Finst

Krypto-Sicherheit braucht mehr als nur Audits, um Verluste zu verhindern

Audits senken Codefehler, aber die größten Krypto-Verluste entstehen heute oft durch Keys, Governance und operative Fehler. Warum ein breiterer Sicherheitsansatz nötig ist, liest du hier.

Von Mike Hesp
• 2 Minuten Lesezeit
Krypto-Sicherheit braucht mehr als nur Audits, um Verluste zu verhindern

Wichtigste Erkenntnisse

  • Die Zahl der Code-Audits in Krypto hat sich seit 2022 verdreifacht, aber Verluste durch Hacks und Exploits bleiben hoch.
  • Laut Oak Security konzentrieren sich klassische Audits vor allem auf Code, während Angreifer immer häufiger private Keys, Governance und operative Schwachstellen ausnutzen.
  • Die Branche braucht neben Audits einen breiteren Sicherheitsansatz, mit starkem Key Management, Echtzeit-Überwachung und Schulungen für Mitarbeiter.

Der Kryptomarkt kämpft schon seit Jahren mit schweren Sicherheitsproblemen. Obwohl sich die Zahl der Code-Audits seit 2022 verdreifacht hat, bleiben die Verluste durch Hacks und Exploits hoch. Eine Untersuchung von Oak Security zeigt, dass klassische Audits vor allem Schwachstellen im Code angehen, während Angreifer immer häufiger menschliche und operative Schwächen ausnutzen. Dadurch bleiben die Zahl der Vorfälle und das Ausmaß der Verluste weiter hoch.

Grenzen klassischer Code-Audits

Die Qualität von Code-Audits hat sich in den letzten Jahren deutlich verbessert. Sicherheitsfirmen nutzen fortschrittliche Tools, um Fehler in Smart Contracts frühzeitig zu entdecken, was zu weniger Angriffen auf Basis von Codefehlern geführt hat. Trotzdem entstehen die größten Verluste heute durch kompromittierte private Keys, Manipulation von Governance, Insider Threats, bösartige Updates von Abhängigkeiten und operative Fehler. Diese Schwachstellen liegen außerhalb des Bereichs klassischer Audits, die sich vor allem auf den Code selbst konzentrieren.

Es ist klar, dass selbst der beste Code wenig bringt, wenn die zugrunde liegende operative Infrastruktur verwundbar ist. Ein Beispiel dafür ist die Zunahme von Angriffen auf menschliche Faktoren wie Phishing, die Audits nicht verhindern können. So entstehen hohe finanzielle Schäden, die die Branche bisher nicht ausreichend begrenzen konnte. In der Praxis geht es deshalb immer öfter um breitere Sicherheit, etwa bei dem US-Ansatz gegen Krypto-Diebstahl, wo Prävention und Aufklärung zusammenkommen.

Die Illusion von Sicherheit durch Audits

Viele Krypto-Projekte werben mit ihrer Sicherheit, indem sie auf die Zahl und den Ruf der durchgeführten Audits verweisen. Das erzeugt aber ein falsches Sicherheitsgefühl. Ein Audit ist nur eine Momentaufnahme einer bestimmten Codebasis innerhalb eines bestimmten Umfangs und bietet keine Garantie für künftige Sicherheit, vor allem nicht, wenn Protokolle angepasst, Governance verändert oder operative Prozesse überarbeitet werden.

Diese Fehlannahme kann dazu führen, dass Risiken außerhalb des Codes unterschätzt werden, obwohl gerade dort die schwersten Bedrohungen liegen. Nutzer und Teams können dadurch glauben, dass die Sicherheit schon gelöst ist, obwohl die eigentlichen Schwachstellen woanders liegen.

Hin zu einem breiteren Sicherheitsansatz

Die Branche kann eine breite Adoption schwer erwarten, solange das Vertrauen durch wiederholte Sicherheitsvorfälle unter Druck steht. Neben Audits braucht es eine tiefere Sicherheitsstrategie, die menschliche und operative Risiken adressiert. Dazu gehören unter anderem stärkere Key-Management-Systeme, die Dezentralisierung von Unterzeichnern, Einschränkungen in der Governance, Echtzeit-Überwachung und Circuit Breaker.

Krypto-Plattformen sind lebendige Organisationen mit menschlichen Schwachstellen, nicht nur Softwareprodukte. Angreifer haben ihre Taktiken angepasst und suchen gezielt nach Schwachstellen in menschlichen Systemen. Der nächste Schritt in der Krypto-Sicherheit braucht deshalb einen ganzheitlichen Ansatz, der über den Code hinausgeht und das gesamte Ökosystem aus Menschen, Prozessen und Technologie in den Blick nimmt.

Relevanz für europäische Krypto-Nutzer

Für europäische Nutzer und Projekte ist es wichtig zu verstehen, dass Sicherheit nicht mit einem positiven Audit endet. Operative Risiken und menschliche Faktoren können auch hier große Auswirkungen haben, gerade wegen der Komplexität von Regulierung und Governance in Europa. Das unterstreicht, wie wichtig es für europäische Krypto-Unternehmen ist, neben technischen Audits auch in robuste operative Sicherheit und Mitarbeiterschulungen zu investieren, um das Vertrauen der Nutzer zu stärken.

Haftungsausschluss: Dieser Inhalt dient ausschließlich zu Informationszwecken und stellt keine finanzielle, anlagebezogene, rechtliche oder steuerliche Beratung dar. Die bereitgestellten Informationen können unvollständig, ungenau oder veraltet sein und sollten nicht als solche herangezogen werden. Nichts auf dieser Website sollte als Empfehlung zum Kauf, Verkauf oder Halten von Kryptowährungen angesehen werden. Investitionen in Krypto-Assets sind mit Verlustrisiken verbunden.