Mitte Juli 2020 wurde Twitter von einer massiven Bitcoin-Betrugswelle überrollt. Die Twitter-Konten zahlreicher Prominenter wie Barack Obama, Elon Musk und Bill Gates wurden gehackt und für den Betrug missbraucht. Die Kriminellen verfolgten das Ziel, mit gefälschten Nachrichten Bitcoins zu erhalten. Zuvor hatten die Täter über Spear-Phishing Twitter-Mitarbeiter in Visier genommen und sich Zugriff auf interne System verschafft.

Ein Beitrag von Georg Nold Georg Nold ist seit 2017 CTO der Heise Medien GmbH.

Vorfälle wie dieser sind beileibe kein Einzelfall – und wenn auch noch die Mitarbeiter des betroffenen Unternehmens kompromittiert sind, ist der Schutz der Daten fast unmöglich. Regelmäßig werden Passwörter und E-Mail-Adressen abgegriffen. Mittlerweile hat sich ein regelrechter Markt entwickelt, der Passwörter und Logins handelt. Auf Have I Been Pwned kann man prüfen, ob die eigenen Nutzerdaten auf Marktplätzen bereits aufgetaucht sind. Und mit unschöner Regelmäßigkeit vermeldet das Projekt neue Leaks mit Millionen Datensätzen.

Die E-Mail-Adresse/Passwort-Notlösung

Mit der Kommerzialisierung des Internets wurden geschäftliche Transaktionen ein zentraler Bestandteil des Web. Es werden Güter gehandelt, Dienstleistungen angeboten und diese von zahlenden Kunden genutzt. Da spezielle Standards für diese Transaktionen fehlen, wurden technische Notlösungen ersonnen, um beteiligte Personen zu identifizieren. Im Gegensatz zur realen Welt mit ihrer erfahrbaren Physis gibt es im Internet keine greifbaren Dinge, um die Echtheit einer Information zu belegen. Alle Belege sind Bitmuster und diese Bitmuster können jederzeit auf dem Weg zwischen Kunden und Anbieter unbemerkt kopiert und manipuliert werden.

Deshalb werden heutzutage E-Mails und in besonderen Fällen auch SMS-Nachrichten genutzt, um Transaktionen abzusichern. Für jedes Geschäft erhält man umgehend Bestätigungen per E-Mail und solange man Herr seines E-Mail-Kontos ist, funktioniert dieses Verfahren. In Verbindung mit einem Passwort, als verabredetes Geheimnis zwischen Käufer und Anbieter, kann man sich bei längeren Geschäftsbeziehungen wiedererkennen und damit kontinuierlich Geschäfte machen. Die Risiken davon, in Bezug auf Datensicherheit, wurden eingangs beschrieben.

Digitale Urkunden

Wie kommen wir also aus diesem Dilemma heraus und was kann eine Alternative zur E-Mail-Adresse/Passwort-Notlösung sein? Hier lohnt ein Blick in die physische Welt, in der wir das Problem der Identitäten für Geschäfte seit Jahrtausenden mittels Urkunden gelöst haben. Urkunden begegnen uns im täglichen Leben in Ausweisen, Verträgen, Zeugnissen, Anteilsscheinen, Schuldscheinen, Geldscheinen und -münzen. Ein rechtliches Rahmenwerk sorgt dafür, dass das Fälschen dieser Urkunden unter Strafe steht, und die physische Beschaffenheit erschwert es, sie zu fälschen.

Jenseits der Fälschungssicherheit bieten Urkunden – weniger offensichtlich, doch genauso wichtig – auch in Bezug auf die Informationsarchitektur der Urkundendaten entscheidende Vorteile. So können Urkunden geschäftlich getauscht werden, der Besitz von Urkunden ist privat und Urkunden lassen sich in großer Zahl herstellen und entsprechend von vielen gleichzeitig einsetzen, ohne jede zentrale Verwaltung. Und wenn ein Dieb Urkunden in großer Zahl stehlen möchte, dann muss er sich die Mühe machen, viele Besitzer zu bestehlen.

Warum also nutzen wir nicht eine digitale Form von Urkunden oder Ausweisen? Der Besitz einer passenden digitalen Urkunde kann das Recht zum Lesen der neuen Ausgabe einer Tageszeitung begründen oder man kauft sich das neue Musikalbum von Herbert Grönemeyer und erhält einen digitalen Beleg dafür, um es jederzeit zu hören. Ein digitaler Ausweis öffnet den Zugang zu einer Fachzeitschrift im Abonnement, einer juristischen Datenbank oder einem beliebigen Brancheninformationsdienst. Alles ohne eine zentrale Verwaltung und ohne geteilte Passwörter. Doch dabei gibt es eine Herausforderung: Im digitalen Raum sind alle Belege Bitmuster und alle Bitmuster können kopiert und manipuliert werden.

Auf Basis der Blockchain

Bereits 2009 wurde eine technische Lösung entwickelt, um digitale Urkunden zu realisieren, sie zu speichern und sie gegen Manipulation und Vervielfältigung zu schützen. Diese Technologie ist die Blockchain. Man versteht darunter eine Datenbank, die aus einer Kette von Datenblöcken besteht. Zur besseren Verständlichkeit folgt eine vereinfachte Darstellung der Konzepte.

Um Geschäfte über eine Blockchain abzuschließen, wird ein sogenanntes Wallet mit den dazugehörenden Wallet-Apps genutzt. Man verwendet das Bild eines Wallets, weil man hier wie in einer Geldbörse Geldscheine einstecken und herausnehmen kann. Dabei wird ein Geldschein von einer Absender-Geldbörse in eine Empfänger-Geldbörse übertragen. Und der Absender belegt seinen Willen per digitaler Signatur, er unterschreibt die Transaktion.

Wallets haben Adressen, eine Art Kontonummer, um sie zu unterscheiden, sowie ein privates Zertifikat für digitale Unterschriften. Ursprünglich wurden Wallets im Zusammenhang mit Bitcoins entwickelt. Doch gehen sie heutzutage über den Umgang mit Kryptogeld hinaus und ermöglichen es, komplexe Transaktionen auszuführen.

Schutz vor Manipulation

In normalen Datenbanken werden Informationen gespeichert, jederzeit gelesen und geändert. In der Blockchain-Datenbank können einmal geschriebene Daten nicht mehr geändert werden. Sie gleicht einem Journalbuch, wie es Kaufleute seit der Renaissance nutzen. Die Daten werden analog zu den Seiten im Journalbuch in Datenblöcken nacheinander gespeichert. Änderungen in der Datenbank werden durch Hinzufügen von neuen Informationen in einem neuen Datenblock vorgenommen und mit der Signatur des Verantwortlichen bestätigt.

Schließt eine Person ein Abonnement ab, werden mit einem Datensatz der Magazinname, das Start- und Enddatum des Abos, die Blockchain-Adresse der Person und des Verlags in der Blockchain gespeichert. Um das Abonnement zu verlängern oder zu stornieren, wird ein weiterer Datensatz geschrieben, der den geänderten Stand festschreibt. Alle diese Datensätze werden mit dem privaten Zertifikat des Absenders signiert, sie werden digital unterschrieben.

Zentrale Teile von Blockchain-Datenbanken sind Open Source. Das gewährleistet Sachverständigen die Möglichkeit, die Algorithmen und Abläufe zu prüfen. Für den Betrieb der Infrastruktur werden redundante, dezentrale Server von unabhängigen Firmen eingesetzt, um Ausfälle und Manipulationen auszuschließen.