Krypto-Industrie
Blockchain & Krypto: Werden die Sicherheitsmängel im Jahr 2020 endlich behoben?
Diese aufstrebende Industrie ist zwar reif für Chancen, beherbergt aber immer noch viele Risiken. Die folgenden Vorfälle sollen diese Sicherheitsmängel unterstreichen.
Bereits im Januar 2018 wurde Coincheck Japan ins Visier genommen, wobei es den Angreifern gelang, NEM-Token im Wert von 530 Millionen Dollar aus der Krypto-Börse zu stehlen . Es ist einer der größten Krypto-Exchange-Raubüberfälle in der relativ kurzen Geschichte der Branche und steht neben dem berüchtigten Angriff auf den Mt. Gox, bei dem rund 800.000 BTC gestohlen wurden – eine Summe, die heute über 6 Milliarden Dollar wert ist – auf einer Stufe.
Auch im Februar 2016 wurde die Bank Bangladesch’s ins Visier genommen . Die Diebe versuchten, insgesamt 850 Millionen Dollar über ordnungsgemäß authentifizierte Transaktionen zu stehlen, indem sie die Federal Reserve Bank of New York beauftragten, das Geld über das SWIFT-Netzwerk zu überweisen. Zwar wurden "nur" 101 Mio. USD an die Begünstigten auf den Philippinen und in Sri Lanka überwiesen , aber am Ende wurden insgesamt 81 Mio. USD während des Vorfalls erfolgreich gestohlen.
Was haben diese Vorfälle miteinander zu tun? Die Selbstgefälligkeit der Zentralbanken und Krypto-Börsen – und ihre mangelnde Verwaltung von Sicherheitszertifikaten (seien es Passwörter oder private Schlüssel) bei der Gewährung des Zugangs zum Transfer von Geld oder Krypto-Währungen. Das SWIFT-Netzwerk, das für die Bank Bangladesch’s und andere ähnliche Raubüberfälle verwendet wurde, wurde nicht gehackt, sondern „nur“ die Nutzer des Netzwerks. Auch die Blockchain, die zur Übertragung der NEM aus Coincheck und der BTC aus Mt Gox verwendet wurden, wurden nicht gehackt, sondern „nur“ die Nutzer der Tauschbörsen. Ihre Systeme und Zugangsdaten waren so schlecht geschützt, dass Hacker die Kontrolle übernahmen.
Die SWIFT-Gemeinschaft reagierte auf diese Ereignisse, indem sie die Cyber Security-Kontrollen verstärkte, die anfälligsten Akteure identifizierte und sicherstellte, dass die Methoden der Hacker bekannt gegeben wurden, um weitere Vorfälle zu verhindern. Hat aber die Krypto-Industrie das gleiche getan und aus ihren Fehlern gelernt? Wahrscheinlich nicht auf dem Niveau, auf dem dieses Thema behandelt werden sollte. Wird es im Jahr 2020 mehr Zusammenarbeit geben, um gegen diese Vorfälle vorzugehen oder wird man die Wiederbeschaffung gestohlener Gelder im Falle erfolgreicher Hacks ermöglichen können?
Die Branche hat Fortschritte gemacht, aber es bleibt noch viel Arbeit
In den letzten zwei Jahren hat sich die Sicherheit in der Krypto-Branche drastisch entwickelt. Die technologischen Lösungen, die Anbieter von Non-Custodial und Custodial Wallet anbieten, werden eigentlich immer sicherer.
Einige Unternehmen haben Hardware- oder Software-basierte Multisignatur-Wallet-Zugriffe, Verschlüsselung von Betriebsumgebungen, Whitelisting von Adressen, Verschärfung von Betriebsverfahren und viele andere Methoden zur Verbesserung der Sicherheit eingesetzt. Weitere Fortschritte sind Wallet-Management-Systeme, die auf Mehrparteien-Berechnungsprotokollen oder Hardware-Sicherheitsmodulen basieren und eine sichere, schnelle und effektive Übertragung von Vermögenswerten im täglichen Betrieb ermöglichen können.
Wenn es zu Vorfällen kommt, wird zwar in der Security-Community darüber gesprochen und Maßnahmen empfohlen, wie Adressen auf eine schwarze Liste zu setzen, um gestohlene Gelder abzufangen, Auszahlungsversuche zu reduzieren und andere Methoden zu nutzen, um Hacker den Gar auszumachen. Aber die einfache Tatsache, dass diese Art von Hacks auch 2019 noch immer vorkommen, zeigt, dass Einige in der Branche immer noch nicht richtig auf den Umgang mit Cybersicherheitsverletzungen vorbereitet sind.
Es ist nicht nur die Technologie, die sich weiterentwickeln muss. Es geht auch um ein operationelles Risikomanagement auf Unternehmensebene und die Verbesserung der notwendigen Kontrollen und besser geschützte Zugriffe auf den Zugang zu Kundenvermögen an Börsen oder Krypto-Fonds. Es geht darum, die Investitionen der Kunden zu sichern und grundlegende Geschäftspraktiken einzuhalten, beispielsweise die notwendige Funktionstrennung zwischen den Rollen und Verantwortlichkeiten, um Interessenkonflikte zu vermeiden.
Keine traditionelle Börse der Welt spielt innerhalb derselben juristischen Person die Rolle der Börse und der Verwahrstelle oder des Verwahrers. Es gibt weltweit keine traditionellen Vermögensverwalter, die die von ihnen verwalteten Vermögenswerte für die Basisanleger verwahren. Warum glaubt die Krypto-Industrie immer noch, dass es für sie in Ordnung ist, solche Prinzipien zu ignorieren? Warum hoffen die Menschen immer wieder, dass institutionelle Gelder in die Branche fließen, wenn klar ist, dass dies nicht geschehen wird, bevor diese notwendigen Best Practices und Regeln für die Finanzierung nicht vorhanden sind und von der traditionellen Finanzindustrie übernommen wurden?
In den vergangenen 12 Monaten haben viele Börsen, Fonds und Stiftungen begonnen, zu erkennen, dass die Krypto-Branche nicht gedeihen wird, wenn nicht ordnungsgemäße Geschäftspraktiken und Transparenz geschaffen werden, um die Vermögenswerte und Interessen der Kunden – den einzigen Akteuren, die von Bedeutung sind – zu schützen.
Zunehmend werden unabhängige Verwahrstellen von Dritten angesprochen, um – neben der erwarteten Sicherheit – die notwendige Neutralität und Transparenz zu gewährleisten, damit die Vermögenswerte dieser Kunden oder Anleger prüfbar sicher sind. Um das Risiko von Hackerangriffen zu reduzieren, sind Lösungen für Unternehmen entstanden. Die Versicherungsgesellschaften schrecken nicht mehr davor zurück, Drittverwahrer mit der richtigen Technologie abzudecken – immer noch zu hohen Prämienkosten, aber mit einer vielversprechenden Tendenz nach unten.
2020: Das Jahr der Professionalisierung?
Im Jahr 2020 wird mehr Aufklärung und Sensibilisierung erforderlich sein. Börsen, Fonds, Projekte, Stiftungen und all die anderen Krypto-Spieler, die die Kunden bedienen, müssen die richtigen transparenten und sicheren Prozesse rund um die Verwahrung der Vermögenswerte ihrer Kunden einrichten. Die meisten werden sich zu Recht für die Auslagerung dieser kritischen Aufgabe an Drittverwahrer entscheiden, deren Aufgabe es ist, genau dies zu tun. Dieses Jahr wird hoffentlich auch das Jahr sein, in dem Anbieter von Digital Asset Service Providern wie Krypto-Börsen und Verwahrstellen nicht nur bei der Umsetzung der Regeln der Financial Action Task Force zusammenarbeiten, sondern auch beim Austausch von Informationen über die Vorgehensweise der Angreifer.
Über die Einführung der richtigen etablierten Technologie hinaus wird die Digital-Asset-Branche erst dann zum Mainstream, wenn vernünftige Betriebs- und Geschäftspraktiken – die der Aufgabentrennung, der Konzentration auf die Kernaktivitäten und des etablierten Risikomanagements – eingeführt werden.
