Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: Kryptowährungen AHOI!

Ahoi! gebräuchlicher Ausruf der Seemänner  – nicht vollständig dokumentierten Ursprungs – der eigentlich kein Gruss ist, sondern ein Ausruf, um die Aufmerksamkeit der Mannschaft auf gesichtete Schiffe zu lenken. Da wir seit 1992 das gezielte oder eher wahllose Aufrufen von Websites und das Linkshüpfen als «Surfen» bezeichnen, wollen wir doch für die kurze Analyse der Kryptowährungen und deren Sicherheit auf Meeresebene bleiben. Ist aber demnach unser Ausruf «Ahoi» gerechtfertigt? Sind denn tatsächlich Kryptowährungsschiffe in Sicht, denen wir unsere Aufmerksamkeit widmen sollten? Richtet man sein Fernglas aufs Meer, dann sieht man vor lauter Schiffe kaum noch den Horizont. In der Tat existieren mehr als 1200 verschiedene Kryptowährungen. Richten wir unser Augenmerk auf coinmarketcap.com – bekommt man es mit einer Marktkapitalisierung zu tun (Total Market Cap) von sage und schreibe: $177‘859‘735‘717 (Stand 30.Oktober 2017) – angeführt von Bitcoin mit $101‘757‘001‘688.  Machen sich beim  Leser nach der Betrachtung der erwähnten Fülle an Kryptowährungen die ersten Schwindel bemerkbar und steigt der Wunsch nach Scopolamin, das wohl beste Mittel gegen Seekrankheit, so möchte ich nun den Anker werfen und von den eigentlichen Währungen Abstand nehmen. Der Saft liegt nicht in der immensen Menge an diversen Kryptowährungen – der Clou an der Sache verbirgt sich in der dahinterstehenden Technologie – der sogenannten «Blockchain». Diese Technologie ist sozusagen das «revolutionäre» an der ganzen Sache. Und weil Geld – sehr viel Geld – im Spiel ist und neue Geschäftsmöglichkeiten mit dieser Technologie ihre Wege finden (Beispiele am Ende des Artikels) – sind und können natürlich Schurken und Piraten nicht weit sein.  In der Tat lockt diese Technologie – oder besser gesagt, das „Prinzip“ hinter der Technologie diejenigen Leute an, die sich in den dunklen Sphären des Internets aufhalten und dort ihre Brötchen verdienen. Bevor wir aber über „Sicherheit“ reden können, muss folgende grundlegenden Frage beleuchtet werden: Warum gibt es – oder warum haben wir – Kryptowährungen? Sir Francis Drake, ein berühmter Pirat aus dem sechszehnten Jahrhunderts, betrachtete sich selbst nicht als Gesetzloser, denn er raubte ja im Auftrag der britischen Krone die Schatzschiffe der Spanier aus.  So mancher sieht keinen grossen Unterschied zwischen den Freibriefen der englischen Krone für gewisse fragwürdige Aktionen – deren Ausführung nie in irgendeiner Weise kontrolliert wurde – mit der Art und Weise, wie das heutige Finanzwesen ganze Länder oder sogar die ganze Welt eine zeitlang beinahe an den Rand des Ruins getrieben hat. Gemäss Umfragen schwindet das Vertrauen gegenüber den globalen Finanzinstituten und gegenüber dem Staat. Es musste also eine Lösung her, mithilfe derer zwei Parteien eine Transaktion durchführen konnten, ohne einen Mittelsmann, sprich eine Bank oder ein sonstiges Institut zu involvieren, die ohnehin für jegliches Tun kräftig abkassieren. Es musste eine Lösung her, die die zentrale Kontrolle einer übermächtigen Instanz unnötig macht und doch alle Teilnehmenden vor Missbrauch bewahren konnte. Die „Blockchain“ ist diese Lösung.  Wie das Konzept von Satoshi Nakamoto (2009) besagt: „with e-currency based on cryptographic proof, without the need to trust a third party middleman, money can be secure and transactions effortless“.  Alles beruht also auf kryptographischen Beweisen anstatt auf Vertrauen (Bank, Finanzinstitut). Die Blockchain könnte man als eine verteilte Datenbank ansehen. Das Interessante dabei ist, dass jeder Teilnehmende die Daten mit jedem anderen Teilnehmenden in einem Peer-to-Peer-Netzwerk austauschen kann. D.h. jeder „Knoten“ hat den kompletten Datenbestand.  Es gibt sowohl private wie auch öffentliche Blockchains. Die bekannteste öffentliche Blockchain ist genau eine „Kryptowährung“, die vorhin bereits die Top #1 gelistete Bitcoin.  In einer solchen öffentlichen Blockchain kann jeder mitmachen – was bedeutet, dass jeder „lesen & hinzufügen“ kann.  Sofort drängt sich die Frage auf, ob so etwas wohl sicher sein kann. Nun, dies liegt an der Art und Weise wie diese Daten gehalten, geschrieben und verteilt werden. Wie vorhin erwähnt, hält jeder Teilnehmende im Prinzip die gesamten Daten – jeder und jede teilt sich mit jedem und jeder aus (P2P). Bereits die Tatsache, dass es eben nicht eine zentrale Instanz gibt, die sich Besitzerin und Hüterin dieser Datenbank nennt (und für diese Kontrolle und Handhabung irgendeine Gebühren verlangt) – stellt den  ersten Schutz dar.  Den zweiten Schutz vermittelt der technische Prozess, wie nun eine Überweisung der Währung von einem Teilnehmer gehandhabt wird. Das wollen wir hier kurz beschreiben: Die kleinste Einheit einer Blockchain ist ein Block. Dieser Block besteht aus einem Index und einem Zeitstempel aus den folgenden Komponenten: Daten, dem Hash des Vorgänger-Blocks und dem Proof-of-Work. Weil jeder Block den Hash des Vorgängerblocks enthält, sind diese miteinander verknüpft und somit vor Manipulation geschützt. Ändern sich die Daten nachträglich in einem Block, dann ist der respektive Hashwert nicht gültig und dies würde beim Nachfolger festgestellt. Sogar durch die Tatsache, dass der Vorgänger-Hash Teil des nächsten Blockes ist und dieser erneut berechnet werden muss und in den nachfolgendem Block gelangen wird – ist diese Manipulation praktisch nicht möglich. Dazu kommt noch der Proof-Of-Work.  Es handelt sich hier um eine Zahl, die berechnet werden muss und zwar einer Regel folgend. Da dies nicht einfach zu umschreiben ist, ist hier wieder Wasserkontakt gefragt und eine Runde Surfen erfrischt und befriedigt die Neugier. Und hier möchte ich erneut daran erinnern, dass jeder Teilnehmende die Information an jeden und jede weitergibt (P2P). Technisch gesehen kann man also diese Technologie als „sicher“ betrachten. Aber Achtung… erinnern wir uns an die Sirenen der griechischen Mythologie. Diese wunderschönen weiblichen Fabelwesen, die mit ihrem betörenden Gesang Matrosen auf See anlockten, um sie zu töten. Sicherheit ist auf technischer Ebene gegeben. aber in Bezug auf Kryptowährung soll darauf aufmerksam gemacht werden, dass sich investiertes Kapital „im Nu“ verflüchtigen kann. Das hat sich bereits mit dem Kurs von Bitcoin gezeigt und ob sich diese neuartige Währung auch entsprechend etabliert, ist fragwürdig. Anwendungsbereiche dieser Technologie (Holthusen/Kufeld/Glatz 2016) Eheschliessung – im Oktober 2014 wurde die erste Heirat notariell in der Blockchain bekundet Hochschulen – Uni Nicosia zertifiziert Zeugnisse in Form von Transaktionen in der Blockchain Verwaltung – Isle of Man betreibt einen Handelsregister Wirtschaftsprüfung – Deloitte Infrastruktur – IBM 2015 ADEPT Initiative um IoT Infra auf Blockchain Umstellung

---

Blogpost wurde erstellt von Eduard Peter im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.