Letzte Aktualisierung am 15. März 2018 um 00:51

Kryptowährungen sind durch ihre dezentrale Blockchain-Architektur sehr sicher gegenüber Manipulationen. Für den Umgang und das Aufbewahren von digitalen Währungen ist aber der Nutzer eigenverantwortlich. Geht er sorglos mit seinem Private Key um, wird er selbst zum Risiko. Zusätzlich versuchen zunehmend Betrüger sich Private Keys anzueignen. Um sein digitales Geld bestmöglich zu schützen, sollten deshalb bestimmte Verhaltensregeln eingehalten werden. Zusammengefasst im Folgenden die wichtigsten Security Best Practices.

Wie bei Fiat-Währungen gibt es auch bei Kryptowährungen keine hundertprozentige Sicherheit bei Bezahlung und Aufbewahrung. Aus einer technischen Perspektive sind sie manipulationssicher. Unwissenheit und Sorglosigkeit der Anwender bieten aber eine Angriffsfläche. Glücklicherweise können diese Risiken weitestgehend eliminiert werden, wenn die folgenden Grundsätze und Security Best Practices beim Handeln und der Lagerung von Kryptowährungen beachtet werden.

Risiko öffentliche Netzwerke

Öffentliche Netzwerke wie man sie zum Beispiel an Flughäfen, in Cafés, in der Bahn, etc. vorfindet sind häufig unverschlüsselt. Zwar sind die Websites von Online-Wallets und -Börsen in der Regel SSL-verschlüsselt. So ist auch in einem unverschlüsselten Netzwerk die Kommunikation mit einer Website geschützt. Sollte ein Seite  zu einem Wallet oder einer Börse nicht SSL-verschlüsselt sein, sollte sie auf keinen Fall verwendet werden, ein sicherer Austausch von sensiblen Daten wie z.B. Passwörtern ist nicht möglich. Unglücklicherweise wird jedoch wird SSL in manchen öffentlichen Netzwerken blockiert. Es gab auch Fälle, in denen vom Betreiber ein manipuliertes SSL-Zertifikat ausgeliefert wurde. Das muss zunächst einmal nicht mit böswilliger Absicht geschehen, da so auch Daten besser gecached werden können, was insbesondere auf Grund von niedrigen verfügbaren Bandbreiten in Zügen und Flugzeugen wichtig sein kann. Das Ergebnis ist jedoch verheerend: Ausgetauschte Daten sind nicht verschlüsselt und können vom Betreiber und im schlimmsten Fall von allen Teilnehmern im Netzwerk mitgelesen werden.

Deswegen ist bei der Ausführung einer Transaktion vor allem darauf zu achten, dass die Verbindung zur Börse oder dem Wallet ein gültiges SSL-Zertifikat aufweist. Zu überprüfen ist das Zertifikat in der Browserzeile: Statt „http“ muss ein grünes Vorhängeschloss sowie „https“ vor der Internetadresse stehen. Mit einem Klick auf das Schloss können die genauen Inhalte des SSL-Zertifikats der Webseite abgerufen werden. Besitzt die Website kein SSL-Zertifikat, kann alles was an die Website übermittelt wird mitgelesen werden. So können Zahlungen manipuliert werden, indem z.B. die Empfängeradresse verändert wird.

Es gibt noch weitere potentielle Schwachstellen. Viele rufen in ihre E-Mails unverschlüsselt ab, auch Instant Messenger und Chat Programme können unverschlüsselt kommunizieren. Das kann verwendet werden, um durch Social Engineering Zugangsdaten zu erschleichen. Dabei wird dem Opfer eine Konversation mit einer bekannten Person vorgegaukelt, um so z.B. an die Antwort einer geheimen Sicherheitsabfrage zu kommen. Fazit: Wer auf Nummer sicher gehen möchte, sollte unverschlüsselte Netzwerke meiden.

Weitere Sicherheitsrisiken

Vorsicht ist bei sogenannten Phishing Seiten geboten. Das sind Websites, die z.B. eine Online-Börse, oder ein Online-Wallet imitieren. Gibt man hier seine Zugangsdaten oder seinen Private Key ein, kann dies dramatische Folgen haben. Deswegen sollte für die entsprechenden URLs Lesezeichen eingerichtet werden und nur so aufgerufen werden. Insbesondere Links aus E-Mails sind genau zu prüfen. Beliebt sind vertauschte Buchstaben oder sonstige ähnlich aussehende Links. Werden nach einem Login Unstimmigkeiten festgestellt, ein falscher Kontostand, ein anderer Aufbau der Website, etc., sollte sofort geprüft werden, ob man auf einer Phishing Seite gelandet ist. Ist dies der Fall, sofort auf der echten Seite einloggen und das Passwort ändern und ggf. den Account einfrieren (vor allem, wenn keine 2-Factor Authentification (2FA) aktiviert ist). Zusätzlich ist es sinnvoll den Anbieter zu informieren, damit dieser geeignete Schritte unternehmen kann und andere Kunden gewarnt werden.

Coins können auch über das Ausspionieren von Zwischenspeicher oder Drucker gestohlen werden. So wurden schon Trojaner auf PCs eingeschleust, die die Zwischenablage manipulierten: Wurde eine Wallet-Adresse für eine Transaktion in die Zwischenablage kopiert, änderte der Trojaner die Adresse und der User zahlte auf eine gefälschte Wallet ein. Auch Drucker verwenden Zwischenspeicher – wird also ein Private Key ausgedruckt, kann er sich im Anschluss noch auf dem internen Speicher des Druckers befinden. Deshalb sollte man einen Private Key nie über den Drucker ausdrucken, der einen selbst nicht gehört. In öffentlichen Netzwerken kann unter Umständen auch der Druckauftrag von Dritten abgefangen werden.

Geeignete Börsen und Wallets

Auch die Wahl von geeigneten Anbietern für Börsen und Wallets sollte gut durchdacht sein. So gibt es zum Beispiel Börsen mit limitierten Auszahlungsbetrag – es kann also nur ein bestimmter Betrag pro Tag transferiert werden. Für Kleinanleger bietet ein solches Limit zusätzliche Sicherheit. Möchte man eine größere Transaktion tätigen, sind solche Beschränkungen eher hinderlich.

Um sich vor genannten Trojanern zu schützen, gibt es Wallets bei denen nichts in die Zwischenablage kopiert oder ausgedruckt werden kann. Auch das bietet zusätzliche Sicherheit, geht aber zu Lasten der Benutzerfreundlichkeit.

Ein weiteres Kriterium für einen sicheren Anbieter von Börse und Wallet ist eine 2-Factor-Authentification (2FA): Mit einer 2FA wird ein zusätzliches Passwort, z.B. mit einer speziellen App auf dem Smartphone generiert. Nur wer Zugangsdaten und Zugriff auf das Smartphone hat, kann Transaktionen tätigen. Noch sicherer ist die Verwendung eines Multi-Signatur-Wallets, bei der man zwei Keys von zwei unterschiedlichen Personen benötigt.

Zusätzlich gilt die Regel keine Coins oder Tokens auf Börsen aufzubewahren. Da auf Börsen viel Geld gespeichert ist, sind sie ein bevorzugtes Ziel für Angreifer.

Die Sicherheit bei Wallets erhöhen

Auf Wallets werden die Private Keys verwaltet, mit dem Transaktionen in Auftrag gegeben werden können. Wie bei FIAT-Währungen ist es auch hier ratsam, nicht seine ganzen Besitztümer an einem Ort aufzubewahren. Mit Hilfe der folgenden Security Best Practices kann ein hohes Maß an Sicherheit geschaffen werden:

  • Große Beträge immer offline auf Hardware- oder Paper-Wallets speichern
  • Immer mehrere Wallets miteinander kombiniert – zum Beispiel ein Hardware-Wallet für das Aufbewahren von größeren Beträgen und ein Online-Wallet für den täglichen Zahlungsverkehr
  • Nur Online-Wallets und Börsen mit 2-Factor-Authentication (2FA) verwenden
  • Den Private Key immer zusätzlich sichern – entweder auf einem externen Datenträger oder auf Papier, sonst sind die Coins bei einem Hardware Defekt unwiderruflich verloren
  • Idealerweise Private Keys nicht ausdrucken oder kopieren, sondern händisch abschreiben
  • Möchte man einen private Key trotzdem ausdrucken, sollte man sicher sein, dass der Drucker intern nichts archiviert
  • Paper-Wallets so aufbewahren, dass sie keinen Umwelteinflüssen wie Wasser, Feuer oder UV-Strahlung ausgesetzt sind
  • Zusätzlich auch immer eine Kopie des Paper-Walltes erstellen und zum Beispiel in einem Bankschließfach lagern
  • Kugelschreiber verblassen mit der Zeit, Bleistift Notizen können Jahrzehnte später noch gut gelesen werden
  • Private Keys zusätzlich in einer Passwort-Manager-App sichern und ein sicheres Zugriffspasswort wählen
  • Apps von Mobile-Wallets weisen oft Sicherheitslücken auf, deshalb sollten hier nur Kleinstbeträge für alltägliche Zahlungen gespeichert werden.

Allgemeine Sicherheitstipps und Security Best Practices für den Umgang mit Kryptowährungen

Zum Abschluss nochmals explizit eine Liste von Tips und Security Best Practices, auf die ein Krypto-Trader jederzeit achten sollte:

  • Niemals den Privat Key herausgeben
  • Niemals Transaktionen an öffentlichen Rechnern vornehmen
  • Niemals Transaktionen in öffentlichen Netzwerken tätigen
  • Passwort nach empfohlenen Sicherheitsvorgaben erstellen
  • Nicht über sein digitales Geld sprechen, denn erst das Wissen lockt Betrüger an
  • Immer einen Passwort-Manager verwenden
  • Immer eine 2-Factor-Authentification (2FA) benutzen
  • Kryptowährungen immer auf mehrere Wallets verteilen
  • Größere Mengen an Coins immer offline auf einem Hardware-Wallet oder Paper Wallet sichern
  • Backups für die 2FA erstellen, sonst verliert man bei einem Defekt des Smartphones den Zugriff auf das Wallet

 

Teilen.

Über den Autor

Ich bin seit 2012 in der Kryptoszene aktiv, die damals eigentlich nur aus Bitcoin bestand. Von Anfang an faszinierte mich die Blockchain-Technologie und die daraus entstehenden Möglichkeiten. Ich teilte mein erworbenes Wissen auf Vorträgen und in diversen Publikationen. Mittlerweile entwickelt sich das Ecosystem so rasant, dass ein Portal der nächste logische Schritt ist, um mit dieser Entwicklung Schritt zu halten. So ist TheCoinscout entstanden. Hier möchten mein Team und ich Grundlagen vermitteln, aber auch aktuelle Entwicklungen analysieren. Du willst mehr erfahren? Hinterlasse einen Kommentar oder schreibe uns eine Nachricht!

Hinterlasse einen Kommentar