Zunächst ist zu sagen, dass dieser Artikel keineswegs den Anspruch erhebt die besten und sichersten Methoden überhaupt darzustellen. Die Möglichkeiten beispielsweise seinen Seed möglichst sicher aufzubewahren sind vielfältig und manchmal lässt sich nur schwer unterscheiden, wo der „sichere Umgang“ aufhört und die „Fraktion Alu-Hut“ beginnt. Ich werde versuchen euch im Folgenden einige Tipps mit auf den Weg zu geben, mit denen ihr euer Krypto-Portfolio weitestgehend sicher verwalten könnt und trotzdem in der Nutzung nicht zu sehr eingeschränkt seid.
1) Informiere dich BEVOR du investierst!
Mit dem Lesen dieses Artikels, hast du jedoch schon einmal den ersten Schritt in die richtige Richtung getan!
Um möglichst sicher innerhalb dieses neuen Ökosystems agieren zu können, bedarf es Informationen und Wissen. Kaum ein anderer Anlagebereich ist so sehr von Betrügern und Hackern infiltriert wie der Krypto-Kosmos. Gerade weil sich hier (besonders seit der Hype-Phase Ende 2017) so viele unwissende Personen tummeln, die auf der Suche nach Reichtum ihr Geld mehr oder weniger blind investieren ohne sich Gedanken um die Sicherheit oder gar um das Investitionsprojekt selbst zu machen, liefern Kryptowährungen den idealen Nährboden für Diebstahl und Abzocken. Um sich die nötigen Informationen zu besorgen muss man sich über kurz oder lang auf unterschiedliche Quellen verlassen, was uns direkt zum nächsten Punkt bringt.
2) Traue nur dir selbst!
Eigenrecherche ist beim sicheren Umgang mit Kryptowährungen unerlässlich. Allerdings solltest du genau darauf achten welchen Quellen du vertraust und welchen nicht. Gerade sogenannte „Krypto-Youtuber“ sollten stets mit einer ordentlichen Portion Skepsis betrachtet werden, da nur die wenigsten einen Mehrwert bieten und viele nur durch das vermarkten („shillen“) ihres eigenen Portfolios Geld machen wollen. Viele Youtuber tun dies eventuell auch gar nicht in böser Absicht, sondern aus eigener Unwissenheit, was es aber nicht weniger gefährlich für dich und dein Geld macht. Schlimmer, da krimineller, wird es dann schon bei diversen anderen Betrügern, deren Masche es ist andere Personen auf sozialen Netzwerken anzuschreiben und sie mit außerordentlich hohen Rendite-Versprechen für sogenanntes Multi-Level-Marketing („Schneeballsysteme“) zu gewinnen oder durch „Social Engineering“ und andere Tricks gutgläubige Menschen um ihre Coins bringen. TRAUE NIEMANDEM! Denn wie sagt man so schön: „Wenn etwas zu gut klingt um wahr zu sein, dann ist es das sehr wahrscheinlich auch“.
3) „Vorsprung durch Technik“
Die Sicherheit deiner Coins geht immer mit der Sicherheit der dazugehörigen Schlüssel (Seed/Private-Keys) einher. Um diese möglichst sicher zu speichern vertrauen unterschiedliche Menschen ganz unterschiedlichen Methoden, von denen einige sicherer sind als andere.
Um sichergehen zu können, dass du die einzige Person bist, die deine(n) Private-Key(s) kennt, solltest du bei der Wahl der Technik, die du zur Verwaltung der Schlüssel verwendest, besondere Vorsicht an den Tag legen.
Die Sicherheit beginnt schon bei der Wahl des Betriebssystems, mit dem du deine Krypto-Geschäfte abwickelst. Während einige Nutzer sogar auf ihrem Mobiltelefon über diverse Apps ihre Coins/Token kaufen, handeln und die Schlüssel dazu lagern, verwenden andere für jeden neuen Kauf oder Verkauf ein komplett „frisches“ Linux System („Live Distribution“).
Generell ist das Verwalten von Kryptowährungen auf einem Mobiltelefon (besonders mit dem Betriebssystem „Android“ und erst recht wenn dieses „gerooted“ ist) – wenn überhaupt- nur für Kleinstmengen zu empfehlen. Gleiches gilt genau genommen auch für den „Otto-Normal-PC“ mit Windows-Betriebssystem und der Free-Version eines Virenscanners. Selbst für zweitklassige Hacker ist es hier meist ein Leichtes, eure Daten abzugreifen. Achtet darauf stets eure Windowsupdates (gleiches gilt auch für Mac oder Linux) zu machen um eventuell vorhandene Sicherheitslücken zu schließen.
Um die Sicherheit eurer Kryptogeschäfte zu steigern empfiehlt es sich ein altes (oder neues ☺) Notebook mit einem Linux-System (z.B. Ubuntu) auszustatten und auf diesem nur die notwendigsten Anwendungen zu installieren. Emailverkehr, Filesharing, Facebook und andere Arten von „Virenschleudern“ sollten auf diesem Gerät absolut tabu sein.
Auch wenn es im Volksmund oft heißt „bei Linux gibt es keine Viren“, so ist diese Aussage schlichtweg falsch und ihr solltet auch euer Linuxsystem unbedingt mit zusätzlichen Sicherheitsmaßnahmen ausstatten. Hier gilt im Normalfall „Freeware bietet keinen wirklichen Schutz“, nehmt also ein paar Euro in die Hand und kauft euch eine Premium-Lizenz eines Antivirenprogrammes.
Für den Fall, dass ihr kein zweites System einrichten wollt, ihr kein altes Notebook rumliegen oder kein Geld für ein neues habt, könnt ihr eure Systemsicherheit auch durch das Installieren einer sogenannten „Virtuellen Maschine“ erhöhen. Grob gesagt, simuliert dieses Programm einen virtuellen Computer auf eurem aktuellen System. Dieser virtuelle Computer kann mit einem anderen Betriebssystem versehen werden und ist komplett abgeschottet von eurem (eventuell infizierten) Betriebssystem. Das Abgreifen von Tastatureingaben oder das Auslesen von Passwörtern von außen ist damit nahezu unmöglich.
Einige Betrüger gehen sogar so weit, komplette Internetauftritte von bekannten Krypto-Webseiten, Exchanges und Online Wallets quasi 1:1 nachzubauen, mit dem kleinen Unterschied, dass diese Fake-Seite nach erfolgter Eingabe euren Private-Key an den Seitenbetreiber übermittelt. Mit bloßem Auge sind diese Betrugsseiten vor allem für Laien nicht zu identifizieren da oftmals auch die URL, also die Webseitenadresse, relativ identisch wirkt (z.B. www.binance.com und www.blnance,com).
Hier ist absolute Vorsicht geboten! Um sicher zu gehen, dass ihr euch auf der richtigen Seite befindet, solltet ihr stets die URL genauestens überprüfen und vor allem darauf achten ob das „sichere Hypertext-Übertragungsprotokoll“, auch als sicher angegeben ist. Wenn am Anfang der Domain ein „https://“ und links daneben ein „Sicher“ zu finden ist (siehe Abbildung.), könnt ihr euch relativ sicher sein, dass ihr euch auf der richtigen Seite befindet.
Als weitere Sicherungsmaßnahme solltet ihr einige Addons installieren, die euch ebenfalls dabei helfen, nicht auf Scam- und Betrugsseiten zu landen. Ein besonders empfehlenswertes Addon z.B. für den Browser „Mozilla Firefox“ ist die sogenannte „Cryptowall“. Diese überprüft anhand einer riesigen Datenbank ob die Seite, die ihr aufrufen möchtet ein Betrugsversuch ist oder nicht und hindert euch gegebenenfalls direkt am Besuch einer Fakepage.
Da es heute viele verschiedene Arten von Wallets gibt, hat der Nutzer hier mehr oder minder die „Qual der Wahl“. Jedoch sollte man stets darauf Bedacht sein, dass einige Wallet-Varianten deutlich sicherer sind als andere. Der grundsätzliche Unterschied der Wallets liegt in der Online- bzw. Offlinespeicherung der zu Verwaltenden Private-Keys. Da Online-Wallets, ähnlich wie Börsen (Warum du deine Coins nicht auf Exchanges lagern solltest erfährst du hier), ständig Cyberattacken ausgesetzt sind, sind Wallets welche deine Schlüssel offline lagern in jedem Fall die sicherere Alternative. Die sicherste und zugleich handlichste Variante sind in jedem Fall die sogenannten „Hardware Wallets“, da hier eure Private-Keys offline auf dem Gerät gespeichert werden und diese das Gerät nie verlassen können (selbst wenn der PC, an den das Gerät angeschlossen wurde, infiziert ist). Die Geräte um Ledger Nano S, Trezor und Co. bieten zusätzlich zur Sicherheit auch noch ein hohes Maß an Handlichkeit, da ihr mit der mitgelieferten Software eure Coins nicht nur sichern sondern auch verwalten könnt, ohne euren Seed irgendwo online eingeben zu müssen. Für den Fall dass ihr „Hardcore-HODLer“ seid, könnt ihr natürlich auch die kostengünstigere Variante, das „Paper-Wallet“ verwenden. Diese Möglichkeit der Lagerung wird auch als „Cold Storage“ bezeichnet, da euer Private-Key quasi auf dem Papier „eingefroren“ wird und nicht mit dem „heißen“ World Wide Web in Berührung kommt. Der Nachteil dieser Papiersicherung liegt darin, dass ihr zum Versenden eurer Coins euren Private-Key in ein anderes Wallet (z.B. Online Wallet) übertragen müsst, was die Integrität eures Paper-Wallets stark beeinträchtigt und die Sicherheit anschließend nichtmehr 100% gewährleistet werden kann. Darüber hinaus ist schon beim Erstellen eures Paper-Wallets besondere Vorsicht geboten. Bereits sehr viele Menschen sind sogenannten Online-Seed- oder Paper-Wallet-Generatoren zum Opfer gefallen. Euer Paper-Wallet ist nur so sicher wie das System auf dem es generiert wurde. Es sollte stets auf einem Offline-PC, möglichst in einer virtuellen Maschine erstellt werden um das Abgreifen eures Private-Keys durch Dritte auszuschließen. Auch der Drucker, mit dem ihr das Wallet anschließend auf Papier bringen wollt, sollte im besten Fall kein WLAN-Drucker und virenfrei sein.
4) Wohin mit den Paper-Wallets und Seeds?
Obwohl es nun bereits mehrfach erwähnt wurde möchte ich folgendes aufgrund seiner Wichtigkeit nochmals betonen, um die Botschaft in euren Köpfen zu manifestieren: „Jedes Wallet ist nur so sicher wie sein Seed“! Nun stellt sich also die Frage wie ihr eure Seeds am besten aufbewahrt, sodass diese vor fremden Augen geschützt sind, aber im Notfall dennoch für euch zugänglich. Auch hier gibt es keine „eine Wahrheit“ und unterschiedliche Ansichten, je nachdem ob man es wagt, seine Seeds auch in digitaler Form abzuspeichern oder nur in physischer Form auf Papier/Metall/etc. oder gar sowohl digital als auch physisch. Grundsätzlich ist eine Redundanz bei den Aufbewahrungsmethoden immer zu empfehlen und ihr solltet niemals nur eine einzige Kopie eures Seeds verwahren. Sollte diese (auf welche Weise auch immer) zerstört werden oder verloren gehen sind auch eure Coins für immer weg. Nun ja, genau genommen sind sie nicht weg, ihr könnt sie noch sehen aber nichtmehr „anfassen“ ☺. Verwahrt deshalb immer mindestens zwei Exemplare eures Seeds an geographisch voneinander getrennten Orten (am besten in einer anderen Stadt oder einem anderen Land) auf, um sie vor Umweltkatastrophen wie Überschwemmungen zu schützen. Je nachdem wie sicher der Ort ist, in dem der Seed verwahrt wird, ist es auch klug nicht den gesamten Seed an einem Ort aufzuheben. Schlauer ist es, den Seed in zwei Teile aufzuteilen und je eine Kopie der Teile an insgesamt vier verschiedenen Orten aufzubewahren. Selbst wenn jemand in einen Ort einbricht und einen Teil stiehlt sind eure Coins weiterhin sicher. Geeignet sind zum Beispiel Bankschließfächer bei unterschiedlichen Banken in verschiedenen Städten.
Für das physische Verwahren eurer Seeds und Private-Keys sollten folgen Kriterien erfüllt sein. Sie sollten, Wasser- und Feuerfest, sowie korrosionsgeschützt und vor zeitlichem Verfall geschützt gelagert sein. Das Aufschreiben des Seeds mit Kugelschreiber auf ein Stück Papier sollte also für jeden, der auf die Sicherheit seines Vermögens bedacht ist, ein absolutes No-Go sein! Besser ist das Verwenden von Tools wie „Cryptosteel“ oder „Seedmaster“, jedoch sind diese sehr kostspielig und deswegen nur für größere Investments interessant. Eine kostengünstigere Alternative könnt ihr euch jedoch selbst mit einem Satz Schlagbuchstaben bei Amazon und ein paar Stücken Blech anfertigen. Diese Methode ist auf jeden Fall besser als die Kugelschreiber/Papier-Variante, wenn auch aufwendiger.
Mit der digitalen Lagerung ist nicht das Speichern auf USB-Sticks gemeint, da diese viel zu fehleranfällig sind und viel zu schnell kaputt gehen können. Besser ist folgende Vorgehensweise.
Um die Seeds definitiv vor Hausbrand, Überschwemmug und Co. zu schützen könnt ihr den Seed auch digital in eine Textdatei packen und diese anschließend (verschlüsselt) bei diversen Filehostern lagern. ACHTUNG: Hierfür unbedingt, wie in Punkt 3) beschrieben, ein sauberes Offline-System verwenden. Um jedoch auch hier möglichst sicher vor Diebstahl zu sein ist meine Empfehlung folgende:
Teilt den Seed auf zwei Textdateien auf und verschlüsselt diese anschließend mit einer Software wie z.b. Veracrypt mit zwei möglichst sicheren unterschiedlichen Passwörtern (mehr dazu im nächsten Punkt). Nun habt ihr zwei verschlüsselte Seed-Teile die ihr auf vier verschiedene Cloud-Systeme hochladet. Z.b. Teil 1 auf OneDrive und Dropbox und Teil 2 auf Google Drive und bei Sync. Sollte es nun tatsächlich jemandem gelingen sollte euer Google-Drive Konto zu hacken und sogar die VeraCrypt-Verschlüsselung zu umgehen (was sehr sehr unwahrscheinlich ist), so hat er dennoch nur einen Teil eures Seeds und eure Coins sind sicher.
5) Passwörter
Bei der richtigen Passwortwahl wird den Menschen leider seit jeher ein falsches Bild vermittelt. Viele Menschen denken, dass ein Einfügen von Sonderzeichen und Ziffern mehr nützt als die Länge des Passworts. ABER um euch zu verdeutlichen, dass es sehr wohl auf die Länge ankommt hier ein kurzer Exkurs:
Angenommen ihr wählt ein Passwort aus 6 Zeichen (inklusive Sonderzeichen, Satzzeichen und Ziffern), so gibt es insgesamt 95^6 Möglichkeiten.
Da in der Informatik in Zweierpotenzen gerechnet wird schreiben wir die Zahl zu 2^40 um (weil log2(95^6) ≈ 40). Euer Passwort hat also eine Entropie von 40 Bit. Eine aktuelle Grafikkarte benötigt für das Knacken eines Passworts mit einer 40Bit-Entropie etwas mehr als eine viertel Stunde! Bei 10 zufällig gewählten Zeichen steigt die Entropie schon auf 65 Bit und das Knacken dauert nun mehrere Wochen.
Um ein sicheres (=langes) Passwort zu generieren benutzt ihr im besten Fall einen Passwortgenerator (Offline!). Da diese Passwörter jedoch oft nicht leicht zu merken sind, könnt ihr als Alternative auch einfach einen besonders langen Merksatz (mindestens 19 – 20 Wörter) oder 10 zufällige Wörter anstelle von 10 zufälligen Zeichen als Passwort nehmen. Um besonders sicher zu gehen könnt ihr trotzdem noch einige Sonderzeichen einfügen
Zum Beispiel:
Heute lese ich einen Artikel bei Cryptoticker.io über die Passwortsicherheit bei Kryptowährungen und bin total froh etwas darüber erfahren zu können!
Ist sicherer und besser zu merken als
Baum_Bildschirm.Flasche_Apfel.Motorrad_Schüssel.Schlüssel_Heizung.Arbeit_Bahn
und dieses ist sicherer und besser zu merken als
ADA!K§M%Q
Passwörter sollten jedoch immer und ich betone IMMER Zufallskombinationen sein, da nur dann die Sicherheit gewährleistet werden kann. Eine Aneinanderreihung von Geburtstag/Ort/Adresse etc. ist nicht sinnvoll.
6) 2-Faktor-Authentifizierung
Da leider auch das beste Passwort nichts nützt, wenn es umgangen werden kann solltet ihr außerdem, wo immer möglich, sogenannte 2-Faktor-Authentifizierung verwenden. Es gibt verschiedene Methoden der für 2FA doch die, im Kryptobereich, gängigste Methode ist die der sogenannten OTP-Passwörter. Mit Hilfe einer APP (z.B. „Authy“ oder „Google Autheticator“) wird euch alle 30 Sekunden ein neues Einmal-Passwort angezeigt, welches ihr zusätzlich zu eurem Passwort z.B. beim Einloggen auf einer Exchange eingeben müsst.
ACHTUNG: Da der „Google Authenticator“ keine Backup-Funktion bietet ist es zwingend notwendig sich die Backup-Schlüssel zu notieren und sicher zu verwahren.
7) Sonstige Tipps
Zu guter Letzt möchte ich euch noch ein paar nützliche Tipps mit auf den Weg geben, die ebenfalls zur Sicherheit eurer Coins beitragen sollen:
Wenn ihr diesen Artikel sorgfältig gelesen habt und alle Punkte verinnerlicht und befolgt, sollte euer Portfolio sicher sein und sicher bleiben.
Verpass keine wichtigen Nachrichten mehr!
Folge uns auf Twitter, Facebook, Steemit und tritt unserem Telegram News Kanal oder Newsletter bei.
Du würdest diesen Artikel gerne kommentieren? Dann tritt einfach unserer Telegram Diskussions-Gruppe bei.
Du hast eine Leidenschaft für die Themen Bitcoin, Blockchain und Kryptowährungen? Du hast Talent als Schreiber und Lust darauf in einem Team mit anderen kryptobegeisterten Leuten zu arbeiten? Dann melde dich bei uns und werde Teil unseres Teams! Schicke uns noch heute eine Kurzbewerbung an marcel@cryptoticker.io! Wir freuen uns auf eure Bewerbungen.