Kryptowährungen unterliegen keiner zentralen Kontrolle. Die Community ist an der Macht. Aber sie kümmert sie sich schlicht nicht um alles, was nötig wäre. Dadurch könnte die Sicherheit des Geldes auf dem Spiel stehen.

Eine entscheidende Eigenschaft von Kryptowährungen ist, dass sie dezentral organisiert sind und nicht wie herkömmliche Währungen von einer zentralen Bank verwaltet werden. Das bringt Probleme mit sich, wenn Forschende Sicherheitslücken in den Systemen der virtuellen Währungen finden. Teils ist unbekannt, wer die Systeme betreibt, ob sie von bekannten Sicherheitslücken betroffen sind und ob notwendige Sicherheitsupdates erfolgen. Wie lange es dauert, bis bekannte Sicherheitslücken in verschiedenen Kryptowährungen geschlossen wurden, haben Forschende um Prof. Dr. Ghassan Karame, Mitglied im Exzellenzcluster CASA – Cybersecurity in the Age of Large-Scale Adversaries der Ruhr-Universität Bochum, untersucht. Das Wissenschaftsmagazin der Ruhr-Universität Rubin berichtet über die Ergebnisse.

44 schwerwiegende Sicherheitslücken im Test
Der Quellcode der wohl bekanntesten Kryptowährung Bitcoin ist frei im Internet verfügbar. Wer mag, kann ihn kopieren und seine eigene Kryptowährung an den Start bringen. Auf diese Weise entstanden zahlreiche Abwandlungen von Bitcoin, die unter dem Begriff Altcoins zusammengefasst werden. Sicherheitslücken, die im Bitcoin-Code gefunden werden, betreffen in der Regel auch den Code der Altcoins. Zusammen mit Kolleginnen und Kollegen untersuchte Ghassan Krame, wie verschiedene Kryptowährungen mit 44 der schwerwiegendsten Netzwerk-Sicherheitslücken umgegangen sind, die in den vergangenen Jahren dokumentiert wurden.

Dazu zählte auch eine Schwachstelle, die Karame selbst 2015 mit Kooperationspartnern aufgedeckt hatte. „Damals haben wir gezeigt, dass wir den Informationsfluss im gesamten Bitcoin-System zum Erliegen bringen könnten, wenn wir Kontrolle über einige Dutzend Laptops im System besitzen würden“, beschreibt der Leiter des Lehrstuhls Information Security.

Viele Kryptowährungen brauchen Monate oder Jahre, um Schwachstellen zu beheben
Mit einem speziell für diesen Zweck entwickelten Tool bestimmten die Forschenden näherungsweise die Zeit, die verschiedene Kryptowährungen brauchten, um die oben beschriebene Sicherheitslücke zu schließen. „Um es kurz zu machen: Die Ergebnisse waren schockierend“, so Ghassan Karame. Während Bitcoin die Sicherheitslücke in nur sieben Tagen behob, brauchte Litecoin beispielsweise 114 Tage, Dogecoin 185 Tage und Digibyte fast drei Jahre. „Drei Jahre, in denen man mit einigen Dutzend Laptops das gesamte System dieser Kryptowährung zum Zusammenbruch hätte bringen können“, unterstreicht Karame.

Auch bei der Analyse anderer Sicherheitslücken ergab sich stets das gleiche Bild: Bei vielen Altcoins dauerte es eine drei- oder gar vierstellige Anzahl von Tagen, bis die Fehler behoben waren.

Warum die Analyse besonders aufwendig war und was Ghassan Karame Nutzerinnen und Nutzern von Kryptowährungen rät, lesen Sie in Rubin.