Betrugsprävention per Blockchain: Manipulation ausgeschlossen

Blockchain-basierte IT-Systeme können helfen, Wirtschaftsskandale in der Zukunft zu verhindern. Wie das funktioniert, erklärt dieser Beitrag. [...]

Immer mehr Daten, Prozesse und Regeln werden in IT-Systemen abgebildet. Wir sind fest in ihren Händen, können ohne sie kaum mehr überleben. Aber wer hat die IT-Systeme in der Hand? (c) pixabay.com

Diskussionen über Sinn und Nutzen der Blockchain werden seit Jahren kontrovers geführt. Viele suchen nach dem heiligen Gral, der einen, ultimativen „Killer-App“ – und übersehen dabei die naheliegenden Use Cases. Denn überall dort, wo schützenswerte Interessen sowie Konfliktpotenziale durch Informationsasymmetrien und Missbrauchsmöglichkeiten vorhanden sind, könnte die Blockchain helfen. Nur dort, wo es nichts zu gewinnen und nichts zu verlieren gibt, braucht man keine Blockchain.

Blockchain und Distributed Ledger Technologien (DLT) bedeuten einen Paradigmenwechsel in der Betrugsbekämpfung: Statt Betrugsfälle im Nachhinein aufwändig aufzudecken, werden sie durch transparente und verifizierbare IT-Systeme von Beginn an ausgeschlossen.

Manipulationsrisiko bei herkömmlichen Systemen

Immer mehr Daten, Prozesse und Regeln werden in IT-Systemen abgebildet. Wir sind fest in ihren Händen, können ohne sie kaum mehr überleben. Aber wer hat die IT-Systeme in der Hand? Der Betreiber hat faktisch unbegrenzten Zugang und kann sein System unbemerkt zum eigenen Vorteil verändern. Um derartige Eingriffe zu erschweren, müssen Betreiber interne Sicherheitsrichtlinien implementieren und sich regelmäßigen Prüfungen unterziehen. Diese sind aufwändig und oftmals wenig wirksam, wie etliche Beispiele aus der Vergangenheit zeigen. Zuletzt wurde der Finanzdienstleister Wirecard der Bilanzfälschung überführt, ähnlich wie der Energieriese Enron vor knapp 20 Jahren. Blockchain-basierte IT-Systeme könnten den schwarzen Schafen wirkungsvoll das Handwerk legen.

Volle Transparenz statt abgeschotteter Blackbox

Doch worin unterscheiden sich Blockchain-basierte Systeme von ihren Vorgängern? Während herkömmliche Systeme sich nicht in die Karten schauen lassen und dem Benutzer nur präsentieren, was sie ihm zeigen wollen, machen Blockchain-basierte Systeme genau das Gegenteil. Sie lassen sich während ihrer durch viele kritische Augen beobachten.

Stellen wir uns als Metapher eine transparent arbeitende Behörde vor, in der jeder wesentliche Arbeitsschritt von mehreren unabhängigen Kontrolleuren geprüft wird. Die zu kontrollierenden Arbeitsschritte werden von den Prüfern laufend erfasst und untereinander weitergemeldet. Sie müssen sich abstimmen, denn je nachdem, wo sie sich aufhalten, bekommen sie manche Arbeitsschritte verspätet mit.

Durch die Abstimmung stellen sie auch Konsens über die Reihenfolge der Arbeitsschritte her, um etwaige Konflikte, wie zum Beispiel konkurrierende Anträge, leichter aufzulösen. Ansonsten arbeiten sie zwar alle nach den gleichen Regeln, jedoch ohne sich untereinander abzustimmen und halten jeder für sich das Ergebnis fest.

Dadurch entstehen mehrere unabhängige Aufzeichnungen, die das Geschehen lückenlos dokumentieren und jeden Kontrolleur in die Lage versetzen, eine konsistente Auskunft über den aktuellen Stand der geprüften Arbeitsschritte zu erteilen. Würde jemand im Nachhinein etwas verschwinden lassen oder nachträglich einfügen wollen, müsste er alle Qualitätswächter dazu bringen, ihre Aufzeichnungen zu fälschen und die Beweise des tatsächlichen Arbeitsablaufs zu vernichten.

Blockchain-basierte Systeme arbeiten ähnlich wie unsere transparente Behörde – mit einem wichtigen Unterschied: Die gesamte Qualitätskontrolle erfolgt vollautomatisiert. Die unabhängigen Prüfer sind die Knoten des Blockchain-Netzwerks, die Arbeitsschritte Transaktionen, die an die Knoten herangetragen werden. Um die Transaktionen auszuführen, muss eine Einigung über ihre Reihenfolge stattfinden. Das dahinterliegende Verfahren wird als Consensus bezeichnet. Die Prüfung der Transaktionen auf den Knoten erfolgt durch Smart Contracts – Programme, die die fachlichen Regeln des Arbeitsprozesses abbilden.

Praxisbeispiel: Online-Abstimmungen während der Pandemie

Die Corona-Pandemie hat die höchsten Organe von Genossenschaften, Vereinen und anderen Organisationen wie auch Ausschüsse und andere Gremien gezwungen, auf physische Versammlungen und Tagungen zu verzichten und ihre Beschlüsse in elektronischer Form zu fassen. Während bislang alle Anwesenden den ordnungsgemäßen Ablauf der Beschlussfassung verfolgen konnten, müssen nun die eingesetzten IT-Systeme dafür sorgen, dass weder die Veranstalter, noch durch sie beauftragte Dritte die Abstimmung manipulieren können. Denn jeder Verdacht auf Unregelmäßigkeiten könnte zu Klagen und zur Nichtigkeit der Beschlüsse führen.

Das Beispiel einer Vollversammlung einer Genossenschaft soll zeigen, welche kritischen Arbeitsschritte durch Transaktionen auf der Blockchain abzusichern sind, und welche Regeln die Knoten des Blockchain-Netzwerks prüfen sollten, um als Wahlhelfer einen ordnungsgemäßen Ablauf zu gewährleisten:

Schritt 1: Einladen der Teilnehmer

Zunächst müssen alle Personen, die zur Teilnahme an der Generalversammlung berechtigt sind, eingeladen werden. Bei Genossenschaften und Vereinen ist dies Aufgabe des Vorstands. Mit der Einladung werden die Benutzer aufgefordert, ein Schlüsselpaar auf ihrem Endgerät zu generieren. Der Private Key verbleibt beim Benutzer und wird benötigt, um seine Transaktionen zu signieren. Der Public Key wird durch den Vorstand registriert. Dies ist der erste Schritt, der durch Transaktionen des Vorstands auf der Blockchain abgesichert ist. Dadurch entsteht die Liste von Public Keys, auf deren Grundlage die Knoten später feststellen können, ob eine Transaktion von einem registrierten Benutzer stammt.

Schritt 2: Akkreditieren der Teilnehmer

Vor Beginn der Generalversammlung müssen sich die Teilnehmer akkreditieren. Dieser Schritt ist ihre erste Transaktion, die auf der Blockchain erfasst wird. Die Knoten überprüfen anhand der Signatur und der Liste der Public Keys, ob die Akkreditierung von einem der registrierten Benutzer ausgeht und weisen ihm ein Stimmrecht zu. Benutzer, die an der Generalversammlung nicht teilnehmen wollen, haben die Möglichkeit, einem anderen Benutzer ihr Stimmrecht zu übertragen. Dies ist eine weitere Transaktion des Vorstands, bei der die Knoten zuerst prüfen, ob der Vollmachtgeber zu den registrieren Benutzern gehört und dann dem Bevollmächtigten ein weiteres Stimmrecht zuweisen.

Schritt 3: Mittelung der Beschlussgegenstände

Der Vorstand muss im Rahmen der fristgerechten Einladung zur Versammlung auch die geplanten Beschlussgegenstände bekanntgeben. Die Prüfsummen dieser schickt er ebenfalls in einer Transaktion an die Blockchain, damit sie dort unveränderbar gespeichert werden. Die Benutzer können während der Generalversammlung anhand der Prüfsumme feststellen, ob die Beschlussgegenstände in der angekündigten Fassung vorgetragen werden.

Schritt 4: Einschränkung der Stimmberechtigten

Bei Beschlussgegenständen wie etwa die Entlastung der Vorstandsmitglieder, muss den betroffenen Teilnehmern der Generalversammlung das Stimmrecht entzogen werden. Dies ist ebenfalls ein Schritt, den der Vorstand in einer Transaktion an die Blockchain meldet, damit die Knoten festhalten, welche Benutzer bei welchen Abstimmungen nicht stimmberechtigt sind.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Schritt 5: Durchführung der Versammlung

In einer weiteren Transaktion muss der Vorstand die Person des Versammlungsleiters festlegen und dessen Public Key an die Blockchain übermitteln. Während der Generalversammlung kann nur der Versammlungsleiter die einzelnen Abstimmungen eröffnen, die Stimmabgaben beenden und das Ergebnis auszählen. Alle diese Schritte müssen als Transaktionen durch ihn gemeldet werden. Die Prüfung der Transaktionen durch die Knoten verhindert, dass eine vorzeitige Auszählung der Zwischenergebnisse vor dem Ende der Stimmabgaben erfolgt.

Schritt 6: Stimmabgabe

Die akkreditierten Teilnehmer können je nach Anzahl ihrer Stimmrechte ein- oder mehrmals an den Abstimmungen teilnehmen. Jede Stimmabgabe stellt eine Transaktion dar, die von einem stimmberechtigten Benutzer signiert werden muss, um von den Knoten akzeptiert zu werden. Die Knoten speichern die abgegebenen Stimmen und verfolgen, welche Benutzer wie viele ihrer Stimmrechte bereits verbraucht haben. So wird verhindert, dass Teilnehmer mehr Stimmen als erlaubt abgeben.

Manipulationsschutz durch die Blockchain

Das Beispiel der Genossenschaftsversammlung zeigt, wie die Knoten der Blockchain die Einhaltung der Regeln ordnungsgemäßer Abstimmungen gewährleisten können. Weitere wichtige Elemente von Online-Abstimmungslösungen sind Techniken zur Verschlüsselung von Stimmen, Anonymisierung von Stimmberechtigten oder die Integritätsprüfung der Benutzeroberfläche.

Es gibt kaum einen Bereich, in dem Manipulationsschutz keinen Mehrwert darstellt. Der Einsatz von Blockchain und Distributed Ledger Technologien macht die Regelkonformität der eingesetzten IT-Systeme transparent und automatisiert überprüfbar und senkt dadurch massiv die Aufwände und Fehleranfälligkeit von manuellen Kontrollen. Dieser Paradigmenwechsel bedeutet einen Quantensprung für den Schutz von Interessen von Bürgern, Verbrauchern und auch Unternehmen gegenüber ihren Geschäftspartnern.

*Dr. Zoltan Fazekas arbeitet als Berater im Blockchain Lab der iteratec GmbH und unterrichtet und betreut Studenten an mehreren Universitäten und Hochschulen.  


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*