Man besitzt Bitcoin erst wirklich dann, wenn man die Kontrolle über seine Private Keys hat. Wer seine Bitcoin sicher und dauerhaft aufbewahren möchte, ohne sich auf Dritte zu verlassen, kommt um das Thema Bitcoin Self Custody nicht herum.
Dabei gibt es verschiedene Methoden, die unterschiedliche Sicherheitsniveaus bieten. Im folgenden Beitrag beleuchtet unser Co-Founder Ayhan die verschiedenen Ansätze der Self Custody mit ihren jeweiligen Vor- und Nachteilen.
Level 1: Self Custody – Hot Wallet ⭐
Mittlerweile gibt es zahlreiche Bitcoin Wallets fürs Smartphone (z.B. BlueWallet oder Electrum), die durch eine benutzerfreundliche Oberfläche überzeugen. Mit wenigen Klicks ist das Wallet auf dem Smartphone eingerichtet. Die hinterlegte Seed Phrase kann man sich anzeigen lassen. Sichert man diese in einem vom Gerät unabhängigen Backup ab, kann man auch im Falle eines Geräteverlusts seine Bitcoin problemlos wiederherstellen.
Doch Vorsicht: Da die Seed Phrase auf einem Online-Gerät generiert und gespeichert wird, besteht ein gewisses Risiko. Sollte das Gerät kompromittiert werden, könnte ein Angreifer potenziell Zugriff auf die Seed Phrase und damit auf die Bitcoin erlangen.
In einem Hot-Wallet sollte man daher nie mehr Geld aufbewahren, als man auch in einer gewöhnlichen Geldbörse mit sich tragen würde. Für die ersten Gehversuche in der Bitcoin Welt ist es eine gute Option, für eine sichere und dauerhafte Aufbewahrung von Bitcoin ist die Verwendung eines Hot-Wallets nicht geeignet.
Level 2: Hardware Wallet - Single Sig ⭐⭐
Hardware Wallets ermöglichen eine benutzerfreundliche Einrichtung eines Bitcoin Cold Storage, also einer komplett offline gehaltenen Verwahrung von Bitcoin, bei dem die Seed Phrase niemals in Kontakt mit dem Internet kommt. Das Risiko eine Hacks wird dadurch auf ein Minimum reduziert.
Zum Empfangen und Versenden von Bitcoin werden die Geräte mit Hilfe eines USB-Anschlusses mit dem Computer oder Smartphone verbunden. Air-Gapped Hardware Wallets (wie z.B. Blockstream Jade) ermöglichen ein Signieren der Transaktionen via QR-Codes auch ohne, dass die Hardware-Wallet direkt mit dem Online-Gerät verbunden wird. Prinzipiell gilt, dass bei einer Verwendung einer Hardware-Wallet die Recovery Seed Phrase das Gerät niemals verlässt.
Die Verwendung eines Single-Sig-Wallets, also eine Wallet bei der nur eine einzige Signatur zur Autorisierung einer Transaktion benötigt wird, stellt dabei die einfachste Form des Self Custody Cold Storage dar.
Bei der Wahl des Hardware Wallets empfiehlt sich ein Open-Source-Anbieter wie Bitbox oder Jade.
Die Verwendung eines Single-Sig Hardware Wallets ist die wohl gängigste Form der Bitcoin Aufbewahrung und stellt eine sehr gute Lösung (hohe Sicherheit bei geringer Komplexität) dar.
Level 3: Hardware Wallet - Single Sig + Passphrase ⭐⭐⭐
Für zusätzliche Sicherheit kann die Seed Phrase mit einer Passphrase verschlüsselt werden. Dies erzeugt in Kombination mit der Seed Phrase ein komplett neues Wallet. Die Passphrase fungiert also nicht als ein „Passwort“, sondern als integraler Bestandteil des Backups.
Die Aufbewahrung von Seed Phrase und Passphrase an unterschiedlichen Orten minimiert das Risiko physischer Angriffe. Findet ein Dieb das Recovery Seed Back-Up mit den 12 oder 24 Wörtern, wird sich beim Wiederherstellungsversuch ohne die Eingabe der Passphrase ein anderes, leeres Wallet öffnen, da das eigentliche Wallet sich nur bei Verwendung der Passphrase öffnen würde.
Ein besonderes Risiko bei der Verwendung der Passphrase ergibt sich aus der Tatsache, dass im Gegensatz zur Seed Phrase jede mögliche Eingabe gültig ist und ein neues Wallet öffnet. Wird ein Tippfehler bei der Eingabe nicht erkannt, könnte dies also folgenschwere Konsequenzen haben.
Daher sollte man seine Passphrase ebenso sicher aufbewahren, wie auch die Seed Phrase selbst. In unserem Shop findet ihr zum Erstellen eines Backups in Edelstahl ein Schlagbuchstaben Set mit Kleinbuchstaben und Sonderzeichen.
Level 4: MultiSig ⭐⭐⭐⭐
Multisignatur-Wallets sind Wallets, bei denen man ein vorab definiertes Quorum aus Private Keys benötigt, um eine Transaktion zu autorisieren. Die gängigste Variante ist dabei ein 2-aus-3 MultiSig, bei dem man zwei beliebige von drei existierenden Schlüsseln benötigt, um den Zugriff zu seinen Bitcoin zu gelangen.
MultiSig bietet einen erhöhten Schutz gegen Diebstahl, da ein einzelner Schlüssel nicht ausreicht, um Transaktionen zu autorisieren. Durch die geografische Verteilung der Schlüssel lässt sich das Sicherheitsniveau weiter steigern. Gleichzeitig erhöht die MultiSig-Architektur die Redundanz: Selbst bei Verlust eines Schlüssels kann man mit den beiden verbleibenden weiterhin auf die Bitcoin zugreifen.
Allerdings erfordert MultiSig auch das sichere Speichern des sogenannten Coordinator Files, das essenzielle Informationen wie Adresstyp, Quorum und xpubs enthält, die zur Wiederherstellung des Wallets benötigt werden.
Fazit
Je komplexer die Sicherheitsarchitektur, desto höher das Risiko, dass bei der Wiederherstellung des Wallets Fehler passieren, die zum Verlust der Bitcoin führen können. Erfahrungsberichte zeigen, dass durch fehlerhafte Speicherung und zu komplexe Sicherungskonzepte weitaus mehr Bitcoin verloren gehen als durch physische Angriffe.
Jeder sollte daher eine Sicherheitsarchitektur entwickeln, mit der er sich wohlfühlt und die seinen individuellen Bedürfnissen entspricht. Bei Fragen zu diesem Thema stehen wir gerne für ein persönliches Informationsgespräch zur Verfügung.
