Kryptowährung klauen statt kaufen?

Wie Bitcoin und Blockchain gehackt werden

27.04.2018
Von  und
Roger Grimes ist freier Redakteur unserer US-Schwesterpublikation CSO Online.


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.

Plaintext-Attacken

Eine gute Verschlüsselung sorgt dafür, dass Informationen nicht als Klartext sichtbar sind. Ein krimineller Hacker sollte also in der Theorie auch keine Chance haben, solche Daten zu entschlüsseln. Allerdings ist bei jeder Blockchain-Technologie das Format der einzelnen Blöcke entweder bekannt oder ziemlich leicht herauszufinden. Bestimmte Buchstaben, Zahlen und Sonderzeichen befinden sich in diesen Blöcken immer an derselben Stelle.

So könnten sich Krypto-Hacker ein partielles Abbild vom Klartext in jedem einzelnen Block beschaffen. Zudem ist jederBlockauch eine Funktion des vorherigen Blocks, was wiederum den allgemeinen Schutz der zugrundeliegenden Verschlüsselungs-Technologie schwächt. Ist der Code frei von Schwachstellen, gibt es keine größeren Probleme - dennoch bilden Plaintext-Attacken einen beliebten "Startpunkt" für Angreifer.

Schwache Verschlüsselung?

Etliche Security-Experten fragen sich inzwischen, ob der Verschlüsselungsstandard SHA-256 (der dieselben mathematischen Schwächen wie sein Vorgänger SHA-1aufweist) zur Gefahr für Bitcoin und Blockchain wird. So weit ist es glücklicherweise noch nicht - SHA-256 ist stark genug für die nächsten Jahre. Da SHA-256 auch bei den meisten Finanz- und HTTPS-Transaktionen zum Einsatz kommt, dürften wir Probleme bekommen, die weit über Bitcoin und Blockchain hinausgehen, wenn ein Hacker es schafft, diesen Verschlüsselungsstandard zu knacken.

Wenn Sie eine eigene Kryptowährung oder einBlockchain-Projekt an den Start bringen wollen, sollten Sie sich mit "Krypto-Agilität" befassen: Das ermöglicht den Austausch von einzelnen Codezeilen unter Beibehaltung der zugrundeliegenden Software.

Webseiten-Hacks

Eine der gängigsten Security-Gefahren im Zusammenhang mit Bitcoin und Blockchain ist der "gute alte" Webseiten-Hack. Erst Anfang Dezember 2017 konnten kriminelle Hacker eine Internet-Plattform um Bitcoinsim Wert von 70 Millionen Dollar erleichtern. Inzwischen wurden bereits deutlich zu viele, millionenschwere Kryptowährungs-Seiten und -Plattformen erfolgreich gehackt. Wenn das passiert, lösen sich in der Regel auch die Bitcoin-Vorräte der Nutzer schlicht in Luft auf. Sie tun also gut daran, Ihre Kryptowährungs-Bestände in einer Offline-Umgebung zu sichern, beziehungsweise in einer solchen ein Backup vorzuhalten.

Einige der größten Plattform-Hacks wurden übrigens skrupellosen Betreibern nachgewiesen, die sich mit illegal beschafften Millionen aus dem Staub machten. Wenn Sie mit/über eine Kryptowährungs-Seite oder -Plattform Geschäfte machen, stellen Sie sicher, dass diese Seite in Sachen Security gut aufgestellt und vertrauenswürdig ist. Eine Einlagensicherung rettet Sie hier nämlich (noch) nicht.

Der Sicherheitsanbieter Dashlane hat in einer aktuellen Studie erstmals verschiedene Kryptowährungs-Webseiten, beziehungsweise Handelsbörsen, auf deren Passwort-Sicherheit abgeklopft. Die Ergebnisse sind - gelinde gesagt - beunruhigender Natur:

Foto: Dashlane

Demnach erlauben 43 Prozent der von Dashlane geprüften Kryptowährungs-Portale ihren Nutzern, Passwörter mit sieben und weniger Zeichen zu erstellen, während 34 Prozent erst gar keine alphanumerischen Passwörter voraussetzen. Die Hälfte der Websites stellt seinen Usern darüber hinaus auch kein Tool zur Verfügung, das Auskunft über die Stärke des gewählten Passwortes erteilt, so der US-Sicherheitsanbieter weiter. Im Vorjahr hatte Dashlane bereits etliche Consumer-Websites auf deren Passwort-Sicherheit überprüft - dabei kam man auf eine "Durchfallquote" von knapp 49 Prozent. Vergleicht man das mit den 71 Prozent des aktuellen Tests von Kryptowährungs-Seiten, kommt man nicht umhin, sich ungläubig am Kopf zu kratzen.

"Das Anmelden bei einer Website für Kryptowährungen ist vergleichbar mit dem Eröffnen eines Bankkontos", erklärt Emmanuel Schalit, CEO von Dashlane. "Solche Seiten speichern die persönlichen Bankkonto- und Kreditkarteninformationen, die Bitcoins und weitere digitale Vermögenswerte. Deshalb ist es entscheidend, dass Ihr Konto in puncto Sicherheit nichts zu wünschen übriglässt."

Wie ein sicheres Passwort aussehen muss und welche Tools Sie beim Erstellen und Verwalten Ihrer Zugangsschlüssel unterstützen können, lesen Sie hier.

Fazit: Auf die Größe kommt es an

Ein Schlüsselkonzept im Zusammenhang mit Blockchain-Security gilt es zu verstehen: Öffentliche, verteilte Blockchains sind von Natur aus sicherer als privateBlockchains. Schließlich müsste ein krimineller Hackermehr als 50 Prozent der Teilnehmer oder Blöcke in einem solchen System kompromittieren - und zwar schneller, als neue Blöcke geschrieben werden. Deswegen sind größere Blockchains sicherer als kleinere.

Inzwischen stellen auch nicht wenige Security-Spezialisten in Frage, obBlockchainsfür einzelne Unternehmen überhaupt Sinn machen. Trotzdem wird es weiterhin kleine private Blockchains geben - einerseits wegen ihres Potenzials bei Finanztransaktionen, andererseits weil diese in der Zukunft wahrscheinlich Komponenten von großen Hybrid- oder Public Blockchains werden.

Jede Security-Fachkraft sollte die Blockchain-Technologie und die von ihr ausgehenden Potenziale verstehen. Denn auch wenn die Technologie sehr sicher ist - auch sie kann gehackt werden.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.