So sicher wie Bitcoin: Wie Blockchains Audit Trails besser schützen können

10. März 2021

Wer Blockchain hört, denkt sofort an Bitcoins. Aber die Technologie kann viel mehr. Auch für regulierte Unternehmen in der Medizintechnik oder im Pharma-Umfeld sind fälschungssichere, nachvollziehbare Daten und Transaktionen wichtig. Und das geht sehr gut mit der Blockchain-Technologie, wie ein Forschungsprojekt am Beispiel Audit Trails zeigt.

Die Blockchain-Technologie hat einen herausragenden Vorteil: Gespeicherte Daten bleiben unveränderlich und sind fälschungssicher. Das ist wichtig, wenn es – wie bei Bitcoins – ums Geld geht.

Aber auch im regulierten Umfeld werden Blockchains eingesetzt –um Rohstoffe nachzuverfolgen, Medikamentenfälschungen zu verhindern, Produktionsprozesse und Vertriebswege zu sichern oder eine Kühlkette durch Daten aus Temperatursensoren lückenlos in einer Blockchain zu dokumentieren. Wie wichtig dieser Aspekt ist, sieht man aktuell an der Empfindlichkeit von COVID 19-Impfstoffen hinsichtlich Kühlung und Transport.

Ganz ähnlich sieht es beim Einsatz von Softwaresystemen in regulierten Branchen aus. Genau dokumentiert werden muss, was jemand wann, weshalb und mit welchen Ergebnissen an einem Gerät zum Beispiel im Labor oder mit einer Software im Qualitätsmanagement getan hat. Diese Daten werden in sogenannten Audit Trails gespeichert. Und weil es um die Produkt- und Patientensicherheit geht, müssen diese Daten fälschungssicher, unveränderlich und überprüfbar gespeichert werden. Das ist eine regulatorische Anforderung – und ein perfektes Anwendungsgebiet für Blockchains.

Wie man Blockchain-Technologie auf Audit Trails anwenden kann, untersucht die DHC Business Solutions in einem Forschungsprojekt. Der RegTech-Spezialist entwickelt Anwendungsszenarien und technische Lösungen für Blockchain-basierte Audit Trails.

Bei der Arbeit mit Softwaresystemen oder Geräten werden Audit Trail-Daten erzeugt. In einem Blockchain-Netzwerk hat jede Instanz – oder jeder „Peer“ –eine kryptografische Identität, ausgestellt durch eine zugewiesene Zertifizierungsstelle. Audit Trail-Daten werden bei den Peers gespeichert, aber auch dezentral und im Netzwerk auf unterschiedlichen Instanzen verteilt gesichert. Dies wird durch „Smart Contracts“ gesteuert, digitale Aushandlungsmechanismen, die die Datenverteillogik im Netzwerk regeln. Daten werden im Netzwerk immer verschlüsselt übermittelt; ihre Hashwerte werden global auf der Blockchain hinterlegt. Letztere helfen bei der Verifikation der Daten; Manipulationen können aufgedeckt werden.

Diese Logik kann nun auf unterschiedliche Geräte oder Systeme in einem Unternehmen angewandt werden. Sie kann zwischen Unternehmen oder Unternehmenseinheiten funktionieren. Und sie kann das Verhältnis von Software-Anbieter oder Gerätehersteller auf der einen Seite und Anwender auf der anderen Seite neu regeln, wenn die Kopie der Audit Trail-Daten beim Hersteller in einer Blockchain quasi treuhänderisch und als Service verwaltet wird.

Dass eine Blockchain-Lösung ressourcenintensiv werden kann, ist eine weitere Erkenntnis aus dem Projekt; aus dem Bitcoin-Umfeld ist das bereits bekannt. Ein grundsätzliches Hindernis für Blockchain-basierte Audit Trails ist dies aber nicht; skalierbare Konsensmechanismen stehen zur Verfügung und lösen das Problem. Viel gewichtiger sind die Vorteile: Dezentrale Organisation im Netzwerk, kryptografische Absicherung von Identitäten und eine eindeutige Reihung von Daten bzw. Hash-Werten führen zu der gewünschten und regulatorisch geforderten Sicherheit von Audit Trails.

Das Forschungsprojekt ist im Whitepaper „GxP-Blockchain: Anwendungsmöglichkeiten für Blockchain-Technologie im regulierten Umfeld“ dokumentiert und kann über die Website der DHC Business Solutions bezogen werden. Das Forschungsprojekt „GxP-Blockchain“ wird im Zentralen Technologieprogramm Saar (ZTS) und aus Mitteln des Europäischen Fonds für regionale Entwicklung (EFRE) gefördert.

Kooperationspartner sind das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI) und das Medizintechnik-Startup AkknaTek GmbH.