BSI nimmt mit fünf Thesen Stellung zur IT-Sicherheit von Blockchain-Anwendungen

Als nationale Cyber-Si­cher­heits­be­hör­de will das BSI “einen ge­sell­schaft­li­chen Dialog zwischen Wis­sen­schaft,  In­dus­trie, Be­hör­den und Bür­gern zur Ge­stal­tung von si­che­ren Block­chain-An­wen­dun­gen” an­sto­ßen. Ziel sei es, sek­tor­spe­zi­fi­sche Emp­feh­lun­gen zu for­mu­lie­ren.

Mit Blockchain entwickelt sich momentan eine neue Technologie für die dezentrale, ma­ni­pu­la­ti­ons­si­che­re und kon­sen­sua­le Da­ten­hal­tung in ver­teil­ten Netz­wer­ken, der gro­ßes Po­ten­zi­al in na­he­zu al­len Wirt­schafts­be­rei­chen und im öf­fent­li­chen Sek­tor zu­ge­schrie­ben wird.

Block­chain al­lein löst je­doch kei­ne IT-Si­cher­heits­pro­ble­me. Für ei­ne  flä­chen­de­cken­de und lang­fris­ti­ge Eta­blie­rung der Block­chain-Tech­no­lo­gie in ei­nem brei­ten ­An­wen­dungs­spek­trum sind noch vie­le Fra­gen zu klä­ren, ins­be­son­de­re auch im si­cher­heits­tech­ni­schen ­Kon­text. Als na­tio­na­le Cy­ber-Si­cher­heits­be­hör­de leis­ten wir mit dem Eck­punk­te­pa­pier un­se­ren Bei­trag zur Ge­stal­tung und Stan­dar­di­sie­rung von Block­chains, bei de­nen As­pek­te der IT-Si­cher­heit an­ge­mes­sen be­rück­sich­tigt wer­den.”

BSI-Präsident Arne Schönbohm

Viele Akteure aus Forschung, Wirtschaft und Verwaltung beschäftigen sich intensiv mit dem Thema Blockchain. Es gibt eine große Zahl von möglichen Anwendungen, die sich allerdings oft noch in der Konzeptions- oder Pilotphase befinden. Aktuell schon eingesetzte Blockchain-Lösungen finden sich hauptsächlich im Finanzbereich, z.B. Kryptowährungen.

Für eine flächendeckende und langfristige Etablierung der Blockchain-Technologie in einem breiten Anwendungsspektrum sind noch eine Reihe von sicherheitstechnischen, regulatorischen, rechtlichen und soziotechnischen Fragen zu klären. Erste Ansätze dazu, z.B. bei der ISO-Standardisierung, gibt es bereits.

Für das BSI als die nationale Cyber-Sicherheitsbehörde stehen die technisch-gestalterischen Aspekte von Blockchain mit Bezug zur IT-Sicherheit im Vordergrund:

1. Blockchain allein löst keine IT-Sicherheitsprobleme. Die Zielcharakteristika von Blockchain wie Unveränderbarkeit, Nachvollziehbarkeit und Dezentralität sowie die starke kryptografische Fundierung können sich grundsätzlich positiv auf die Sicherheitseigenschaften von IT-Lösungen auswirken, es muss aber gleichzeitig die Sicherheit der verwendeten Hard- und Software sowie der zu Grunde liegenden Protokolle gewährleistet werden. Ebenso ist die Sicherheit von externen Schnittstellen der Blockchain, insbesondere für das authentische Einfügen oder Auslesen von Daten, zu beachten. Eine vertrauenswürdige zentrale Stelle wird auch beim Einsatz von Blockchains in vielen Anwendungen nicht vollständig überflüssig werden.

2. Die Wahl des passenden Blockchain-Modells ist wichtig. Je nach Anwendung muss ein geeigneter Konsensmechanismus zur Herstellung einer Einigkeit über den korrekten Zustand der Blockchain gewählt werden. Außerdem kann sowohl der Zugang zum Netzwerk (unpermissioned – permissioned) als auch der Zugriff auf die Daten (public – private) sowie ein allgemeines Rollen- und Rechtemanagement individuell definiert werden. Die bei Bitcoin verwendete „unpermissioned public“ Blockchain mit „Proof-of-Work“-Konsens ist dabei für viele Anwendungen ungeeignet.

3. Bei der Konstruktion von Blockchains müssen Sicherheitsaspekte frühzeitig berücksichtigt werden. Entsprechend den angestrebten Sicherheitszielen sind Aspekte wie Vertraulichkeit, Integrität und Authentizität der Transaktionsdaten, die sichere Ausführung von Smart Contracts und das Identitätsmanagement der Nutzer passend zu modellieren und in der Blockchain umzusetzen. Insbesondere Vertraulichkeit ist bei Blockchain-Anwendungen ein anspruchsvolles Ziel. Bei der Auswahl von Algorithmen und Protokollen sollte man sich nach den Vorgaben des BSI richten.

4. Sensible Daten mit langfristigem Schutzbedarf müssen in einer Blockchain besonders geschützt werden. Aufgrund der langen Verfügbarkeit (bei gleichzeitig potenziell hoher Sensibilität) von Daten in der Blockchain stellt die Erreichung von Langzeitsicherheit eine besondere Herausforderung dar. Es ist sicherzustellen, dass die Sicherheitsmechanismen der Blockchain bei Bedarf ausgetauscht werden können. Dabei sind insbesondere Anforderungen, die sich aus der Gefährdung durch potenzielle Quantencomputer und technische Fortschritte in der Kryptoanalyse ergeben, zu beachten.

5. Einheitliche Sicherheitsniveaus für Blockchains müssen definiert und durchgesetzt werden. Die Standardisierung von Blockchains muss weiter vorangetrieben werden und dabei die Aspekte der IT-Sicherheit angemessen berücksichtigen. Auch eine Sicherheitszertifizierung ausgewählter Komponenten nach allgemein anerkannten Kriterien kann für bestimmte Anwendungen sinnvoll sein. Bei Blockchains, die transnational betrieben werden, ist eine internationale Abstimmung erforderlich. Das BSI wird die Entwicklung der Blockchain-Technologie weiter beobachten und fachgerecht bewerten und im Rahmen seiner Zuständigkeiten an Empfehlungen und Anforderungen für Sicherheitsmechanismen von Blockchains mitwirken.

Sich mit diesen Forderungen als Bank oder Versicherer frühzeitig auseinanderzusetzen, dürfte sehr sinnvoll sein, da man davon ausgehen kann, dass andere Regulierer in diesem Sinne bald nachziehen werden. Das Eckpunktepapier kann hier beim BSI nochmal nachgelesen werden.aj