Kryptowährungen ohne Sicherheitsvorgaben – Risiko in der Finanzwelt und ohne PCI DSS gefährlich

Bis vor einigen Jahren waren Bitcoin, Ethereum und Co. nur in Fachkreisen bekannt, aber seit einigen Monaten erfahren sie einen Hype. Es ist nicht absehbar, ob die neu­en Wäh­run­gen tat­säch­lich im All­tag Fuß fas­sen kön­nen. Ge­ra­de im Ban­ken­sek­tor stellt sich im­mer wie­der die viel­schich­ti­ge Fra­ge nach der Si­cher­heit die­ser neu­en On­line-Wäh­run­gen. Zum ei­nen be­ste­hen Zwei­fel an der Pra­xis­taug­lich­keit und die Angst, dass Cy­ber-Kri­mi­nel­le Schwach­punk­te aus­nut­zen könn­ten, um Mit­tel zu ent­wen­den. An­der­seits wird im­mer wie­der vor Kurs­schwan­kun­gen gewarnt, weil es kei­ne Kon­troll­me­cha­nis­men gibt. PCI DSS könnte helfen.

von Armin Simon, Regional Director Deutschland bei Gemalto

Dass diese Probleme durchaus Ernst zunehmen sind, zeigt eine Serie von Cyberattacken, die seit Ende 2017 durchgeführt wird und bis heute anhält. Dabei wurden zunächst Investitionen über die Coindash-Online-Plattform manipuliert, die für die Vermittlung von Investmentmöglichkeiten eingerichtet wurde. Bei deren Bezahlungen setzten die Anbieter auf digitale Zahlungsmittel wie Ethereum. Den Angreifern gelang es im Rahmen ihrer Attacke, die Ethereum-Wallet-Adresse des Start-ups durch ihre eigene auszutauschen, also die digitale Kontonummer zu verändern.

Zwar konnte die erste Attacke schon nach drei Minuten unterbunden werden, es entstand in dieser Zeit allerdings bereits ein Schaden in Höhe von sieben Millionen Euro.”

Im Januar 2018 kam es zu weiteren Attacken über Coindash mit Phishing-E-Mails. Diese waren so glaubwürdig, dass sie mindestens 71 Personen für echt hielten und dem scheinbaren Investitionsangebot folgten. Dabei kam es zu einem Verlust von rund 150.000 US-Dollar pro Person.

Solche Vorfälle wirken sich äußerst negativ auf das Vertrauen in jegliche Währung aus. Selbst bei realen Währungen wären ohne Vorkehrungen deutliche Kursschwankungen zu erwarten. Neben den etablierten Institutionen zur Regulierung der Geldströme gibt es bei realen Währungen zudem strenge Vorgaben bei der Speicherung und Weiterverarbeitung von Daten. Ein Beispiel ist international der Payment Card Industry Data Security Standard – kurz PCI DSS. Dieser gilt aber nicht für Kryptowährungen.

PCI DSS 3.2 kommt – aber nicht für Online-Währungen

Viele Banken und andere Organisationen, die mit Finanzdaten in Kontakt kommen, bereiten sich aktuell auf das neueste Update der PCI DSS vor. Diese gilt ab 8. Februar 2018. Neu ist zum Beispiel die verpflichtende Rolle eines Qualified Security Assessor (QSA) nur für fast alle Unternehmen. In kleineren Organisationen kann auf ein Self-Assessment Questionnaire (SAQ) zugegriffen werden. Hierbei gehört die Multi-Faktor-Authentifizierung laut der neuen PCI DSS zum Standard und ist damit eine zwingende Vorgabe.

Diese Vorgabe für SAQ gilt nur, falls ein Unternehmen Kartenbezahlung und deren Abwicklung über einen Dienstleister abwickeln. Dies ist aber häufig der Fall.

Grundsätzlich ist die Identitätsprüfung sehr wichtig, denn gerade im Falle der Cyber-Attacken auf Coindash hätten die Angriffe vereitelt werden können, wenn die richtigen Schutzmechanismen implementiert gewesen wären.”

Wären die „Hot Wallets“ echte Bankaccounts und Coindash ein klassischer Finanzdienstleister, würden diese unter PCI fallen. Dann wären Schutzmechanismen zur Zugangskontrolle und eine Zwei-Faktor-Authentifizierung angebracht gewesen.

Über die verpflichtenden Vorgaben hinaus sollten alle Informationen durchgängig mit starken Verschlüsselungsmechanismen geschützt werden. Das kryptografische Schlüsselmaterial muss zudem in einer entsprechenden Hardwarelösung richtig verwaltet werden. Solche Vorkehrungen sind in Banken und ähnlichen Institutionen weit verbreitet, bei Kryptowährungen dagegen lassen sich aktuell keine festen Aussagen zu diesen Best Practices treffen.

Nicht alle Vorgaben der PCI DSS lassen sich für Kryptowährungen umsetzen.”

Beispielsweise sind die Vorgaben zum physischen Zutritt deutlich schwieriger, weil die Informationen durch die replikative Struktur der eingesetzten Blockchains mehrfach bei verschiedenen Unternehmen und Usern gespeichert werden. Genau deshalb ist das Thema der richtigen Verschlüsselung bei Online-Währungen deutlich wichtiger.

Herausforderung für die Etablierung: Prüfbare Sicherheit

Der Finanzsektor war und ist schon immer besonders strengen Sicherheitsvorgaben unterlegen, schon lange bevor digitale Technologie die Branche veränderte. Es ist keine Überraschung, dass die Branche zu großen Teilen unter den Begriff kritische Infrastruktur fällt. Es erscheint einleuchtend, dass man hier kein Risiko eingehen möchte.

Anhänger von Kryptowährungen sehen in deren Unabhängigkeit von staatlichen Akteuren den großen Vorteil für die Nutzer. Online-Währungen erlauben in der Tat einen wesentlich direkteren und schnelleren Austausch von Zahlungen. Online-Devisen unterliegen keiner Regierung und daher sei politische Einflussnahme deutlich schwieriger.

Dies ist in der Praxis nicht falsch, bringt aber auch viele andere Folgen mit sich. Die Vorfälle zeigen, dass die bisher etablierten Schutzmechanismen aus der Finanzwelt nicht mehr hinreichend sind und es aktuell noch keine Institutionen gibt, die ein angebrachtes Schutzniveau gewährleisten könnte.

Bekannte Sicherheitsstandards wie PCI DSS sind eine erste Orientierung, aber nicht verpflichtend. Zudem müssten sie für die neuen Zahlungsmittel angepasst werden.”

In jedem Fall müssen die alle Unternehmen, die in Online-Währungen und Blockchain-Projekte investieren, sich ihrer Pionierrolle bewusst sein. Sicherheitsvorfälle werden schnell in die Öffentlichkeit getragen. Daher muss darauf geachtet werden, dass es zu keinen fahrlässigen Fehlern kommt und richtige Sicherheitsvorkehrungen wie eine starke Verschlüsselung und Zugangskontrolle über Mehrfaktor-Authentifizierung eingesetzt werden – auch wenn diese nicht gesetzlich vorgeschrieben sind.

Wenn sich digitale Währungen langfristig als Zahlungsmittel etablieren wollen, braucht es zudem prüfbare Standards, die durch unabhängige Prüfer auditierbar sind.”

Jegliche Art von Vorgabe wird sicherlich von einigen Anhängern der Kryptowährungen als unnötige Einschränkung wahrgenommen, wenn man aber wirklich den Schritt vom Testprojekt hin zu einem etablierten System für Finanzaustausch schaffen möchte, dann müssen grundlegende Sicherheitsmechanismen implementiert und nachweisbar gemacht werden.

Fazit

Die Finanzbranche muss sich mit dem Thema Blockchain und Online-Währungen auseinandersetzen. Allerdings stehen auch die Investoren auf der anderen Seite vor der Herausforderung, ihre Ideen rund um Bitcoin und andere virtuelle Zahlungsmittel richtig in Wirtschaftskreisläufe zu integrieren. Dabei ist die Usability nicht alles, eine große Rolle spielt auch das Thema Sicherheit.

Vorfälle wie bei Coindash zeigen, dass es an verpflichtenden Anleitungen für Schutzvorkehrungen mangelt. Dies führt dazu, dass die Security-Mechanismen bei verschiedenen Angeboten sehr unterschiedlich sind. Daher sind einzelne, aber umfangreiche Cyber-Attacken wahrscheinlich. Diese wiederum bringen dann häufig alle Online-Bezahlangebote in Verruf, da die Nutzer bei der öffentlichen Meinungsbildung nicht zwischen verschiedenen Angeboten differenzieren können – aus Sicht der User ist die Thematik schlichtweg zu jung, um die einzelnen Anbieter und deren Sicherheitsstandard zu kennen.

Deshalb sollten sowohl etablierte Finanzunternehmen und Pioniere bei Online-Währung auf bestehendes Wissen der Branche zurückgreifen und mit den richtigen Partnern beim Thema Sicherheit zusammenarbeiten.”

Starke Verschlüsselungsmechanismen mit einem passenden Schlüsselmanagement und Mehrfaktor-Authentifizierung sind dabei die wichtigsten Schutzmechanismen.aj