:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/9b/70/9b701d17f9947da98f7ff66794de1c40/0118171949.jpeg "Aktuell ist es möglich, dass Cyberkriminelle Malware über GitHub verteilen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/90/1b90e93ba52866a4520b86a925993f29/0117406981.jpeg "Durch ein offenes Raumdesign können Beschäftigte leichter miteinander interagieren, Ideen austauschen und eine stärkere Gemeinschaft bilden. (Bild: © – Summit Art Creations – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/93/2093605967fba6ca761479c0dcc33573/0117972377.jpeg "Im YouTube-Video erläutert Torsten Linz, Senior Product Manager bei GitLab, die Funktionen von „Duo Chat“ (Bild: GitLab / YouTube)")
:quality(80)/p7i.vogel.de/wcms/a0/db/a0db295ab12eacca549e71cba078357c/0108524470.jpeg "Wer automatisiertes Testing etablieren müsste, sollte die richtige Programmiersprache anhand verschiedener Faktoren ausfindig machen. (© Thapana_Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/99/539908c43030c50e7600c7e0f2d86c9b/0118173743.jpeg "Eine REST-Protection-Lösung sorgt dafür, dass kryptografische Schlüssel und der Verschlüsselungsprozess komplett in der Hand des Dateneigentümers liegen und niemals bei einem Dritten, wie z.B. dem Cloud-Provider. (Bild: Marharyta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/f8/5ff8b33a74c400cae216d0256d7e6d85/0117562724.jpeg "Cyber-Bedrohungen entwickeln sich permanent weiter, weshalb Unternehmen beim Einsatz von SaaS-Anwendungen spezielle Sicherheitsstrategien anwenden müssen, um diese Risiken zu mindern. (Bild: lee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/81/9281ad54c8c529960a82588fbb9b173b/0117742244.jpeg "Die Gesichtserkennung findet Gesichter in Bildern und liefert Rahmenkoordinaten zurück. (Bild: Drilling / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/52/04/5204001045d6084687e6d1e51b7f6165/0117560791.jpeg "Ein Blick auf das neue Azure-AI-Studio. (Bild: Drilling / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/17/90/17901438b6c69dfea4a601d8666326db/0117815970.jpeg "Die nächste Version von Android unterstützt unter anderem SMS-, MMS- und RCS-Übertragungen via Satellit. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/00/40/0040c7606199a9462928636e8ae5de2d/0118174634.jpeg "API-Security dient dazu, APIs regelmäßig zu überwachen und zu testen, um Schwachstellen zu finden und diese zu entschärfen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/f1/bdf1217cc5885d60e2eac54ad9a69e26/0117073864.jpeg "Die Sicherung der Lieferkette einer „containerisierten“ Anwendung ist ein mehrstufiger Prozess, der sich von der Entwicklung bis hin zur Bereitstellung erstreckt. (Bild: <u><a target="_blank" href=https://pixabay.com/photos/container-ship-cargo-ship-freighter-596083/>46173</a></u>)")
:quality(80)/p7i.vogel.de/wcms/9c/d1/9cd11868f7678b81932032a894bcd81a/0117948576.jpeg "Moderne EdTech-Entwickler und -Designer sollten eine Umgebung schaffen, in der sich alle Lernenden wohlfühlen und einen barrierefreien Zugang zu Wissensinhalten haben. (Bild: <u><a target="_blank" href=https://pixabay.com/users/roszie-6000120/>RosZie</a></u>)")
:quality(80)/p7i.vogel.de/wcms/f7/6d/f76d249a97c8c0a91983ab137df5a078/0117977628.jpeg "Durch die neue EU-Produkthaftungsrichtlinie wird „Software“ erstmals ausdrücklich Gegenstand von verschuldensunabhängiger Haftung. (Bild: finecki - stock.adobe.com)")
![Die OutSystems Developer School hilft Entwicklerinnen und Entwicklern, in zwei Wochen komplexe reaktive Anwendungen mit der Low-Code-Plattform zu erstellen. (Bild: © Uncle-Ice – stock.adobe.com [KI])](https://cdn1.vogel.de/7tR3LrI-ALAZffa7U-K2N7WlUtY=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/0e/66/0e66ec2528b7c4b1e0894d36610667c7/0117996821.jpeg "Die OutSystems Developer School hilft Entwicklerinnen und Entwicklern, in zwei Wochen komplexe reaktive Anwendungen mit der Low-Code-Plattform zu erstellen. (Bild: © Uncle-Ice – stock.adobe.com [KI])")
![Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)](https://cdn1.vogel.de/annR7MKBLjg3UGu-x3l6Nvb7-fI=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4e/40/4e40e5356b18ebce4656f2a51e65c815/0116079923.jpeg "Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/be/18/be18ae4c02dbf9aa47e97decf9b84ea4/0118091847.jpeg "Die meisten der existierenden Datenbanksysteme verfügen über SQL-Schnittstellen. (Bild: alphaspirit - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/af/ba/afba059e1e635289905bc63ce8cc4579/0117149678.jpeg "On-Premise bezeichnet den Betrieb von Software auf selbstverwalteten Hardware-Ressourcen. (Bild: <u><a href=https://unsplash.com/de/@tvick>Taylor Vick</a></u>)")
:quality(80)/p7i.vogel.de/wcms/79/8a/798ac0bb2a4e3a384a3c7634dc919ceb/0117709235.jpeg "APIs ermöglichen es verschiedenen Software-Anwendungen, Daten auszutauschen und miteinander zu interagieren, ohne dass Details zu Implementierung bekannt sein müssen. (Bild: <u><a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a></u>)")
:quality(80)/p7i.vogel.de/wcms/ef/83/ef83b21f59d76ece1f76070d93e9bd6b/0116763715.jpeg "Mit der Verbreitung von generativer KI wird die Bedeutung von Software-Bots weiter zunehmen. (Bild: <u><a href=https://pixabay.com/users/alexandra_koch-621802/>Alexandra Koch</a></u>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Schutz vor Cyberkriminalität im Distributed-Ledger-Umfeld Blockchain mit DevSecOps-Methoden sicherer machen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Mehrere Vorfälle zeigen, dass Cyberkriminelle auch in Blockchain-Lösungen Schwachstellen ausnutzen können. Daher müssen Entwickler bei Blockchain-basierten Anwendungen größten Wert auf Sicherheit legen. Grundlegende DevSecOps-Konzepte und spezielle Best Practices helfen dabei.
Immer wieder werden Blockchains erfolgreich angegriffen. Vor kurzem hat es die Kryptobörse Binance erwischt. Hacker hatten es auf Beute im Wert von 570 Millionen Dollar abgesehen, wovon letztlich rund 100 Millionen wohl in den Händen der Angreifer geblieben sind – trotz frühzeitiger Abwehrmaßnahmen.
Solche Attacken können künftig jedes Unternehmen treffen. Denn aktuell wird die Umstellung der Basistechnologie für das World Wide Web auf Blockchain diskutiert. Dieses Web 3.0 oder web3 soll die Zukunft des Internets werden. Überdies befinden sich häufig Blockchain-basierte Technologien, Protokolle und dezentrale Anwendungen bereits in Lieferketten oder bei Geschäftspartnern im Einsatz – und verbreiten sich zunehmend. Aus diesem Grund sollten sich alle Unternehmen mit der Absicherung Blockchain-basierter Prozesse beschäftigen.
Was ist web3?
Der Begriff web3 umfasst verschiedene Konzepte für die Anwendungsarchitektur und User Experience. Dazu zählen Dezentralisierung, Offenheit, Unveränderlichkeit, Programmierbarkeit und Transparenz. Das Ziel ist es, den Nutzern mithilfe der Public-Key-Kryptografie die Kontrolle über ihre Identität zurückzugeben. Zudem soll die Peer-to-Peer-Wirtschaft durch verschiedene Blockchain-Mechanismen und -Protokolle gefördert werden.
Viele Blockchains und die zugehörigen Protokolle können fortgeschrittene Transaktionen verarbeiten und deren aktuellen Status mithilfe von Smart Contracts verwalten. Diese werden in isolierten virtualisierten Umgebungen ausgeführt und über einen Konsensalgorithmus auf allen Knoten des Netzwerks synchronisiert.
Durch diesen Mechanismus können sich Nutzer oder Knoten in einer verteilten Umgebung koordinieren. Dies gewährleistet, dass sich alle Knoten im System auf eine einzige Quelle der Wahrheit einigen können, selbst wenn einige Agenten ausfallen. Außerdem arbeiten viele Blockchains zensurresistent, indem sie ihre Protokolle offen und erlaubnisfrei halten.
Zahlreiche Schwachstellen
Eine Blockchain-basierte Architektur birgt ein inhärentes Risiko, da das Backbone des Netzwerks in der Regel von einer digitalen, Token-basierten Kryptowährung gespeist wird und einen monetären Wert hat. Diese Token werden in Adressen gehalten, die meist auf externen Konten oder in intelligenten Verträgen gespeichert sind. Da auch das Vertrauen durch die Verwendung von Public-Key-Kryptographie verteilt wird, ist jede Adresse im Netzwerk anfällig für Angriffe.
Der Kontostand wird im so genannten Public Ledger über das Netzwerk verteilt und ist für jedermann einsehbar. Das bietet Hackern die Möglichkeit, bestimmte Nutzer oder Verträge anzugreifen. Aus diesem Grund sind Datenschutz und Anonymität besonders wichtige Aspekte der Blockchain. Oft sind die Menschen, welche diese Konten verwalten, entweder Ziel von Angriffen oder erhalten zu viel Vertrauen, das sie auf unzulässige Weise ausnutzen.
Noch dazu skalieren die verschiedenen Blockchain-Technologien, Protokolle und dezentralen Anwendungen zum Teil sehr schnell. Das erhöht die Anzahl der Angriffspunkte, die sorgfältig zu analysieren und abzusichern sind. Bei der Prüfung der dezentralen Anwendungen und Technologieinfrastruktur sollten Entwickler vor allem folgende Bereiche berücksichtigen:
- Blockchains der Schicht 1 (Bitcoin und Ethereum)
- Blockchains der Schicht 2 (Sidechains und Rollups)
- Intelligente Verträge
- Compiler
- Software-Geldbörsen
- Hardware-Geldbörsen
- Blockchain-Kunden (Miner und Validierer)
- Börsen mit Fremdverwahrung (zentralisiert)
- DeFi-Börsen (dezentralisiert)
- Anbieter
- Marktplätze (NFTs)
Häufige Angriffsvektoren in Smart Contracts
Da Blockchain-basierte Smart Contracts Werte speichern und wie eine Bank fungieren können, ist der darin enthaltene Code besonders anfällig für Angriffe. Daher sollte er unter strengen Sicherheitsprüfungen geschrieben werden.
Mehrere Hacks haben bereits intelligente Verträge kompromittiert und konzentrierten sich dabei in der Regel auf die Ausnutzung von Schwachstellen im Code. Einer der größten Vorfälle fand vergangenes Jahr statt. Laut Poly Network hackte ein Angreifer einen Smart Contract und transferierte Vermögen im Gegenwert von 610 Millionen US-Dollar auf externe, von ihm kontrollierte Wallet-Adressen.
Häufige Schwachstellen in Smart Contracts sind zum Beispiel:
- Unter- und Überlauf tritt in der Regel auf, wenn durch arithmetische Prozesse die maximale Bytegröße überschritten wird. Dann springt der Wert um und kann zu unerwartetem Verhalten in der Geschäftslogik der Anwendung führen.
- Durch wiederholtes Eintreten in den Vertrag kann ein Angreifer mehr Geld abheben als erlaubt ist.
- Bei Transaction Front Running nutzt jemand Technologien oder Marktvorteile aus, um sich vorab über bevorstehende Transaktionen zu informieren.
- Unzureichend abgesicherte sensible Informationen und schlecht implementierte Zugriffskontrollen erleichtern Datendiebstahl.
Wichtige Schutzmaßnahmen
Blockchain-basierte Anwendungen und Technologien sollten daher mit einer auf Sicherheit ausgerichteten Denkweise entwickelt werden. Dazu dienen bewährte DevSecOps-Konzepte. Der Begriff steht für Entwicklung (Development), Sicherheit (Security) und Betrieb Operations). Ziel ist es, diese drei Bereiche der IT-Abteilung und ihre Prozesse zu integrieren.
Das erhöht die Geschwindigkeit und Sicherheit der Anwendungsentwicklung, da schon frühzeitig entsprechende Tests durchgeführt und Fehler ausgebessert werden. Audits bieten eine zusätzliche Perspektive auf die Anwendungslogik und die Betriebsprozesse. Sie helfen beim Aufdecken von Schwachstellen im Code und schaffen Vertrauen bei den Nutzern. Zum Prüfen von Smart Contracts stehen zum Teil Open-Source-Lösungen zur Verfügung.
Bug Bounties und Crowd Sourced Pen Testing sind bewährte Methoden, um die Sicherheit weiter zu verbessern. Je mehr Experten eine Software oder Sicherheitsmaßnahmen untersuchen, desto mehr Schwachstellen decken sie auf. Häufig setzen sie dabei die gleichen Methoden und Tools wie Cyberkriminelle ein. Diesen Bösewichten sind Unternehmen mit White-Hat-Hackern aber einen Schritt voraus.
Eine Open-Source-Strategie erhöht die Transparenz der Anwendung. Dies ist bei der Blockchain wichtig, damit sich die Teilnehmer auf Basis der Code-Überprüfung und Audits von der Sicherheit überzeugen können. Darüber hinaus sorgen Open-Source-Komponenten für größeres Vertrauen in einer Community. Eine Multi-Signatur-Architektur für administrative Funktionen in Smart Contracts – wie die Übertragung von Eigentumsrechten, Geldern und anderen kritischen Vorgängen – bietet eine zusätzliche Sicherheitsebene.
Fazit
Trotz manch aktueller Probleme gehört Blockchains, dezentralisierten Anwendungen und den zugehörigen Protokollen die Zukunft. Diese neue Art der Bereitstellung von Applikationen hat das Potenzial, viele Branchen zu verändern. Voraussetzung dafür ist jedoch eine sicherheitsorientierte Denkweise auf Basis einer durchgängigen DevSecOps-Kultur.
* Als Senior Product Manager for NGINX bei F5 ist Kevin Jones dafür verantwortlich, Kunden bei der Erreichung ihrer technologischen Ziele zu unterstützen, indem er ihnen hilft, Lösungen zu entwickeln, die Probleme lösen und die digitale Transformation vorantreiben. Zudem ist er Künstler und Ingenieur mit einer Leidenschaft für Technologie.
(ID:48800018)
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")