Digitaler Bankraub

Digitaler Bankraub

Wie man in aller Ruhe 50 Millionen US-Dollar aus einer Bank klauen kann.

Keyfacts über Blockchain-Bankraub

  • Blockchains müssen ohne zentrale Kontrollinstanz funktionieren
  • Die Softwares weisen Sicherheitsmängel auf
  • Die unklaren Identitäten der Beteiligten sind ein Gefahrenpotential
Zusammenfassung lesen

Ein klassischer Bankraub geht so: Unbekannte Menschen bedrohen die Bankangestellten, nehmen das Geld, rennen zum Fluchtwagen und verschwinden. Zum Wesen des Bankraubes gehört es, dass die Bank anschließend nicht weiß, wo ihr Geld ist. Insofern sieht der Bankraub durchaus seltsam aus, der sich vor knapp vier Wochen bei der virtuellen Investmentbank The DAO ereignete.

Umgerechnet rund 50 Millionen US-Dollar erbeutete der Räuber. Einerseits sehr viel Geld, andererseits wirklich erstaunlich ist aber dies: Das Geld ist wohl weg, aber nicht verschwunden. Auch wurde niemand bedroht, niemand ist gerannt. Und der Fluchtwagen mitsamt Beute – um im Bild zu bleiben – steht immer noch vor der Bank. Warum holen sich die Banker ihr Geld dann nicht einfach zurück, könnten Sie sich jetzt fragen. Die Antwort: Weil sie dann keine Bank mehr wären. Irritiert? Ja, nun.

Blockchain: Der Algorithmus entscheidet

Ein Schritt zurück: The DAO ist ein Crowdfunding-Projekt des deutschen Start-up Unternehmens slock.it. Vergleichbar mit einem Risikokapital-Fonds soll The DAO Geld in vielversprechende Projekte stecken. Aber nicht, und das ist der Unterschied zur klassischen Bank, durch die Arbeit von Fondsmanagern, sondern ausschließlich gesteuert durch Computer: über eine sogenannte Blockchain.

Blockchains gelten derzeit als größte Chance und Herausforderung für das klassische Bankwesen. Anders als beim herkömmlichen Vertrauensverhältnis zwischen Bank und Kunde, funktionieren sie ohne zentrale Kontrollinstanz. Stattdessen schreibt sich die Blockchain wie ein fortlaufendes Register auf den Rechnern der Beteiligten fort; alle Informationen über Buchungen werden weitergegeben und von jedem Teilnehmer der Blockchain automatisch weiter verteilt.

50 Mio.

US-Dollar von insgesamt rund 160 Millionen US-Dollar sind beim Blockchain-Bankraub abgeflossen.

Der Vorteil: Alle wissen gleich viel, jede Buchung ist nachvollziehbar, alles passiert in Echtzeit, keine Einzelperson kann Einfluss nehmen. Anders gesagt: Betrug, Veruntreuung und schwarze Konten funktionieren bei einer Blockchain nicht. Die Software beziehungsweise der Code weiß alles. Soweit die Theorie. Jetzt die Praxis: Für den Gegenwert von 160 Millionen US-Dollar haben Investoren mittels der Digitalwährung Ethereum in The DAO investiert – der Gegenwert von gut 50 Millionen US-Dollar ist nun weg.

Offensichtlich hatte die Software einige Schwachstellen. So gelang es dem Angreifer nach dem Motto „steter Tropfen höhlt den Stein“ über einen längeren Zeitraum, mit dem immer selben Manöver kontinuierlich Beträge auf sein Konto fließen zu lassen. Irgendwann waren 50 Millionen Dollar verschwunden – fast ein Drittel des gesamten DAO-Kapitals. Zum Wesen der Blockchain gehört es, dass die Beteiligten zwar virtuelle Konten haben, ihre Identität aber durchaus unklar ist. Gut denkbar also auch, dass eine Gruppe von Angreifern hinter dem Bankraub steckt. Es ist wahrscheinlich, dass sie bei ihrer Attacke durch einen Bug (ein sogenannter „recursive call bug“) in der Software eine Schwachstelle ausnutzten und permanent Geld aus der Organisation abfließen ließen.

Und nun? The DAO kann das gestohlene Geld für einen knappen Monat sperren lassen. Das haben sie getan. Diese Sperrfrist läuft bald ab, dann ist das Geld für den Angreifer wieder frei verfügbar – wäre also verloren aus Sicht der DAO-Investoren. Gut möglich, dass genau das passieren wird. Die Alternative dazu würde die Blockchain-Befürworter spalten: Die Programmierer der Blockchain könnten sie zurücksetzen bis zu dem Zeitpunkt, bevor der Diebstahl begann. Ein solcher Eingriff nennt sich „Hard fork“ – und wäre wohl das Ende der Blockchain-Idee, nämlich der Beweis dafür, dass das System durchaus nachträglich vom Menschen manipulierbar ist. In dem Fall: Vom Programmierer. Mit anderen Worten: ein ziemliches Desaster für die DAO-Mitglieder im speziellen und die wohlwollenden Beobachter der Blockchain-Technologie im Allgemeinen.

Zu früh an den Markt gegangen

Wenn man etwas aus dem DAO-Fall lernen will, dann vor Allem, dass eine Blockchain beziehungsweise Code, wie bei der DAO, ohne guten Kontrollmechanismus angreifbar ist. So wirft der DAO-Bankraub ein grelles Licht auf das Verhältnis von Sicherheit und Marktreife. Es hat den Anschein, als wären die Initiatoren zu früh an den Markt gegangen, obwohl ihr Produkt noch nicht sicher genug war. Klar ist aber auch: Völlige Sicherheit gibt es im Internet nicht.

Mag zwar sein, dass das System als solches nicht zu hacken ist, weil es für Hacker keinen zentralen Angriffspunkt gibt. Aber wenn der Code als solcher Schwachstellen hat, dann sollte größtmöglicher Aufwand darin investiert werden, eben diese Schwachstellen zu schließen. Anders gesagt: Wenn ich über einen bestimmten Kanal stetig Geld verliere, sollte dies durch etablierte Kontrollmechanismen schnellstmöglich auffallen und für ein gesundes Sicherheitsniveau sorgen

Ist Blockchain damit am Ende? Empirisch gesagt: So sehr am Ende wie Banken durch Banküberfälle am Ende sind – keineswegs. Im Wilden Westen gab es gelegentlich Postkutschenüberfälle, wenn Geld von der einen Stadt in die andere transportiert wurde. Die Blockchain-Technologie befindet sich entwicklungstechnisch derzeit noch im Wilden Westen. Das bedeutet eben auch, dass die ersten Versuche häufig Lehrgeld kosten. Gegen die Idee einer Blockchain hingegen spricht es nicht.

Um Blockchains und die Zukunft der Banken geht es auch beim nächsten Termin unserer Veranstaltungsreihe Klardenker live am 13. September in Hamburg. Mehr dazu hier.

14. Juli 2016
Zusammengefasst

»Ist die Idee einer Blockchain durch den Diebstahl von 50 Millionen US-Dollar am Ende? Empirisch gesagt: So sehr am Ende wie Banken durch Banküberfälle am Ende sind - keineswegs.«

Eine Blockchain ohne einen funktionierenden Kontrollmechanismus ist angreifbar. Wie es aussieht, sind die Initiatoren der jetzt ausgeraubten Blockchain-Bank zu schnell mit ihrem Produkt an den Markt gegangen – obwohl es noch nicht sicher genug für diesen Schritt war.

Michael Sauermann Partner, Forensic
Ganzen Artikel lesen

Kommentare

Sind Blockchains jetzt am Ende?

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen