Sicherheitsfragen zum Web3

Erwägungen für Firmen bei der Erkundung des dezentralen Web

Die ersten Schritte in die Welt des Web3

Durch den Übergang vom Web 1.0 zum Web 2.0 wurden Unternehmen einer ganzen Reihe an neuen Sicherheitsrisiken ausgesetzt. Da jeder Nutzer etwas im Internet veröffentlichen konnte, war es leichter, mit nicht vertrauenswürdigen und schädlichen Eingaben Websites zu kompromittieren, Daten auszuschleusen und Datenbanken zu infizieren.

Wenn Unternehmen beginnen, die Welt des Web3 zu erkunden, werden sie sich neuen Sicherheitslücken gegenübersehen – von denen ihnen manche noch nicht begegnet sind. Firmen, die mit dem Web3 experimentieren, brauchen neue Ansätze, um diese Herausforderungen zu meistern.

Die Kernprinzipien des Web3

Web3 ist die Vision eines Internets, das dezentral arbeitet und der Gemeinschaft gehört. Web3-Technologie beruht auf dezentralen Datenbaken, bei denen für jede Änderung oder Aktualisierung ein mehrheitlicher Konsens erforderlich ist.

So unterscheidet sich das Web3 von früherer Web-Technologie:

• Das Web 1.0 wird gelesen: Nutzer können Daten im Internet abrufen, aber nicht damit interagieren.

• Das Web 2.0 wird gelesen und geschrieben: Nutzer steuern selbst Daten zum Internet bei, zum Beispiel durch das Hochladen von Inhalten.

• Das Web3 wird gelesen, geschrieben und verantwortet: Nutzer steuern nicht nur Daten bei, sie verantworten sie auch.

Ermöglicht wird dieses Konzept durch ein paar Grundprinzipien:

Dezentralisierung

Während eines Großteils der Geschichte des Internets wurden Webanwendungen von zentralen Anbieter kontrolliert. Diese Anbieter kontrollieren die Logik und Daten der Anwendung und können diese nach Wunsch bearbeiten und löschen.

Im Web3 sind Webanwendungen über eine Peer-to-Peer (P2P)-Netzwerk aus Knotenpunkten verteilt. Eine zentrale übergeordnete und steuernde Instanz gibt es nicht, die Daten sind immer für alle Knoten sichtbar und können ohne einen Konsens des Netzwerks weder gelöscht noch geändert werden.

Konsens

Im Web3 müssen neue Transaktionen oder Updates durch einen mehrheitlichen Konsens im Netzwerk gebilligt werde. Blockchains nutzen Validierungsmechanismen mittels Proof of Work (PoW) und Proof of Stake (PoS), um einen Konsens zu erreichen.

Implizites Vertrauen

Das Web3 greift auf Kryptografie und insbesondere auf Hashing zurück, um sicherzustellen, dass Daten niemals ohne Einwilligung des zugrundeliegenden Netzwerks verändert oder entfernt werden.

Beispielsweise kann ein beliebiger Block einer Blockchain nicht für sich allein angepasst werden, weil der zugehörige Hashwert im folgenden Block gespeichert ist. Wird ein Block modifiziert, verändert sich dadurch der Wert des folgenden Blocks, was wiederum den Hashwert des sich daran anschließenden Blocks verändern würde usw. Mit anderen Worten: Jede Anpassung zieht Änderungen an einem Großteil der gesamten Blockchain nach sich. Solche Änderungen kommen zwar durchaus vor, sie sind allerdings äußerst ressourcenintensiv und nur unter der Bedingung eines breiten Konsenses seitens des zugrundeliegenden Netzwerks möglich.

In vielerlei Hinsicht ist das Web3 dadurch sicherer als das Web 2.0. Beteilige Clients erhalten garantiert genau die von ihnen angeforderten Daten und Letztere können nicht modifiziert oder durch etwas Schädliches ersetzt werden. Clients müssen sich auf keinen zentralen Provider verlassen, da implizites Vertrauen von vornherein in die Blockchain integriert ist.

Wie Unternehmen das Web3 nutzen

Es gibt mehrere Wege für Unternehmen, die Möglichkeiten des Web3 zu erkunden. Diese reichen von dezentralen Anwendungsarchitekturen bis hin zu widerstandsfähigeren Methoden der Dateispeicherung.

Die Blockchain und dezentrale Anwendungen (DApps)

Das Blockchain-Verfahren erlaubt es, Transaktionen in chronologischen Datenblöcken innerhalb eines dezentralen Netzwerks zu speichern. Die in die Blockchain geschriebenen Daten können nicht verändert werden.

Einer der bekanntesten Anwendungsbereiche für die Blockchain-Technologie sind Krytowährungen, die Schlüsselkomponente der heutigen dezentralisierten Finanzdienste (DeFi). Entwickler können aber auch dezentrale Anwendungen (DApps) programmieren, die zur Ausführung auf eine Blockchain (inklusive sogenannter Non Fungible Tokens [NFTs]) zurückgreifen.

Smart Contracts bilden die Logik von DApps. Bei diesen „intelligenten“ Verträgen handelt es sich um Programmcode, der für die Ausführung bestimmter Funktionen bestimmt ist. Smart Contracts werden wie jede andere programmierbare Funktion ausgeführt, wenn sie aufgerufen werden. Sie werden auf Blockchain-Netzwerken erstellt und gespeichert.

Unter Entwicklungsperspektive bieten DApps Unternehmen den Vorteil, das die normalerweise zur Unterstützung einer Applikation erforderliche Verwaltung und Pflege einer vollständigen Backend-Infrastruktur entfällt. Smart Contracts werden in der Blockchain gespeichert und agieren autonom. Ein Unternehmen, das eine DApp einsetzt, muss normalerweise auch ein Nutzerinterface implementieren und instand halten. Um API-Abfragen an Smart Contracts im Backend zu senden, wird ein dazwischengeschalteter Dienst verwendet.

DApps sind zuverlässig, weil sie auf einem weitreichenden Peer-to-Peer-Netzwerk betrieben werden, während zentral arbeitende Apps nicht mehr erreichbar sind, wenn das zugrundeliegende Netzwerk ausfällt.

Finanzdienstleistungen sind ein wichtiges Anwendungsgebiet für DApps. Die Beispiele dafür reichen von Kryptowährungen über Wallets bis hin zu dezentralen Handelsplätzen. Darüber hinaus haben Entwickler DApps für Webbrowser, Spiele, soziale Netzwerke und andere Dienste geschaffen.

Dezentrale Finanzdienstleistungen (DeFi)

Bei dezentralen Finanzdiensten (DeFi) handelt es sich um eine Reihe von Methoden zur Bereitstellung von Services im Finanzbereich, die ohne zentrale Instanzen wie Banken auskommen. DeFi-Nutzer können Kredite ausgeben oder beziehen, Kryptowährungen erstehen, verkaufen und tauschen, Zinsen erzielen und andere Aufgaben in Verbindung mit dem Finanzdienstleistungssekor vollziehen, und dies jeweils mithilfe von dezentralen Plattformen. DeFi beruht weitestgehend auf Smart Contracts (unterstützt durch die Ethereum-Blockchain). DeFi wird von zentral organisierten Handelsplätzen (wie Coinbase) unterstützt, doch DeFi-Protokolle arbeiten grundsätzlich dezentral.

Dezentrale Datei- und Datenspeicherung

Die dezentrale Speicherung von Transaktionen der Blockchain machen daraus einen wichtigen Baustein des Web3, doch dies ist nicht die einzige Art von Architektur, mi der Unternehmen experimentieren. Das Interplanetary File System (IPFS) ist ein weiteres (nicht auf der Blockchain-Technologie basierendes) Protokoll zur Implementierung von Web3-Prinzipien. Bei IPFS werden die Daten in einem dezentralen Dateisystem gespeichert. Die Adresse von über IPFS bereitgestellten Inhalten kann nicht modifiziert werden. Aktualisierungen ziehen eine neue, einzigartige Adresse für Inhalte nach sich. Die verteilte Architektur von IPFS sorgen dafür, dass das System robuster und zuverlässiger ist als stärker zentralisierte Speichermethoden.

Unternehmen können auf IPFS zurückgreifen, um in vertrauenswürdiger Weise Nutzern Inhalte bereitzustellen. IPFS erlaubt es Anwendern, mühelos ihren eigenen Content aus ihren eigenen Umgebungen zu veröffentlichen.

Die größten Sicherheitsrisiken des Web3

Die zugrundeliegenden Prinzipien des Web3 machen es in mancher Hinsicht sicherer als das Web 2.0, doch wie jede Technologie bringt es seine eigenen Risiken mit sich. Einige Sicherheitslücken rühren von der Art her, wie Web3- und Web 2.0-Architekturen interagieren. Andere gehen mit der Funktionsweise von Protokollen wie Blockchain und IPFS einher. Hinzu kommt, dass die Abhängigkeit des Web3 von einem Netzwerkkonsens die Beseitigung dieser und anderer Probleme unter Umständen beschwerlich macht.

Zu den größten Risiken zählen:

Fehlende Verschlüsselung und Verifizierung von API-Abfragen

Die meisten Menschen wissen, dass personenbezogen Daten nicht an unverifizierte Anforderer herausgegeben werden sollten. Trotzdem stützen sich Web3-Applikationen oft auf API-Aufrufe und -Antworten, die das jeweilige Ende der Verbindung nicht authentifizieren.

Theoretisch ist das Web3 vollständig dezentral und jeder Knotenpunkt des Netzwerks kann als direktes Interface für gespeicherte Daten dienen. In der Praxis sind die Frontends von Web3-Anwendungen weiterhin auf Technologien des Web 2.0 angewiesen, mit denen Nutzer-Endpunkte auf unkomplizierte Weise interagieren können. Die meisten Frontends von Web3-Applikationen verwenden API-Abfragen an das Web3-Backend für Geschäftslogik und zur Datenspeicherung.

Derzeit sind viele Web3-API-Abfragen nicht kryptografisch signiert. Das macht sie anfällig für Man in the Middle-Angriffe, das Abfangen von Daten und andere Attacken – genauso, wie die Verwendung nicht verschlüsselter und unsignierter HTTP-basierter Web 2.0-Applikationen Nutzer der Gefahr von Datenlecks und Man in the Middle-Angriffen aussetzt. Anders gesagt besteht oft keine Garantie, dass die Daten von Web3-Applikationen auch von der angenommenen Quelle stammen, trotz des bereits beschriebenen Konzepts des „impliziten Vertrauens“.

Das Hacking von Smart Contracts

Wie jeder andere Programmcode können Smart Contracts schwerwiegende Sicherheitslücke aufweisen und dadurch Nutzerdaten oder nicht selten auch finanzielle Mittel Gefahren aussetzen. In einer Untersuchung aus dem Jahr 2019 wurde festgestellt, dass durch eine Schwachstelle bei Ethererum-Smart Contracts Ether im Wert von 4 Millionen US-Dollar gefährdet waren. Seitdem hat sich die Lage nicht gebessert. Im Dezember 2021 erlaubten es fehlerhafte Smart Contracts Angreifern, Digitalwährung im Wert von ungefähr 31 Millionen US-Dollar zu entwenden. Fünf Monate später verursache ein fehlerhafter Algorithmus einen Wertverlust von rund 50 Milliarden US-Dollar der Kryptowährung TerraUSD.

Datenschutzbedenken hinsichtlich dezentraler Datenspeicherung

Daten in einer Blockchain können von jedem angeschlossenen Knotenpunkt gespeichert und abgerufen werden, wohingegen bei dem Web 2.0-Modell der Zugriff auf Datenbanken unter Umständen stark eingeschränkt ist. Das bringt diverse Sicherheits- und Datenschutzprobleme mit sich, je nachdem, worauf die Daten gespeichert werden. Selbst, wenn die Daten im Ruhezustand anonymisiert werden, zeigen Studien übereinstimmend, dass Daten nie wirklich anonym sind.

Konten- und Mobile Wallet-Diebstahl

In den Medien fehlt es nicht an Meldungen von Angriffen auf Kryptowährungs- und NFT-Wallets. Auf häufigsten erfolgen diese durch die Erbeutung privater Kryptoschlüssel von Nutzern. Oft werden Anwender auch durch Phishing dazu verleitet, diese herauszugeben. Wenn diese Private Keys etwa auf dem Gerät eines Users gespeichert werden, können sich Kriminelle sogar durch physischen Diebstahl Zugriff verschaffen.

Bisher wurden vor allem Digitalwährungen von Angreifern ins Visier genommen, da Kryptowährungen das Hauptanwendungsgebiet von DApps und dem Web3 im Allgemeinen sind. Doch für andere Applikationen könnten die negativen Begleiterscheinungen des Web3 ebenso kostspielig sein.

Protokoll- und Bridge-Angriffe

Das Web3 baut nicht vollständig auf der Blockchain-Technologie auf. Ebenso, wie das Internet aus verschiedenen aufeinander aufbauenden Schichten besteht (und zwar sieben, nach dem OSI-Modell), bildet die Blockchain das Fundament von darüberliegenden Protokollen. Ein Beispiel ist der weit verbreitete Einsatz sogenannter „Bridges“. Dabei handelt es sich um Protokolle, die die Übertragung von einer Blockchain auf eine andere möglich machen.

Diese Protokolle können ebenfalls angegriffen werden. Beispielsweise wurde die Wormhole-Bridge im Februar 2022 zum Diebstahl von Kryptowährung im Wert von rund 320 Millionen US-Dollar ausgenutzt.

Schleppende Updates

Bei dem Web3 ist es schwierig, Patches für erkannte Sicherheitslücken zu veröffentlichen. Da das Web3 auf dem Konsens eines dezentralen Netzwerks aufbaut, müssen etwaige Änderungen von dem Netzwerk in seiner Gesamtheit abgesegnet werden.

Das ist vielleicht die größte Herausforderung im Sicherheitsbereich des Web3. Absolut sichere Applikationen zu entwickeln, ist ein Ding der Unmöglichkeit. Weil Fehler nicht schnell behoben werden können, verstärken sich die möglichen Auswirkungen von Sicherheitslücken, weil es selbst nach ihrer Erkennung länger dauert, sie zu beheben.

Typische Gefahren des Web 2.0

Ob Diebstahl von Anmeldedaten oder Cross-Site Scripting: Die Frontends des Web3 werden noch viele der Schwächen derjenigen des Web 2.0 aufweisen, trotz eines Web3-Backends. Code Injection, Bots, Angriffe auf API-Basis und andere Bedrohungsvektoren können Applikationen und Nutzern gefährlich werden.

Best Practices beim Schutz von Web3-Anwendungen und -Infrastruktur

Verschlüsselung und Signierung von API-Abfragen

Die starke Verbreitung des Transport Layer Security (TLS)-Verschlüsselungsprotokolls für HTTP-Anfragen und -Antworten hat das Web 2.0 erheblich sicherer gemacht. Dementsprechend wird das Durchsetzen der Verschlüsselung und digitalen Signierung von API-Abfragen und -Antworten für Web3-DApps maßgeblich für den Schutz von Applikationsdaten sein.

WAF und andere Sicherheitsmaßnahmen für das Web 2.0

Mittlerweile verfügen Unternehmen über jahrzehntelange Erfahrung mit der Bekämpfung von Schwachstellen des Web 2.0. Das mindert zwar nicht die Schwere dieser Sicherheitslücken, bedeutet aber immerhin, dass seit Langem Methoden für den Schutz von Nutzerkonten sowie der Verhinderung von Code Injection und Cross-Site Scripting, aber auch anderer Angriffe zur Verfügung stehen. Web Application Firewalls (WAFs), Bot-Management und Maßnahmen zur Absicherung von APIs neutralisieren für Frontends von Applikationen eine große Bandbreite an Angriffsvektoren.

Gründliche Prüfung des Programmcodes vor der Implementierung

Das war bereits für das Web 2.0 wichtig, doch viele (wenn nicht sogar die meisten) Firmen überspringen diesen Schritt ganz oder befassen sich zu kurz damit, um ein Produkt möglichst schnell auf den Markt bringen und anschließend iterativ vorgehen zu können. Schließlich können Sicherheitslücken von gerade veröffentlichten Funktionen oder Produkten in der nächsten Version behoben werden.

Doch im Fall des Web3 ist die Sache nicht so einfach. Updates und Ergänzungen dezentral funktionierender Anwendungen nehmen weitaus mehr Zeit in Anspruch, als es beim Web 1.0 und 2.0 der Fall war, weil ein Konsens des gesamten dezentralen Netzwerks erforderlich ist. Deshalb sollten Schwachstellen im Sicherheitsbereich schon im Vorfeld aufgespürt werden. Unter diesen Bedingungen ist die Überprüfung des Programmcodes doppelt so wichtig.

Web3: Sichere Wege für die nächsten Schritte

Bei Unternehmen, die die Möglichkeiten des Web3 auslosten und beginnen, damit zu interagieren, muss nach wie vor die Sicherheit im Fokus stehen. Sicherheitslücken können Firmen lähmen oder ihren Ruf schädigen. Da Web3-Applikationen auf Frontends im Stil des Web 2.0 zurückgreifen, muss man sich von den Sicherheitsrisiken beider Varianten gleichzeitig schützen.

Cloudflare unterstützt Unternehmen unabhängig von ihrer Ausgangslage bei der Bekämpfung von Sicherheitslücken – ob diese ein lokales Netzwerk nutzen, das geschützt werden muss, gerade in die Cloud migrieren oder zu den Vorreitern bei der Anwendung neuer Modelle wie des Web3 gehören. Was das Web3 betrifft, kann Cloudflare zum Schutz sowohl des Frontends als auch des Backends beitragen und zugleich Gateways bereitstellen, die eine unkomplizierte Verbindung mit dem Web3 erlauben.

Die Verbindung zur Web3-Infrastruktur wird durch Cloudflare verwaltet und abgesichert, sodass sich Unternehmen voll und ganz auf das konzentrieren können, worauf es ankommt: die Entwicklung innovativer Produkte und benötigter Services für ihre Nutzer.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

• Wie sich Web3 von der bisherigen Webtechnologie unterscheidet

• Die Anwendung des Web3 durch Unternehmen auf ihre Produkte und Betriebsaktivitäten

• Die gängigen Sicherheitsrisiken des Web3

• Wie sich diese Risiken beseitigen lassen

Verwandte Ressourcen

• Whitepaper: Ethereum-Gateway

• Whitepaper: IPFS-Gateway

• API-Sicherheit: ein Leitfaden

• Video: Web3-Gateways im Überblick