Nichts ist unhackbar, genauso wie nichts absolut und 100% sicher ist. Das ist wahrscheinlich etwas, worüber sich die meisten einig sein dürften. Nichtsdestotrotz gibt es immer noch Firmen, die versuchen solche Buzzwörter für sich zu nutzen: Sie klingen großartig und es gibt genug Menschen, die es auch glauben. Die Bitfi Wallet ist hier nur das neuste Beispiel … und wie so oft, kommt Hochmut vor dem Fall.
Eine kurze Hintergrundgeschichte
Die Bitfi Wallet ist eine Cryptowallet. Das bedeutet, dass sie dazu da ist, um sicherzustellen, dass Cryptowährung – sei es Bitcoin, Monero, Litecoin, Ethereum oder eine andere – dort gesammelt werden kann und vor Cybergaunern sicher ist. Da es sich um eine Hardware-Wallet handelt, ist es außerdem nicht nur ein Stück Code auf dem PC, sondern ein echtes Gerät, das man überall hin mitnehmen kann.
Soweit so gut. Es gibt allerdings schon einige solcher Wallets auf dem Markt. Wenn man also Aufmerksamkeit erregen will, muss man sich schon was einfallen lassen – und das ist Bitfi definitiv gelungen. Die Firma behauptete, dass es „der erste und einzige unhackbare Speicherort für digitale Vermögen“ sei. Diese Behauptung wurde von zwei Bug-Bounties gestützt, die es in sich hatten: einmal 250 000$, falls es jemand schafft in das Gerät einzubrechen und den Inhalt zu stehlen und einmal 10 000$ für jemanden, der einen Man-in-the-Middle-Angriff demonstriert.
Die Reaktionen auf so eine Ansage ließen nicht lange auf sich warten. Sicherheitsforscher überschlugen sich förmlich mit ihren Tweets und hatten dabei eher nichts positives zu berichten. Für einen der Höhepunkte dürfte dabei Saleem Rashid gesorgt haben. Der 15-Jährige demonstrierte, wie man auf dem Gerät Doom spielen kann.
Keine Bug-Bounty mehr, dafür ein Sicherheitsberater
Jede Geschichte findet irgendwann einmal ihr Ende, so auch die Story um die „unhackbare“ Wallet. Saleem Rashid (der gleiche 15-Jährige, der auch Doom auf das Gerät bekommen hatte) zeigte, wie er mit wenig Aufwand an die Schlüsselelemente kommen kann, die ihm erlauben, den Inhalt der Wallet erfolgreich zu stehlen.
Bill Powell of @Bitfi6 discussing the single assumption upon which the entirety of @Bitfi6’s ridiculous UNHACKABLE claim lies
could you even IMAGINE if this assumption was proved false?https://t.co/gdVg32Hhzu pic.twitter.com/pn07hAf2uP
— Saleem „Unhackable“ Rashid (@spudowiar) 30. August 2018
Nur wenige Stunden nachdem er dies auf Twitter veröffentlichte, ruderte Bitfi zurück. Die Wallet würde nicht mehr länger als „unhackbar“ bezeichnet, hieß es in einer Stellungsnahme. Das Bug-Bounty-Programm wurde gleichzeitig auch geschlossen. Zusätzlich dazu wurde ein Sicherheitsberater eingestellt, der verschiedene Schwachstellen bestätigte.
Important announcement from Bitfi: pic.twitter.com/SD4ZCJxvLn
— Bitfi (@Bitfi6) 30. August 2018
Die Moral der Geschichte
Nichts ist unhackbar, egal wer das Gegenteil behauptet. Es gibt aber natürlich verschiedene Sicherheitsstufen. 100%en Schutz bietet allerdings keine. Bedeutet das, dass man sich gar nicht erst mit Account- und Computersicherheit auseinandersetzen sollte? Auf keinen Fall! Ein Virenscanner ist immer noch wichtig, um Geräte zu schützen, verschlüsselte Daten sind weiterhin sicherer als unverschlüsselte und ein komplexes Passwort besser als das beliebte „Passwort123“. Stellen Sie einfach sicher, nicht auf falsche Versprechen hereinzufallen. Wenn etwas zu gut klingt um wahr zu sein, ist es das wahrscheinlich auch.
