IT-Sicherheit:

BSI legt Lagebild und Blockchain-Analyse vor

pixabay-geralt-network-3537392-1500x984
Foto: CC0 1.0, Pixabay User geralt. Bildname: netzwerk-erde | Ausschnitt bearbeitet

Wie sicher sind Blockchain, Kryptowährungen und Künstliche Intelligenz? Das Bundesamt für Sicherheit in der Informationstechnik hat sich in mehreren Papieren aus Perspektive der IT-Sicherheit mit den digitalen Technologien beschäftigt. Dabei unter der Lupe: Data Poisoning, Delphinangriffe und die Langzeitsicherheit der Blockchain trotz kryptografischer Schwächen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die IT-Sicherheitsaspekte von Kryptowährungen, Blockchain und Künstlicher Intelligenz (KI) unter die Lupe genommen. Gemeinsam mit seinem französischen Pendant ANSSI (Agence nationale de la sécurité des systèmes d’information) veröffentlichte das BSI am Dienstag, 21. Mai, die zweite Ausgabe des “deutsch-französischen IT-Sicherheitslagebilds” mit Schwerpunkten auf Kryptowährungen und Künstlicher Intelligenz. Die 100 Seiten lange Analyse “Blockchain sicher gestalten” legte das BSI am Donnerstag, 23. Mai, vor.

Kryptowährungs-Kriminalität

Das kriminelle Interesse an “Cryptocurrency-Crime”, also Straftaten mit Bezug zu Kryptowährungen und ihren Handelsplätzen, habe im Vergleich zu 2017 abgenommen, schreiben BSI und ANSSI in ihrem Lagebild. Grund dafür ist laut Bericht der Einbruch der Kurse von Kryptowährungen, allein bei Bitcoin sei ein “Verlust von 80% des Kurspreises” zu verzeichnen. Insbesondere sogenanntes Cryptojacking habe nachgelassen. Dieser Begriff bezeichnet eine Technik, bei der etwa Websites unerkannt die Rechenkraft ihrer Besucher nutzen, um Kryptowährungen zu schürfen.

Dennoch hätten andere Angriffsarten an Bedeutung gewonnen. Darunter seien etwa Betrugsfälle, die nicht direkt an der Krypto-Technologie ansetzten, sondern etwa Schlüssel zu Krypto-Konten erbeuteten. “Hauptangriffsziel für erfahrene Angreifergruppen” seien derzeit Plattformen, auf denen Nutzer “klassische” Währungen in Kryptowährungen tauschen könnten, heißt es im Lagebild. BSI und ANSSI sprechen von einem “Trend in 2018”, allein auf der japanischen Handelsplattform Coincheck verursachten Angreifer demnach einen Schaden von 470 Millionen Euro in der Kryptowährung NEM.

Der Finanzaufsicht lägen  jedoch keine Informationen vor, dass es zu Cyber-Vorfällen auf Handelsplattformen für Kryptoassets in Deutschland gekommen sei, heißt es in der Antwort der Bundesregierung auf eine kleine Anfrage der FDP-Fraktion. In einem ähnlichen Kontext hat auch die Fraktion Die Linke die Bundesregierung in einer kleinen Anfrage nach “Geldwäscherisiken und Verbraucherschutz bei der Distributed-Ledger-Technologie und Initial Coin Offerings” gefragt.

IT-Sicherheit und KI

Cybersicherheit
Foto: Rawpixel | FreeCollection

Angesichts der herausgehobenen Bedeutung Künstlicher Intelligenz formulieren BSI und ANSSI in ihrem Lagebild den Anspruch, “Implikationen der Verwendung von KI in Bezug auf die IT-Sicherheit zu verstehen”. Hierbei sei eine Hauptfrage, “auf welche Weise und mit welcher Wahrscheinlichkeit KI das Gleichgewicht zwischen Offensive und Defensive in der IT-Sicherheit beeinflussen wird”.

Als besonderes Risiko zeichnet das Lagebild die Anfälligkeit Künstlicher Intelligenz für manipulative Eingriffe und nennt als Beispiel die KI-Kategorisierung eines Pandabär-Fotos, das “mit hoher Verlässlichkeit [unzutreffend] als Gibbon erkannt wird, nachdem das ursprüngliche (richtig erkannte) Bild mit ‘manipuliertem Rauschen’ überlagert wurde”. Solche Fehler seien zwar relativ ungefährlich in einer Bilddatenbank, deren Nützlichkeit im schlimmsten Fall leidet. “Sobald jedoch sicherheitskritische Anwendungen wie die autonome Fahrzeugkontrolle, die Grenzkontrolle oder die Analyse medizinischer Daten angesprochen werden”, seien geeignete Abwehrmechanismen nötig.

Hinzu käme das Risiko sogenannter vergifteter Daten (Data Poisoning), also bereits die Manipulation der Daten, mit denen KI-Algorithmen trainiert werden, schreiben BSI und ANSSI. Auch eröffneten sich über Smart-Home-Anwendungen neue Kanäle für Attacken, etwa sogenannter “Delphinangriffe”, also dem “Senden von Sprachbefehlen mit Ultraschallwellen (mit Frequenzen > 20 kHz) für persönliche Assistenzsysteme wie Siri und Alexa. Diese Befehle können von IoT-Geräten wie Smart-TVs gesendet und von den Nutzern aufgrund der hohen Frequenzen nicht erkannt werden”.

Darüber hinaus könne KI nicht nur anfällig für Angriffe, sondern auch Angriffsmittel selbst sein. So könne etwa eine KI benutzt werden, um Schwächen einer anderen KI auszunutzen. Beispiel sei “die Täuschung eines Gesichtserkennungsalgorithmus mit einer Brille mit geeignetem Muster auf der Fassung”, heißt es im Lagebild. Auch die Erzeugung täuschend echter Fake-Videos sei mittels KI deutlich einfacher möglich, ebenso die De-Anonymisierung einzelner Nutzer und Geräte.

Blockchain-Analyse des BSI

Auch die Sicherheit und technische Aspekte der Blockchain-Technologie hat das BSI in einer aktuellen Analyse unter die Lupe genommen: “Grundsätzlich schneiden Blockchains gegenüber klassischen zentralen Datenbanken in den Punkten Verfügbarkeit und Robustheit gegen Missbrauch positiv ab. Dem stehen auf der anderen Seite Nachteile im Bereich Vertraulichkeit und Effizienz gegenüber”, heißt es im Papier mit dem Titel “Blockchain sicher gestalten”.

Mit Nüchternheit reagiert das BSI auf den Hype um die Blockchain-Technologie, insbesondere Bitcoin. Es sei davon auszugehen, dass das Bitcoin-Modell trotz großer medialer Aufmerksamkeit “für die meisten Anwendungen nicht sinnvoll sein wird”. Und “die Nutzung von Blockchain allein löst keine IT-Sicherheitsprobleme”, im Gegenteil: Das System eröffne neue Angriffsvektoren. Auch ergäben sich “aus der auf Blockchains gerade erwünschten Transparenz und Manipulationssicherheit” möglicherweise datenschutz-rechtliche Probleme.

Bei Smart Contracts, also der Möglichkeit, Verträge automatisiert über die Blockchain abzuwickeln, gibt sich das BSI ebenfalls zurückhaltend: Längst nicht jeder Vertragsinhalt lasse sich überhaupt durch einen Smart Contract darstellen. “Außerdem decken Analysen existierender Contracts eine große Zahl von Sicherheitsproblemen auf.” Diese reichten von Fehlern im Code über manipulierbare Zufallszahlen bis hin zu fehlender Authentizität der verarbeiteten Daten.

Herausforderung: Langzeitsicherheit der Blockchain

Besonders in den Blick nimmt das BSI die Langzeitsicherheit der Blockchain-Technologie. Diese stehe und falle mit den verwendeten kryptographischen Algorithmen. Es sei grundsätzlich nicht möglich, deren Sicherheit längerfristig zu garantieren: Jeder befugte Nutzer sei in der Lage, “die Blockchain bei sich abzuspeichern und später – etwa wenn sich bei den verwendeten kryptografischen Verfahren Schwächen zeigen sollten – auszuwerten”. Daher “müssen Maßnahmen zur Verfügung stehen, die den Austausch kryptografischer Algorithmen ermöglichen, deren Sicherheitseignung abgelaufen ist”, heißt es in der BSI-Analyse. Dies sei “ein bisher von den meisten Akteuren im Bereich Blockchain kaum beachteter Aspekt”.

Bereits im Februar 2018 hatte das BSI mit der Veröffentlichung eines Eckpunktepapiers einen ersten Schritt unternommen, um auf die grundsätzlichen Fragestellungen im Bereich Blockchain einzugehen. Die aktuelle Analyse knüpft an jenes Eckpunktepapier an. Für die Online-Konsultation der Blockchain-Strategie der Bundesregierung hatten kürzlich insgesamt 158 Vertreter von Organisationen Stellungnahmen eingereicht. Das geht aus der Antwort auf eine Kleine Anfrage der FDP-Fraktion hervor. Eine Auswertung soll im Sommer 2019 vorgestellt werden, genauso wie die Strategie selbst.

Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Torben Klausa schreibt als Redakteur zur Digitalpolitik.