Auditierung von Blockchain

Die Auditierung von Blockchain-Technologien

Die Blockchain gilt als eine der großen Technologietrends der letzten Jahre mit dem Potential die Unternehmenslandschaft und das Finanzwesen fundamental zu verändern.  Mit ihrem dezentralen Aufbau bietet sie die Möglichkeit Intermediäre in Geschäftsprozessen zu ersetzen, die Transparenz zu erhöhen und die Manipulation von Daten zu verhindern. Sie eröffnet somit große Perspektiven und stellt gleichzeitig eine Alternative zu traditionellen Finanztransaktionen dar.

Insbesondere im Finanzsektor steigt daher das Interesse an Finanzprodukten mit Bezug zu Kryptowährung auf Blockchain Basis signifikant. Die neuen Geschäftsmodelle mit Kryptowährung werden als große Chance wahrgenommen, da sie das Potential haben Finanztransaktionen verlässlicher, einfacher und effizienter zu machen. Dieser Chance stehen jedoch Herausforderungen gegenüber. Neben rechtlicher Unsicherheit und bisher fehlender Standardisierung sehen viele Unternehmen Anforderungen an den Datenschutz und an die IT-Sicherheit als Hemmnisse. Hierzu gehört für Finanzinstitute auch die damit einhergehenden bankaufsichtlichen Anforderungen hinreichend adressieren zu können.

Aktueller Status zur Regulierung von Blockchain-Technologien

Die Blockchain selbst ist zunächst eine dezentrale Datenbankarchitektur, aus welcher grundsätzlich keine rechtlichen bzw. regulatorischen Anforderungen ableitbar sind. Basierend auf der Blockchain entstehen jedoch neue Finanzprodukte, welche je nach Ausgestaltung von der BaFin als Finanzinstrument gewertet werden. Folglich resultieren rechtliche Anforderungen für die digitalen Assets, die in der Blockchain gehalten werden. Diese werden je nach Anwendungsfall bewertet. Hierbei unterscheidet sich die Blockchain nicht von im Institut gängigen IT-Systemen, welche ebenfalls für den bestimmten Anwendungsfall verwendet werden.

Die BaFin fordert, dass Anbieter innovativer Finanztechnologien genauso wie Finanzinstitute behandelt werden sollen. Ab 2020 benötigen daher alle Betreiber und Verwalter von Kryptowährungsgeschäften eine BaFin-Lizenz, ganz nach dem Motto „Gleiches Geschäft, gleiches Risiko, gleiche Regulierung“. Hieraus resultiert, dass Kryptoverwahrungsanbieter den rechtlichen Rahmen verstehen müssen, um die bankaufsichtlichen Anforderungen der BaFin angemessen umsetzen zu können.

Aktuell gibt es aufgrund von fehlenden Best Practices keine einheitlichen Prüfungsansätze für öffentliche und private Blockchains bzw. Systeme mit Anbindung an Blockchains. Da Blockchain-Architekturen zudem in ihrer Ausgestaltung stark variieren und es keine Standardwerte gibt, ist ein differenziertes Prüfungsvorgehen zu entwickeln. PwC hat hierzu das Blockchain Audit Framework entwickelt, welches einen Rahmen zur Implementierung, Bewertung und insbesondere Prüfung von Blockchain-Technologien bietet.

Prüfung von Blockchain-Technologien

Das Blockchain Audit Framework wurde von PwC entwickelt und umfasst alle unterschiedlichen Blockchain Ausprägungen in einem Risikoschichten-Modell. Hierbei werden sechs verschiedene Risikokategorien im Hinblick auf Sicherheit und Compliance bewertet. Die risikoorientierte Prüfung findet in einer produktiven Umgebung statt und bezieht sich unter anderem auf interne Richtlinien und Verfahren, externe Standards und Vorschriften sowie betriebliche Überwachungs- und Kontrollanforderungen.

Das Blockchain Audit Framework dient dazu, die Zertifizierung nach PS 951 oder ISAE 3000/ 3402 für das interne Kontrollsystem zu überprüfen, oder es sogar zertifizierungsgerecht mit Einhaltung von regulatorischen Vorgaben aus MaRisk, BAIT und ISO 27001/ 27002 aufzubauen.

Die Anwendbarkeit der Risikokategorien des Frameworks ist grundsätzlich gegeben, sie sind jedoch nicht zwingend alle in eine Auditierung einzubeziehen. Basierend auf der Branche, dem Einsatzbereich und der verwendeten Blockchain-Technologie kann der Anwendungsbereich des Frameworks begründet eingegrenzt werden.

PwC Blockchain Audit Framework

Im Folgenden werden die sechs Risikoschichten des Blockchain Audit Framework näher betrachtet.

Die erste Schicht Steuerung und Kontrolle betrachtet die Vereinbarkeit der Blockchain-Technologie mit den strategischen Unternehmenszielen. Neben der Befürwortung der Geschäftsführung werden u.a. auch weiterführende Verfahren und Methoden zur Erreichung der Unternehmensziele berücksichtigt.

Zudem ist das interne Kontrollsystem an die Geschäftsrisiken des Anwendungsfalls auszurichten. Die fachlichen Anwendungsfälle werden in der Transaktionsschicht analysiert. Die Analyse fokussiert sich auf die inhaltliche Konsistenz, sowie Richtigkeit und Nachvollziehbarkeit.

Nachdem die strategische Ausrichtung sowie die Anwendungsfälle untersucht wurden, befasst sich die operative Ebene mit der Interaktion zwischen den Systemen untereinander und ihrer Sicherheit. Hier wird die Netzwerkautorisierung geprüft, um die bekannten und ggf. auch unbekannten Netzwerkteilnehmer identifizieren zu können. Die Zuverlässigkeit für das Netzwerk und somit die Integrität der Daten, werden durch einen Konsensmechanismus gewährleistet. Somit ist die Sicherheit des Konsensmechanismus (bspw. „Proof of Stake“) zu überprüfen, z.B. im Rahmen einer Codereview im Hinblick auf Ordnungsmäßigkeit und Wirksamkeit.

Die Prüfung der Blockchain Architekturschicht adressiert vier wesentliche Fragen an die kryptografischen Schlüssel beim Einsatz eines zertifizierten Hardware Security Module (HSM).

  1. Werden die Schlüssel in einer ordnungsmäßigen Key Ceremony generiert und geschieht dies mit genügend Zufälligkeit in einem etablierten Kontrollumfeld?
  2. Wie wird verhindert, dass Schlüssel gesehen oder von unautorisierten Personen kopiert werden?
  3. Wie kann verhindert werden, dass der Schlüssel verloren geht?
  4. Wie können unautorisierte Transaktionen verhindert werden?

Dabei ist für die Prüfung auch relevant, welche Sicherheits- und Qualitätsstufe das Rechenzentrum besitzt und ob es das Schutzniveau der Daten gewährleisten kann.

Die Netzwerkebene und die technischen Aspekte, die zur Verwaltung der Blockchain-Technologie benötigt werden, werden in der Infrastrukturschicht untersucht. Im Rahmen der IT-General-Controls-Prüfung werden Gebiete wie Zugriffs- und Zutrittsschutz, sowie die physische Sicherheit im Hinblick auf die Server auditiert. Aufgrund der Veränderungen im technischen Umfeld sind zudem das Change-Management und die allgemeine IT-Strategie Teil der Prüfung. Zudem sind für die Prozesse, welche Blockchain-Technologien umfassen, die Schutzbedarfsfeststellungen neu zu ermitteln, auf die Systeme zu vererben und folglich die Notfallpläne basierend darauf zu erweitern.

Eine Teilmenge der Infrastrukturschicht sowie eine eigenständige Schicht im Framework ist der Bereich Cyber Security. Die vernetzten Systeme bergen mögliche IT-Sicherheitslücken, welche Hacking-Angriffe ermöglichen. Daher sind die Bereiche Datenschutz und Datensicherheit auch für die Blockchain-Technologie von besonderer Bedeutung. Die Systemvernetzung zwischen Netzwerken und Clouds gilt es durch präventive und detektive Sicherheitsverfahren bspw. in Form von Penetrationstesting und Patch- und Schwachstellenmanagement zu schützen. So kann der Datenzugriff durch Abwehrmechanismen verhindert werden, aktuelle Angriffsszenarien durch präventive Strategien und Maßnahmen abgewendet werden und mögliche Folgeschäden verhindert werden.

Das Blockchain Audit Framework wurde von PwC entwickelt und bereits in der Praxis für Dienstleister mit Kryptowährungsbezug und allgemein für Blockchain-Technologien erprobt.

Durch Fachkenntnisse gepaart mit unsere Praxiserfahrungen in der Prüfung sowie Beratung können wir Sie auf dem Weg zur Etablierung von Blockchain-Technologien begleiten. Unser globales Netzwerk unterstützt Sie auch bei internationalen Projekten.

Gerne können Sie sich bei diesbezüglichen Fragen an uns wenden!

Konstantin Dagianis

Telefon:+49 211 981 4739

konstantinos.dagianis@pwc.com

Antonios Pavlidis

Antonios Pavlidis

Telefon:+49 211 981 4075

antonios.pavlidis@pwc.com

 

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */