… mit zwei Geschwindigkeiten in die Zukunft

Dass die Legislative in Deutschland nicht unbedingt mit allen technologischen Entwicklungen Schritt halten kann, dürfte für niemanden ein Geheimnis sein. Immerhin hat es die Blockchain in den aktuellen Koalitionsvertrag geschafft und der Ausschuss für die Digitale Agenda des Deutschen Bundestages hat sich im November sogar aktiv mit dem Thema beschäftigt.

Ob fehlende oder veraltetet Gesetze sich nun als massiver Standortnachteil für deutsche Unternehmen – insbesondere Startups – bemerkbar machen, soll heute nicht das Thema sein.

Wir wollen uns stattdessen einmal ein konkretes Beispiel vornehmen und den von einigen ambitionierten Anbietern optimistisch angekündigten Compliance-Usecase reiner Public-Blockchain-Implementierungen gegen einen Auszug der realen aktuellen Gesetzeslage in Deutschland halten.

Um eines gleich zu Beginn klar zu stellen. Hier sollen keine fachlichen oder technischen Ideen öffentlich diskreditiert werden. Mein Ziel ist es von außen und neutral einen Blick auf die Gemengelage zu werfen.

Eine Blockchain eignet sich, um Daten zu „beglaubigen“. Die Idee, mit Public-Blockchain-Lösungen Dokumente durch ein s.g. Public Anchoring über einen längeren Zeitraum validierbar zu halten, ist also genauso naheliegend wie verlockend. Auch die Umsetzung klingt einfach: Es werden lokal oder über einen Herstellerclient Hashwerte für Daten berechnet, die in einem zweiten Schritt durch ein System in einer oder mehreren Blockchains gespeichert werden, wobei gern auf öffentliche Systeme wie Bitcoin oder Ethereum zur Validierung lokaler Daten gesetzt wird.

Das Problem beginnt aktuell dort, wo Hersteller mit hochfliegenden Plänen die Public Blockchain zu einer Compliance-Zone machen wollen. Ihre Vision: eine Art öffentliches Vertrauenssystem zu erzeugen, mittels dessen sich beweisen ließe, dass sich z.B. Dokumente immer noch im unveränderten Originalzustand befinden. Was aber bei einer unregulierten Kryptowährung funktioniert, fruchtet nicht automatisch bei anderen Use Cases – es sei denn, der Gesetzgeber schafft den dazu passenden, zukunftssicheren Rahmen.

Denn warum sollte man den Originalzustand eines Dokuments überhaupt beweisen wollen? Der letztendlich entscheidende Nutzen besteht darin, belegen zu können, dass ein Dokument unverändert, also authentisch ist. Eine allein technische Beweisführung reicht dazu aber nicht aus – der Beweis muss auch rechtlich anerkannt sein, indem der Validierungsmechanismus im Streitfall jeder juristischen Überprüfung standhält. An dieser Stelle verhält es sich so wie mit einem klassischen Vertrag auf Papier, dessen exakter Inhalt nur dann von Interesse ist, wenn die Unterzeichner sich zu streiten beginnen. Und erst hier wird aus optimistischen Versprechen verlässlicher Mehrwert.

Mit anderen Worten: Die Beglaubigung von Dokumenten mittels einer öffentlichen Blockchain wird nur dann zu einem sinnvollen Usecase, wenn kein Zweifel an dem Erhalt der Beweiskraft des Originals besteht. Also worauf wird es am Ende hinauslaufen? Auf die Klärung einer einzigen Frage:

• Hält eine Implementierung zur Validierung von Daten einer rechtlichen Prüfung stand, wenn sie in einer komplett öffentlichen Blockchain umgesetzt wird?

Beweiswerterhaltung in öffentlichen Blockchains – die Frage nach der Organisation

Noch vor der Betrachtung bestehender Regularien stellen sich folgende Fragen:

• Wie lange sollen Daten validierbar sein?
• Wie wichtig ist eine rechtliche verbindliche Validierung?

Warum ist das wichtig? Weil sich genau hier die entscheidenden Fragen ergeben: Wer garantiert einem Nutzer, dass z.B. die Bitcoin-Blockchain in 6 oder 10 Jahren noch existent ist? Was passiert mit den Validierungsdaten, wenn morgen Bitcoin-2.0 erfunden wird und das derzeitige Netzwerk einfach abstirbt? Was passiert, wenn die Gemeinschaft beschließt, einfach Teile der Blockchain zu verwerfen oder mit s.g. Hard Forks das Netzwerk signifikant zu verkleinern und damit das Sicherheitsrisiko von Übernahmen durch einzelne Miner erhöht? Das geht nicht? Natürlich geht das: Ethereum hat schon eine Aufspaltung in unterschiedliche Ketten erlebt (siehe: DAO-Hackerangriff). Hätte sich die Ethereum-Gemeinschaft mit ihrem EIP 999 im Frühjahr 2018 durchgesetzt, gäbe es schon den nächsten Split und Anfang 2019 steht mit „Constantinople“ schon wieder ein Hard Fork ins Haus.

Beweiswerterhaltung in öffentlichen Blockchains – Verfahren und Recht

Die aktuellen Regularien wie z.B. eIDAS (mit der flankierenden BSI TR-03145) oder die Spezifikation zur „Beweiswerterhaltung kryptographisch signierter Dokumente“ (BSI TR-03125) basieren auf den klassischen Signaturverfahren. Um die Authentizität von Daten in dieser Güte zu gewährleisten, ist es derzeit einfach nicht vorgesehen, eine qualifizierte Signatur ohne s.g. CA (Certificate Authority) zu erzeugen – und erst recht nicht, ganz auf eine solche Signatur zu verzichten.

Genauso verhält es sich bei der Erstellung qualifizierter elektronischer Zeitstempel. Aktuell sind nur bei der Bundesnetzagentur akkreditierte Zertifizierungsdiensteanbieter berechtigt solche rechtsverbindlichen Beglaubigungen auszustellen. Bitcoin und Ethereum stehen beide nicht auf der Liste. Beim „Trusted Time Stamp“ geht es darum, die Zeitangabe eines Ereignisses oder einer Signatur mit einer maximalen Abweichung von 100 Millisekunden bei Zeitsignalausfällen von max. 500 Millisekunden innerhalb von 24 Stunden zu gewährleisten. Solche Antwortzeiten sind bei Bitcoin oder Ethereum per Design nicht möglich. Selbst die optimistischen 10 Sekunden Time-to-Block von Ethereum sind von diesen Vorgaben weit entfernt. Hier zeigt sich die Diskrepanz zwischen technologischer Wahrheit und aktuellen rechtlichen Definitionen oder Anforderungen an Technologie.

Was auch nicht vergessen werden darf, ist das Problem, dass es keine Garantie über die Haltbarkeit von Hashes gibt. So gilt ein SHA-1 heute als nicht mehr sicher. Was wäre, wenn die häufig verwendeten SHA-256-Hashes in 5 Jahren durch das BSI ebenfalls als nicht mehr sicher eingestuft würden? Welche Implikationen würden sich auf eine Beweiswerterhaltung ergeben, die sich auf solche Hashes verlässt? Denn eine öffentliche Blockchain ermöglicht es erst einmal nicht, ein System entsprechend anzupassen. Hier wäre man dem Willen der weltweiten Community ausgeliefert: Code is Law.

Fazit:

Sind die aktuellen öffentlichen Blockchains ein geeignetes Medium, um rechtlich relevante Dokumente über einen Zeitraum von mehreren Jahren validierbar zu halten?

Es gibt in diesen Infrastrukturen zu viele Fragen, die noch nicht geklärt sind und es fehlt ein klarer Rahmen des Gesetzgebers, von dem wir noch nicht einmal wissen, ob er in diesem Segment überhaupt zeitnah regulierungsfähig wird. Wer also heute schon mit Business-Lösungen auf Basis öffentlicher Blockchains hausieren geht, verspricht zu viel. Und wer auf diesen Zug aufspringt, tut es ohne jede Sicherheit.

Ich will nicht sagen, dass öffentliche Blockchain-Infrastrukturen grundsätzlich ungeeignet sind, um eine passende Antwort auf die oben skizzierten Herausforderungen zu liefern. Ganz im Gegenteil: Ich glaube, sie sind eine echte Perspektive – jedoch nicht in bestehenden Infrastrukturen wie Bitcoin oder Ethereum.