:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/9b/70/9b701d17f9947da98f7ff66794de1c40/0118171949.jpeg "Aktuell ist es möglich, dass Cyberkriminelle Malware über GitHub verteilen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/90/1b90e93ba52866a4520b86a925993f29/0117406981.jpeg "Durch ein offenes Raumdesign können Beschäftigte leichter miteinander interagieren, Ideen austauschen und eine stärkere Gemeinschaft bilden. (Bild: © – Summit Art Creations – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/93/2093605967fba6ca761479c0dcc33573/0117972377.jpeg "Im YouTube-Video erläutert Torsten Linz, Senior Product Manager bei GitLab, die Funktionen von „Duo Chat“ (Bild: GitLab / YouTube)")
:quality(80)/p7i.vogel.de/wcms/a0/db/a0db295ab12eacca549e71cba078357c/0108524470.jpeg "Wer automatisiertes Testing etablieren müsste, sollte die richtige Programmiersprache anhand verschiedener Faktoren ausfindig machen. (© Thapana_Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/99/539908c43030c50e7600c7e0f2d86c9b/0118173743.jpeg "Eine REST-Protection-Lösung sorgt dafür, dass kryptografische Schlüssel und der Verschlüsselungsprozess komplett in der Hand des Dateneigentümers liegen und niemals bei einem Dritten, wie z.B. dem Cloud-Provider. (Bild: Marharyta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/f8/5ff8b33a74c400cae216d0256d7e6d85/0117562724.jpeg "Cyber-Bedrohungen entwickeln sich permanent weiter, weshalb Unternehmen beim Einsatz von SaaS-Anwendungen spezielle Sicherheitsstrategien anwenden müssen, um diese Risiken zu mindern. (Bild: lee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/81/9281ad54c8c529960a82588fbb9b173b/0117742244.jpeg "Die Gesichtserkennung findet Gesichter in Bildern und liefert Rahmenkoordinaten zurück. (Bild: Drilling / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/52/04/5204001045d6084687e6d1e51b7f6165/0117560791.jpeg "Ein Blick auf das neue Azure-AI-Studio. (Bild: Drilling / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/17/90/17901438b6c69dfea4a601d8666326db/0117815970.jpeg "Die nächste Version von Android unterstützt unter anderem SMS-, MMS- und RCS-Übertragungen via Satellit. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/00/40/0040c7606199a9462928636e8ae5de2d/0118174634.jpeg "API-Security dient dazu, APIs regelmäßig zu überwachen und zu testen, um Schwachstellen zu finden und diese zu entschärfen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/f1/bdf1217cc5885d60e2eac54ad9a69e26/0117073864.jpeg "Die Sicherung der Lieferkette einer „containerisierten“ Anwendung ist ein mehrstufiger Prozess, der sich von der Entwicklung bis hin zur Bereitstellung erstreckt. (Bild: <u><a target="_blank" href=https://pixabay.com/photos/container-ship-cargo-ship-freighter-596083/>46173</a></u>)")
:quality(80)/p7i.vogel.de/wcms/9c/d1/9cd11868f7678b81932032a894bcd81a/0117948576.jpeg "Moderne EdTech-Entwickler und -Designer sollten eine Umgebung schaffen, in der sich alle Lernenden wohlfühlen und einen barrierefreien Zugang zu Wissensinhalten haben. (Bild: <u><a target="_blank" href=https://pixabay.com/users/roszie-6000120/>RosZie</a></u>)")
:quality(80)/p7i.vogel.de/wcms/f7/6d/f76d249a97c8c0a91983ab137df5a078/0117977628.jpeg "Durch die neue EU-Produkthaftungsrichtlinie wird „Software“ erstmals ausdrücklich Gegenstand von verschuldensunabhängiger Haftung. (Bild: finecki - stock.adobe.com)")
![Die OutSystems Developer School hilft Entwicklerinnen und Entwicklern, in zwei Wochen komplexe reaktive Anwendungen mit der Low-Code-Plattform zu erstellen. (Bild: © Uncle-Ice – stock.adobe.com [KI])](https://cdn1.vogel.de/7tR3LrI-ALAZffa7U-K2N7WlUtY=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/0e/66/0e66ec2528b7c4b1e0894d36610667c7/0117996821.jpeg "Die OutSystems Developer School hilft Entwicklerinnen und Entwicklern, in zwei Wochen komplexe reaktive Anwendungen mit der Low-Code-Plattform zu erstellen. (Bild: © Uncle-Ice – stock.adobe.com [KI])")
![Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)](https://cdn1.vogel.de/annR7MKBLjg3UGu-x3l6Nvb7-fI=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4e/40/4e40e5356b18ebce4656f2a51e65c815/0116079923.jpeg "Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/be/18/be18ae4c02dbf9aa47e97decf9b84ea4/0118091847.jpeg "Die meisten der existierenden Datenbanksysteme verfügen über SQL-Schnittstellen. (Bild: alphaspirit - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/af/ba/afba059e1e635289905bc63ce8cc4579/0117149678.jpeg "On-Premise bezeichnet den Betrieb von Software auf selbstverwalteten Hardware-Ressourcen. (Bild: <u><a href=https://unsplash.com/de/@tvick>Taylor Vick</a></u>)")
:quality(80)/p7i.vogel.de/wcms/79/8a/798ac0bb2a4e3a384a3c7634dc919ceb/0117709235.jpeg "APIs ermöglichen es verschiedenen Software-Anwendungen, Daten auszutauschen und miteinander zu interagieren, ohne dass Details zu Implementierung bekannt sein müssen. (Bild: <u><a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a></u>)")
:quality(80)/p7i.vogel.de/wcms/ef/83/ef83b21f59d76ece1f76070d93e9bd6b/0116763715.jpeg "Mit der Verbreitung von generativer KI wird die Bedeutung von Software-Bots weiter zunehmen. (Bild: <u><a href=https://pixabay.com/users/alexandra_koch-621802/>Alexandra Koch</a></u>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Diese Risiken bei Kryptowährungen müssen Anleger kennen Smart-Contract-Schwachstellen, Fake Blockchain und mehr
Smart Contracts lassen sich nicht brechen, ohne den Code zu brechen, in dem sie geschrieben sind. Das macht sie zur Grundlage für den Handel mit Kryptowährungen. Wie bei jedem Code bieten aber auch hier Schwachstellen Angriffspunkte für Cyberkriminelle.
Smart Contracts sind digitale Verträge, die auf der Blockchain-Technologie basieren. Ethereum ist wohl die bekannteste Blockchain-Plattform, um intelligente Verträge zu entwickeln. Dabei liegen Anweisungen und Vereinbarungen zwischen „Käufer“ und „Verkäufer“ in Codeform vor und regeln selbstausführend Transaktionen.
Algorithmen geben beispielsweise automatisch einen bestimmten Prozentsatz der gesperrten Coins in einem Wallet frei, sobald Betrag X erreicht ist (z. B. 1 ETH = 10.000 US-Dollar). Alle Transaktionen werden validiert und erneut in der Blockchain abgespeichert – das macht Smart Contracts grundsätzlich sehr vertrauenswürdig und sicher.
Wann werden Smart Contracts angreifbar?
Wie jede Software sind auch Smart Contracts anfällig für Fehler – und damit angreifbar. Zudem bieten Krypto-Börsen und Blockchain an sich vielfache Angriffspunkte für Cyberkriminelle.
1. Schwachstellen in schlecht geschriebenem Code
Mit einigen Grundkenntnissen und dem nötigen Kapital kann jeder einen Smart Contract auf beliebten Blockchains wie Ethereum oder Binance Smart Chain schreiben. Besondere Qualifikationen oder Programmierkenntnisse sind nicht erforderlich. So kommt es immer wieder vor, dass die Verfasser unwissentlich Fehler machen und die Verträge Schwachstellen enthalten. Cyberkriminelle suchen systematisch nach solchen Schlupflöchern. Das Ziel: Die im Vertrag festgelegten Transaktionsvereinbarungen zu manipulieren, um dadurch Gelder abzugreifen. Da keine zentrale Instanz für Kryptowährungen existiert, gibt es auch keine Möglichkeit für Opfer, ihr Geld zurückzubekommen.
Allerdings sind Schwachstellen in Smart Contracts nicht ganz leicht zu identifizieren. Umso größerer Popularität erfreuen sich entsprechende Angebote und Posts auf einschlägigen Foren. Das Photon Research Team von Digital Shadows fand zum Beispiel auf einem bekannten cyberkriminellen Forum einen „Smart Contract Hacker for Hire“, der nach einem Geschäftspartner für seinen nächsten Coup Ausschau hielt (siehe Abbildung 1). Voraussetzung für einen gemeinsamen Deal sei das Wissen um angreifbare Verträge. Eine solche Arbeitsaufteilung auf unterschiedlich spezialisierte Bedrohungsakteure ist im Darknet durchaus üblich.
2. Eine neue, wenig erprobte Blockchain
Auf neuen, wenig erprobten Blockchains sind Smart Contracts noch anfälliger. Aufgrund von Sicherheitsmängeln können Angreifer exponierte API-Schlüssel für Wallets stehlen, das Netzwerk mit Spamtransaktionen überschwemmen (eine Art Blockchain-DoS) und 51%-Angriffe durchführen. Letzteres bezeichnet einen Angriff, bei dem eine Person oder eine Gruppe die Kontrolle über mehr als 50% der Mining-Leistung einer Blockchain erlangt. Das kann dazu führen, dass Anleger ihre Gelder nicht abheben können, oder dass die Gelder direkt in die Wallets der Angreifer fließen.
In einem solchen Fall ist ein Smart Contract angreifbar, selbst wenn er korrekt kodiert ist – denn wenn die Blockchain angreifbar ist, gilt das auch für den Vertrag. Das ist ein ernstes und weit verbreitetes Problem, obwohl einige Blockchain-Protokolle ihr Bestes tun, um ihren Code sauber zu halten. Im Oktober zahlten die Entwickler hinter dem Ethereum-Token Polygon eine rekordverdächtige Bug Bounty in Höhe von 2 Mio. US-Dollar an einen ethischen Hacker, der eine Schwachstelle im Netzwerk entdeckte. Die hohe Belohnung war durchaus gerechtfertigt. Immerhin standen bei einem Exploit der Schwachstelle 850 Mio. US-Dollar auf dem Spiel.
3. Absichtliche integrierte Sicherheitslücken
Kryptowährungen sind volatil. Grundsätzlich können Anleger jederzeit ihr gesamtes Kapital verlieren. Trotz wachsender Compliance-Bemühungen von staatlicher Seite gleicht der Kryptomarkt in vielen Punkten noch immer dem Wilden Westen. Jeder kann eine Blockchain erstellen – vorausgesetzt, er verfügt über das Know-how und das Kapital. Cyberkriminelle haben also leichtes Spiel, absichtlich unsichere Blockchains bzw. Smart Contracts zu entwickeln, um Opfer gezielt in die Falle zu locken.
Damit sind beispielsweise sogenannte „Rug Pull“-Angriffe möglich: Der Entwickler einer Blockchain manipuliert den Markt, indem er einen großen Teil der Coins einbehält, das Angebot niedrig hält und damit ihren Wert künstlich aufbläht. Schließlich verkauft er seine Coins zu Höchstpreisen. Im traditionellen Finanzwesen kennt man dies als Insiderhandel oder Marktmanipulation. Wie einfach es ist, neue Coins an einer Krypto-Börse notieren zu lassen, zeigt der Post eines Forum-Nutzers im Darknet. Demnach reiche es aus, die Coins als vertrauenswürdig darzustellen, um beispielsweise 300 Binance Coin (umgerechnet 167.821 US-Dollar) zum Liquiditätspool eines Smart Contracts hinzuzufügen.
Zahlreiche Anleitungen verraten Betrügern des Weiteren, wie sich frisch gelistete Kryptowährungen und Airdrop-Aktionen missbrauchen lassen. Airdrops sind kostenlose Tokens, die viele Plattformen an bestehende Wallet-Inhaber als Belohnung bzw. Give-Away vergeben. Cyberkriminelle nutzen solche Werbeaktionen für ausgeklügelte Phishing-Attacken, um bösartige Tokens einzuschleusen und Anleger auf falsche und gefährliche Webseiten umzuleiten.
4. Fake Blockchain
Wenn ein Angreifer über ausreichende Social-Engineering- und Marketing-Fähigkeiten verfügt, kann er ahnungslose Anleger dazu bringen, Coins für Kryptowährungen zu kaufen, für die gar keine Blockchain existiert. Zahlreiche cyberkriminelle Foren erklären, wie interessierte Geldfälscher Fake Blockchains konstruieren und an (meist Klein-)Anleger vermarkten können.
Das vielleicht berühmteste Beispiel für einen solchen Betrug ist OneCoin. Das als Kryptowährung vermarktete Finanztransfersystem wurde von Sicherheitsexperten schon früh als Schneeballsystem eingestuft. Bis heute ist die Existenz der OneCoin Blockchain nicht bewiesen. Gegen die Hintermänner der bulgarischen Offshore-Unternehmen wird jedoch ermittelt. Sie sollen Anleger von 2014 bis 2016 um Milliardenbeträge gebracht haben. In Deutschland hat die BaFin die Verbreitung von OneCoin mittlerweile sogar gänzlich untersagt.
5. Angriffe auf Krypto-Börsen
Auch Krypto-Börsen sind gefährdet. Je mehr Geld gehandelt wird, desto stärker rücken sie ins Visier von Cyberkriminellen. Im März 2014 meldete Mt. Gox, ehemals einer der weltweit größten Handelsplätze für Bitcoins, Insolvenz an. Händler unterstellten den Betreibern der Börse betrügerisches Handeln bzw. Marktmanipulationen, nachdem Bitcoins im Wert von rund 460 Mio. US-Dollar verschwanden. Mt. Gox machte für den Verlust externe Hackerangriffe sowie einen unbekannten Insider verantwortlich. 2015 schließlich nahmen japanische Behörden den Geschäftsführer fest und klagten ihn des Betrugs und der Veruntreuung an. Wie sich nämlich herausstellte, wurden lediglich 7.000 Bitcoins tatsächlich bei einem Hackerangriff gestohlen.
Für Cyberkriminelle bieten Krypto-Börsen auch ohne kriminelles Zutun der Bertreiber genug Angriffspunkte. So spürte Digital Shadows zum Beispiel ein Proof-of-Concept Exploit auf, welches die Zwei-Faktor-Authentifizierung einer Krypto-Handelsplattform umging.
Best Practices für Investoren
Grundsätzlich ist es unerlässlich, dass sich Investoren über potenzielle Gefahren vorab und kontinuierlich informieren. Es lohnt sich, Krypto-Börsen, Blockchains und Smart Contracts zu überprüfen und kritisch zu hinterfragen.
- Due Diligence gilt auch für Smart Contracts. Prüfen Sie den Code, in dem der Vertrag geschrieben ist, auf Fehler oder Auffälligkeiten. Dazu gehören Rechtschreib- oder Rechenfehler. Wie bei „nicht-smarten“ legalen Verträgen kann auch hier ein kleiner Tippfehler im Code massive Auswirkungen haben.
- Bei fehlender Expertise empfiehlt es sich, vertrauenswürdige und qualifizierte Person mit der Überprüfung zu beauftragen. Die Einsicht in den Vertrag sollte immer möglich sein: Smart Contracts im Bereich Decentralized Finance (DeFi) sind quelloffen und damit frei einsehbar. Lässt sich der Code nicht prüfen, ist das ein deutliches Warnsignal.
- Ein Blick auf die Geschichte und die Entwickler einer Blockchain ist ebenfalls aufschlussreich für Anleger. Hatte die Blockchain in der Vergangenheit mit zweifelhaften Geschäften zu tun? Gibt es ein solides Bug-Bounty-Programm? Liegen Warnungen seitens von Behörden und Finanzinstitutionen vor? Wer sich diese Fragen vorab stellt, kann Risiken besser einschätzen und minimieren.
Krypto-Anleger sollten sich einer Sache immer bewusst sein: Sie übernehmen bei Smart Contracts die Rolle einer Bank. Das heißt auch, dass sie zeitaufwändige und schwierige Aufgaben wie die Recherche und Risikoanalyse selbst in die Hand nehmen müssen. Sie stehen in der Verantwortung, ohne Netz und doppelten Boden. Wissen ist hier – mehr denn je – Macht.
(ID:47920353)
:quality(80)/p7i.vogel.de/wcms/0e/e4/0ee4b6dbf2d232a6b8f745cb451eddd6/0117778844.jpeg "Mirantis will Swarm weiterhin als Orchestrator-Option innerhalb der eigenen Kubernetes-Engine anbieten und weiterentwickeln. (Bild: <u><a href=https://unsplash.com/@dmosipenko>Dmitry Osipenko</a></u>)")
:quality(80)/p7i.vogel.de/wcms/03/a4/03a4b1e843e94a1cc2150fc69472927e/0111206915.jpeg "In einigen Bereichen hat Blockchain durchaus eine Daseinsberechtigung, doch der große Hype scheint vorbei zu sein. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")