Überwachbar und verfolgbar – Die Unsicherheit des Bitcoins

Ransomware-Kriminelle könnten in Zukunft auf Bitcoin-Zahlungen verzichten und auf anonymere alternative digitale Währungen wechseln.

Prof. Dr. Hartmut Pohl, softScheck GmbH Sankt Augustin / Köln

Das von der Colonial Pipeline Company im Rahmen der jüngsten Ransomware-Affäre Anfang Mai in Bitcoin gezahlte Lösegeld von 75 Bitcoin hat das FBI inzwischen teilweise (63,7 Bitcoin) wieder zurückgeholt. Die benutzten Wallets wurden vom FBI nachverfolgt und die Bitcoins beschlagnahmt. Dank des Wertverfalls des Bitcoins allerdings nur noch ca. 60 Prozent der gezahlten Summe in Dollar. Die 15 % Differenz zu den 75 Bitcoins stammen aus dem Anteil, den die Hackergruppe „DarkSide“ bei der Nutzung ihrer Ransomware durch die Angreifer einnahm.

Der Fall entbehrt nicht einer gewissen »Komik«, weil die von den Kriminellen bereitgestellte Entschlüsselungssoftware (und Schlüssel) zu langsam arbeitete, sodass Colonial dann doch auf eigene Backups zurückgriff.

Insgesamt aber doch ein erfreuliches Ergebnis: Die von US-Präsident Biden – etwas verklausuliert – angekündigten verstärkten strafrechtlichen und geheimdienstlichen Untersuchungen und Gegenangriffe gegen Cyber-Kriminelle zeigen erste Wirkungen. Biden zielte in erster Linie auf als Unternehmen getarnte Cyber-Kriminelle in Russland mit teilweise über 1000 Mitarbeitern.

Da jeder Einsicht in die verteilte Blockchain hat, in der alle Transaktionen protokolliert werden, ist es ebenfalls ein leichtes den Geldfluss nachzuverfolgen. Es ist lediglich nicht ersichtlich, wer der Inhaber der Wallets ist. Um das Geld aus dem entsprechenden Wallet zu beschlagnahmen wird allerdings noch der dazugehörige private Schlüssel benötigt. Das FBI ist in den Besitz eben dieses Schlüssels gelangt und konnte damit Zugriff auf das Wallet erlangen.

Generell steht und fällt die Sicherheit des eigenen Wallets mit der Sicherheit des eigenen privaten Schlüssel. Aus diesem Grund legen die meisten Wallets den Private Key in einer, mittels einem Passwort verschlüsselten Datei ab. Doch auch in diesem Fall kann es Angreifern möglich sein, an den Private Key zu gelangen, beispielsweise durch eine Sicherheitslücke in der Wallet Software durch einen Keylogger.

Veröffentlicht sind allerdings die vier Methoden, wie mit Angriffen ausnutzbare – bisher unveröffentlichte – Sicherheitslücken auch von den Nachrichtendiensten identifiziert werden. Der Aufwand liegt bei einem Bruchteil der Lösegeld-Kosten. Einige der relevanten Methoden sind:

    • Bewertung des Sicherheitsniveaus des Designs
    • Quellcode-Analyse (Static Source Code Analysis)
    • Klassisches Penetration Testing sowie
    • Dynamic Code Analysis (Fuzzing)

In dieser Form wird auch Verschlüsselungssoftware untersucht, die erfahrungsgemäß gleichermaßen mit Angriffen ausnutzbare Sicherheitslücken enthält.