iaremenko - stock.adobe.com
7 Möglichkeiten zur Risikominderung im Web3
Viele Firmen interessieren sich derzeit für die Möglichkeiten im Web3. Dabei dürfen sicherheitsrelevante Auswirkungen nicht vernachlässigt werden. Wir stellen 7 Best Practices vor.
Das Web3 ist momentan ein schnell wachsender, aber auch heiß diskutierter Trend in der IT-Welt. Web3-Befürworter lehnen die zentralisierte Kontrolle mit Nachdruck ab, die von den großen Internetfirmen derzeit noch im sogenannten Web2 ausgeht. Stattdessen haben sie die Vision einer dezentralisierten Welt mit einem Internet vor Augen, das auf der Blockchain-Technik basiert. Dadurch, so erhoffen sie sich, wird sich die Macht im Internet besser verteilen, so dass auch einzelne Anwender wieder mehr Kontrolle, Beteiligung und wirtschaftliche Vorteile haben.
Unternehmen und insbesondere Tech-Firmen sollten jedoch einen proaktiven Ansatz wählen, wenn sie sich mit dem Potential der neuen Web3-Techniken und ihrer Absicherung beschäftigen wollen. Viele aktuelle Blockchain-Umsetzungen und Kryptowährungen sind Gegenstand ernstzunehmender Sicherheitsbedenken. Sie reichen von eher traditionellen Problemen wie Social Engineering, Gefahren durch Insider, Fehlern bei der technischen Umsetzung bis zu einer neu auftretenden Art von Web3-spezifischen Exploits, die sich immer wieder in dezentralisierten Anwendungen, Plattformen und Wallets finden.
Erschwerend kommt hin, dass Angriffe auf die Blockchain oft einen weit größeren Schaden anrichten, als wenn klassische Anwendungen attackiert werden. Meist geht es dabei derzeit um Ereignisse im Zusammenhang mit Smart Contracts, die in der Regel nicht umkehrbar sind. Erfolgreiche Attacken betreffen zudem nicht mehr nur einzelne Knoten, sondern breiten sich schnell über teils gigantische Netzwerke aus.
IT-Sicherheitsverantwortliche reduzieren die Risiken im Web3, indem sie die folgenden Best Practices umsetzen.
1. Planungen auf Basis des Security-by-Design-Prinzips
Bewährte Sicherheitsmaßnahmen sind auch für das Web3 genauso wichtig wie für alle anderen Systeme. Firmen, die ein Web3-System aufbauen wollen, sollten daher darauf achten, bewährte Sicherheitsprinzipien in ihre Designs, Produkte und Infrastrukturen einfließen zu lassen. So sollten zum Beispiel die Entwickler die potenziellen Angriffsoberflächen immer so minimal wie nur möglich halten. Außerdem sollten sie das Zero-Trust-Framework umsetzen und sicherstellen, dass nur sorgfältig segmentierte und zugleich minimale Privilegien zugeteilt werden. Die technischen Möglichkeiten müssen also hinter den Prinzipien zurückstehen, die für ein sicheres Design sorgen.
2. Verwenden Sie unterschiedliche Blockchain-Arten, um konsequent für Sicherheit zu sorgen
Auch wenn Security by Design an oberster Stelle stehen muss, sollten Unternehmen sich genau überlegen, welche Art von Blockchain-Lösung sie überhaupt einsetzen wollen.
Öffentliche Blockchain-Netze wie Ethereum oder Solana sind frei zugänglich und erlauben jedem, daran teilzunehmen. Sie bieten sehr vielfältige Möglichkeiten zur Anonymität, die von der jeweiligen Anwendung abhängen. Eine private Blockchain erfordert dagegen von jedem Nutzer, seine Identität zu bestätigen, bietet dafür aber geschützte Mitgliedschaften und andere Vorteile, die sich aus dem begrenzten Zugang ergeben.
Unterschiedliche Blockchains, also sowohl öffentliche und private, haben auch unterschiedliche Bestandteile. Das führt dazu, dass sich jemand nicht automatisch mit anderen Blockchain-Lösungen auskennt, nur weil er sich bereits mit anderen Umsetzungen ausführlich beschäftigt hat. Eine Vielzahl hybrider Elemente wie Sidechains, Multichains, Cross-Chains, Federations, Oracles und andere Distributed-Ledger-Komponenten wirken sich auf Geschwindigkeit, Effizienz und Widerstandsfähigkeit aus. Sie alle beeinflussen daher auch die Arbeit des Sicherheitsteams.
3. Den Web3-Markt und das Vertrauen darin beobachten
Der aktuelle Wilde Westen des Web3 hängt mit weit mehr als nur mit der Technologie zusammen. Er enthält auch einige rechtliche, kulturelle und wirtschaftliche Dynamiken, die Web3-Gestalter mit in ihre Planungen einbeziehen sollten. Wenn es zum Beispiel um Identitäten geht, kollidieren bestimmte Konfigurationen oder Integrationen oft mit bestehenden Compliance-Vorgaben wie Know Your Customer oder der europäischen Datenschutz-Grundverordnung (DSGVO).
Über die Identitätsfrage hinaus ist zu beachten, dass unterschiedliche Rechtssysteme in der Regel auch unterschiedliche Vorgaben zum Umgang mit Krypto-Systemen haben. Erschwerend kommt hinzu, dass viele Web3-Projekte dezentral organisierte, teils voneinander autonome Verbünde sind.
Beziehen Sie zudem jederzeit mögliche Stimmungsänderungen in sozialen Netzen und die dort zu findenden ganz eigenen Dynamiken mit in Ihre Überlegungen zu den Sicherheitsauswirkungen ein. Können zum Beispiel Communities beim Online-Dienst Discord bestimmte Vorteile digitaler Assets komplett missverstehen oder auch viel zu weit in den Himmel loben? Eine andere Frage ist, inwieweit die in Code umgesetzten Finanzmöglichkeiten einer Krypto-Plattform neue Bösewichter anlocken?
4. Zusammenarbeit mit anderen Firmen bei sicherheitsrelevanten Ressourcen und Daten
Programme zum Begrenzen von Cyberrisiken profitieren enorm von der Zusammenarbeit mit anderen Firmen in derselben Branche. So lassen sich neue Bedrohungen schneller verstehen und besser bekämpfen.
Im Web3-Bereich entsprechen manche der dafür genutzten Kanäle eher traditionellen Ressourcen wie Open-Source-Plattformen. Beispiele dafür sind Github sowie die nach dem OODA-Loop-Konzept aufgebaute Cryptocurrency Incident Database. Die gleichnamige Organisation hat diese Datenbank entwickelt, nachdem sie eine hohe Zahl von sicherheitsrelevanten Vorfällen bei Web3-Projekten registriert hatte.
Sie soll Sicherheitsforscher und Entwickler unterstützen, allgemeine Angriffskategorien und die zugrundeliegenden Wurzeln leichter zu identifizieren. Unternehmen, die eine Web3-Plattform bereitstellen, sollten daher auch Sicherheitshinweise für beteiligte oder interessierte Entwickler veröffentlichen. Die Entwicklung von Web3-Projekten erfolgt relativ exponiert in der Öffentlichkeit. Andere Quellen für Forschungen sollten daher auch Plattformen wie Reddit, Discord und Twitter sein.
5. Integrieren Sie Ihre Web3-Projekte in Ihre Sicherheitsvorgaben
Am Web3 interessierte Unternehmen müssen Risiken im gesamten Entwicklungsprozess modellieren, analysieren und bekämpfen. Blockchain-Entwickler und Sicherheitsexperten sollten sich daher bereits im Vorfeld Fragen wie die folgenden stellen:
- Welche Code-Bereiche sind am stärksten betroffen?
- Wie beeinflusst das unsere Richtlinien zum Reagieren auf sicherheitsrelevante Vorfälle?
- Wie lassen sich Schwachstellen melden?
- Wie können die Nutzer selbst die Risiken reduzieren?
- Wie lassen sich Berechtigungen verwalten und welche Transaktionen zwischen Wallets, Chains und anderen Bestandteilen sollen berücksichtigt werden?
- Ist unsere Organisation auf eine Beteiligung der Community vorbereitet?
- Wie gehen wir mit größeren Änderungen oder einem Fork der Chain um, also einer Abspaltung, wenn es doch zu einem Sicherheitsvorfall kommt?
Mit solchen Fragen sollte man sich besser bereits im Vorfeld beschäftigen und nicht erst in der Hektik eines gerade stattfindenden Vorfalls. Die Antworten auf die Fragen müssen in Übereinstimmung mit den bereits festgelegten Sicherheitsvorgaben des Unternehmens stehen.
6. Moderne Techniken zur Abwehr von Angriffen
Die Qualität der überprüften Daten und eine Einschätzung des Risikos ihrer Manipulation sollten mit in alle Entscheidungen darüber einfließen, was innerhalb der Chain und was außerhalb geschehen darf. Das gilt auch für die Frage, welche Informationen erforderlich sind, um Transaktionen und überhaupt das Eigentum an Krypto-Münzen zu legitimieren.
Adressieren Sie häufige Gefahren wie zum Beispiel Phishing sowohl innerhalb der technischen Basis als auch in den Workflows der Benutzeroberfläche. So sollten die Sicherheitsteams den Anwendern etwa vorgeben können, ihre Browser um Tools zur Erkennung bösartiger Links zu erweitern sowie Multifaktor-Authentifizierungen zu nutzen. Außerdem sollten sie regelmäßig darauf hinweisen, öffentliche WLAN-Netze zu vermeiden und Updates für alle genutzten Systeme einzuspielen.
Außerdem sollten Sie Risiken vermeiden, die spezifisch mit der Blockchain zusammenhängen. Dazu zählen unter anderem sogenannte 51-Prozent- beziehungsweise Sybil-Attacken. Diese dienen dazu, die Legitimität eines Dienstes zu untergraben. Aus diesem Grund muss genau geprüft werden, welche Algorithmen verwendet werden. Auch müssen die Mining-Pools überwacht und andere Nodes auf verdächtiges Verhalten geprüft werden. Die für die Blockchain benötigten Schlüssel und Wallets haben zur Folge, dass auch die Anwender in diese Sicherheitsbestrebungen integriert werden müssen. Das sollte bereits beim Onboarding der Nutzer und beim Design ihrer Benutzerumgebung bedacht werden.
7. Lassen Sie durch unabhängige Dritte Audits für Ihre Smart Contracts und den Web3-Code durchführen
Trotz der hohen Geschwindigkeit der Entwicklung im Web3 müssen Unternehmen ihre diesbezüglichen Projekte gründlich evaluieren und testen. Das gilt sowohl vor als auch nachdem sie neuen Code integrieren. Ein Versäumnis kann dazu führen, dass es zu sicherheitsrelevanten Vorfällen und erheblichen Verlusten kommt. Immer wieder werden häufig genutzte Exploits, gängige Angriffsvektoren für Insider und grundlegende Schutzmaßnahmen für den Schutz der Daten der Anwender übersehen. Spätere Probleme sind dann meist nicht zu vermeiden.
Unternehmen sollten darüber hinaus regelmäßig Routine-Audits durchführen. Ein weiterer Grund dafür ist, dass viele Start-up-Entwickler die Sicherheitsregulierungen gar nicht kennen, die in traditionellen Firmen in der Regel bereits vor langer Zeit eingeführt wurden.
Die gute Nachricht ist, dass derzeit eine neue Art von Web3-bezogenen Sicherheitsressourcen wie DeepReason entsteht. Diese Organisation stellt eine Technik für Audits bereit, die sich in jedem Stadium der Entwicklung eines Web3-Projekts nutzen lässt.
Sicherheitsexperten in den Unternehmen sollten sich schon jetzt mit den neuen Techniken und Möglichkeiten umfassend beschäftigen. Viele eher klassische Sicherheitsmaßnahmen lassen sich weiterhin nutzbringend einsetzen. Distributed Ledger, Krypto-Währungen, Wallets und digitale Finanztransaktionen sorgen aber trotzdem für viel Arbeit im Bereich IT-Security. Heute mag das Web3 für viele Experten und Unternehmen noch als relativ unbedeutend für sie erscheinen. Die Wahrheit ist aber, dass die zugrundeliegenden Technologien ein enormes disruptives Potenzial für sie und ihre Kunden haben, das nicht übergangen werden sollte.
