Neue BSI-Studie zu Blockchain-Anwendungen

0
973
Für eine Marktanalyse hat das BSI 300 Blockchain-Anwendungen bewerten lassen. (Foto: Bundesamt für Sicherheit in der Informationstechnik)

Im Rahmen einer Marktanalyse hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) 300 Blockchain-Anwendungen analysieren und bewerten lassen, um einen umfassenden Überblick über den Grad der Sicherheit im Blockchain-Ökosystem zu erlangen.

Auftragnehmer der Studie war das Forschungszentrum Informatik (FZI) in Karlsruhe. Laut dem nun veröffentlichten Abschlussbericht kommen die Forscher zu dem Schluss, dass nur knapp 20 Prozent der untersuchten Anwendungen einen hohen oder sehr hohen Reifegrad erreichen.

Intransparenz bei der Sicherheit

Obwohl Sicherheit als das Hauptverkaufs-
argument der meisten Blockchain-Angebote angegeben wird, ist der Markt bei diesem Thema von einem hohen Grad an Intransparenz geprägt. So veröffentlichten die Hersteller nur in wenigen Einzelfällen die Ergebnisse unabhängiger Sicherheitsuntersuchungen. Zudem existieren formale Sicherheitsnachweise häufig nur für die eingesetzten kryptographischen Bausteine wie Verschlüsselungsverfahren oder Signaturfunktionen, auch wenn die Hersteller weit darüber hinaus gehende Sicherheitseigenschaften versprechen.

Das Ziel der Studie sollte dabei in zwei Schritten erreicht werden. Zunächst sollte im Rahmen einer Marktanalyse ein umfassender Überblick über existierende Blockchain-Technologien erstellt werden. Im Rahmen der Ermittlungsarbeit sollten die identifizierten Technologien bereits einer ersten Bewertung unterzogen werden, bei der insbesondere der erste Eindruck der verwendeten Sicherheitsmechanismen, die Softwarequalität und die bisher bekannt gewordenen Sicherheitsvorfälle einbezogen werden.

Breiter Überblick

Im zweiten Schritt wurden auf Basis der vorläufigen Bewertung acht der Blockchain-Angebote ausgewählt und anschließend einer umfassenden und detaillierten Sicherheitsanalyse unterzogen. Um einen breiten Überblick zu erhalten, sollten dabei möglichst verschiedene Arten von Angeboten, Anwendungsbereiche und Mechanismen abgedeckt werden, sowie eine angemessene Kombination aus theoretischen und praktischen Methoden angewendet werden. Die Untersuchung beinhaltete als potenzielle Schwachstellen sowohl Programmfehler als auch Zufallszahlenerzeugung, Seitenkanäle, kryptographische Schwächen und weitere in Abstimmung mit vom BSI festzulegenden Aspekte. Als Ergebnis dieser Studie sollte ein umfassendes IT-Security-Lagebild für Blockchain-Anwendungen entstehen, das durch eine fundierte Testmethodik gestützt wird.

Viele gemeinsam verwendete Verfahren

Das Fazit der Studie: Nahezu keines der getesteten Angebote könne “einen formalen Sicherheitsnachweis vorweisen”, so das BSI. Zwar besitzen die meisten der acht detailliert untersuchten Blockchain-Angebote laut der IT-Sicherheitsbehörde ein hohes Sicherheitsniveau und im Rahmen des verfügbaren Untersuchungsaufwands der Studie konnten keine schwerwiegenden Schwachstellen gefunden werden, doch gebe es einige grundsätzlich gelagerte Probleme.

Dazu gehört der hohe Grad an gemeinsam verwendeten Code-Bausteinen zwischen den untersuchten Angeboten, insbesondere bei heiklen kryptographischen Verfahren, die ungewöhnliche Wahl der kryptographischen Primitiven sowie die hohe Anzahl an Abhängigkeiten zu externen Programmbibliotheken, die in veralteten Versionen, teilweise mit bekannten Sicherheitslücken eingesetzt werden.

Neben den positiven Fällen gab es zudem auch schwarze Schafe: So wurde eines der detailliert untersuchten Angebote als “fundamental unsicher” klassifiziert, während ein weiteres anfällig gegenüber Phishing-Angriffen sei. Alle gefundenen Probleme wurden den jeweiligen Herstellern gemeldet, wobei die Reaktionen auf die Meldung von weniger kritischen Schwachstellen laut BSI überwiegend positiv ausfielen.

Auf die Meldung der beiden kritischen Probleme erfolgte jeweils keine Reaktion. Keines der in diesen Fällen gemeldeten Probleme ist nach Kenntnisstand des BSI bislang behoben.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here