Transparenz und virtuelle Identitaet Blockchain's roles in strengthening cybersecurity and protecting privacy
elsa.wiesinger.uni-linz, 17. Mai 2018, 10:59
Der Kern der Blockchain-Technologie, die Tatsache, dass sie ohne gegenseitiges Einvernehmen unveränderbar ist, immer geteilt wird und fast unmöglich zu verfälschen ist, macht sie zu einer idealen Grundlage für Cyber-Sicherheit. Die Blockchain Technologie kann wesentlich zur Steigerung der Cyber-Security und dem Schutz der Privatsphäre beitragen. Da die meisten Daten derzeit in Cloud-Rechenzentren gespeichert sind, werden diverse Sicherheits- und Datenschutzaspekten mit der Cloud verglichen.
Cloud Computing & Blockchain
Sowohl die Blockchain als auch die Cloud sind entwickelt worden um kosteneffiziente Sicherheitslösungen zu bieten. Private, community & public Clouds können sowohl mit permissionless als auch mit persmissioned Blockchains abbilden.
Die Public Cloud oder öffentliche Cloud ist ein Angebot eines frei zugänglichen Providers, der seine Dienste offen über das Internet für jedermann zugänglich macht. Die bekannten Google-Docs sind ebenso Beispiele für Public Cloud Angebote wie die kostenpflichtigen Services eines Microsoft Office 365 oder eines SAP Business by Design.
Dem gegenüber stehen Private Cloud Dienste. Aus Gründen von Datenschutz und IT-Sicherheit ziehen es Unternehmen häufig vor, ihre IT-Dienste weiterhin selbst zu betreiben und ausschließlich ihren eigenen Mitarbeitern zugänglich zu machen. Werden diese in einer Weise angeboten, dass der Endnutzer im Unternehmen cloud-typische Mehrwerte nutzen kann, wie z. B. eine skalierbare IT-Infrastruktur oder installations- und wartungsfreie IT-Anwendungen, die über den Webbrowser in Anspruch genommen werden können, dann spricht man von einer Private Cloud.
Eine Blockchain ist eine kontinuierlich erweiterbare Liste von Datensätzen, genannt „Blöcke“, welche mittels kryptographischer Verfahren miteinander verkettet sind. Jeder Block enthält dabei typischerweise einen kryptographisch sicheren Hash (Streuwert) des vorhergehenden Blocks, einen Zeitstempel und Transaktionsdaten.
Art und Grad der Sicherheit und Privatsphäre wird bei Blockchains daran erkannt, ob sie permissionless oder permissioned sind.
Permissionless Blockchains wie beispielsweise Bitcoin stellen eine offene Plattform dar, in der sich Jedermann beteiligen kann. Als Distributed Ledger oder „Verteiltes Kontenbuch“ wird dabei eine dezentrale Datenbank eine gemeinsame Schreib- und Leseberechtigung erlaubt.
Permissioned Blockchains müssen die Zugänge von einer autoritären Stelle genehmigt werden. Permissioned Ledgers sind die Berechtigungen der Blockchain. Jeder kann eine die Blockchain lesen und jeder Miner kann einen neuen Block in die Chain hinzufügen, wenn die Teilnehmer sich an die Regeln halten. Die Idee der permissioned Chain liegt darin, dass sich nur vertrauenswürdige Nutzer beteiligen können, wodurch Probleme und Fehler der permissionless Blockchain nicht passieren können.
Erwähnenswert ist vor allem, dass die Blockchain in der Lage ist bestimmte Mitglieder, wie zB Aufsichtsbehörden, Prüfer, Notare und co, mitaufzunehmen.
Aufgrund der Neuheit der Blockchain, gibt es noch keine ausgefeilten Sicherheitsmechanismen. Vor allem digitale Währungen erlebten bereits einige Hackerangriffe. Ein Problem der Blockchain ist, dass sie sicherlich nicht ausreichend und ernsthaft getestet wurde. Sie wird noch nicht ausreichend genutzt und ist noch nicht weit genug in Verwendung um sämtliche Vor- und Nachteile zu kennen.
Ein weiteres Problem ist die Art wie Blockchains entwickelt werden. Forscher weisen darauf hin, dass in Organisationen zumeist der gleiche Code in den Netzwerken verwendet wird. Basierend auf dieser Annahme, wurde ein prozessbasiertes Modell entwickelt, welches eine hilfreiche Perspektive auf das Problem bereitstellt. Es wird empfohlen eine risikobasierte Strategie zu nutzen, wobei Risiko gleich Bedrohung (Cyberangriff inkl. Schäden) + Verwundbarkeit (Ausmaß der Anfälligkeit für Cyberangriffe) + Konsequenzen (Folgen des Angriffs) entspricht. Die Tatsache, dass nicht viele kritische Bugs gefunden wurden, die große Probleme verursacht haben, zeigt, dass blockchain-basierte Systeme sich durch eine geringe Anfälligkeit auszeichnen.
Blockchain & Healthcare – Sicherheit und Privatheit
Mithilfe der Blockchain-Technologie können medizinische Aufzeichnungen sicher über mehrere Provider hinweg die gesamte Patentenlaufzeit geteilt werden. Durch den Einsatz wird ein Intermediär zwischen Patient und Aufzeichnungen obsolet. Aufgrund der zeitgestempelte und programmierbare Speicherung kann eine intelligente Steuerung des Datensatzzugriffs ermöglicht werden. Zudem werden Veränderungen der Daten festgehalten und an ein öffentliches Hauptbuch (Ledger) kommuniziert.
Eine weitere Funktion ist die Sicherung der Datenintegrität. Dies kann unter anderem im Bereich der Qualitätssicherung von Medikamenten eine wichtige Rolle spielen. Mithilfe von Sensoren kann die Temperatur der Medikamente beim Transport zur Apotheke gemessen werden. Die Informationen können nachträglich nicht verändert werden und die Qualitätssicherung der Medikamente kann so gewährleistet werden.
Blockchain & IoT
Die Kombination von IoT und Blockchain ist sehr kraftvoll und wird eine Veränderungen im Industriesektor mit sich ziehen. Beispielsweise smarte IoT Geräte wären in der Lage autonome Transaktionen mithilfe von Smart Contracts der Blockchain durchzuführen. Kombiniert man dies noch mit AI (Artificial intelligence) und Big Data Lösungen können wesentlich signifikatere Einflüsse produziert werden. Zeitgleich, ziehen IoT Lösungen große Sicherheitsbedenken mit sich.
Die oben genannten Mängel umfassen strenge Datenschutz- und Sicherheitsrisiken. Auf der Grundlage von Informationen, die von einem Ubi-Gerät gesammelt wurden, wie beispielsweise Anwesenheit oder Abwesenheit von Lärm oder Licht im Haus, können Kriminelle wissen, ob jemand zu Hause ist oder nicht. Durch das Ausnutzen von Sicherheitslücken in beispielsweise Ubi-Geräten können Angreifer ihre Mikrofone einschalten und Gespräche abhören. Schwachstellen im Chamberlain MyQ-System ermöglichen es Dieben zu wissen, wann das Garagentor geöffnet oder geschlossen wird
Wenn ein IoT-Gerät gehackt wird, können schwerwiegende Folgen auftreten. Berücksichtigen Sie die Verbreitung intelligenter Wasserzähler und die damit verbundenen Cybersicherheitsrisiken. Anfang 2017 verfügten 20% der Einwohner des US-Bundesstaates Kalifornien über intelligente Wasserzähler, die Daten sammeln und Warnmeldungen zu Wasserleckagen und -nutzung an digital Devices der Verbraucher senden. Wasserverbrauchsdaten können Hackern und Kriminellen mitteilen, wenn die Bewohner nicht zu Hause sind. Es ist möglich, dass die Täter dann Häuser einbrennen können, wenn ihre Bewohner weg sind.
Blockchain kann die Daten fälschungs- und manipulationssicher machen. Durch das Peer-to-Peer System der Chain können Korruption als auch die Einflussnahme von Hackern ausgeschlossen werden. Durch die Verifizierung neuer Datensätze über Nodes, mithilfe der Hashwerte, kann die Echtheit der neuen Daten berechnet werden. Es kann sein, dass Blockchain besonders geeignet und vielversprechend ist, um die mit dem IoT verbundenen Datenschutz- und Sicherheitsprobleme anzugehen. Im Folgenden betrachten wir die wichtigsten Prozesse und Mechanismen sowie einige Initiativen, die möglicherweise zu einer stärkeren IoT-Sicherheit beitragen.
Blockchainbasierte Identitäts- und Zugangsmanagement
Das Identitätsmanagement (IAM = Identity- & Access-Management) ist der zielgerichtete und bewusste Umgang mit Identität, Anonymität und Pseudoanonymität. Solche Systeme wurden bereits verwendet, um Informationen über Herkunft, Identität, Referenzen und digitale Rechte von Waren sicher zu speichern.
Die Unveränderlichkeit der Blockchain kann erreicht werden, indem sichergestellt wird, dass die eingegebenen Originalinformationen korrekt sind. In dieser Hinsicht besteht eine zentrale Herausforderung in einigen Anwendungen darin, dass es schwierig ist, sicherzustellen, dass die Eigenschaften von physischen Vermögenswerten, Einzelpersonen (Anmeldeinformationen), Ressourcennutzung (Energie und Bandbreite durch IoT-Geräte) und andere relevante Ereignisse sicher und zuverlässig gespeichert werden. Dieser Aspekt kann für die meisten IoT-Geräte relativ einfach gehandhabt werden. Zum Beispiel kann eine private Blockchain verwendet werden, um kryptografische Hashes einzelner Geräte-Firmware zu speichern (Software, die speziell für das Gerät entwickelt wurde). Durch den Blockchain-Einsatz wird das Anlegen von Benutzerkonten überflüssig und entlastet die Anbieter. Größter Vorteil für die Endkunden ist, dass sie selbst entscheiden, welche Daten im Netz geteilt werden möchten und welche nicht.
Ein solches System erzeugt eine dauerhafte Aufzeichnung der Gerätekonfiguration und des Zustands. Diese Aufzeichnung kann möglicherweise verwendet werden, um zu verifizieren, dass ein bestimmtes Gerät echt ist und dass seine Software und Einstellungen nicht manipuliert oder verletzt werden. Nur dann darf sich das Gerät mit anderen Geräten oder Diensten verbinden.
Blockchain & Cloud-basierte IoT Plattformen
Das exponentielle Wachstum von IoT-Geräten: Bis 2020 wird eine Netzwerkkapazität benötigt, die mindestens das 1000-fache des Niveaus von 2016 beträgt. Zentralisierte Modelle können teuer und schwierig zu verwalten sein, insbesondere bei datenintensiven Anwendungen mit IoT.
Jeder Block der IoT-Architektur fungiert als Engpass / Fehlerpunkt und stört das gesamte Netzwerk: Anfälligkeit für DDoS-Angriffe, Hackerangriffe, Datendiebstähle und Remote-Angriffe. Selbst wenn Gerätehersteller und Cybersicherheitsunternehmen in der Lage sind, die wirtschaftlichen und produktionstechnischen Herausforderungen zu meistern, kann jeder Block der IoT-Architektur als Engpass oder als Fehlerquelle wirken, die das gesamte Netzwerk stören kann.
Manchmal sind Cloud-Server aufgrund von Cyberangriffen, Softwarefehlern, Strom, Kühlung oder anderen Problemen nicht verfügbar. Informationen können manipuliert und unangemessen verwendet werden.
Dank der Blockchaintechnologie besteht keine Notwendigkeit für eine zentralisierte Einheit: Geräte können sicher kommunizieren und Werte miteinander austauschen und führen Sie Aktionen automatisch durch intelligente Verträge aus. Mithilfe der Blockchain kann ein sicheres Messaging zwischen Geräten passieren: Die Gültigkeit der Identität eines Geräts wird überprüft, Transaktionen werden signiert und kryptografisch verifiziert, um sicherzustellen, dass nur der Absender der Nachricht sie gesendet hat.
Fehler werden verhindert, da sich die Datensätze auf vielen Computern / Geräten befinden und diese identische Informationen enthalten. Fehlhandlungen können erkannt und verhindert werden. Die Geräte sind verriegelt: Wenn die Blockchain-Updates eines Geräts verletzt werden, lehnt das System es ab.
Blockchain – Einsätze in der Lieferkette
Blockchain kann die Sicherheit von Vorwärts- und Rückwärtsverknüpfungen in Lieferketten verbessern. Auf diese Weise kann es möglicherweise ein wirksames Instrument sein, um die Quellen der Unsicherheit in Lieferketten zu verfolgen. Wenn eine IoT-Sicherheitsverletzung entdeckt wird, wird diese Technologie es wahrscheinlich ermöglichen, den Verstoß gezielt einzudämmen. Blockchain kann somit möglicherweise die Handhabung von Krisensituationen, wie Produktrückrufen aufgrund von Sicherheitslücken, erleichtern.
Durch die öffentliche Verfügbarkeit von Blockchain ist es möglich, jedes Produkt auf die Herkunft der Rohstoffe zurückzuführen. Transaktionen können möglicherweise auch verknüpft werden, um Benutzer von anfälligen IoT-Geräten zu identifizieren.
Die Blockchain kann verwendet werden um Zeit, Ort, Preis, beteiligte Parteien und andere relevante Informationen zu registrieren, wenn ein Device den Besitz wechselt.
Die Technologie kann auch verwendet werden, um Rohstoffe zu verfolgen, während sie sich durch die Lieferkette bewegen, in Leiterplatten und elektronische Komponenten umgewandelt, in Produkte integriert und dann an Kunden verkauft werden. Wie bereits erwähnt, auch für den sicheren Transport von Medikamenten.
Blockchain kann auch dazu verwendet werden, Aktualisierungen, Patches und Teileaustausch während der gesamten Lebensdauer eines Produkts oder Geräts zu registrieren. Dies würde es einfacher machen, den Fortschritt beim Umgang mit Schwachstellen und Sicherheitsproblemen zu verfolgen
Blockchain and the Fair Information Practices (FIPs)
Fair Information Practices sind eine Reihe von Prinzipien und Praktiken, die beschreiben, wie eine Informationsgesellschaft die Handhabung, Speicherung, Verwaltung und Datenflüsse von Informationen im Hinblick auf Fairness, Datenschutz und Sicherheit in einer sich schnell entwickelnden globalen Technologieumgebung angehen kann.
Die potentielle Gefahr besteht, dass Unternehmen ohne unser Wissen oder Zustimmung, große Mengen an privaten Informationen über Personen für Zwecke, die wir nicht erwarten oder verstehen, sammeln. Da die Nutzung solcher Daten oftmals gegen das Transparenzprinzipp der FIP’s verstoßt, kann die Blockchain Technologie in diesem Bereich eingesetzt werden. Die persönlichen Informationen werden entweder mit einem privaten oder öffentlichen Schlüssel gesteuert.
Zudem arbeiten Big Data Analysen mit diversen Datenquellen und übertragen oftmals auch Daten an Dritte. Doch trotz Anonymisierung der Daten, ist eine Identifizierung durch Dritte noch immer möglich. Es gibt viele Methoden und Techniken um personenbezogene Daten zu identifizieren und mit bestimmten Verbrauchern in Verbindung zu bringen.
Big Data Auswertungen wie Vorhersagemodelle, welche mit hoher Sicherheit mit personenbezogenen Daten arbeiten, sind eigentlich nicht anonymisierbar.
In einem Blockchain-Modell wählt der Eigentümer aus, welche Informationen an wen herausgegeben werden und welche zurückgehalten werden sollen.
Verwendung der Blockchain-Technologie
Eine starke IoT-Sicherheit kann bereitgestellt werden, wenn Sie mit der Integration einer Blockchain beginnen. Unternehmen müssen eine regulatorische Anforderung für die Bereitstellung von Blockchain in der Lieferkette haben.
Darüber hinaus übertrifft die Blockchain die meisten anderen Ansätze im Datenschutz. Es erfordert die Entwicklung eines intelligenten Ökosystems rund um diese Technologie. Daher müssen die Bemühungen der öffentlichen Politik auf den Schutz der Privatsphäre ausgerichtet werden, indem Blockchain sich darauf konzentriert, wichtige Akteure zu schulen und Entwicklungsgelder bereitzustellen.
Eine Möglichkeit, die Blockchain zur Stärkung von Cybersicherheit und Privatsphäre anzureichern, wäre die Aufmerksamkeit auf PPP zu lenken. Nationale und lokale Regierungen sollten Mittel und Unterstützung für Aktivitäten des Privatsektors bereitstellen, die hauptsächlich auf die Entwicklung von Blockchain-basierten Lösungen zur Stärkung der Cybersicherheit und zum Schutz der Privatsphäre ausgerichtet sind.
Die Idee ist, dass Software-Codes Vereinbarungen zwischen Parteien algorithmisch erzwingen. Es gibt jedoch erhebliche Meinungsverschiedenheiten und Verwirrung aus rechtlicher Sicht zum Thema Smart Contract. Eine Ansicht ist, dass "Code Gesetz ist. Einige Anwälte haben bemerkt, dass um rechtlich durchsetzbar zu sein, ein intelligenter Vertrag alle traditionelle Elemente, die ein verbindlicher Vertrag haben hat, erfüllen muss.
In dem Artikel wurde erläutert, wie die Blockchain in bestehende Geschäftsfelder integriert werden könnte. Die Relevanz der diversen Vorzüge, welche die Technologie mit sich bringt, variieren je nach Anwendungsfall. Beispielsweise ist klar, dass die Prüfung der Herkunft von Rohstoffen in der Supply-Chain eindeutig ist, weil die Blockchain erhöhte eine erhöhte Datensicherheit gewährleistet, da die Blöcke miteinander verknüpft sind.
Die Blockchain und all ihre Vorteile sind unverkennbar mittlerweile. Trotzdem kann sie nicht prinzipiell Anwendung finden. Stromverbrauch oder die Transaktionsrate je Sekunde sind problematische Faktoren, da sie derzeit noch die Anwendungsbereiche der Blockchain-Technologie einschränken. Zudem kommt hinzu, dass die Umsetzung mit hohen Investitionskosten einhergehen. Ich denke, dass in diesem Artikel sehr viele Beispiele fielen, wo die Blockchain Sinn machen könnte. Trotzdem muss sie nicht überall eingesetzt werden, denn in manchen Bereichen gibt es Systeme die bereits effizient arbeiten.
Quelle:
Kshetri / Nir: Blockchain's roles in strengthening cybersecurity and protecting privacy; in: Telecommunications Policy, Volume 41, Issue 10, November 2017, Pages 1027-1038
Fluch von IoT?
marian.limberger.uni-linz, 15. Mai 2018, 09:33
So, wie das hier im Beitrag dargestellt ist, muss man sich tatsächlich überlegen, ob man das Garagentor nicht doch lieber wieder per Hand rauf- und runterkurbelt. Die Daten unserer smarten Geräte können offenbar viel zu leicht abgegriffen werden und leicht ausgewertet werden. Öffne ich am Morgen mein Garagentor nicht, so weiß der Einbrecher sofort, dass niemand zu Hause ist! Ziemlich schockierend!
elsa.wiesinger.uni-linz, 16. Mai 2018, 17:09
Leicht abzugreifen sind solche Geräte sicher nicht, aber falls es jemanden gelingt, so können sie mit diesen Informationen großen Schaden bereiten.
Die Blockchain vergisst nicht
susanne.groiss.uni-linz, 15. Mai 2018, 21:59
Ja das Versprechen der Blockchain-Technologie ist hoch. Es sollen absolut integere Transaktions-Ketten geschaffen werden. Die absolute Unveränderlichkeit und Dezentralität der Datenketten erschweren den Hackern die Angriffe. Jedoch bedeutet das auch, dass das was einmal eingepflegt ist, nicht mehr gelöscht werden kann. Die Blockchain vergisst nicht. Was aber auch bedeutet, dass Programmierfehler auch nicht einfach "ausgebessert" werden können. Es muss ein komplett neuer Smart Contract erstellt werden, der alte bleibt dann in der Blockchain gespeichert. Und die Nutzung der Technologie gerät damit in ein sogenanntes Dilemma wenn es um den Datenschutz und das "Vergessen-Müssen" geht, es aber unmöglich ist "zu vergessen".
Vertrauen in die Technik
gertrude.dienstl-ottensamer.uni-linz, 16. Mai 2018, 14:28
Vertrauen in die Technik, in die Geschäftsparter, etc. ist ein wesentlicher Punkt. Es geht um Sicherheit, Wahrung der Privatsphäre und vieles mehr. Fraglich ist jedoch, ob Vertrauen durch mehr Kontrolle und noch bessere Programmiertätigkeit aufgebaut werden kann. Selbst Senoren können wie wir vor kurzem erlebt haben, verzerrte Ergebnisse liefern. Ist es schlussendlich vielleicht doch besser Vertrauen in die handelnden Personen/in das Unternehmen zu haben und und die Glaubwürdigkeit dieser zu prüfen? Technik kann diese Glaubwürdigkeit ergänzen nicht ersetzen.
Lückenlose Dokumentation
magdalena.bieregger.uni-linz, 17. Mai 2018, 13:52
In Verbindung mit Smart Contracts könnte auch die Entwicklung der Industrie 4.0 gefördert werden indem die virtuellen und physischen Systeme zu sogenannten Cyber Physical Systems verschmelzen. Jedenfalls ist es durchaus denkbar dass Erzeugung, der Transport und die Weiterverarbeitung von Erzeugnissen lückenlos und fälschungssicher dokumentiert werden. Auch hier wäre die Fälschung von Herkunftsangaben, sowie die Nicht-Einhaltung von Qualitätsstandards oder eine unsachgemäße Entsorgung von Reststoffen erheblich erschwert.