10 NFT- und Kryptowährungs-Sicherheitsbedrohungen, denen sich CISOs stellen müssen
10 NFT- und Kryptowährungs-Sicherheitsbedrohungen, denen sich CISOs stellen müssen
Dezentralisierte Technologien können CISOs verunsichern, aber es gibt Möglichkeiten, Sicherheitsrisiken zu vermeiden.
Die Liste der Unternehmen, die Kryptowährungszahlungen akzeptieren, wächst ständig, dank derer Kunden fast alles kaufen können, was sie wollen: Elektronik, Diplome, Cappuccinos.
Gleichzeitig boomt der Markt für nicht handelbare Token ( NFT ), da aufstrebende Künstler zu Millionären werden, wobei etabliertere Namen wie Snoop Dogg, Martha Stewart und Grimes von diesem Trend profitieren.
Kryptowährungen und NFTs stehen auf der Tagesordnung vieler Organisationen, wenn sie die Auswirkungen von Web3 und die damit verbundenen Möglichkeiten diskutieren.
Diese neue große Veränderung in der Entwicklung des Internets verspricht eine Dezentralisierung unserer digitalen Welt und bietet den Benutzern eine größere Kontrolle und einen transparenteren Informationsfluss.
Überprüfen Sie auch:
Unternehmen aus verschiedenen Branchen tun ihr Bestes, um sich an das neue Paradigma anzupassen.
Die Liste der CISO-Bedenken ist jedoch lang und reicht von Cybersicherheit und Identitätsbetrug bis hin zu Marktsicherheit, Schlüsselverwaltung, Daten- und Datenschutzbedrohungen.
Kryptowährung in jeglicher Form, einschließlich NFT, birgt eine Reihe von Risiken und Sicherheitsproblemen, mit denen die meisten Unternehmen möglicherweise nicht vertraut sind.
„Es erfordert eine Reihe neuer Betriebsverfahren, setzt Sie einer Reihe neuer Systeme (öffentliche Blockchains) aus und birgt Risiken, die vielen Unternehmen nicht bewusst sind“, sagt Doug Schwenk, CEO von Digital Asset Research.
Wie CISOs über diese Probleme denken, kann sich auf Benutzer und Geschäftspartner auswirken.
„Der Vergleich hat unmittelbare finanzielle Konsequenzen für das Unternehmen, seine Benutzer und/oder NFT-Sammler“, sagt Ilya Stein, Chief Security Engineer bei Confiant.
Hier sind die zehn größten Sicherheitsbedrohungen, die Kryptowährungen und NFT für CISOs darstellen.
1. Die Integration von Blockchain-Protokollen kann komplex sein
Blockchain ist eine relativ neue Technologie. Daher wird die Integration von Blockchain-Protokollen in das Projekt etwas schwierig.
„Die größte Herausforderung bei Blockchain ist das mangelnde Bewusstsein für die Technologie, insbesondere in anderen Sektoren als dem Bankwesen, und das weit verbreitete mangelnde Verständnis dafür, wie sie funktioniert“, sagte Deloitte in einem Bericht.
„Das macht es schwierig, Ideen zu investieren und zu erforschen.“
Unternehmen müssen jede unterstützte Kette sorgfältig auf Reife und Angemessenheit prüfen.
„Die Einführung von [Blockchain]-Protokollen in der Frühphase kann zu Ausfallzeiten und Sicherheitsrisiken führen, während Protokolle in späteren Phasen derzeit höhere Transaktionsgebühren haben“, sagt Schwenk.
„Sobald ein Protokoll für die gewünschte Verwendung (z. B. Zahlung) ausgewählt wurde, kann der Sponsor möglicherweise keine Unterstützung mehr leisten. Es ist eher wie die Einführung von Open Source, bei der möglicherweise bestimmte Dienstanbieter erforderlich sind, um den Wert voll auszuschöpfen.“
2. Ändern der Kriterien für das Eigentum an Vermögenswerten
Wenn jemand ein NFT kauft, kauft er nicht wirklich ein Bild, da es aufgrund seiner Größe unpraktisch ist, Bilder in der Blockchain zu speichern.
Stattdessen erhalten Nutzer eine Art Quittung, die ihnen den Weg zum Bild weist.
In der Blockchain wird nur die Bildidentifikation gespeichert, die ein Hash oder eine URL sein kann. HTTP wird häufig verwendet, aber eine dezentrale Alternative ist das Interplanetary File System (IPFS).
Organisationen, die sich für IPFS entscheiden, sollten sich darüber im Klaren sein, dass der IPFS-Knoten von dem Unternehmen verwaltet wird, das das NFT verkauft, und wenn dieses Unternehmen beschließt, den Laden zu schließen, können Benutzer den Zugriff auf das Bild verlieren, auf das das NFT verweist.
„Obwohl es technisch möglich ist, eine Datei erneut auf IPFS hochzuladen, ist es unwahrscheinlich, dass der durchschnittliche Benutzer dazu in der Lage sein wird, da der Prozess komplex ist“, sagt der unabhängige Sicherheitsforscher Anatole Brisacaro.
„Das Gute daran ist jedoch, dass dies aufgrund seiner dezentralen und anfälligen Natur jeder tun kann – nicht nur Projektentwickler.“
3. Marktsicherheitsrisiken
Obwohl NFTs auf Blockchain-Technologie basieren, können die damit verbundenen Bilder oder Videos auf einer zentralen oder dezentralen Plattform gespeichert werden.
Aus praktischen Gründen wird häufig ein zentralisiertes Modell gewählt, da es Benutzern die Interaktion mit digitalen Assets erleichtert. Der Nachteil dieses Ansatzes besteht darin, dass NFT-Märkte Web2-Schwachstellen erben können.
Während herkömmliche Banktransaktionen umkehrbar sind, sind dies bei Blockchains nicht der Fall.
„Ein gehackter Server könnte dem Benutzer irreführende Informationen liefern und ihn dazu verleiten, Transaktionen durchzuführen, die seine Brieftasche belasten würden“, sagt Brisacaro.
Der richtige Aufwand für die richtige Implementierung des Systems kann jedoch vor Angriffen schützen, insbesondere wenn es um die Verwendung einer dezentralen Plattform geht.
„Einige Märkte schneiden jedoch ab und opfern Sicherheit und Dezentralisierung für mehr Kontrolle“, sagt Brisacaro.
4. Identitätsbetrug und Kryptowährungsbetrug
Kryptowährungsbetrug ist weit verbreitet und eine große Anzahl von Menschen kann ihnen zum Opfer fallen. „Betrüger verfolgen regelmäßig bevorstehende NFT-Einführungen und haben in der Regel Dutzende von betrügerischen Mint-Sites, die bereit sind, zusammen mit der offiziellen Einführung zu werben“, sagt Stein.
Kunden, die Opfer dieser Betrügereien werden, gehören oft zu ihren treuesten Kunden, und solche schlechten Erfahrungen können sich darauf auswirken, wie sie eine bestimmte Marke wahrnehmen.
Daher ist ihr Schutz von entscheidender Bedeutung.
Häufig erhalten Benutzer böswillige E-Mails, dass verdächtiges Verhalten in einem ihrer Konten festgestellt wurde. Um dieses Problem zu lösen, müssen sie ihre Anmeldeinformationen für die Kontoverifizierung angeben.
Wenn der Benutzer darauf hereinfällt, sind seine Anmeldeinformationen gefährdet. „Jede Marke, die versucht, in den NFT-Bereich einzudringen, würde davon profitieren, Ressourcen für die Überwachung und Abwehr dieser Art von Phishing-Angriffen bereitzustellen“, sagt Stein.
5. Blockchain-Brücken sind eine wachsende Bedrohung
Unterschiedliche Blockchains haben unterschiedliche Währungen und unterliegen unterschiedlichen Regeln. Wenn jemand beispielsweise Bitcoin besitzt, aber Ethereum ausgeben möchte, benötigt er eine Verbindung zwischen den beiden Blockchains, die die Übertragung von Vermögenswerten ermöglicht.
Eine Blockchain-Bridge, manchmal auch als Cross-Chain-Bridge bezeichnet, tut genau das. „Von Natur aus wird es nicht ausschließlich mit intelligenten Verträgen implementiert und stützt sich auf Off-Chain-Komponenten, die eine Transaktion auf der zweiten Kette einleiten, wenn der Benutzer Vermögenswerte auf der ursprünglichen Kette hinterlegt“, sagt Brisacaro.
Zu den größten Kryptowährungs-Hacks gehören Multi-Chain-Bridges wie Ronin, Poly Network und Wormhole.
Beispielsweise beschlagnahmten Angreifer während des Blockchain-Hacks von Ronin Games Ende März 2022 Ethereum und USDC im Wert von 625 Millionen US-Dollar.
Auch während des Angriffs auf das Poly-Netzwerk im August 2021 übertrug der Hacker Token im Wert von mehr als 600 Millionen US-Dollar auf mehrere Kryptowährungs-Wallets.
Glücklicherweise wurde in diesem Fall das Geld nach 2 Wochen zurückerstattet.
6. Der Code muss gründlich getestet und überarbeitet werden
Guter Code sollte von Beginn eines jeden Projekts an Priorität haben. Entwickler müssen kompetent und bereit sein, auf Details zu achten, argumentiert Brisacaro.
Andernfalls steigt das Risiko, Opfer eines Sicherheitsvorfalls zu werden. Bei dem Angriff auf das Poly-Netzwerk nutzte der Angreifer beispielsweise eine Lücke zwischen Knotenaufrufen aus.
Um einen Unfall zu verhindern, müssen die Teams umfassende Tests durchführen. Die Organisation muss auch einen Dritten mit der Durchführung eines Sicherheitsaudits beauftragen, obwohl dies kostspielig und zeitaufwändig sein kann.
Audits bieten eine systematische Codeüberprüfung, die dabei hilft, die häufigsten Schwachstellen zu identifizieren.
Natürlich ist eine Code-Verifizierung notwendig, aber sie reicht nicht aus, und die Tatsache, dass das Unternehmen ein Audit durchgeführt hat, garantiert nicht, dass es keine Probleme haben wird. „In einer Blockchain sind Smart Contracts in der Regel sehr komplex und interagieren oft mit anderen Protokollen“, sagt Brisacaro.
„Allerdings kontrollieren nur Organisationen ihren eigenen Code, und die Interaktion mit externen Protokollen erhöht das Risiko.“
Sowohl Einzelpersonen als auch Unternehmen können einen anderen Weg für das Risikomanagement einschlagen: Versicherungen, die Unternehmen dabei helfen, die Kosten von Smart Contracts oder Custody-Hacks zu senken.
7. Verwaltungsschlüssel
„Das Herzstück der Kryptowährung ist einfach die Verwaltung des privaten Schlüssels. Für viele Unternehmen scheint es einfach zu sein, und CIOs können mit den Problemen und Best Practices vertraut sein“, sagt Schwenk.
Es sind mehrere Schlüsselverwaltungslösungen verfügbar.
Eines davon sind Hardware Wallets wie Trezor, Ledger oder Lattice1. Dies sind USB-Geräte, die kryptografisches Material auf ihren sicheren Komponenten erstellen und speichern und Angreifer daran hindern, auf private Schlüssel zuzugreifen, selbst wenn sie Zugriff auf den Computer haben, z. B. über einen Virus/eine Hintertür.
Eine weitere Verteidigungslinie sind die mehreren Formationen, die mit Hardware Wallets verwendet werden können. „Multi-Sig ist eine Smart Contract Wallet, bei der Transaktionen von mehreren Eigentümern bestätigt werden müssen“, sagt Brisacaro.
„Zum Beispiel könnten Sie fünf Eigentümer haben und mindestens drei Personen verlangen, eine Transaktion zu unterzeichnen, bevor Sie sie senden. Auf diese Weise müsste der Angreifer mehr als eine Person kompromittieren, um die Wallet zu kompromittieren.“
8. Benutzer und Benutzerschulung
Organisationen, die Web3-Technologien integrieren möchten, müssen ihre Mitarbeiter schulen, da neue Tools benötigt werden, um Transaktionen auf verschiedenen Blockchains durchzuführen.
sagt Aaron Higbee, Mitbegründer und Chief Technology Officer von Cofense.
Obwohl sich jedes Unternehmen vor E-Mail-basierten Phishing-Angriffen fürchten muss, werden Mitarbeiter, die mit digitalen Assets umgehen, möglicherweise eher ins Visier genommen.
Der Zweck der Schulung besteht darin, sicherzustellen, dass jeder im Team die neuesten Praktiken anwendet und ein gutes Verständnis der Sicherheitsprinzipien hat. Oded Vanunu, Head of Product Vulnerabilities Research bei Check Point, sagt, er habe eine riesige Wissenslücke über Kryptowährungen bemerkt, die die Dinge für einige Unternehmen „ein wenig chaotisch“ machen kann.
„Organisationen, die Web3-Technologien integrieren möchten, müssen verstehen, dass diese Projekte einen umfassenden Sicherheitsüberblick und ein Sicherheitsverständnis benötigen, was bedeutet, dass sie die Zahlen und die möglichen Auswirkungen verstehen müssen“, sagt er.
Einige Organisationen, die keine privaten Schlüssel verwalten möchten, entscheiden sich für ein zentralisiertes System, wodurch sie anfällig für Web2-Sicherheitsprobleme werden.
„Ich fordere die Integration von Web3- mit Web2-Technologien als ein Projekt, bei dem eingehende Sicherheitsanalysen und Best Practices für die Sicherheit implementiert werden“, sagt Vanunu.
9. Fortgesetzte Nutzung von NFT und dezentralen Web3-Anwendungen
Viele Unternehmen geben Produkte auf, die ihren Bedürfnissen nicht mehr entsprechen, aber dies ist bei korrekt implementierten Blockchain-basierten Assets normalerweise nicht der Fall.
„NFTs sollten nicht als einmalige Marketingmaßnahme betrachtet werden“, sagt Stein.
„Wenn das NFT selbst nicht in der Kette ist, liegt die Verantwortung beim Unternehmen, es jederzeit zu warten. Wenn das Projekt sehr erfolgreich ist, übernimmt das Unternehmen die ernsthafte Aufgabe, Sammler dieser NFTs im Falle von Pannen und Betrug zu unterstützen , usw. bis dahin.
Ein solches virales Projekt ist eines, das von der ukrainischen Regierung gestartet wurde, die NFT auf der Grundlage einer Kriegszeitachse verkaufte.
Ein Ort, an dem die Erinnerung an den Krieg bewahrt wird. Ein Ort, um die ukrainische Identität und Freiheit zu feiern“, heißt es in einem Tweet von Mykhailo Fedorov, dem stellvertretenden Ministerpräsidenten und Minister für digitale Transformation der Ukraine.
NFT-Enthusiasten haben positiv reagiert und gesagt, dass sie ein Stück Geschichte kaufen und die Ukraine unterstützen wollen. Sie gehen jedoch davon aus, dass das Projekt fortgesetzt wird.
10. Blockchain ist nicht immer das richtige Werkzeug
Neue Technologien sind immer spannend, aber vor der Einführung sollten sich Unternehmen fragen, ob sie das Problem bereits gelöst haben und ob jetzt der richtige Zeitpunkt ist, sie einzuführen. Blockchain-basierte Projekte haben das Potenzial, Unternehmen zum Besseren zu verändern, können aber zumindest in der Anfangsphase auch ressourcenintensiv sein.
Die Bewertung des Risiko-Nutzen-Verhältnisses wird ein wichtiger Teil der Entscheidung sein, und eine angemessene Finanzierung für sicherheitsrelevante Aktivitäten sowohl in der Umsetzungsphase als auch während ihrer Umsetzung ist von entscheidender Bedeutung.
Die Bewertung des Risiko-Nutzen-Verhältnisses dieser neuen Bedrohungen ist möglicherweise (noch) keine Kernkompetenz, und es ist leicht, sich in den Hype zu versetzen, der oft mit Kryptowährungen verbunden ist“, schließt Schwenk.
Quelle: CSO