Prof. Dr. Norbert Pohlmann Home mobile
slider

Blockchain als Echtheitsgarant – Sicherung von digitalen Zeugnissen und Nachweisen - Prof. Dr. Norbert Pohlmann

Blockchain als Echtheitsgarant – Sicherung von digitalen Zeugnissen und Nachweisen

Blockchain als Echtheitsgarant - Sicherung von digitalen Zeugnissen und Nachweisen

F. Musberg, N. Pohlmann:
„Blockchain als Echtheitsgarant – Sicherung von digitalen Zeugnissen und Nachweisen“,
IT-Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz,
DATAKONTEXT-Fachverlag,
3/2020

Die Notwendigkeit von Nachweisen findet sich in sehr vielen Bereichen unseres Lebens. Zertifikate, Zeugnisse, Abnahmen, Rechnungen, Quittungen, Urkunden und Bescheinigungen über Fortbildungen sind nur einige Beispiele dafür. Durch die Digitalisierung, die mittlerweile so gut wie überall Einzug gehalten hat, und durch die Corona-Krise einen besonderen Schub erfahren hat, wird die Umsetzung solcher Nachweise heutzutage immer öfters digital statt auf Papier verwirklicht. Digitale Nachweise bieten viel Raum für die Optimierung von Prozessen und liefern gleichzeitig einige Schwachstellen, die zum Betrügen genutzt werden können.
Hier gilt es in der aktuellen Forschung und Entwicklung Lösungen zu finden, die die Sicherheit erhöhen, um somit die Vertrauenswürdigkeit der digitalen Nachweise zu steigern. Ob wir je komplett auf Papier verzichten werden können ist fraglich, jedoch kein unmögliches Ziel. Wer dieses Ziel verfolgt, muss nach und nach die Schwachstellen und Probleme der digitalen Nachweise ausmerzen.  

Problem: Manipulation von Nachweisen
Ein digitaler Nachweis hat einige Vorteile im Vergleich zu einem Nachweis auf Papier, wie z.B., dass er nicht so leicht verloren gehen kann, Beschädigung unwahrscheinlicher ist, er leichter zu archivieren ist oder automatisiert erstellt werden kann.
Der digitale Nachweis ohne zusätzlichen Schutz hat jedoch den Nachteil, dass er zunächst leichter zu manipulieren ist bzw. dass es oft schwerer ist Manipulation an einem digitalen Nachweis zu erkennen als an einem analogen. Heutzutage ist es keine große Hürde mehr, digitale Dokumente zu erstellen oder nur einzelne Details zu verändern, wie z.B. die IBAN in einer Rechnung oder Noten in einem Zeugnis. Für das menschliche Auge ist es dann nicht mehr erkennbar, was echt und was gefälscht ist. Es gehört natürlich immer eine kriminelle Energie dazu, diese ist jedoch ausreichend vorhanden, wie wir jeden Tag den Medien entnehmen können. Fast jeder kennt z.B. die E-Mails, die angeblich von großen, jedem bekannten Firmen stammen und sehr professionell aussehen, aber lediglich Phishingmails sind, die die Nutzer dazu verleiten sollen ihre privaten Daten preiszugeben oder Dokumente und Links zu öffnen, die dann unerwünschte Effekte auf dem Computer auslösen, wie Malware installieren oder Ähnliches. So passierte es der Telekom 2018, dass in ihrem Namen gefälschte Rechnungsmails verschickt wurden. Als Absender wurden legitim klingende Adressen wie “info@telekom.de” oder “rechnungsservice@telekom.de” angegeben, obwohl die Mails in Wahrheit von internationalen Cyberkriminellen, die sich “Emotet-Gang” nennen, stammten. In diesen Mails wurden angebliche Rechnungen dargestellt und als Word-Dokument und PDF angehängt. Wurde das Word-Dokument geöffnet kam die Aufforderung, die Ausführung von Makros zu aktivieren. Wurde dies erlaubt, wurde hierdurch eine Malware auf dem Computer installiert, die Banking-Daten und Passwörter abgriff. In der PDF befand sich ein Link, der beim Klick dieselbe Malware installierte.
Im digitalen Alltag gibt es also erst mal keine Möglichkeit die Echtheit eines digitalen Dokumentes zu prüfen und es muss dem Sender vertraut werden oder eben auch nicht.

Problem: Datenschutz und Datensicherheit
Die Öffentlichkeit und Angreifbarkeit, die das Internet mit sich bringt, fordern hohe Ansprüche an die Sicherheit der Daten. Besonders sensible Daten müssen stark geschützt werden. Hierzu gehören beispielsweise personenbezogene Daten. Das wird nicht nur von den Nutzern gefordert, die solche Daten betreffen, sondern auch vom deutschen/europäischen Recht wie der Datenschutz-Grundverordnung, eine Verordnung der Europäischen Union. Das heißt, für die Stellen, die mit personenbezogenen Daten arbeiten, zusätzliche Kosten. IT-Sicherheitsmaßnahmen erfordern immer Know-how und Zeit, was beides kostensteigernde Faktoren sind.

Problem: Vertrauen
Trotz der bereits vorhandenen IT-Sicherheitsmechanismen, die aktuelle Systeme bieten, ist in der Gesellschaft noch kein hundertprozentiges Vertrauen in die digitale Handhabung mit Dokumenten vorhanden. Dies wird dadurch deutliche, dass in den meisten Unternehmen wichtige Dokumente immer noch auf Papier abgelegt und archiviert werden. Ein typisches Beispiel für ein Dokument dieser Art sind Verträge. Bei genauerer Betrachtung ist dieses Vertrauen jedoch fragwürdig, schließlich lässt sich mit einer Vorlage und etwas Übung eine persönliche Unterschrift sehr einfach nachahmen. In vielen Fällen liegt noch nicht einmal eine Vergleichsunterschrift vor, sodass eine Vorlage nicht zwingend benötigt wird, um die Unterschrift einer Person zu fälschen. Auch von Stempeln oder Siegeln lassen sich auf einfachem Wege Kopien oder professionell aussehende Fälschungen erstellen.



Blockchain als Signaturspeicher
Eine Lösung an der unter anderem im Institut für Internet-Sicherheit – if(is) der Westfälischen Hochschule in Gelsenkirchen geforscht wird, ist es eine Blockchain als Signaturspeicher zu nutzen. Eine Blockchain bietet sich hier als Datenspeicher besonders an, da sie durch ihre Dezentralisierung und die Verkettung der Informationen einen Schutz gegen Manipulation bereitstellt. Durch das Speichern der Signaturen in einer Blockchain fallen auch die Probleme der digitalen Signaturen auf der Basis von Public-Key-Infrastrukturen (PKIs) weg, dass die Signatur immer mitgeschickt werden muss. Die Signaturen können stets von der Blockchain erfragt werden.



kostenlos downloaden
Blockchain als Echtheitsgarant - Sicherung von digitalen Zeugnissen und Nachweisen
Blockchain als Echtheitsgarant – Sicherung von digitalen Zeugnissen und Nachweisen Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten
500x500