IOTA zieht Lehren für künftige Softwareentwicklung

Die IOTA Foundation will die Softwareentwicklung nach dem Hack der von ihr entwickelten Trinity Wallet durch höhere Sicherheitsstandards verbessern. Dies gab IOTA am 21. Februar im letzten Teil ihres Berichts über den Wallet-Hack von vor zwei Wochen bekannt.

IOTA verschärft Sicherheitsstandards

Welche Sicherheitsstandards neu eingeführt werden, verschweigt IOTA jedoch. Geteilt wurde lediglich eine Liste der zukünftig umgesetzten Maßnahmen. IOTA verspricht, bereits bestehende Standards noch einmal genau unter die Lupe zu nehmen und zu prüfen, ob diese auch innerhalb der IOTA Foundation strikt umgesetzt werden.

Die Einhaltung der Maßnahmen werden künftig von einem Chef-Sicherheitsbeauftragten (CSO) überwacht. Die bereits bestehende Zusammenarbeit mit externen Sicherheitsauditoren soll zudem verstärkt werden. Vor jeder Freigabe müssen diese jeweils explizit ihr OK geben. Das gleiche Prinzip will die IOTA Foundation auch für externe Anbieter von Software und Code anwenden.

Basierend auf einem Modell für die Sicherheitsarchitektur von Anwendungen sollen diese in regelmäßigen Abständen überprüft werden. Neue Features müssen ebenfalls vor der Veröffentlichung erfolgreich ein Sicherheitsaudit passieren. In verschiedenen anderen Bereichen verschärft IOTA die Sicherheitsstandards.

IOTA räumt ein, zur Beobachtung der Aktivitäten auf dem Tangle ein besseres Analysewerkzeug zu benötigen. Zwar könne man bereits jetzt das Verhalten des Tangles analysieren und Transaktionsmuster erkennen. Mit besseren Tools für die Perma-Nodes soll das künftig aber in Echtzeit möglich sein.

Abschließend verspricht IOTA, noch mehr Ressourcen in Sicherheitsprozeduren zu investieren und bezüglich seiner Sicherheitsaudits noch transparenter zu werden.

Audit bescheinigte der Trinity Wallet hohen Grad an Sicherheit

Für die Trinity Wallet hatte IOTA im Juni 2019 die Ergebnisse eines externen Sicherheitsaudits veröffentlicht, das sowohl Stärken als auch einige Schwächen festellte. Insgesamt bestätigen die Testergebnisse den diversen Trinity-Wallet-Versionen einen hohen Sicherheitsstandard und damit verbunden eine geringe Gefahr für Exploits und Attacken.

Dass auch dies keine absolute Sicherheit bedeutete, zeigt der aktuelle Hack der Trinity Wallet. Der Netzwerk-Coordinator war in dessen Folge abgeschaltet und in aller Eile eine neue Version der Trinity Wallet veröffentlicht worden. Nutzer der Trinity Wallet wurden zudem dazu aufgerufen, das dazugehörige Tool zur Seed-Migration zum Schutz ihres Vermögens einzusetzen.