Mit <kes>+ lesen

Blockchain nach dem Hype

Nachdem mittlerweile nicht mehr „täglich“ irgendwo tolle neue Ideen für und mit Blockchains vorgeschlagen werden, hat die ausgewählte Experten nach ihrer Einschätzung zu Gegenwart und Zukunft von Blockchains und Distributed Ledgers gefragt.

Lesezeit 13 Min.

Blockchains und Distributed Ledgers (verteilte Transaktionsregister bzw. dezentral geführte Kontenbücher/Hauptbücher) sind zunächst recht grundlegende Verfahren. Neben der namensgebenden Eigenschaft, Blöcke kryptografisch zu verketten, nennt ein eco-Whitepaper [1] als Basismerkmale von Blockchains eine dezentrale Datenstruktur, redundante Verteilung der Daten im Netz, manipulationssichere Speicherung sowie Nachvollziehbarkeit gespeicherter Daten. Hierfür sind viele Anwendungsfälle denkbar. Wir haben Verbände, Berater, Anbieter, Forschungseinrichtungen und das BSI gefragt, wo ihrer Meinung nach – abgesehen vom Einsatz für Bitcoin & Co. – die vielversprechendsten Use-Cases liegen.

Anwendungen

David Fuhr, Head of Research bei der HiSolutions AG, sieht nach den aufgetretenen Schwierigkeiten im Umfeld von Kryptowährungen vor allem Potenzial im kryptografisch fälschungssicheren Ledger: „Da dieser der Natur nach verteilt zu denken ist, taugt er im Wesentlichen für Anwendungen, die nicht primär Vertraulichkeit erfordern, sondern vor allem ein großes Maß an Integrität. Hier kann in Settings mit mehreren Stakeholdern eine Datenbank der gemeinsamen ‚Wahrheit‘ gepflegt und verteilt werden.“ Ein solcher Anwendungsbereich liege etwa im Vertragsmanagement, auch mit automatisierten Verträgen (sog. Smart Contracts).

Erste Anwendungsfälle und Konzeptversuche im Vertragswesen hat Thomas Uhlemann, Security Specialist DACH bei der ESET Deutschland GmbH, bereits beobachtet: „Da die Inhalte der Blockchain als unveränderlich gelten, ist der Gedanke, so verlässliche Bestimmungen und Vertrauensstellungen revisionssicher zu definieren. Denkbar ist auch, dass das Konzept der Vertrauensstellungen bei Authentifizierungen innerhalb des Systems oder von Systemen untereinander ergänzend zu Softwarezertifikaten zum Einsatz kommt – allerdings ist das derzeit noch sehr theoretisch.“

Der Experte für Blockchain im Bundesamt für Sicherheit in der Informationstechnik (BSI), Manfred Lochter, sieht Anwendungen zunächst in Bereichen, in denen Informationen nicht langfristig geschützt werden müssen, „beispielsweise im Supply-Chain-Management oder im Handel von selbst erzeugtem Strom“ und ergänzt: „Blockchains könnten eventuell auch bei der Erstellung von Audit-Files verwendet werden, um eine ununterbrochene zeitliche Reihung von Ereignissen zu dokumentieren.“ Zu den Herausforderungen an sichere Implementierungen von Blockchains hat das BSI übrigens einen Leitfaden [2] erstellt.

Prof. Wolfgang Prinz, PhD, Stellvertretender Institutsleiter des Fraunhofer-Instituts für Angewandte Informationstechnik (FIT), schätzt eine Nutzung für Smart Contracts als Clearing-Stelle und zum Handel mit Daten zusammen mit Einführung einer Art programmierbaren Euros, der die Automatisierung vieler Prozesse möglich machen könnte, sowie der Unterstützung von Nachhaltigkeitsprozessen durch die Eigenschaft der Rückverfolgbarkeit eher erst als mittelfristig umsetzbar ein. Auch kurzfristig seien hingegen Einsatzbereiche als Datennotar zur Sicherung der Authentizität von Dokumenten, Sensor-, Maschinen- und Produktionsdaten sowie zur Verwaltung von Zeugnissen und Zertifikaten, etwa in den Projekten „Blockchain for Education“ (www.fit.fraunhofer.de/de/fb/cscw/projects/blockchain-for-education.html) oder DigiCerts (www.digicerts.de) zu verwirklichen.

„Insbesondere im Bereich der Verifizierung von Zeugnissen, Berechtigungen, Beglaubigungen et cetera wird es in der nahen Zukunft viele Anwendungen geben, die die Digitalisierung von Verwaltungsprozessen vertrauenswürdig und sicher möglich machen“, sagt auch Prof. Dr. Norbert Pohlmann, Geschäftsführender Direktor des Instituts für Internet-Sicherheit – if(is). Generell dürften mithilfe von Blockchain-Verfahren Dienste entstehen, „die neue Möglichkeiten im Rahmen der Digitalisierung für mehr Sicherheit und Vertrauenswürdigkeit anbieten“. Auch Pohlmann sieht überdies „eine vertrauenswürdige und automatisierte Zusammenarbeit zwischen verschiedenen Organisationen, die Prozesse sehr viel schneller, effektiver und kostengünstiger umsetzen lässt“ als wichtigen Anwendungsbereich für Blockchains an. Und: „In der Zukunft wird Self-Sovereign-Identity (SSI, s. a. S. 65) auf der Basis von Blockchain-Technologie eine wichtige Rolle spielen. Anwender behalten damit die Kontrolle über ihre eigenen Daten und bestimmen selbst, welche Attribute (persönliche Daten) bei einem Authentifizierungsvorgang übermittelt werden.“

Das sieht Dr. Heiko Roßnagel, Leiter Team Identitätsmanagement beim Fraunhofer-Institut für Arbeitswirtschaft und Organisation (IAO), ähnlich: „Vielversprechende Anwendungsfälle und zahlreiche Forschungs- und Entwicklungsaktivitäten in diese Richtung ergeben sich insbesondere im Bereich digitaler Identitäten.“ Hier könnten blockchainbasierte Ansätze Bewegung in den Markt bringen, der derzeit von großen Plattformkonzernen (z. B. Facebook- oder Google-Login) dominiert wird und in dem sich staatlich bereitgestellte digitale Identitäten (in Deutschland etwa mit dem neuen Personalausweis) in der Praxis nicht durchsetzen konnten. „Dies könnte auch zu sichereren und privatsphärefreundlicheren Lösungen gegenüber dem Status quo führen. Blockchain-Lösungen sind dabei zwar nicht an sich datenschutzfreundlicher oder sicherer, können jedoch mit Technologien, Geschäftsmodellen und Governance-Strukturen verbunden werden, die dies ermöglichen“, ergänzt Roßnagel.

Dr. Michael Kreutzer, im Fraunhofer-Institut für Sichere Informationstechnologie (SIT) zuständig für Internationalisierung und strategische Industriebeziehungen, nennt Anwendungsfälle privater Blockchain-Systeme vielversprechend: „Vielfach profitieren Bankverbünde davon, wenn Clearinghouses nicht mehr benötigt werden – natürlich nur dann, wenn Eigenschaften wie Effizienz und/oder Verfügbarkeit gesteigert werden können und Kosten eingespart werden.“

„Sinnvolle Anwendungsfälle gibt es vor allem dort, wo Unternehmen als Multi-Stakeholder innerhalb einer Lieferkette oder einer Branche zusammenarbeiten wollen und man ein manipulationssicheres Ereignisprotokoll für sinnvoll erachtet“, sagt Stephan Zimprich, eco-Experte für Blockchain: „Das größte Problem liegt meist jenseits der Technik: Die Beteiligten müssen sich einigen. Richtig eingesetzt, gibt es weiterhin vielversprechende Anwendungsfälle insbesondere in der öffentlichen Verwaltung. Blockchain-Technologie kann nicht nur dabei helfen, die Prozesse zwischen unterschiedlichen Verwaltungsorganen zu optimieren, sondern auch bei der verwaltungsinternen Zusammenarbeit – zum Beispiel zur Prüfung, ob bestimmte Daten oder Dokumente in einer Verwaltung vorliegen. Auch ist es möglich, mithilfe der Blockchain-Technologie die Integrität von Daten und Dokumenten abzusichern oder die Identitäten von Personen und Gegenständen zu verifizieren.“

Neben Kryptowährungen und einem Einsatz zur Überwachung von Lieferketten oder internen Finanztransaktionen innerhalb von Unternehmen betont Pavel Pokrovsky, Blockchain Security Group Manager bei Kaspersky, auch Chancen bei öffentlichen Aufgaben: „Insbesondere demokratische Stimmabgabe-Prozesse (Wahlsysteme) können durch die Blockchain-Technologie auf ein völlig neues Sicherheitslevel gehoben werden.“ Kaspersky habe im Rahmen seines Innovation-Hub-Projekts Polys (https://polys.me/voting-machines) den ersten Prototypen eines blockchainbasierten Wahlgeräts vorgestellt: „Das sichere Online-Wahlsystem ermöglicht Organisationen aus Wirtschaft und Bildung sowie politischen Parteien die sichere Durchführung von Online-Abstimmungen“, verspricht Pokrovsky.

Probleme

Auf die Frage nach den größten Problemen, denen sich die Blockchain-Verfahren aktuell und in absehbarer Zukunft stellen müssen, antwortet Roßnagel (Fraunhofer IAO): „Es überrascht wenig, dass hinsichtlich Standardisierung, Schnittstellen, Usability und auch Effizienz bei einer jungen Technologie wie der Blockchain noch zahlreiche Arbeiten notwendig sind. Herausfordernd sind jedoch ebenfalls Governance-Strukturen, Haftungsfragen und Geschäftsmodelle in dezentralen Blockchain-Ökosystemen, die zahlreiche unterschiedliche Stakeholder mit sich teils widersprechenden Interessen umfassen.“

Fuhr (HiSolutions) konstatiert: „Die Usability von Blockchain-Ökosystemen hat sich in den letzten zwei Jahren deutlich verbessert. Zwar konnte sich keine Standardisierung im regulatorischen Sinn entwickeln – eine solche würde gewissermaßen auch dem Geist von Kryptowährungen widersprechen. Dafür haben sich aber in einer Reihe von lose verbundenen Ökosystemen praxistaugliche Branchenstandards herausgebildet. Ungelöst bleibt insbesondere bei Bitcoin das Problem der Energieeffizienz, welches in Zeiten des Klimawandels für viele ein K.-o.-Kriterium darstellt. Dazu kommt, dass immer wieder Betrugs- und Schneeballsysteme den Markt verzerren und potenzielle Nutzer abschrecken.“

„Die Hauptprobleme sind heute, meiner Meinung nach, die Performance und der benötigte Ressourcenaufwand“, sagt Uhlemann (ESET): „Danach gilt es, Schnittstellen und Standards zu etablieren, die alle Ansprüche an Benutzbarkeit, aber auch Sicherheit erfüllen. Es nützt nichts, die nächste Technologie um ihrer selbst willen einzuführen. Bereits jetzt sehen wir Manipulationen der Blockchain, bei denen strafrechtlich relevante Inhalte ohne die Chance auf Entfernung eingefügt werden. Es gefährdet die gesamte Infrastruktur, wenn man entsprechende ‚Revisionsschnittstellen‘ gar nicht oder nicht sicher implementiert.“

Zum Thema Usability erklärt Prinz (Fraunhofer FIT): „Eine gute Blockchain-Anwendung ist eine, bei der man die Blockchain nicht sieht – für den Anwender ist es eigentlich unbedeutend, ob hinter einer Anwendung eine Blockchain steckt oder nicht.“ Probleme gebe es eher bei der Integration von Blockchains in bestehende Prozesse und Systeme, der Interoperabilität zwischen Blockchain-Protokollen und Netzwerken sowie der Governance eines Permissioned Networks. Notwendig sei zudem die „Änderung des Mindsets von Unternehmen, dass die vertrauensvolle Zusammenarbeit in blockchaingestützten Netzwerken möglich und gewinnbringend ist“.

Zimprich (eco) hält fest: „Insbesondere für kleine und mittelständische Unternehmen ist es eine Hürde, dass sich die Technologie noch in der Entwicklungsphase befindet. Es ist nicht klar, wie die Blockchain-Systeme der Zukunft aussehen werden. Bisher hat sich kein nationaler oder internationaler Standard für die Implementierung herauskristallisiert.“ Bestrebungen hierzu existierten aber durchaus: „Beispielsweise arbeitet die ISO seit 2016 unter deutscher Beteiligung (des DIN-NIA) im ISO Technical Committee TC 307 an der Ausarbeitung und Etablierung von Standards für Blockchain und Distributed-Ledger-Technologies“ (siehe www.iso.org/committee/6266604.html).

„Echte Hindernisse für Blockchain-Verfahren sind diejenigen, die mit ihrer Dezentralität zusammenhängen: Wie verläuft die Selbstorganisation, beispielsweise die Koordination und Kommunikation von Entscheidungen, und wie werden die Teilnehmer verwaltet? Wie kann hier Skalierbarkeit und Effizienz erreicht werden?“, kommentiert Kreutzer (Fraunhofer SIT). „Dezentralität verspricht Robustheit bei einem Angreifermodell, das davon ausgeht, dass einzelne Akteure zwar erfolgreich angegriffen werden, die Mehrheit allerdings weiter unbeschadet den Betrieb aufrechterhalten kann. Raffinierte Angreifer agieren jedoch außerhalb der vorausgedachten Modelle, etwa durch die gezielte Suche nach Schwachstellen und Verwundbarkeiten, die dezentrale Systeme durch ihre Konstruktion haben. So ist beispielsweise der Koordinierungsaufwand bei Patches und Aktualisierungen in dezentralen Systemen mit gleichberechtigten Partnern per se höher als in zentralisierten Systemen. Selbst wenn die Integrität von Patches und Aktualisierungen allen Teilnehmern plausibel gemacht werden kann, dauert das eigentliche Einspielen seine Zeit – und in der Zwischenzeit ist das System verwundbar.“

Sicherheit

Zur Sicherheit von Blockchains erklärt Lochter (BSI): „Eine Studie im Auftrag des BSI hat ergeben, dass zu den meisten heute angebotenen Blockchain-Lösungen keine unabhängige (formale) Sicherheitsuntersuchung vorliegt. Zudem wird in Produkten oft Software aus vielen unterschiedlichen Quellen kombiniert – hier stellen sich Herausforderungen an das Konfigurationsmanagement und die Vertrauenswürdigkeit der verwendeten Software. Hinzu kommt die Erstellung von Protection-Profiles für Klassen von Blockchain-Produkten, um eine unabhängige Evaluierung nach Common Criteria (CC) zu unterstützen.“

Darüber hinaus gelte für Blockchains dasselbe wie für andere kryptografische Algorithmen, deren Sicherheit man grundsätzlich nicht auf lange Zeit garantieren könne. „Daher ist es notwendig, beim Design einer Blockchain den Wechsel von Algorithmen vorzusehen, wenn Langzeitsicherheit verlangt wird. In der Realität wird sich das Ziel der Langzeitsicherheit aber auch dann nicht erreichen lassen, wenn verschlüsselte Daten in der Chain abgelegt werden; denn diese kann ein Angreifer frühzeitig kopieren. Man wird also meist Daten extern speichern und nur Verweise in der Blockchain anlegen – womit man dann aber die Sicherheit des externen Speichers zu garantieren hat“, gibt Lochter zu bedenken.

Als besondere Herausforderungen sieht auch Pohlmann (if(is)) eine vertrauenswürdige Umsetzung verteilter Blockchains, passende Krypto-Agilität und eine für die jeweilige Anwendung geeignete Governance an. Die Standardisierung von Verfahren und Schnittstellen werde ebenfalls immer wichtiger, um langfristig einen Vertrauensdienst auf der Basis von Blockchain-Technologie gewährleisten zu können: „Zum Beispiel bei Zeugnissen muss die Überprüfbarkeit bis zu 70 Jahren möglich sein“, mahnt Pohlmann. Außerdem gebe es zurzeit viele Open-Source-Blockchain-Verfahren, die nicht dem Stand der Technik entsprechen: „Das wird sich aber mit erhöhtem Einsatz sehr schnell ändern.“

„Obwohl die Blockchain als eine verhältnismäßig sichere Technologie gilt, kann sie noch immer Schwachstellen im Code oder Diskrepanzen in der Geschäftslogik enthalten“, ergänzt Pokrovsky (Kaspersky): Die Geschäftslogik definiert, „wie eine Anwendung Regeln und Verfahren befolgt, die sich auf Geschäftsvorgänge beziehen – sie umfasst Aspekte wie Datenzugriffsrichtlinien, Orte, von denen eine Anwendung Informationen entnimmt, oder den Workflow hinsichtlich des Ablaufs von Transaktionen. Werden dabei falsche oder veraltete Daten verwendet, wird ein intelligenter Vertrag (Smart Contract) nicht funktionieren, da dessen Ausführung – aufgrund von Entwicklerfehlern oder betrügerischen Codes – ein falsches Ergebnis zeigen würde.“ Überdies könne es zu Sicherheitsproblemen führen, wenn Teams, die für Innovation und Blockchain-Technologie verantwortlich sind, nicht über ausreichende Sicherheitskenntnisse und -erfahrungen verfügen.

Zimprich (eco) betont: „Die klassischen Fragen der IT-Sicherheit für herkömmliche Systeme bleiben auch für die Blockchain-Technologie relevant: Hardware- und Software-Sicherheit, Bugs, sichere Authentifizierung, Passwortsicherheit, Schlüssel und ihre Verwaltung, Protokolle et cetera. Sicherheitskritisch sind insbesondere die Schnittstellen zur realen Welt.“ In großen Netzwerken mit vielen Nodes müsse außerdem grundsätzlich davon ausgegangen werden, dass alte Daten, die mit zwischenzeitlich nicht mehr sicherer Kryptografie geschützt sein könnten, als Kopie bei einem oder mehreren Nodes weiterhin vorhanden sind. „Vor diesem Hintergrund unterscheidet sich die Blockchain-Technologie in Fragen der IT-Sicherheit kaum von anderen Systemen“, fasst Zimprich zusammen.

Bedrohung durch Quantencomputing

„Ob es je Quantencomputing geben wird, das ein Risiko für jetzige Krypto-Algorithmen darstellt, ist heute noch nicht 100%ig sicher. Dennoch brauchen wir eine passende Krypto-Agilität, um in der Lage zu sein, Signatur-, Hash- und Schlüsselgenerierungsverfahren auszutauschen sowie Schlüssellängen anzupassen“, betont Pohlmann (if(is)).

Auch Fuhr (HiSolutions) meint: „Quantencomputer stellen für Blockchain-Technologien keine Gefahr dar. Selbst wenn solche Rechner in den nächsten Jahren in ernst zu nehmender Größe hergestellt werden könnten, ließe sich mittels Soft-Forks die Integrität der Blockchain auch rückwirkend auf quantensichere Verfahren umstellen. Anders sieht es mit der Vertraulichkeit aus, für die jedoch Blockchain eh weniger taugt – und gegebenenfalls für Anonymisierungsfunktionen. Die Hauptgefahr besteht jedoch wie auch sonst in der Kryptografie in Implementierungsfehlern, insbesondere bei komplexen Smart-Contract-Sprachen.“

„Bezüglich Quantencomputing wäre die wesentliche Frage, ob dieses dazu genutzt werden kann, die benutzten Hashfunktionen anzugreifen – insbesondere deren Invertierbarkeit und Kollisionsresistenz“, erläutert Roßnagel (Fraunhofer IAO): „In beiden Fällen wäre nach gegenwärtigem Verständnis der Angriffsvorteil durch Quantencomputing relativ begrenzt (mit einem maximal quadratischen Speed-up und einer leichten Verschlechterung der Kollisionsresistenz) – die Veränderungen wären damit im Wesentlichen vergleichbar mit dem kontinuierlichen Wachstum der Rechenleistung, einem Problem, das schon jetzt für Hashfunktionen abgefedert werden muss.“ Die grundlegende Kryptografie der größten Blockchains (Bitcoin und Ethereum) sei bislang noch nicht erfolgreich angegriffen worden. „Unabhängig von Fragen der Post-Quantum-Kryptografie haben jedoch die Erfahrungen gezeigt, dass komplexere Blockchain-Systeme immer wieder Implementierungsschwächen aufweisen, die von Angreifern ausgenutzt werden und zu Millionenschäden führen können. Sie unterscheiden sich damit – wenig überraschend – nicht von anderen IT-Systemen“, ergänzt Roßnagel.

Auch Pokrovsky (Kaspersky) erwartet keine wesentliche Änderung der Situation durch eine vermehrte Nutzung von Quantencomputern: „Quantenberechnungen erfahren zurzeit eine immer stärkere Dynamik. Es gibt jedoch keine einfache Antwort darauf, ob Quantencomputer es auf irgendeine Art und Weise leichter machen werden, bestehende kryptografische Verschlüsselungsalgorithmen zu kompromittieren. Die Rechenleistung von Computern ist in den vergangenen Jahrzehnten exponentiell gestiegen. Dennoch konnten bisher, abgesehen von wenigen Kollisionen (MD5) und üblichen Fehlern (z. B. die Verwendung zu kurzer Schlüssel) nicht besonders viele signifikante Schwachstellen bestehender kryptografischer Verschlüsselungsalgorithmen aufgedeckt werden.“

Die Gefährdung durch Quantencomputer hänge stark von der verwendeten Verschlüsselung ab, sagt Uhlemann (ESET): „Aktuell kann man diese als ‚noch sicher genug‘ bezeichnen. Da es noch eine ganze Weile dauern wird, bis echte Quantencomputer dem durchschnittlichen Anwender oder Cyberkriminellen zur Verfügung stehen, wird das auch mittelfristig so bleiben. Wenn aber die Authentifizierung, etwa über die Schnittstellen, nicht bestmöglich gesichert wird, dann werden wir auch in Zukunft Angriffe über bereits bekannte Methoden sehen. So werden Blockchain-Informationen zwar aktuell nicht selbst manipuliert, Kriminelle haben aber bereits Wege gefunden, durch eigene, zum Beispiel kinderpornografische Inhalte, Blockhains obsolet, weil gesetzeswidrig zu machen.“

Literatur

[1] eco – verband der Internetwirtschaft, Die Blockchain im Mittelstand, August 2019, www.eco.de/themen/blockchain/whitepaper-die-blockchain-im-mittelstand/ (Registrierung erforderlich)
[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), Blockchain sicher gestalten – Konzepte, Anforderungen, Bewertungen, März 2019, www.bsi.bund.de/Blockchain

Diesen Beitrag teilen: