Kryptowährung klauen statt kaufen?
Wie Bitcoin und Blockchain gehackt werden
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Plaintext-Attacken
Eine gute Verschlüsselung sorgt dafür, dass Informationen nicht als Klartext sichtbar sind. Ein krimineller Hacker sollte also in der Theorie auch keine Chance haben, solche Daten zu entschlüsseln. Allerdings ist bei jeder Blockchain-Technologie das Format der einzelnen Blöcke entweder bekannt oder ziemlich leicht herauszufinden. Bestimmte Buchstaben, Zahlen und Sonderzeichen befinden sich in diesen Blöcken immer an derselben Stelle.
So könnten sich Krypto-Hacker ein partielles Abbild vom Klartext in jedem einzelnen Block beschaffen. Zudem ist jederBlockauch eine Funktion des vorherigen Blocks, was wiederum den allgemeinen Schutz der zugrundeliegenden Verschlüsselungs-Technologie schwächt. Ist der Code frei von Schwachstellen, gibt es keine größeren Probleme - dennoch bilden Plaintext-Attacken einen beliebten "Startpunkt" für Angreifer.
- Blockchain
Blockchain wird in den kommenden Jahren zur Schlüsseltechnologie in der IT werden. - (1) Transaktion
Die Transaktion ist die elementare Grundeinheit der Blockchain. Zwei Parteien tauschen Informationen miteinander aus. Dies kann der Transfer von Geld oder Vermögenswerten, der Abschluss eines Vertrags, eine Krankenakte oder eine Urkunde sein, die digital gespeichert wurde. Transaktionen funktionieren im Prinzip wie das Versenden von E-Mails. - (2) Verifizierung
Die Verifizierung prüft, ob eine Partei die entsprechenden Rechte für die Transaktion hat. Die Prüfung erfolgt augenblicklich oder es wird in eine Warteschlange geschrieben, die die Prüfung später durchführt. An dieser Stelle werden Knoten, also Computer oder Server im Netzwerk, eingebunden und die Transaktion verifiziert. - (3) Struktur
Die Transaktionen werden zu Blöcken zusammengefasst, wobei diese mit einer Hash-Funktion als Bit-Nummer verschlüsselt werden. Die Blöcke können durch die Zuweisung des Hash-Wertes eindeutig identifiziert werden. Ein Block enthält einen Header, eine Referenz auf den vorhergehenden Block und eine Gruppe von Transaktionen. Die Abfolge der verlinkten Hashes erzeugt eine sichere und unabhängige Kette. - (4) Validierung
Bevor die Blöcke erzeugt werden, müssen die Informationen validiert werden. Das am meisten verbreitete Konzept für die Validierung von Open-Source-Blockchains ist das „Proof of Work“-Prinzip. Dieses Verfahren stellt in der Regel die Lösung einer schweren mathematischen Aufgabe durch den Nutzer beziehungsweise dessen Computer dar. - (5) Blockchain Mining
Der Begriff Mining stammt aus der Bergbau und meint das „Schürfen“. Bei diesem Vorgang wird der Block erzeugt und gehasht. Um zum Zug zu kommen, müssen die Miner ein mathematisches Rätsel lösen. Wer als Erstes die Lösung hat, wird als Miner akzeptiert. Der Miner erhält für seine Arbeit ein Honorar in Form von Kryptowährung (Bitcoin). - (6) Die Kette
Nachdem die Blöcke validiert wurden und der Miner seine Arbeit verrichtet hat, werden die Kopien der Blöcke im Netzwerk an die Knoten verteilt. Jeder Knoten fügt den Block an der Kette in unveränderlicher und unmanipulierbarer Weise an. - (7) Verteidigung
Wenn ein unehrlicher Miner versucht, einen Block in der Kette zu ändern, so werden auch die Hash-Werte des Blockes und der nachfolgenden Blöcke geändert. Die anderen Knoten werden diese Manipulation erkennen und den Block von der Hauptkette ausschließen.
Schwache Verschlüsselung?
Etliche Security-Experten fragen sich inzwischen, ob der Verschlüsselungsstandard SHA-256 (der dieselben mathematischen Schwächen wie sein Vorgänger SHA-1aufweist) zur Gefahr für Bitcoin und Blockchain wird. So weit ist es glücklicherweise noch nicht - SHA-256 ist stark genug für die nächsten Jahre. Da SHA-256 auch bei den meisten Finanz- und HTTPS-Transaktionen zum Einsatz kommt, dürften wir Probleme bekommen, die weit über Bitcoin und Blockchain hinausgehen, wenn ein Hacker es schafft, diesen Verschlüsselungsstandard zu knacken.
Wenn Sie eine eigene Kryptowährung oder einBlockchain-Projekt an den Start bringen wollen, sollten Sie sich mit "Krypto-Agilität" befassen: Das ermöglicht den Austausch von einzelnen Codezeilen unter Beibehaltung der zugrundeliegenden Software.
Webseiten-Hacks
Eine der gängigsten Security-Gefahren im Zusammenhang mit Bitcoin und Blockchain ist der "gute alte" Webseiten-Hack. Erst Anfang Dezember 2017 konnten kriminelle Hacker eine Internet-Plattform um Bitcoinsim Wert von 70 Millionen Dollar erleichtern. Inzwischen wurden bereits deutlich zu viele, millionenschwere Kryptowährungs-Seiten und -Plattformen erfolgreich gehackt. Wenn das passiert, lösen sich in der Regel auch die Bitcoin-Vorräte der Nutzer schlicht in Luft auf. Sie tun also gut daran, Ihre Kryptowährungs-Bestände in einer Offline-Umgebung zu sichern, beziehungsweise in einer solchen ein Backup vorzuhalten.
Einige der größten Plattform-Hacks wurden übrigens skrupellosen Betreibern nachgewiesen, die sich mit illegal beschafften Millionen aus dem Staub machten. Wenn Sie mit/über eine Kryptowährungs-Seite oder -Plattform Geschäfte machen, stellen Sie sicher, dass diese Seite in Sachen SecuritySecurity gut aufgestellt und vertrauenswürdig ist. Eine Einlagensicherung rettet Sie hier nämlich (noch) nicht. Alles zu Security auf CIO.de
Der Sicherheitsanbieter Dashlane hat in einer aktuellen Studie erstmals verschiedene Kryptowährungs-Webseiten, beziehungsweise Handelsbörsen, auf deren Passwort-Sicherheit abgeklopft. Die Ergebnisse sind - gelinde gesagt - beunruhigender Natur:
Demnach erlauben 43 Prozent der von Dashlane geprüften Kryptowährungs-Portale ihren Nutzern, Passwörter mit sieben und weniger Zeichen zu erstellen, während 34 Prozent erst gar keine alphanumerischen Passwörter voraussetzen. Die Hälfte der Websites stellt seinen Usern darüber hinaus auch kein Tool zur Verfügung, das Auskunft über die Stärke des gewählten Passwortes erteilt, so der US-Sicherheitsanbieter weiter. Im Vorjahr hatte Dashlane bereits etliche Consumer-Websites auf deren Passwort-Sicherheit überprüft - dabei kam man auf eine "Durchfallquote" von knapp 49 Prozent. Vergleicht man das mit den 71 Prozent des aktuellen Tests von Kryptowährungs-Seiten, kommt man nicht umhin, sich ungläubig am Kopf zu kratzen.
"Das Anmelden bei einer Website für Kryptowährungen ist vergleichbar mit dem Eröffnen eines Bankkontos", erklärt Emmanuel Schalit, CEO von Dashlane. "Solche Seiten speichern die persönlichen Bankkonto- und Kreditkarteninformationen, die Bitcoins und weitere digitale Vermögenswerte. Deshalb ist es entscheidend, dass Ihr Konto in puncto Sicherheit nichts zu wünschen übriglässt."
Wie ein sicheres Passwort aussehen muss und welche Tools Sie beim Erstellen und Verwalten Ihrer Zugangsschlüssel unterstützen können, lesen Sie hier.
Fazit: Auf die Größe kommt es an
Ein Schlüsselkonzept im Zusammenhang mit Blockchain-Security gilt es zu verstehen: Öffentliche, verteilte Blockchains sind von Natur aus sicherer als privateBlockchainsBlockchains. Schließlich müsste ein krimineller Hackermehr als 50 Prozent der Teilnehmer oder Blöcke in einem solchen System kompromittieren - und zwar schneller, als neue Blöcke geschrieben werden. Deswegen sind größere Blockchains sicherer als kleinere. Alles zu Blockchain auf CIO.de
Inzwischen stellen auch nicht wenige Security-Spezialisten in Frage, obBlockchainsfür einzelne Unternehmen überhaupt Sinn machen. Trotzdem wird es weiterhin kleine private Blockchains geben - einerseits wegen ihres Potenzials bei Finanztransaktionen, andererseits weil diese in der Zukunft wahrscheinlich Komponenten von großen Hybrid- oder Public Blockchains werden.
Jede Security-Fachkraft sollte die Blockchain-Technologie und die von ihr ausgehenden Potenziale verstehen. Denn auch wenn die Technologie sehr sicher ist - auch sie kann gehackt werden.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.