Die Nutzung von Bitcoins ist zwingend mit der Beschäftigung des Themas Sicherheit verbunden. Anders als bei einem Bankkonto gibt es keine zentrale Instanz und sichere Verwahrung des Guthabens. Daher gilt es, jeder Aufbewahrungsart von Bitcoins eine eigene Betrachtung zu gönnen.
An dieser Stelle gilt noch einmal mein Hinweis: eine Bitcoin-Adresse ist keine Kontonummer. Ebenso gilt: eine öffentliche Bitcoin-Adresse ist kein Ersatz für ein Wallet oder Geldbörse.
Fangen wir mit der einfachsten Aufbewahrung an, nämlich dem papierbasierten Wallet. Hierbei wird ein privater Schlüssel und ein öffentlicher Schlüssel erzeugt und zumindest der private Schlüssel sollte sicher in einem Tresor verwahrt werden. Ein Beispiel dafür ist das Beispielprogramm Bitcoin Erzeugung eigener Schlüssel und Adressen, welches am Ende diese beiden Schlüssel auswirft. Überweise ich nun Bitcoins an die öffentliche Adresse, habe ich ein Guthaben auf meiner Bitcoin-Adresse, welches ich mit dem privaten Schlüssel benutzen kann.
Wo entstehen bei dieser Lösung Bendenken hinsichtlich der Sicherheit? Es beginnt bereits mit der Schlüsselerzeugung! Selbst wenn Ihr – wie im Beispielfall – den kompletten Quellcode einsehen könnt, so kann dennoch ein auf dem Rechner laufender Trojaner die beiden Informationen (privater und öffentlicher Schlüssel) abgreifen und versenden. Noch schlimmer ist es, wenn das Schlüsselpaar im Internet erzeugt wird, denn dann ist die Kombination mehr als gefährdet.
Noch schwieriger ist dann die Speicherung der Daten, denn selbst ein Papierausdruck kann bei manchen Druckern zu einer Zwischenspeicherung der Daten im Drucker führen und die Daten freilegen. Das Abschreiben der Daten wird sehr fehleranfällig sein und zu guter Letzt kann auch ein Papierbeleg recht einfach zerstört werden (nicht nur durch Feuer sondern z.B. auch durch Wasser). Ein Abspeicherung als Datei auf dem Rechner lädt ebenfalls Trojaner geradewegs dazu ein, die Daten abzugreifen.
Ein letzter Punkt betrifft Verfügungen über das Guthaben: üblicherweise wird bei einer Zahlung stets das gesamte Guthaben dafür verwendet und der „Restbetrag“ an eine andere Adresse (eine sogenannte „Change Address“) zurückgezahlt. Wer dabei nicht höllisch aufpasst und die neuen Daten ebenfalls aufschreibt, wird sein Restguhaben vollständig verlieren.
Die zweite Aufbewahrungsart ist die Nutzung eines lokal vorhandenen Wallets, z.B. in Form meiner Java-Lösung (wird später zur Verfügung gestellt) oder eines Programms oder App wie Electrum. Hierbei kann durch ordentliche Verschlüsselungssysteme dafür gesorgt werden, das ein unbefugter Abgreifer mit dem Wallet nichts anfangen kann.
Sofern das Wallet mit einer ausreichend langen Passphrase oder langem Passwort geschützt ist, kann ein Angreifer keine Verfügungen durchführen, aber ein laufender Passworttrojaner kann diesen Schutz aushebeln. Eine zusätzliche Schwierigkeit liegt im sogenannten „seed mittels Mnemonics“, welche einer Sammlung von 12 Wörtern gleichkommt. Wer in den Besitz dieser 12 Worte gelangt kann damit – unabhänhig von einem lokalen Wallet – ein neues Wallet erzeugen und vollumfänglich mit dem Guthaben arbeiten.
Ein Verlustrisiko besteht darin, das die lokale Wallet-Datei gelöscht wird und der Menmonic-seed nicht zur Verfügung steht. Ebenso bitter wären der Verlust der Passphrase und des Menmonic-seeds – in beiden Fällen sind die Guthaben unwiderbringlich verloren.
Eine dritte Aufbewahrungsmöglichkeit sind die online geführten Wallets, wie sie z.B. von block.io angeboten werden. Hierbei legen wir unsere Bitcoins fast vollständig in die Hände des Anbieters und wir sind zwingend darauf angewiesen, das die Schlüsseldaten und Mnemonic seeds nicht gehackt werden können (was eine Form von modernem Bankraub wäre).
Ein abgefangenes Passwort durch einen Passwort-Trojaner führt (ohne weitere Sicherheitsmassnahmen) zu einem freien Zugriff auf das Guthaben. Nicht vergessen sollten wir auch die Möglichkeit, das der Anbieter (oder einer seiner Mitarbeiter) Zugriff auf die Wallets und Guthaben nehmen. Auch bei dieser Lösung ist es für den Benutzer notwendig, sein Passwort und den Menmonic seed sicher aufzubewahren.
Wenn schon ein Online Wallet verwendet wird, sollte dieses über eine Zwei Faktor Authorisierung („2FA-Auth“) verfügen.
Letzte Bearbeitung: 22.02.2020