schwächt. Ist der Code frei von Schwachstellen, gibt es keine größeren Probleme - dennoch bilden Plaintext-Attacken einen beliebten "Startpunkt" für Angreifer.

Die Funktionsweise von Blockchain
Blockchain
Blockchain wird in den kommenden Jahren zur Schlüsseltechnologie in der IT werden.
(1) Transaktion
Die Transaktion ist die elementare Grundeinheit der Blockchain. Zwei Parteien tauschen Informationen miteinander aus. Dies kann der Transfer von Geld oder Vermögenswerten, der Abschluss eines Vertrags, eine Krankenakte oder eine Urkunde sein, die digital gespeichert wurde. Transaktionen funktionieren im Prinzip wie das Versenden von E-Mails.
(2) Verifizierung
Die Verifizierung prüft, ob eine Partei die entsprechenden Rechte für die Transaktion hat. Die Prüfung erfolgt augenblicklich oder es wird in eine Warteschlange geschrieben, die die Prüfung später durchführt. An dieser Stelle werden Knoten, also Computer oder Server im Netzwerk, eingebunden und die Transaktion verifiziert.
(3) Struktur
Die Transaktionen werden zu Blöcken zusammengefasst, wobei diese mit einer Hash-Funktion als Bit-Nummer verschlüsselt werden. Die Blöcke können durch die Zuweisung des Hash-Wertes eindeutig identifiziert werden. Ein Block enthält einen Header, eine Referenz auf den vorhergehenden Block und eine Gruppe von Transaktionen. Die Abfolge der verlinkten Hashes erzeugt eine sichere und unabhängige Kette.
(4) Validierung
Bevor die Blöcke erzeugt werden, müssen die Informationen validiert werden. Das am meisten verbreitete Konzept für die Validierung von Open-Source-Blockchains ist das „Proof of Work“-Prinzip. Dieses Verfahren stellt in der Regel die Lösung einer schweren mathematischen Aufgabe durch den Nutzer beziehungsweise dessen Computer dar.
(5) Blockchain Mining
Der Begriff Mining stammt aus der Bergbau und meint das „Schürfen“. Bei diesem Vorgang wird der Block erzeugt und gehasht. Um zum Zug zu kommen, müssen die Miner ein mathematisches Rätsel lösen. Wer als Erstes die Lösung hat, wird als Miner akzeptiert. Der Miner erhält für seine Arbeit ein Honorar in Form von Kryptowährung (Bitcoin).
(6) Die Kette
Nachdem die Blöcke validiert wurden und der Miner seine Arbeit verrichtet hat, werden die Kopien der Blöcke im Netzwerk an die Knoten verteilt. Jeder Knoten fügt den Block an der Kette in unveränderlicher und unmanipulierbarer Weise an.
(7) Verteidigung
Wenn ein unehrlicher Miner versucht, einen Block in der Kette zu ändern, so werden auch die Hash-Werte des Blockes und der nachfolgenden Blöcke geändert. Die anderen Knoten werden diese Manipulation erkennen und den Block von der Hauptkette ausschließen.

Schwache Verschlüsselung?

Etliche Security-Experten fragen sich inzwischen, ob der Verschlüsselungsstandard SHA-256 (der dieselben mathematischen Schwächen wie sein Vorgänger SHA-1aufweist) zur Gefahr für Bitcoin und Blockchain wird. So weit ist es glücklicherweise noch nicht - SHA-256 ist stark genug für die nächsten Jahre. Da SHA-256 auch bei den meisten Finanz- und HTTPS-Transaktionen zum Einsatz kommt, dürften wir Probleme bekommen, die weit über Bitcoin und Blockchain hinausgehen, wenn ein Hacker es schafft, diesen Verschlüsselungsstandard zu knacken.

Wenn Sie eine eigene Kryptowährung oder einBlockchain-Projekt an den Start bringen wollen, sollten Sie sich mit "Krypto-Agilität" befassen: Das ermöglicht den Austausch von einzelnen Codezeilen unter Beibehaltung der zugrundeliegenden Software.

Webseiten-Hacks

Eine der gängigsten Security-Gefahren im Zusammenhang mit Bitcoin und Blockchain ist der "gute alte" Webseiten-Hack. Erst Anfang Dezember 2017 konnten kriminelle Hacker eine Internet-Plattform um Bitcoinsim Wert von 70 Millionen Dollar erleichtern. Inzwischen wurden bereits deutlich zu viele, millionenschwere Kryptowährungs-Seiten und -Plattformen erfolgreich gehackt. Wenn das passiert, lösen sich in der Regel auch die Bitcoin-Vorräte der Nutzer schlicht in Luft auf. Sie tun also gut daran, Ihre Kryptowährungs-Bestände in einer Offline-Umgebung zu sichern, beziehungsweise in einer solchen ein Backup vorzuhalten.

Einige der größten Plattform-Hacks wurden übrigens skrupellosen Betreibern nachgewiesen, die sich mit illegal beschafften Millionen aus dem Staub machten. Wenn Sie mit/über eine Kryptowährungs-Seite oder -Plattform Geschäfte machen, stellen Sie sicher, dass diese Seite in Sachen Security gut aufgestellt und vertrauenswürdig ist. Eine Einlagensicherung rettet Sie hier nämlich (noch) nicht.

Der Sicherheitsanbieter Dashlane hat in einer aktuellen Studie erstmals verschiedene Kryptowährungs-Webseiten, beziehungsweise Handelsbörsen, auf deren Passwort-Sicherheit abgeklopft. Die Ergebnisse sind - gelinde gesagt - beunruhigender Natur:

Foto: Dashlane

Demnach erlauben 43 Prozent der von Dashlane geprüften Kryptowährungs-Portale ihren Nutzern, Passwörter mit sieben und weniger Zeichen zu erstellen, während 34 Prozent erst gar keine alphanumerischen Passwörter voraussetzen. Die Hälfte der Websites stellt seinen Usern darüber hinaus auch kein Tool zur Verfügung, das Auskunft über die Stärke des gewählten Passwortes erteilt, so der US-Sicherheitsanbieter weiter. Im Vorjahr hatte Dashlane bereits etliche Consumer-Websites auf deren Passwort-Sicherheit überprüft - dabei kam man auf eine "Durchfallquote" von knapp 49 Prozent. Vergleicht man das mit den 71 Prozent des aktuellen Tests von Kryptowährungs-Seiten, kommt man nicht umhin, sich ungläubig am Kopf zu kratzen.

"Das Anmelden bei einer Website für Kryptowährungen ist vergleichbar mit dem Eröffnen eines Bankkontos", erklärt Emmanuel Schalit, CEO von Dashlane. "Solche Seiten speichern die persönlichen Bankkonto- und Kreditkarteninformationen, die Bitcoins und weitere digitale Vermögenswerte. Deshalb ist es entscheidend, dass Ihr Konto in puncto Sicherheit nichts zu wünschen übriglässt."

Wie ein sicheres Passwort aussehen muss und welche Tools Sie beim Erstellen und Verwalten Ihrer Zugangsschlüssel unterstützen können, lesen Sie hier.

Fazit: Auf die Größe kommt es an

Ein Schlüsselkonzept im Zusammenhang mit Blockchain-Security gilt es zu verstehen: Öffentliche, verteilte Blockchains sind von Natur aus sicherer als privateBlockchains. Schließlich müsste ein krimineller Hackermehr als 50 Prozent der Teilnehmer oder Blöcke in einem solchen System kompromittieren - und zwar schneller, als neue Blöcke geschrieben werden. Deswegen sind größere Blockchains sicherer als kleinere.

Inzwischen stellen auch nicht wenige Security-Spezialisten in Frage, obBlockchainsfür einzelne Unternehmen überhaupt Sinn machen. Trotzdem wird es weiterhin kleine private Blockchains geben - einerseits wegen ihres Potenzials bei Finanztransaktionen, andererseits weil diese in der Zukunft wahrscheinlich Komponenten von großen Hybrid- oder Public Blockchains werden.

Jede Security-Fachkraft sollte die Blockchain-Technologie und die von ihr ausgehenden Potenziale verstehen. Denn auch wenn die Technologie sehr sicher ist - auch sie kann gehackt werden.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.