Im November 2019 bezeichnete die Sicherheitsfirma Risk Based Security das vergangene Jahr als das "schlechteste Jahr in der Geschichte" für Daten-Leaks, mit fast 8 Milliarden betroffenen Datensätzen. Die Kontrolle über persönliche Daten durch Dritte macht den Datenschutz zu einem der größten Probleme im digitalen Bereich.

Das Aufkommen der Blockchain-Technologie scheint eine neue Ära im Bereich der Datensicherheit eingeläutet zu haben. Mit der zunehmenden Blockchain-Nutzung im Internet stellen sich jedoch Fragen bezüglich ihrer Fähigkeit zur sicheren Speicherung von Daten. Grund dafür ist die durch Blockchain-Technologie geschaffene völlige Transparenz, die einer Vertraulichkeit abträglich sein könnte, wie kürzlich die Blockchain-Analysefirma Chainalysis geltend machte.

Es war einmal die Privatsphäre

Mit der zunehmenden Digitalisierung des Lebens der Menschen werden Fragen zum Datenschutz und der Privatsphäre immer dringlicher. Jede Aktion, die online durchgeführt wird, ist für einige Unternehmen bares Geld wert. Daten werden gesammelt und in Datenbanken gebündelt, um von Browsern und Social-Media-Giganten an den Meistbietenden verkauft oder versteigert zu werden. Johnny Ryan, Chief Policy and Industry Relations Officer von Brave Browser, sagte in einem Interview mit Cointelegraph am 21. Februar:

"RTB [Real-Time Bidding, eine Auktion für Online-Anzeigen] ist die größte Datenpanne der Welt. Persönliche Daten werden an Tausende von Unternehmen übermittelt."

Ryans Worte beziehen sich auf die wachsende Zahl von Datenverstößen und unterstreichen die Tatsache, dass die meisten modernen Geschäftsmodelle auf der Sammlung und dem Verkauf von persönlichen Daten der Nutzer basieren. Webbrowser wie Google Chrome und soziale Netzwerke wie Facebook verkaufen diese Daten an zahlungskräftige Kunden.

Facebook und die Multimediadesign-Plattform Canva sind für die größten Datenpannen der jüngeren Geschichte verantwortlich. 2019 alleine waren durch Datenpannen 540 Millionen bzw. 139 Millionen Nutzer betroffen. Auch Top-Unternehmer und Milliardäre finden sich unter den Opfern. So war beispielsweise Jeff Bezos, der CEO von Amazon, im Jahr 2018 bei der Nutzung von WhatsApp gehackt worden.

Der Faktor Zentralisierung

Statistiken zeigen, dass zentralisierte Unternehmen häufiger Benutzerinformationen durchsickern lassen, als man denkt. Die Datensicherheit wird oft aus Bequemlichkeit vernachlässigt, da Unternehmen auf Ressourcen Dritter wie Dropbox und Google Docs zurückgreifen, deren Zuverlässigkeit immer wieder in Frage gestellt wird.

Die meisten von Drittfirmen gesammelten Daten befinden sich in zentralisierten Datenbanken, welche besonders für Dominoeffekte  und die Fähigkeit zielgerichteter Attacken empfindlich sind. Schlimmer noch - Datenverletzungen bleiben entweder unbemerkt oder werden geheigehalten.

Die einfachste Möglichkeit, dies zu überprüfen, ist die Eingabe einer E-Mail-Adresse auf der Website "Have I Been Pwned", welche Statistiken darüber enthält, wie oft die persönlich identifizierbaren Daten eines Benutzers online gefunden wurden. Die Gesamtzahl der verletzten Konten hat Statistiken der Website zufolge fast 9,5 Milliarden erreicht.

Ist Blockchain ein Allheilmittel für die Privatsphäre?

Blockchain gilt allgemein als vertrauensorientiert und könnte daher eine ideale Lösung für die Probleme darstellen, die bei traditionellen Speichersystemen auftreten. So können private Blockchains beispielsweise einen streng kontrollierten Zugriff auf Daten auf der Grundlage von Berechtigungen ermöglichen.

Es gibt viele interessante Lösungen wie z.B. die homomorphe Verschlüsselung. Diese erlaubt es, Berechnungen mit verschlüsselten Daten ohne deren vorherige Entschlüsselung durchzuführen. Die Methode war ursprünglich im Enigma-Netzwerk des MIT verwendet worden, welches Daten in Stücke zerteilt, verschlüsselt und in kleinen Portionen zufällig über das Netzwerk streut. Keiner der Netzwerkknoten  alleine kann diese Daten auslesen, deren Benutzer diese allerdings entschlüsseln.

Sicherheit und Privatsphäre werden so gewahrt, und nur Benutzer mit passenden Entschlüsselungsschlüsseln und richtigen Zugangsdaten erhalten Zugriff. Kryptographische Techniken wie Zero-Knowledge-Proofs und zk-SNARKs verwenden bereits homomorphe Verschlüsselung - und Zcash (ZEC) ist ein Beispiel für die Anwendung solcher Techniken.

Die Quintessenz der Blockchain-Technologie besteht darin, dass sie Drittparteien überflüssig macht und somit ein höheres Maß an Sicherheit gewährleistet. Die Einführung von Funktionen wie der dezentralen Identitätskontrolle prophezeit eine deutliche Verringerung von Identitätsdiebstahl.

Im Mai 2019 kündigte Microsoft beispielsweise seine Absicht an, die Technologie der verteilten Registrierung zu nutzen, um ein dezentralisiertes Identifikationssystem namens Decentralized ID oder DID zu schaffen, das auf der Anwendung Microsoft Authenticator basiert. Die Entwickler sind der Meinung, dass die Blockchain-Technologie perfekt für die Speicherung persönlicher Informationen geeignet ist, da sie die Notwendigkeit eienr Zustimmung zur Nutzung privater Daten eliminiert. Als Ergebnis werden die Identitäten der Benutzer nicht dupliziert und auf verschiedene Dienstleister wie Social-Media-Unternehmen oder Online-Shops verteilt.

In ähnlicher Weise hat SDS, die Internet-Technologieabteilung von Samsung, vor kurzem den Zero-Knowledge-Beweis von QEDIT in seine unternehmensorientierte Nexledger-Blockchain integriert. Das SDS-Team ist der Meinung, die Integration werde es Nutzern von Unternehmens-Blockchains ermöglichen, Transaktionen in einem gemeinsamen Ledger aufzuzeichnen und zu validieren, ohne dabei vertrauliche Daten preiszugeben.

Das Prinzip der Speicherung persönlicher Informationen zum Schutz von Benutzerdaten wurde vom amerikanischen VoIP-Pionier Jeff Pulver eingeführt. Die Pulver-Verordnung wurde von der Federal Communications Commission am 12. Februar 2004 verabschiedet und stellt die freie Nutzung von Kommunikationsanwendungen wie WhatsApp sicher.

Im Jahr 2018 schlug Pulver die Verwendung eines blockchainfähigen Kommunikationsnetzes vor, das auf neuen Authentifizierungsschichten und dezentralisierten Lösungen basiert. Die neue Lösung, Debrief genannt, soll das sicherste Geschäftskommunikationsnetz sein, welche aktuell für Peer-to-Peer-Audio- und Videoanrufe, Messaging und dezentrale Dateispeicherung verfügbar ist. Die Technologie zielt darauf ab, die vertraulichen Informationen der Benutzer nicht preiszugeben, im Gegensatz zu Diensten wie Facebook oder Zoom.

Das Geheimnis liegt in einem für Hacker undurchdringlichen, dezentralen Speichersystem auf Basis eines sicheren Blockchain-Authentifizierungsprotokolls. Pulver zufolge erlauben die Datenverschlüsselungsalgorithmen von Debrief nicht, dass die Daten bearbeitet oder manipuliert werden können, sobald sie einmal im Netzwerk platziert sind.

Jeder Empfänger im Netzwerk erhält die gleichen Informationen, wie sie in Echtzeit eingegeben werden. Damit ein Hacker die Informationen auf dem Computer eines Empfängers manipulieren oder bearbeiten könnte, müssten die anderen Computer im Netzwerk die Änderung validieren, was diese niemals tun würden. Pulver erklärte seinerzeit: "Durch den Verzicht auf eine zentrale Kontrolle entfernen wir das schwache Glied in der Gleichung - die Drittparteien".

MedRec, ein vom MIT gestartetes Projekt, verfolgt ein ähnliches Ziel, allerdings im Bereich des Gesundheitswesens. Das Projekt nutzt Blockchaintechnologie für den sicheren Austausch von Gesundheitsinformationen zwischen Patienten und Leistungserbringern. Dadurch können die Patienten die volle Kontrolle über ihre persönlichen Daten behalten und den Leistungserbringern Zugang gewähren.

MedRec hat bereits eine Reihe von Pilotversuchen mit Forschungspartnern durchgeführt und arbeitet derzeit an der Feinabstimmung des Systems. Der Einsatz von MedRec kann Verletzungen von Daten im Gesundheitswesen reduzieren und die Entwicklung neuer, mit dem Gesetz über die Übertragbarkeit und Rechenschaftspflicht der Krankenversicherung konformer Lösungen für elektronische Gesundheitsakten fördern.

General Motors unterstützt die Blockchaintechnologie ebenfalls. Im Jahr 2018 meldete das Unternehmen ein Patent zu selbstfahrenden Autos an, bei dem Daten in einem Distributed Ledger gespeichert und mit anderen Fahrzeugen und Einrichtungen, die an das System angeschlossen sind, geteilt werden können. Dadurch soll ein hoher Grad an Verkehrssicherheit und die Einhaltung der zahlreichen Vorschriften der Transportindustrie sichergestellt werden.

Sind Datenschutz und Blockchain kompatibel?

In einem Gespräch mit Cointelegraph über Blockchain-Technologie und Datensicherheit verglich Vijay Rathour, ein Partner der Gruppe für digitale Forensik und Untersuchungen von Grant Thornton, die Technologie mit Banktresoren aus Glas: "Sie sind sehr sicher. Es sind Einwegtresore - d.h. man kann wertvolle Dinge hineinlegen, aber nicht herausnehmen. Der Inhalt kann von der Welt gesehen werden."

Laut Rathour können Banktresore trotz ihrer Qualitäten auch zur Aufbewahrung von Blutgeld oder gestohlenem Vermögen verwendet werden. Die Wirksamkeit der Tresore bedeute nicht, dass sich die in ihnen aufbewahrten Güter auch "gut" seien. Rathour erklärte dazu weiter:

"Sind sie [die auf einer Blockchain gespeicherten Daten] in geeigneter Weise anonymisiert? Würde ich wollen, dass mein Reisepass für die Welt in einem gläsernen Banktresor sichtbar ist, damit die Welt ihn sehen kann? Nein. Aber ich würde wahrscheinlich die Vorteile einer verschlüsselten Version meines Passes gutheißen, die sicher in dieser Blockchain in der Cloud vorgehalten wird."

Blockchain-Technologie hat viele inhärente Vorteile, die sie zu einer perfekten Lösung für den Schutz der Privatsphäre machen. Sie bietet nützliche Datenschutzfunktionen, die es ihr ermöglichen, die allgemeine Datenschutz-Grundsatzverordnung einzuhalten. Gleichzeitig gibt es andere Aspekte, die gegen eine Anwendung sprechen.

Obwohl Unveränderlichkeit gut für den Datenschutz ist, gibt es zwei Stolpersteine: Erstens kommt die Unveränderlichkeit in Konflikt mit den Gesetzen zur Informationsspeicherung. Zweitens können Fehler oder Ungenauigkeiten auf einer Blockchain nicht mehr korrigiert werden. In einem Gespräch mit Cointelegraph sagte dazu Thomas Stubbings, Vorsitzender der Cybersecurity Platform der österreichischen Regierung:

"In der Tat besteht das Hauptmerkmal einer Blockchain darin, die Integrität von Daten zu schützen, indem diese unveränderlich gemacht werden. Doch genau dieses Merkmal kann zu einem Problem werden, sollten die Daten nicht mehr benötigt, gewünscht oder korrigiert werden. Es ist praktisch unmöglich, diese wieder zu entfernen. Dies schafft eine neue Art von Datenschutzproblemen". 

Jonathan Levin, Mitbegründer und Chief Strategy Officer der Kryptoanalyse-Firma Chainalysis, sagte vor kurzem, volle Transparenz sei auch nicht unbedingt ein Geschenk des Himmels, da Blockchain-Technologie zur Verfolgung von Personen und zur Verknüpfung persönlicher Informationen mit diesen eingesetzt werden könnte. Gegenüber Cointelegraph sagte Levin:

"Die beiden Extreme der totalen Anonymität und der vollständigen Transparenz sind ungünstig. Völlige Anonymität öffnet die Tür für illegale Aktivitäten... Auf der anderen Seite bedeutet völlige Transparenz, dass es keine Privatsphäre gibt."

Teemu Alexander Puutio, ein Experte auf dem Gebiet der Compliance und ein Lehrbeauftragter an der New York University School of Professional Services, sagte gegenüber Cointelegraph, es gebe mehrere Möglichkeiten, wie Daten aus kryptographisch gesicherten Ledgern durchsickern könnten. Er wiederholte, dass Bitcoin (BTC) pseudonymisiert sei, so dass seine Benutzer aufgespürt und identifiziert werden können, und fügte hinzu:

"Zum Beispiel wurde kürzlich mit Netzwerkverkehrsanalyse eine 95-prozentige Genauigkeit bei der Identifizierung erreicht. Theoretisch einfache Beobachtungsmethoden und die Bayes'sche probabilistische Analyse haben es den Forschern ermöglicht, in wenigen Monaten Tausende von Konten zu identifizieren. Diese Bedenken werden noch durch die Tatsache verstärkt, dass auf Blockchains gespeicherte Daten in der Regel unveränderlich und völlig öffentlich sind - zumindest für das Verifizierungsnetzwerk.

Puutio verwies auch auf eine im Januar 2019 veröffentlichte Umfrage, die ergab, dass nur ein kleiner Teil der Blockchain-Plattformen in der Lage ist, ein hohes Maß an Datensicherheit zu erreichen.

Eines der grundlegenden Merkmale von Blockchains - die Unfähigkeit, Informationen selektiv zu löschen - ist ein zweischneidiges Schwert. Einer ihrer negativen Aspekte bezieht sich auf die Tatsache, dass eine 51-prozentige Mehrheit der Knotenpunkte für die Bearbeitung von Daten benötigt wird, was die Umsetzung der Bestimmungen von Artikel 17 der DSGVO, der das "Recht auf Vergessen" gibt, erheblich erschwert. 

Stubbings sagte gegenüber Cointelegraph, es gebe eine neue Bedrohung namens "Blockchainvergiftung", die sich die Möglichkeit zunutze macht, Blockchains mit der GDPR unvereinbar zu machen, indem persönlich identifizierbare Informationen eingefügt werden, die dann nicht mehr entfernt werden können. Er sagte dazu:

"Dies kann im schlimmsten Fall zu einer Blockchain führen, die unbrauchbar wird... Das Problem ist ziemlich neu, und selbst die Datenschutzexperten der EU sind sich nicht klar, wie sie damit umgehen sollen, zumal niemand öffentliche Blockchains besitzt, es sind nur eine Reihe von Knotenpunkten. Wer ist also haftbar? Niemand? Jeder, der einen Knoten besitzt? Das ist eine heikle Frage, und sie könnte die - ansonsten sehr vielversprechende - Entwicklung von Blockchains als wertvolles Sicherheitsinstrument behindern."

Letztlich erweist sich die Datenkonsistenz als die wichtigste zu überwindende Hürde, bevor die Blockchain-Technologie aus Sicht des GDPR zu einer tragfähigen Lösung wird.

Blockchain-Technologie ist gut, aber...

Die Welt ist immer noch zentralisiert, und Daten, die unter der Kontrolle einer Handvoll von Operatoren stehen, können leicht verloren gehen. Regierungen verschärfen zwar die Vorschriften, aber dies dürfte nicht ausreichen, um die Sicherheit und den Schutz von Benutzerdaten zu gewährleisten. Rathour fasste die Rolle von Blockchain-Technologie bei der Datensicherheit wie folgt zusammen:

"Blockchains sind gut, aber es ist immer noch eine Kunst und Wissenschaft für sich, die in darin gespeicherten Daten zu plazieren, zu halten und zu kuratieren. Genauso wie Datenbanken, Cloud-Computer und viele andere mechanische Optionen, die denjenigen zur Verfügung stehen, die für die Speicherung unserer Daten verantwortlich sind."

Obwohl eine kritische Masse von Anwendern, die eine dezentrale Datenspeicherung fordern, die Blockchain-Technologie zum De-facto-Speichermedium machen würde, erlaubt es der Faktor der Unveränderlichkeit nicht, die Anforderungen der Datenschutz-Grundverordnung zu erfüllen. Blockchain-Technologie hat noch einen langen Weg vor sich, bevor sie zur All-in-One-Datenspeicherlösung werden kann. Volle Unveränderlichkeit und Transparenz sind dabei zwei Seiten derselben Medaille.

Letztendlich wird "die Entwicklung leichter kryptographischer Algorithmen sowie anderer praktischer Sicherheits- und Datenschutzmethoden, wie von den Autoren der Umfrage "Security and Privacy on Blockchain" vorgeschlagen, ein Schlüssel  für die zukünftige Anwendung von Blockchain-Technologie sein.