10 Risiken

Wie NFTs und Krypto die Sicherheit gefährden

Dezentrale Technologien können CISOs den Angstschweiß auf die Stirn treiben. Doch die Risiken lassen sich beherrschen.
Von  und
CSO | 13. April 2022 05:00 Uhr
CISOs betrachten Kryptowährungen und NFTs aufgrund ihrer Risiken mit Skepsis. Wir sagen Ihnen, wo diese liegen und wie Sie sie abmildern.
CISOs betrachten Kryptowährungen und NFTs aufgrund ihrer Risiken mit Skepsis. Wir sagen Ihnen, wo diese liegen und wie Sie sie abmildern.
Foto: eamesBot - shutterstock.com

Die Liste der Unternehmen, die Kryptowährungen als Zahlungsmittel akzeptieren, wird immer länger. Gleichzeitig erklimmt der Markt für Non-Fungible Tokens (NFTs) immer neue Höhen. Sowohl Kryptowährungen als auch NFTs stehen vor allem bei solchen Organisationen auf der Tagesordnung, die sich mit den Möglichkeiten von Web3 beschäftigen. Der neue Ansatz verspricht, das Internet in ein dezentrales Zeitalter zu überführen, indem nicht Digitalkonzerne, sondern die Nutzer selbst die Kontrolle übernehmen.

Viele CISOs reagieren auf diesen Paradigmenwechsel mit einer langen Liste von Bedenken, die bei Cybersicherheit beginnt und beim Datenschutz endet. Kryptowährungen und NFTs bergen eine Reihe von Risiken und potenziellen Sicherheitsproblemen, wie Doug Schwenk, CEO von Digital Asset Research, erklärt: "Die Technologien erfordert eine Reihe neuer operativer Prozesse, schaffen eine Exposition gegenüber einer neuen Reihe von Systemen - Stichwort Public Blockchains - und bergen Risiken, mit denen viele Unternehmen weniger vertraut sind."

Wir haben die zehn wichtigsten Sicherheitsrisiken in Zusammenhang mit Kryptowährungen und NFTs für Sie zusammengetragen.

1. Blockchain-Protokoll-Integration

Die Blockchain ist eine relativ neue Technologie. Daher kann es sich schwierig gestalten, Blockchain-Protokolle in ein Projekt einzubinden. "Die größte Herausforderung im Zusammenhang mit der Blockchain ist einerseits die mangelnde Awareness der Technologie gegenüber, andererseits ein mangelndes Verständnis darüber, wie sie funktioniert. Das behindert Investitionen und Forschung", heißt es in einem Bericht von Deloitte (PDF).

Unternehmen sollten unterstützte Blockchains sorgfältig hinsichtlich ihrer Reife und Eignung prüfen. "Die Übernahme eines Blockchain-Protokolls, das sich in einem frühen Stadium befindet, kann zu Ausfallzeiten und Sicherheitsrisiken führen, während Protokolle in einem späteren Stadium höhere Transaktionsgebühren mit sich bringen", sagt Schwenk. "Nach der Auswahl eines Protokolls, um die gewünschte Anwendung (z. B. Zahlungen) zu unterstützen, ist möglicherweise kein Support vom Sponsor verfügbar. An dieser Stelle gibt es Parallelen zur Einführung von Open-Source-Lösungen, wo bestimmte Dienstleister erforderlich sein können, um den Wert voll auszuschöpfen."

2. Asset-Ownership-Normen

Kauf jemand ein Kunstobjekt als NFT, erwirbt er nicht wirklich ein Original, da es größentechnisch unpraktisch wäre, Bilder oder Musikstücke auf einer Blockchain abzuspeichern. Stattdessen erwirbt der User eine Art Quittung und einen Zugang zu dem Objekt. Die Blockchain speichert lediglich die Identifikationsdaten, zum Beispiel in Form einer Hash-Datei oder einer URL. Häufig wird dazu das HTTP-Protokoll verwendet - eine dezentrale Alternative dazu ist das Interplanetary File System (IPFS). Organisationen, die sich für IPFS entscheiden, müssen sich darüber im Klaren sein, dass der IPFS-Knoten von dem Unternehmen betrieben wird, das das NFT verkauft. Wenn es seinen Betrieb einstellt, können die Benutzer den Zugriff auf das Bild verlieren.

"Es ist technisch möglich, eine Datei erneut auf IPFS hochzuladen. Allerdings ist es unwahrscheinlich, dass ein normaler Benutzer dazu in der Lage ist, da der Prozess äußerst kompliziert ist", berichtet der unabhängige IT-Sicherheitsexperte Anatol Prisacaru. "Die gute Nachricht ist, dass das wegen der dezentralen Natur jeder tun kann - nicht nur die Projektentwickler."

3. Marktplatz-Risiken

Während NFTs auf der Blockchain-Technologie basieren, können sich die mit ihnen verbundenen Bilder oder Videos entweder auf einer zentralen oder einer dezentralen Plattform befinden. Oft kommt aus Bequemlichkeitsgründen das zentrale Modell zum Einsatz, weil es für die Nutzer so einfacher ist, mit den digitalen Assets zu interagieren. Der Nachteil dabei ist, dass NFT-Marktplätze so Web2-Schwachstellen übernehmen können. Zudem sind herkömmliche Finanztransaktionen reversibel, Blockchain-basierte jedoch nicht.

"Ein kompromittierter Server kann dem Nutzer irreführende Informationen präsentieren und ihn das Kryptovermögen in seiner Wallet kosten", meint Prisacaru. Wenn man jedoch genügend Zeit und Mühe in die richtige Implementierung stecke, könne man sich vor Angriffen schützen - insbesondere im Fall einer dezentralen Plattform: "Bei einer ordnungsgemäßen, dezentralen Implementierung sollte ein kompromittierter Marktplatz nicht in der Lage sein, Assets von Nutzern zu stehlen oder zu manipulieren. Einige Marktplätze sparen jedoch an der falschen Stelle und opfern Security und Dezentralisierung zugunsten von Kontrolle."

4. Identitäts- und Kryptobetrug

Kryptowährungs-Scams sind weit verbreitet und betreffen in der Regel eine Vielzahl von Nutzern. "Betrüger halten sich regelmäßig über NFT-Veröffentlichungen auf dem Laufenden und halten zu einem solchen Launch in der Regel Dutzende entsprechender Fake-Seiten bereit", sagt Eliya Stein, Senior Security Engineer bei Confiant. Die Kunden, die diesen Betrugsmaschen zum Opfer fielen, gehörten oft zu denen der ersten Stunde. Daher sei ihr Schutz von entscheidender Bedeutung, so der Experte.

"Oft erhalten die Nutzer bösartige E-Mails, in denen sie darüber informiert werden, dass in einem ihrer Konten verdächtiges Verhalten festgestellt wurde. Sie werden aufgefordert, ihre Anmeldedaten zur Kontoverifizierung anzugeben, um das Problem zu lösen. Wenn der Nutzer darauf hereinfällt, sind seine Anmeldedaten kompromittiert. Jede Marke, die versucht, in den NFT-Bereich einzusteigen, würde davon profitieren, wenn sie Ressourcen abstellen würde, um diese Art von Phishing-Angriffen zu überwachen und abzuwehren", empfiehlt Stein.

5. Blockchain Bridges

Verschiedene Blockchains hängen mit unterschiedlichen Coins zusammen und unterliegen unterschiedlichen Regeln. Besitzt jemand beispielsweise Bitcoin, möchte aber Ethereum ausgeben, braucht er eine Verbindung zwischen den beiden Blockchains, die die Übertragung von Vermögenswerten ermöglicht. Eine Blockchain Bridge, manchmal auch Cross-Chain-Bridge genannt, übernimmt diese Aufgabe.

"Aufgrund ihrer Beschaffenheit werden Bridges in der Regel nicht unter strikter Verwendung von Smart Contracts implementiert und verlassen sich auf Off-Chain-Komponenten, die die Transaktion auf der anderen Kette einleiten, wenn ein Nutzer Vermögenswerte auf der ursprünglichen Kette hinterlegt", erklärt Prisacaru.

Blockchain Bridges wurden im Rahmen etlicher Hackerangriffe ins Visier genommen, darunter die Vorfälle bei Ronin, Poly Network und Wormhole. Beim Angriff auf die Gaming-Blockchain Ronin erbeuteten die Akteure im März 2022 Ethereum und USDC im Wert von 625 Millionen Dollar. Beim Angriff auf das Poly Network im August 2021 wurden ebenfalls mehr als 600 Millionen Dollar in Token geraubt (in diesem Fall konnten die Assets zurückgeholt werden).

6. Testing-Nachlässigkeiten

Qualitativ guter Code sollte höchste Priorität genießen. Laut Prisacaru sollten die Entwickler über die nötigen Kompetenzen verfügen und die Bereitschaft mitbringen, auf Details zu achten: "Anderenfalls steigt das Risiko, Opfer eines Sicherheitsvorfalls zu werden. Bei dem Angriff auf Poly Network beispielsweise nutzte der Angreifer eine Schwachstelle zwischen Contract Calls aus." Um einen Vorfall zu verhindern, sollten Teams vor allem auf gründliches Testing achten: "Die Organisation sollte externe Dritte mit einem Sicherheitsaudit beauftragen, auch wenn das teuer ist und zeitaufwändig sein kann. Audits bieten eine systematische Überprüfung des Codes, um bekannte Schwachstellen zu ermitteln."

Wenn ein Unternehmen einen Audit durchgeführt habe, bedeute das allerdings noch nicht, dass keine Probleme mehr auftreten könnten, so der Experte: "Auf einer Blockchain sind Smart Contracts in der Regel kompositionsfähig, und oft interagieren Ihre Verträge mit anderen Protokollen. Unternehmen haben jedoch nur die Kontrolle über ihren eigenen Code - die Interaktion mit externen Protokollen erhöht die Risiken."

Sowohl Privatpersonen als auch Unternehmen steht jedoch eine weitere Möglichkeit zum Risikomanagement offen: Versicherungspolicen, die die Kosten von Smart-Contract- oder Custodian-Hacks reduzieren.

7. Key Management

"Im Grunde ist Krypto nichts anderes als eine private Schlüsselverwaltung. Das klingt für viele Unternehmen einfach - CISOs sind sich der Probleme und Best Practices jedoch durchaus bewusst", ordnet Schwenk ein.

In Sachen Key Management gibt es mehrere Lösungen. Eine davon liegt in sogenannten Hardware Wallets wie Trezor, Ledger oder Lattice1. Dabei handelt es sich um USB-Devices, die das kryptografische Material auf ihren Secure Elements generieren und speichern. Angreifer haben so selbst dann keinen Zugriff auf die privaten Schlüssel ihrer Opfer, wenn sie sich beispielsweise über einen Virus oder eine Backdoor Zugang zu ihren Computern verschaffen.

Eine weitere Verteidigungsmaßnahme sind Multi-Sigs, die sich in Kombination mit Hardware Wallets nutzen lassen. "Im Grunde ist eine Multi-Sig eine Smart-Contract-Wallet, bei der die Transaktionen von einer Reihe von Ownern bestätigt werden müssen", erklärt Prisacaru. "Man könnte zum Beispiel fünf Owner haben und verlangen, dass mindestens drei Personen die Transaktion unterschreiben, bevor sie gesendet werden kann. Auf diese Weise müsste ein Angreifer mehr als eine Person kompromittieren, um die Wallet zu kompromittieren."

8. Ungeschulte Benutzer

Unternehmen, die auf Web3-Technologien setzen wollen, müssen ihre Mitarbeiter schulen - schließlich sind für die Transaktionen auf den verschiedenen Blockchains neue Tools erforderlich. "Der Handel mit digitalen Vermögenswerten mag dem traditionellen E-Commerce auf dem ersten Blick ähneln. Aber die Tools und Browser-Plugins, die benötigt werden, um sich in dieser neuen Welt zurechtzufinden, unterscheiden sich maßgeblich von dem, was Finanzteams gewohnt sind", sagt Aaron Higbee, Mitbegründer und CTO von Cofense. Zwar müsse sich jedes Unternehmen um E-Mail-basierte Phishing-Angriffe kümmern, aber Mitarbeiter, die mit digitalen Daten umgehen, seien besonders begehrte Ziele. Der Zweck von Schulungen ist es laut dem Experten sicherzustellen, dass jeder im Team aktuelle Best Practices befolgt und ein gutes Sicherheitsverständnis an den Tag legt.

Nach Meinung von Oded Vanunu, Head of Products Vulnerability Research bei Check Point, bestehe eine große Wissenslücke in Bezug auf Kryptowährungen, was für bestimmte Unternehmen ins Chaos führen könne: "Organisationen, die Web3-Technologien anstreben, müssen verstehen, dass diese Projekte tiefgreifende Sicherheitsüberprüfungen und Verständnis erfordern. Sie müssen die Zahlen und deren Auswirkungen verstehen. Einige Organisationen, die nicht auf Private Key Management setzen wollen, entscheiden sich für ein zentralisiertes System, das sie anfällig für Web2-Sicherheitsprobleme macht. Ich empfehle daher dringend, bei der Integration von Web3-Technologien in das Web2 eine gründliche Sicherheitsüberprüfung vorzunehmen und bewährte Sicherheitsverfahren zu implementieren."

9. Dezentrale Persistenz

Viele Unternehmen ziehen Produkte, die ihre Bedürfnisse nicht mehr erfüllen, aus dem Verkehr. Im Fall von Blockchain-basierten Assets ist das in der Regel nicht möglich. "NFTs sollten nicht als einmalige Marketingmaßnahme behandelt werden", empfiehlt Stein. "Wenn sich das NFT nicht selbst auf der Blockchain befindet, ist das Unternehmen verpflichtet, es auf Dauer aufrechtzuerhalten. Wenn das Projekt erfolgreich wird, kommt dem Unternehmen die große Aufgabe zu, die Sammler der digitalen Kunstwerke vor digitalen Missgeschicken und Scams zu bewahren."

Ein solches virales Projekt hat die ukrainische Regierung ins Leben gerufen. Sie bietet NFTs an, die die Timeline des russischen Angriffskrieges abbilden:

10. Blockchain als Tool

Neue Technologien sind immer aufregend, doch bevor Unternehmen auf einen Zug aufspringen, sollten sie sich zweierlei Fragen stellen:

  • Löst die Technologie ein Problem?

  • Ist es der richtige Zeitpunkt, sie einzuführen?

Blockchain-basierte Projekte können Unternehmen potenziell zum Positiven verändern, aber auch jede Menge Ressourcen verschlingen - zumindest in der Anfangsphase.

"Bei dieser Entscheidung wird es darauf ankommen, Risiko und Nutzen abzuwägen. Dabei ist eine angemessene Ausstattung mit Ressourcen für die IT Security - sowohl bei der Einführung als auch im laufenden Betrieb - von entscheidender Bedeutung. Diese neuen Risiken einzuschätzen, gehört vielerorts (noch) nicht zu den Kernkompetenzen. Man kann sich leicht im Hype verfangen, der Kryptowährungen und NFTs umgibt", meint CEO Schwenk.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Andrada Fiscutean ist Technische Journalistin. Sie schreibt für unsere US-Kollegen von CSOonline.com über Hacker, Malware, Frauen in IT und osteuropäische Techologieunternehmen.
Florian Maier beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.