2.5.1 Mögliche Zielkonflikte bei der Ausgestaltung
Aus den Erläuterungen in Ziffer 2.3 ergibt sich, dass DLT-Systeme entlang gewisser Dimensi-onen unterschiedlich ausgestaltet werden können, so zum Beispiel hinsichtlich des Zugangs (offen oder eingeschränkt), der Skalierbarkeit oder der Anonymität der System-Teilnehmer.
Die Anforderungen an die Ausgestaltung eines DLT-Systems richten sich dabei nach dem Anwendungsfall (vgl. hierzu auch Ziffer 3). Einige Anwendungen basieren auf einer hohen Durchsatzrate an Transaktionen und verlangen deshalb eine entsprechende Skalierbarkeit.
Dies ist zum Beispiel im Retail-Zahlungsverkehr der Fall, wo tausende Transaktionen pro Se-kunde abgewickelt werden müssen. Andere Anwendungen müssen ein hohes Mass an Pri-vatsphäre gewährleisten (z. B. Verwaltung von Patientendaten) oder als Systeme besonders widerstandsfähig gegen Datenverlust, Integritätsverlust, mangelnde Verfügbarkeit oder Mani-pulationen sein (z. B. Volksabstimmungen, Verwaltung von Grundbüchern).
Die unterschiedliche Ausgestaltung eines DLT-Systems entlang dieser Dimensionen resultiert in gewissen Zielkonflikten (siehe Abbildung 3). So nimmt die Verfügbarkeit des Systems zu, je grösser die Anzahl validierender Nodes ist. Gleichzeitig sinkt jedoch die Durchsatzrate mit der Anzahl voll validierender Nodes. Auch nimmt die Widerstandsfähigkeit ggü. Datenverlust zu, je eher der vollständige Datensatz auf allen Nodes repliziert wird. Gleichzeitig sinkt jedoch durch das Teilen der Information die Vertraulichkeit. So werden im Bitcoin-Netzwerk alle im Protokoll vorgesehenen Informationen vollständig repliziert. Zwar kann auch bei vollständigen Verteilung der Daten durch Verschlüsselung eine gewisse Vertraulichkeit erreicht werden, je-doch wird es dabei durch die fehlende Einsicht schwieriger, Aussagen über die Integrität der Daten zu machen. Zudem sinkt in gewissen Anwendungen wiederum die Durchsatzrate.
Abb. 3: Zielkonflikte bei der Gestaltung einer Blockchain (Eigene Darstellung, basierend auf Bank of England27)
Dank laufender Forschungsaktivität ist es möglich, dass sich diese Zielkonflikte und die damit verbundenen Limiten künftig verändern werden. So könnten neue Protokolle die Durchsatzrate auch bei einer grösseren Anzahl validierender Nodes hochhalten. Auch könnten Verschlüsse-lungstechnologien (z. B. Obfuscation, Zero Knowledge Proofs) ermöglichen, dass die Vertei-lung der Daten verschlüsselt geschieht und in einer geringeren Reduktion der Vertraulichkeit resultiert. Aufgrund physikalischer Grenzen (z. B. Latenzzeit zur Aktualisierung des Netzwerk-zustandes) werden diese Zielkonflikte aber auch künftig Entscheidungen bzgl. der Ausgestal-tung einer Blockchain notwendig machen.
27 Scorer 2017.
31/170
Grundsätzlich ist die Konsensfindung zwischen einer grossen Zahl von Teilnehmern in einem System, die sich nicht kennen und nicht vertrauen, anspruchsvoll und setzt damit der Skalier-barkeit und Informationssicherheit des Systems Grenzen. Dies gilt es bei der Anwendung auf ein bestimmtes Geschäftsfeld – z. B. im Finanzbereich – zu bedenken.
2.5.2 Operationelle Risiken
Mit operationellen Risiken sind Risiken gemeint, die durch Fehler in der Technologieinfrastruk-tur28 oder internen Prozessen, menschliche Fehler, oder externe Ereignisse zu Reduktion, Verschlechterung oder zum Ausfall einer Dienstleistung eines Systems oder Netzwerks füh-ren. Mögliche operationelle Probleme sind Störungen oder Verzögerungen bei der Verarbei-tung, Systemausfälle, unzureichende Systemkapazität, Betrug oder Datenverlust.29
In der Folge wird primär auf operationelle Risiken eingegangen, die neu durch die Anwendung von DLT hinzukommen bzw. akzentuiert werden können. Es werden also nicht alle Risiken diskutiert, die auch bei anderen elektronischen Infrastrukturen bestehen (z. B. Stromausfälle).
Verfügbarkeit und Integrität
Durch die dezentrale Validierung und die Verteilung der Daten auf eine Vielzahl von Nodes kann die Problematik des Single Point of Failure entschärft und die Verfügbarkeit des Ge-samtnetzwerks grundsätzlich erhöht werden. Doch durch die Verteilung auf viele Nodes ent-stehen auch mehr potenzielle Einfallstore für Angriffe auf das Netzwerk. Somit hängt die In-tegrität des Gesamtnetzwerks massgeblich von den Sicherheitsstandards der einzelnen No-des ab: sind die Sicherheitsanforderungen für die einzelnen NoNo-des tief, kann auch ein dezent-rales Netzwerk mit einer grossen Zahl validierender Nodes insgesamt unsicher sein. Obschon die Verteilung der Information die Verfügbarkeit des Gesamtnetzwerks also grundsätzlich er-höht, hängt die Widerstandsfähigkeit auch massgeblich von der Integrität einzelner Nodes ab.
Eine grosse Bedeutung für die zuverlässige Funktion eines dezentralen Systems kommt auch dem Konsensmechanismus zu. Entscheidend ist hierbei, wie gross die Ausfallstoleranz des Konsensmechanismus ist bzw. unter welchen Bedingungen ein Systemzustand als gesichert akzeptiert wird. Diese Anforderungen sind je nach Konsensmechanismus unterschiedlich.
Sind die Anforderungen an den Konsensmechanismus zu rigide (zum Beispiel Einstimmigkeit unter allen Nodes), so kann unter Umständen kein gesicherter Zustand erreicht werden und das System ist nicht verfügbar (sog. CAP-Theorem).30 Sind die Anforderungen hingegen zu wenig hoch, so kann zwar Einigkeit erreicht werden, jedoch ist die Integrität des Systems leich-ter durch maliziöse Nodes zu kompromittieren.
Verschlüsselungstechnologie
Kryptographische Algorithmen, insbesondere asymmetrische Kryptographie (Public/Private Key Cryptography) und kryptographische Hash-Funktionen (vgl. Ziffer 2.2) sind kritische Ele-mente für das sichere Funktionieren eines DLT-Systems. Während diese kryptographischen Algorithmen heutigen Sicherheitsanforderungen genügen – und im Übrigen auch jenseits der DLT in anderen Bereichen der digitalen Kommunikation zur Anwendung kommen (z. B. Email, https) – ist es durchaus möglich, dass künftige technologische Entwicklungen (z. B. im Bereich der Quantencomputer) Anpassungen notwendig machen. Vor diesem Hintergrund ist es
28 Technologieinfrastruktur bezeichnet den physischen und logischen (elektronischen) Aufbau von IT- und Kommunikationssystemen, die einzelnen Hard- und Softwarekomponenten, die Daten und die Betriebsumgebung.
29 CPMI/IOSCO 2012: Principle 16.
30 Von den drei Eigenschaften Consistency, Availability und Partition tolerance sind maximal zwei gleichzeitig erfüllbar.
32/170
tig, dass die Gouvernanz eines DLT-Systems technologischen Weiterentwicklungen Rech-nung trägt, so dass z. B. die Verschlüsselungstechnologie gegebenenfalls angepasst werden kann (zur Gouvernanz vgl. auch unten).
Datenmanagement und Datenschutz
Vertraulichkeit: Die Vertraulichkeit von Daten nimmt mit deren Verteilung auf mehr Nodes in einem System grundsätzlich ab. Vollständige Daten-Transparenz innerhalb eines DLT-Sys-tems kann aus Sicht des Schutzes privater Daten und auch aus unternehmerischer Sicht nicht wünschenswert sein. So ist es für Finanzunternehmen ausser Frage, dass die gesamten Han-delsaktivitäten eines Systemteilnehmers auch für Dritte nachvollziehbar werden, so wie es z.
B. bei Bitcoin der Fall ist. Zwar gibt es Verschlüsselungstechnologien, die diesen Bedenken Rechnung tragen. Bei der Umsetzung müssen jedoch die verschiedenen Anforderungen ab-gewogen werden, z. B. der Grad an Anonymität der Daten ggü. Dritten vs. die Daten-Trans-parenz z. B. ggü. einer zuständigen Aufsichtsbehörde bzw. einem zuständigen Regulator.
Verlust/Diebstahl: Während Verschlüsselungstechnologie und digitale Signaturen die Daten-sicherheit grundsätzlich erhöhen, hängt der effektive Schutz vor Verlust oder Diebstahl auch massgeblich von der Verwaltung der privaten Schlüssel ab. So sind mehrere der grossen Dieb-stähle von Token auf die unsachgemässe Verwaltung der privaten Schlüssel zurückzuführen.
Daher ist der sicheren Verwahrung der privaten Schlüssel grosse Bedeutung beizumessen.
Gouvernanz
Ein dezentrales System steht vor der Herausforderung, klare und eindeutige Regeln vorzuge-ben und diese gegevorzuge-benenfalls auch durchzusetzen. Während die Regeln bei einem komplett dezentralen DLT-System wie Bitcoin ausschliesslich auf Ebene Protokoll existieren, verfügen andere Systeme (wie z. B. Ethereum) oft auch über (minimale) institutionelle Regeln jenseits des Protokolls. Dies hat den Vorteil, dass das Protokoll selber nach einem vorgegebenen Ver-fahren angepasst werden kann (eine fundamentale Herausforderung des Bitcoin-Netzwerks).
Gleichzeitig entfernen sich solche Lösungen vom Prinzip der «reinen» Blockchain und nähern sich existierenden elektronischen Systemen und Infrastrukturen an. Wirksame Gouvernanz-Mechanismen sind wichtig um sicherzustellen, dass DLT-Systeme (bzw. ihre Protokolle) lau-fend auch an neue technologische Entwicklungen angepasst werden können (vgl. z. B. oben betreffend Entwicklungen im Bereich der Verschlüsselungstechnologien).
33/170
3 Anwendungsfelder für DLT im Finanzbereich
3.1 Einleitung
Aus einer funktionalen Sicht erfüllt eine Blockchain zwei Zwecke31: Sie klärt, wem zu welchem Zeitpunkt welcher Anteil an welchem Objekt zugeordnet wird und wer diesen Anteil in welchem Masse und zu welchem Zeitpunkt an wen übertragen hat. Im Weiteren stellt das Wachstum einer Blockchain über die Zeit die Unwiderruflichkeit und Unveränderbarkeit der registrierten Transaktionen sicher. Ausserdem gewährt die Blockchain-Technologie Transparenz hinsicht-lich der registrierten Transaktionen, was das Vertrauen der Teilnehmer in das System stärken kann. Das Potenzial dezentral organisierter Peer-to-Peer-Systeme liegt u.a. darin, dass sie zentrale Systeme (ganz oder teilweise) ersetzen und auf diese Weise durch Disintermediation Branchen strukturell verändern könnten. Dies gilt auch für den Finanzbereich.
Grundsätzlich ist denkbar, dass ein DLT-System die Authentifizierung oder Abwicklung von Transaktionen durch einen zentralen Finanzintermediär (z. B. Bank, Versicherung) ersetzen und potenziell Effizienzsteigerungen bewirken könnte. Der wesentliche Unterschied zwischen der DLT und traditionellen Technologien für Finanzmarkttransaktionen liegt darin, dass DLT konzeptionell einen direkten elektronischen Werttransfer zwischen den Teilnehmern des Netz-werks ermöglicht, ohne dass eine kontoführende Stelle involviert werden müsste. Da mit dem Prinzip des Distributed Consensus die Sicherheit und Stabilität im System steigen kann, könn-ten sich dezentrale Systeme auch für den Umgang mit besonders wichtigen Dakönn-ten eignen (z.
B. Wertpapierhandel, Zahlungsverkehr, Vermögensverwaltung).
Im Folgenden werden einzelne Beispiele von DLT-Anwendungen im Finanzbereich diskutiert.
3.2 Unternehmens- und Projektfinanzierung durch Initial Coin Offerings