«Von klassischen zu innovativen Angeboten – die Finanzwelt im digitalen Wandel mit neuen Anforderungen an Sicherheit, Sorgfalt und Haftung», so lautete das Motto der 10. Zürcher Tagung ISSS 2018. Verantwortliche der Informationssicherheit sowie Anwender, Anbieter und Risikomanager wollten wissen, welche dramatischen Änderungen im Finanzmarkt zukünftig auf sie zukommen werden – Stichwort Kryptowährungen. Neben meiner Wenigkeit präsentierten elf weitere Experten über DLT/Blockchain, Fintech, Cyber Security & Co. Die wichtigsten zukünftigen Trends und Insights, die an diesem Tag präsentiert wurden, verrate ich Ihnen in diesem Blogpost.
Am 14. Juni 2018 fand die jährlich stattfindende Tagung in den wunderschönen Konferenzlokalitäten des Widder Hotels in Zürich statt. Das Tagesprogramm war vollgepackt mit Vorträgen von renommierten Experten aus unterschiedlichen Gebieten. So waren die Schwerpunkte im Gebiet der Sicherheit sehr ungleich, was ich jedoch als positiv empfand. Die Tagung wurde dabei durch den ISSS-Präsidenten Umberto Annino eröffnet. Anschliessend folgten zwei Keynotes sowie zehn Experten-Referate rund um die Sicherheit von DLT/Blockchain, Cloud und Authentifizierung als Dienstleistung.
Die zweite Keynote wurde von Léonard Bôle präsentiert, Leiter Geschäftsbereich Märkte der FINMA. Bôle zeigte auf, wie die Aufsichtsbehörde FINMA das aktuelle Finanzmarktrecht im Bereich Fintech anwendet. Technologische Innovation bringt neue Geschäftsmodelle und folglich neue Chancen für den Finanzplatz, im Gegenzug aber auch neue Risiken wie zum Beispiel Geldwäscherei/KYC-Fragen, Kunden- und Gläubigerschutz, Cyberkriminalität, Outsourcing etc. Die FINMA befolgt dabei ihre entwickelte Strategie (2017–2020) mit dem Ziel, wettbewerbsbehindernde Regulierungshürden abzubauen und geeignete Rahmenbedingungen für innovative Geschäftsmodelle zu schaffen. Als Beispiel für die Bemühungen der FINMA wurde das Rundschreiben 2016/07 vorgestellt, welches Identifizierungsverfahren über digitale Kanäle ermöglicht.
Prof. Dr. Roger Wattenhofer ist nicht nur Professor an der ETH Zürich, sondern auch Autor des sehr erfolgreichen Buches «Distributed Ledger Technology: The Science of the Blockchain», das sogar auf Chinesisch, Koreanisch und Vietnamesisch übersetzt wurde. Im ersten Teil seines Vortrags gab er eine leicht verständliche, nicht-technische Einführung in die Welt der DLT und erläuterte die verschiedenen Arten von DLTs. Im zweiten Teil stellte er anhand von zwei Beispielen vor, wie uns die DLT in den kommenden Jahren beeinflussen könnte. Im ersten Beispiel wurden Design-Ansätze für das Bauen einer Schweizer Kryptowährung diskutiert. Als zweites Beispiel wurde ein eVoting-System auf der DLT abgebildet, um die Vorteile dieser Technologie besser aufzeigen zu können. Neben den reduzierten Kosten würde das DLT-basierte System die Prüfbarkeit der abgegebenen Stimmen verbessern, Anonymität der Wähler gewährleisten sowie weitere Hilfsmittel für die Wahlen zur Verfügung stellen. Ein neues Zeitalter für die Demokratie – die sogenannte Direkte Demokratie!
Die Präsentation von Herrn Dr. Hubert Ritzdorf, CTO von Chainsecurity, drehte sich rund um die kleinen aber feinen Smart Contracts. Kleine Programme, die nicht nur kosten, um Business-Logik auf der DLT auszuführen, sondern auch zuständig sind für das Transferieren von Krypto-Geld. Folglich ein sehr beliebtes Angriffsziel, denn wo viel Geld ist, sind auch Angreifer nicht weit. Ritzdorf zeigte auf, was bei der Programmierung von Smart Contracts schieflaufen kann und wie sie mit ihren Tools aus langjähriger Forschungsarbeit helfen können, diese Fehler zu vermeiden und somit die Angriffsvektoren via Smart Contracts zu reduzieren.
Distributed Ledger Technology (DLT) – Ein stabiles Gerüst für moderne Ökosysteme oder doch nur ein Kartenhaus?
Obwohl ich ein Fan dieser Technologie bin, war ich wohl der kritischste Sprecher, der die DLT nicht glorifizierte. Im Gegenteil: Ich stellte sie auf den Kopf um herauszufinden, ob sie wirklich hält, was sie verspricht. Kann sie wirklich als stabiles Gerüst für moderne Ökosysteme eingesetzt werden? Die detaillierten Antworten dazu werde ich Ihnen in einem separaten Blogpost geben.
Wie soll eine Organisation das Thema grundsätzlich angehen? Welche Schritte sind notwendig, um die Erweiterung des bestehenden Kontroll-Frameworks zu bewerkstelligen? Was ist überhaupt unter Cloud Services zu verstehen, und welche Services sind relevant für die jeweilige Organisation? Alles Fragen, die man initial beantworten können sollte, bevor Services in der Cloud geplant werden. Die Antworten darauf präsentierte Thomas Holderegger, Head of ISE Security bei der UBS Business Solutions AG. Zudem wurde ein Mythos, dass Cloud Services nicht sicher seien, mit guten Argumenten in Frage gestellt. Denn Cloud Services können tatsächlich viel sicherer sein als Eigenkreationen in den eigenen Datacentern. Voraussetzung ist, dass sie 24/7 an 365 Tagen im Jahr von Sicherheitsexperten-Teams betreut werden, die sich einzig und allein um die Sicherheit kümmern.
Frank Ully, Sr. Penetration Tester bei Oneconsult Deutschland GmbH, gab in seiner Präsentation eine ausführliche Einführung in die Grundlagen der DLT. Dabei stellte er die wichtigsten Komponenten vor und durchlief die benötigten Schritte, um eine Transaktion von A nach B erfolgreich durchführen zu können. Weiter beleuchtete er wichtige Sicherheitsaspekte der DLT und zeigte konkrete Angriffsmöglichkeiten auf.
Im zweiten Teil meiner Review von der ISSS 2018 werde ich Ihnen weitere Vorträge vorstellen und einen Einblick in die spannende Welt der Fintech & Security geben. Seien Sie gespannt auf Themen wie sichere Authentifizierung als Dienstleistung, Cyber Security im Crypto Valley sowie Vorträge rund um Bitcoin und Blockchain-Technologie für sicheres Datenmanagement und Cyber Security.
Abonnieren Sie am besten gleich unser Blog Update, um den zweiten Teil nicht zu verpassen. Hier geht's zur Anmeldung:
In der Zwischenzeit können Sie auf unserer Website weitere Blogbeiträge rund um das Thema Distributed Ledger Technology/Blockchain lesen und sich über unsere Services informieren. Ich und mein Team beraten Sie in unterschiedlichen Bereichen der DLT – von der Strategie, dem Entwerfen von Architekturen und Pentesten ihrer Ökosysteme bis hin zu Security Operations und Schulungen in unserer DLT Security Academy.