BlockchainForensik

Aus IT-Forensik Wiki

Blockchain-Forensik

Die Blockchain-Forensik ist ein Teilgebiet der IT-Forensik und beschäftigt sich mit der Spurensuche in Blockchains, wobei Transaktionen und deren Verläufe im Vordergrund stehen. Die Blockchain-Technologie selbst gibt es seit 2009 und parallel zur rasanten Entwicklung dieser Technologie entwickelt sich auch die forensische Analyse von Blockchain-Datenbanken fortlaufend weiter. Wie jedes andere Spezialgebiet der IT-Forensik setzt die Blockchain-Forensik detailliertes Fachwissen aus dem Bereich der Blockchain-Technologie voraus [Bild1]. Hierzu gehören insbesondere genaue Kenntnisse über den Aufbau und die Funktionsweise von Blockchains (Netzstruktur, Blockaufbau, Transaktionen und Adressen) um Ermittlungen effektiv durchführen zu können.

Struktur der Blockchain
[Bild1] Prinzipieller Aufbau einer Blockchain

Ein Großteil der Ermittlungen im Bereich der Blockchain-Forensik beschäftigen sich mit Geldwäsche Delikten bzw. der Verschleierung des Geldflusses. Sei es nun um anonym legale oder illegale Geschäfte zu tätigen, Steuern zu hinterziehen usw. Um genau diese Verschleierung zu ermöglichen, werden von den Tätern „teilanonyme“ Adressen genutzt, über diese werden dann sowohl die Blöcke als auch Transaktionen untereinander verknüpft.

Im Gegensatz zu anderen IT-Forensik-Gebieten, stellt die Datenbeschaffung selbst keine Herausforderung dar. Die Daten der jeweiligen Blockchains sind für jedermann weltweit offen zugänglich und können einfach ausgelesen werden. Der Großteil der Arbeit eines Blockchain-Forensikers besteht darin die riesigen Datenmengen aufzuarbeiten, auszuwerten und dann herauszufinden, welche Person sich hinter welcher Bitcoin Adresse verbirgt. Der einfachste Weg wäre es die Wallet Datei zu finden mit der die Bitcoins gehandelt wurde. Die Wallet Datei enthält die privaten Schlüssel des Bitcoin-Besitzers. Auf Basis dieser Adressen können die Zahlungsströme ausgewertet werden. Wenn die Wallet Datei nicht gefunden wird, muss man anders vorgehen, man durchsucht die Zahlungsströme. Eine der Hauptfunktionen der dafür eingesetzten Werkzeuge ist die Visualisierung des Transaktionsverlaufs. So lassen sich aus den nur schwer zu lesenden Rohdaten eines Blocks oder Transaktion der Transaktionsverlauf und sogar ganze Organisations- und Funktionsstrukturen von z.B. Geldwäschediensten bzw. sogenannten „Mixing“-Dienstleistern abbilden. Mit Hilfe dieser Informationen und weiteren forensischer Ermittlungen (z. B. Netzwerk-, Korpus-, Live- und Datenbankforensik) besteht die Möglichkeit Transaktionsbesitzer eindeutig zu ermitteln. Blockchain-Entwickler haben sich der Nachfrage angepasst und mit „Monero“ eine Blockchain entwickelt, welche auf eine bessere Anonymisierung der Anwender ausgelegt ist. Dies und die Tatsache, dass Blockchains durch den Hype im Bereich der Kryptowährungen eine immer weitere Verbreitung finden, stellen den relativ jungen Bereich der Blockchain-Forensik vor immer wieder neue Aufgaben.

Die zum Einsatz kommenden Programme können in freie und kommerzielle Anwendungen aufgeteilt werden. Es ist auch zu beachten welche Blockchains jeweils von den Tools unterstützt werden. Die meist verbreiteten frei verfügbaren Anwendungen sind die Blockchain-Explorer der jeweiligen Blockchain-Betreiber und open-source Entwicklungen wie Blockpath [1] (Bitcoin-Blockchain), Etherscan [2] (Ethereum-Blockchain) und Blockchair [3] (Bitcoin, Ethereum und Weitere).

Professionelle Blockchain-Forensik-Dienstleister wie z. B. Chainalysis verwenden selbst entwickelte Anwendungen, welche nicht öffentlich verfügbar sind. Diese ähneln in ihrem Grundprinzip der Funktionsweise von Blockpath.

Abgrenzung zu anderen Fachbereichen:

Durch die Art der Datenstruktur und deren Verteilung über ein P2P-Netzwerk lässt sich die Blockchain-Forensik zwischen den Bereichen der Datenbank-Forensik und der Netzwerk-Forensik einordnen.

Abgrenzung Forensik-Fachgebiete.jpg
Bild2: 1) Offline Blockchain/Wallet. 2) Reguläre Blockchain-Node (Knoten). Rechner oder Server welcher eine aktive Blockchain zur Verfügung stellt. 3) P2P-Netzwerk ohne hierarchische Strukturen, bestehend aus einzelnen unabhängigen Nodes.


Quelle/Links:

[1] Blockpath: https://blockpath.com/

[2] Etherscan: https://etherscan.io/

[3] Blockchair: https://blockchair.com/

[4] Antonopoulos, Andreas M.: Bitcoin & Blockchain: Grundlagen und Programmierung. O’Reilly Verlag, 2te Auflage 2018. Übersetzt von Peter Klicman. ISBN 978-96009-071-7;

[5] Antonopoulos, Andreas M: Ethereum: Grundlagen und Programmierung. O’Reilly Verlag, 1te Auflage 2019. Übersetzt von Peter Klicman. ISBN 978-96009-110-3;

[6] Labudde, Dirk Hrsg: Forensik in der digitalen Welt, Springer Verlag, 1te Auflage 2017, ISBN 978-3-662-53800-5

[7] Wikipedia, die freie Enzyklopädie: Distributed-Ledger-Technologie. https://de.wikipedia.org/wiki/Distributed-Ledger-Technologie;

[8] Rosic, Ameer: Blockchain Adressen 101. https://blockgeeks.com/guides/blockchain-address-101/;

[9] Internet-Seite: Chainalysis. https://demo.chainalysis.com/request-a-demo/?utm_source=google&utm_medium=cpc&utm_campaign=Nonbrand-BMM&utm_term=%2Bblockchain%20%2Bforensics&utm_content=432217494952&gclid=EAIaIQobChMIt46y046f6gIVj0MYCh2FUwsuEAAYASAAEgLa7fD_BwE;