Schon früh fragten sich Bitcoin- und Blockchain-Enthusiasten, ob die kryptische Natur der virtuellen Währung und ihrer zugrundliegenden Plattform stark genug sind, um den Taktiken krimineller Hacker stand zu halten.
Foto: dennizn - shutterstock.com
Die Antwort auf diese Frage ließ nicht lange auf sich warten: Wie alle computerbasierten Dinge von Wert nahmen Cyberkriminelle schnell sowohl Bitcoin (und andere Kryptowährungen) als auch die Blockchain ins Visier. Seitdem wurden durch wiederholte Hackerangriffe mehrere hundert Millionen Dollar in Kryptowährungen gestohlen. Wir nehmen einige der fiesesten Cyberangriffe und Angriffstaktiken in Zusammenhang mit Bitcoin und Blockchain ins Visier und sagen Ihnen, wie Sie sich - und Ihre Kryptowährungen schützen.
Bitcoin Miner Malware
Jeder erschaffene beziehungsweise "geminte" Bitcoin erschwert das Mining neuer Bitcoins. Den größten Kostenfaktor stellt dabei der Betrieb spezieller Mining-Systemen dar. Aus diesem Grund "borgen" sich nicht wenige Bitcoin-Miner Ressourcen für das Schürfen der Kryptowährung. Zum Beispiel, indem sie Rechner am Arbeitsplatz nutzen oder indem sie Mining-Malware verbreiten. Inzwischen sind viele der größten Malware-Botnetze lediglich dazu da, Bitcoins zu schürfen. Der Sicherheitsanbieter Check Point Software kommt in einer aktuellen Studie zu dem Ergebnis, dass weltweit inzwischen 55 Prozent aller Unternehmen mit Malware infiziert sind, die Kryptowährungen schürfen soll.
Sicher gibt es schlimmere Ziele, die mit Malware verfolgt werden können - dennoch stellt eine solche "Strategie" weiterhin eine unzulässige/strafbare Nutzung von Computersystemen dar und kostet das Opfer Geld. Außerdem frisst die Malware natürlich auch die Rechenpower der infizierten Rechner. Gegen die Mining-Malware sollten Sie sich wie gegen jede andere Schadsoftware auch zur Wehr setzen.
Kompromittierte Krypto-Wallets
Kryptowährungen werden in der Regel in Datensafes - sogenannten Wallets - abgespeichert. Diese virtuellen Geldbeutel können kompromittiert, manipuliert oder gestohlen werden - wie alle anderen Daten von Wert, die sich auf einem Computersystem befinden. Doch man muss nicht gehackt werden, um seine Bitcoin-Wallet los zu werden: Wer sein Passwort vergisst oder die Festplatte verliert, auf der die Daten gespeichert sind, dessen Kryptowährungs-Bestand ist in der Regel für alle Zeiten verloren. Dasselbe Schreckensszenario kann aber auch durch Ransomware angestoßen werden. Denn im Gegensatz zu einem traditionellen Bankkonto können Sie sich nicht einfach über einen anderen Rechner einloggen, um auf Ihre Bestände zuzugreifen. Ist die Bitcoin-Wallet einmal weg, ist sie weg.
Das Gros der Experten rät Besitzern von Kryptowährungen wie Bitcoin und Konsorten dazu, in einer Offline-Wallet abzuspeichern, die weder von Malware noch von Hackern angegriffen werden kann. Das kann auf der anderen Seite jedoch dazu führen, dass Sie Ihr Kryptovermögen nicht mehr so ohne weiteres einsetzen können: Es kann einige Tage dauern, bis ein Zugriff möglich wird oder eine Aktualisierung durchgeführt ist. Wenn Sie eine Online-Wallet nutzen wollen, sollten Sie wenn möglich Multi-Faktor-Authentifizierung nutzen.
Transfer-Trojaner
Es gibt Krypto-Trojaner, die in Ihrem Rechner lauern. Und zwar solange, bis sie eine Kryptowährungs-Kontonummer registrieren. Wenn es soweit ist, "erwacht" der Trojaner und ersetzt die Kontonummer, an die Sie Bitcoins versenden wollen, durch eine neue. Wenn Sie hier nicht ganz genau (und zum richtigen Zeitpunkt) hinsehen, sind die Bitcoins beim Druck auf den Senden-Button Geschichte.
Implementations-Schwachstellen
"In der Theorie gibt es zwischen Theorie und Praxis keine Unterschiede. In der Praxis schon." Wer diese Aussage zuerst in die Welt gesetzt hat, ist nicht bekannt. Abgedruckt wurde sie zuerst in "Pascal: An Introduction to the Art and Science of Programming" von Walter J. Savitch.
Wie bei jeder Krypto-Implementation ist der zugrundeliegende, kryptologische Algorithmus meistens wesentlich beständiger als die Software, die ihn implementiert. Ganz generell steht und fällt die Angreifbarkeit einer Blockchain mit derer der kryptografischen Lösungen. Ein Bug im Programmcode oder ein unklug gewählter privater Schlüssel kann das ganze Konstrukt zum Einsturz bringen. Natürlich lässt sich das nur schwer erkennen, bevor man sich wirklich tiefgehend mit einer Kryptowährung oder einem Blockchain-Projekt befasst hat. Deshalb sollten Sie unbedingt darauf achten, dass die Softwareentwickler SDL-Prozesse einsetzen, um Bugs zu minimieren.
Es gab bereits Vorfälle, bei denen kriminelle Hacker versucht haben, die Kryptowährungs-Software zu manipulieren, um Wertbestände zu stehlen. In mindestens einem Fall begingen die Angreifer dabei einen Programmierfehler, der ihnen zwar kein Geld einbrachte, aber dafür sorgte, dass auch alle anderen Wallets korrumpiert wurden. So wurden am Ende alle Nutzer um ihr Krypto-Geld gebracht.
Plaintext-Attacken
Eine gute Verschlüsselung sorgt dafür, dass Informationen nicht als Klartext sichtbar sind. Ein krimineller Hacker sollte also in der Theorie auch keine Chance haben, solche Daten zu entschlüsseln. Allerdings ist bei jeder Blockchain-Technologie das Format der einzelnen Blöcke entweder bekannt oder ziemlich leicht herauszufinden. Bestimmte Buchstaben, Zahlen und Sonderzeichen befinden sich in diesen Blöcken immer an derselben Stelle.
So könnten sich Krypto-Hacker ein partielles Abbild vom Klartext in jedem einzelnen Block beschaffen. Zudem ist jederBlockauch eine Funktion des vorherigen Blocks, was wiederum den allgemeinen Schutz der zugrundeliegenden Verschlüsselungs-Technologie schwächt. Ist der Code frei von Schwachstellen, gibt es keine größeren Probleme - dennoch bilden Plaintext-Attacken einen beliebten "Startpunkt" für Angreifer.
Schwache Verschlüsselung?
Etliche Security-Experten fragen sich inzwischen, ob der Verschlüsselungsstandard SHA-256 (der dieselben mathematischen Schwächen wie sein Vorgänger SHA-1aufweist) zur Gefahr für Bitcoin und Blockchain wird. So weit ist es glücklicherweise noch nicht - SHA-256 ist stark genug für die nächsten Jahre. Da SHA-256 auch bei den meisten Finanz- und HTTPS-Transaktionen zum Einsatz kommt, dürften wir Probleme bekommen, die weit über Bitcoin und Blockchain hinausgehen, wenn ein Hacker es schafft, diesen Verschlüsselungsstandard zu knacken.
Wenn Sie eine eigene Kryptowährung oder einBlockchain-Projekt an den Start bringen wollen, sollten Sie sich mit "Krypto-Agilität" befassen: Das ermöglicht den Austausch von einzelnen Codezeilen unter Beibehaltung der zugrundeliegenden Software.
Webseiten-Hacks
Eine der gängigsten Security-Gefahren im Zusammenhang mit Bitcoin und Blockchain ist der "gute alte" Webseiten-Hack. Erst Anfang Dezember 2017 konnten kriminelle Hacker eine Internet-Plattform um Bitcoinsim Wert von 70 Millionen Dollar erleichtern. Inzwischen wurden bereits deutlich zu viele, millionenschwere Kryptowährungs-Seiten und -Plattformen erfolgreich gehackt. Wenn das passiert, lösen sich in der Regel auch die Bitcoin-Vorräte der Nutzer schlicht in Luft auf. Sie tun also gut daran, Ihre Kryptowährungs-Bestände in einer Offline-Umgebung zu sichern, beziehungsweise in einer solchen ein Backup vorzuhalten.
Einige der größten Plattform-Hacks wurden übrigens skrupellosen Betreibern nachgewiesen, die sich mit illegal beschafften Millionen aus dem Staub machten. Wenn Sie mit/über eine Kryptowährungs-Seite oder -Plattform Geschäfte machen, stellen Sie sicher, dass diese Seite in Sachen Security gut aufgestellt und vertrauenswürdig ist. Eine Einlagensicherung rettet Sie hier nämlich (noch) nicht.
Der Sicherheitsanbieter Dashlane hat in einer aktuellen Studie erstmals verschiedene Kryptowährungs-Webseiten, beziehungsweise Handelsbörsen, auf deren Passwort-Sicherheit abgeklopft. Die Ergebnisse sind - gelinde gesagt - beunruhigender Natur:
Demnach erlauben 43 Prozent der von Dashlane geprüften Kryptowährungs-Portale ihren Nutzern, Passwörter mit sieben und weniger Zeichen zu erstellen, während 34 Prozent erst gar keine alphanumerischen Passwörter voraussetzen. Die Hälfte der Websites stellt seinen Usern darüber hinaus auch kein Tool zur Verfügung, das Auskunft über die Stärke des gewählten Passwortes erteilt, so der US-Sicherheitsanbieter weiter. Im Vorjahr hatte Dashlane bereits etliche Consumer-Websites auf deren Passwort-Sicherheit überprüft - dabei kam man auf eine "Durchfallquote" von knapp 49 Prozent. Vergleicht man das mit den 71 Prozent des aktuellen Tests von Kryptowährungs-Seiten, kommt man nicht umhin, sich ungläubig am Kopf zu kratzen.
"Das Anmelden bei einer Website für Kryptowährungen ist vergleichbar mit dem Eröffnen eines Bankkontos", erklärt Emmanuel Schalit, CEO von Dashlane. "Solche Seiten speichern die persönlichen Bankkonto- und Kreditkarteninformationen, die Bitcoins und weitere digitale Vermögenswerte. Deshalb ist es entscheidend, dass Ihr Konto in puncto Sicherheit nichts zu wünschen übriglässt."
Wie ein sicheres Passwort aussehen muss und welche Tools Sie beim Erstellen und Verwalten Ihrer Zugangsschlüssel unterstützen können, lesen Sie hier.
Fazit: Auf die Größe kommt es an
Ein Schlüsselkonzept im Zusammenhang mit Blockchain-Security gilt es zu verstehen: Öffentliche, verteilte Blockchains sind von Natur aus sicherer als privateBlockchains. Schließlich müsste ein krimineller Hackermehr als 50 Prozent der Teilnehmer oder Blöcke in einem solchen System kompromittieren - und zwar schneller, als neue Blöcke geschrieben werden. Deswegen sind größere Blockchains sicherer als kleinere.
Inzwischen stellen auch nicht wenige Security-Spezialisten in Frage, obBlockchainsfür einzelne Unternehmen überhaupt Sinn machen. Trotzdem wird es weiterhin kleine private Blockchains geben - einerseits wegen ihres Potenzials bei Finanztransaktionen, andererseits weil diese in der Zukunft wahrscheinlich Komponenten von großen Hybrid- oder Public Blockchains werden.
Jede Security-Fachkraft sollte die Blockchain-Technologie und die von ihr ausgehenden Potenziale verstehen. Denn auch wenn die Technologie sehr sicher ist - auch sie kann gehackt werden.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.