Wallets & Sicherheit

Wichtiger Hinweis: IOTA ist eine sehr junge Technologie und ist daher eine Investmentanlage mit sehr hohem Risiko. Bitte nur Geld investieren, was sie bereit sind zu verlieren, IOTA kann durchaus auf 0 fallen, damit wäre die Investition komplett verloren.

 

Generelle Sicherheitstipps

Die neuen Distributed Ledger Technologien ermöglichen ihnen finanzielle Freiheiten wie keine andere Technologie zuvor, sie sind nun ihre eigene Bank. Seine eigene Bank zu sein, bedeutet aber auch ein hohes Maß an Eigenverantwortung, es müssen diverse Sicherheitsmaßnahmen getroffen werden, um Hackern den Zugriff auf Ihr Guthaben zu erschweren.

Diese Sicherheitsmaßnahmen beginnen bereits bei den Grundlagen, wie bei ihrer E-Mail-Adresse, bitte legen Sie sich eine eigene E-Mail-Adresse an, welche Sie ausschließlich für den Kauf von Kryptowährungen verwenden. Auch der E-Mail Anbieter sollte sorgfältig ausgewählt werden, die Privatsphäre der meisten Anbieter ist Null, alles wird mitgelesen, analysiert und verkauft. Ich kann den E-Mail Provider ProtonMail aus der Schweiz empfehlen, dieser bietet seinen Service mit beschränktem Speicher etc. auch kostenlos an, für unsere Zwecke reicht dies aus.

Auch auf die diversen Passwörter sollte man besonders achten, verwenden Sie bitte verschiedene Passwörter bei allen Serviceanbietern und auf keinen Fall das gleiche Passwort sowohl für ihr E-Mail-Postfach als auch für ihren Account bei der Krypto-Börse. Für eine Verwaltung von Passwörtern kann ich den kostenlosen open-source Passwort Manager KeePass empfehlen.

 

 

Wallets (dt. Geldbörse)

Bevor man MIOTAs an einer Börse kauft (an den Börsen werden Miota gehandelt) sollte man sich mit der sicheren Verwahrung der neu gekauften MIOTAs beschäftigen, der Zugriff dritter auf ihr Guthaben sollte unbedingt vermieden werden. Auf keinen Fall sollte man sein Guthaben auf einer Krypto-Börse liegen lassen, in diesem Fall ist man nicht im Besitz des Seeds (privat keys) und vertraut somit einer dritten Partei sein Guthaben an, bei einem Hack der Börse selbst, ist alles weg.

Ihre IOTAs werden nicht in einer Wallet gespeichert und schon gar nicht auf ihrem Computer. Sämtliche Guthaben sind in Datenbanken (Tangle) gespeichert. Diese Datenbanken liegen in unzähligen Kopien im Netzwerk verteilt auf den IOTA-Nodes. Ihre IOTA-Wallet verwaltet nur Adressen, sie können die Wallet jederzeit löschen und zu einem späteren Zeitpunkt neu installieren. Eine Wallet ist nur eine Art „Browser“ der Daten einer Datenbank (Tangle) abruft, um ihr Guthaben anzuzeigen, bzw. werden damit Ihre Transaktionen mit ihrem Privat-Key „signiert“. Diese Daten werden im Netzwerk verteilt und überprüft, wenn alles in Ordnung ist, wird die Adresse des Empfängers mit dem Guthaben verknüpft und in die Datenbank (Tangle) gespeichert.

Bitte beschäftigen Sie sich vor der Verwendung einer Wallets ausführlich mit der Funktionsweise, sollte Ihnen bei der Anwendung gravierende Fehler unterlaufen, sind Ihre MOTAs verloren. Auch nach dem ersten Kauf empfehle ich erst einmal einen kleinen Betrag (1 i reicht) zwischen verschiedene Konten hin und her zu schicken, um sich mit der Benutzung der Wallet vertraut zu machen. 

 

 

Es existieren verschiedene Arten von IOTA Wallets, die ich im Folgenden kurz vorstellen möchte:

Desktop Wallet: Diese Wallet befindet sich auf Ihrem Computer. Dies setzt voraus, dass Sie  Ihren PC richtig schützen, weil dieser relativ viele Angriffspunkte für Hacker bietet, beispielsweise über kompromittierte Emails oder Links. Derzeit empfehle ich die offizielle Trinity-Wallet zu verwenden und diese nur von der offiziellen Webseite zu beziehen. Diese Wallet hat bereits externe Sicherheitsaudits durchlaufen und wird ständig weiterentwickelt. In Zukunft bekommt die Wallet weiter Feature wie beispielsweise eine Messenger Funktion.

Die IF veröffentlichte in ihrem Blog, dass das Trinity-Wallet einem Audit des weltweit führenden Cybersicherheitsunternehmens SIXGEN unterzogen wurde. Zitat Ethan Dietrich, CEO von SIXGEN: "Wir haben die Sicherheit des Trinity-Wallets überprüft und festgestellt, dass es ein geringes Kompromissrisiko durch externe Bedrohungen birgt. Es ist klar, dass das Trinity-Team die Sicherheit sehr ernst nimmt und bei der Entwicklung des Wallets bewährte Verfahren angewandt hat".

  • Offizieller Trinity Download: https://trinity.iota.org/
  • Ein gutes Erklär-Video zur Trinity Desktop Wallet bietet Patrick von TOBG Business bei DTube und YouTube an. Patrick bietet auch Tips und Tricks Videos an, bitte ggf. in seinem Videoverzeichnis schauen.
  • Eine gute Anleitung mit vielen Bildern gibt es hier, allerdings ist dies eine Anleitung ohne Ledger Verwendung (für mich absolute Pflicht)

Hinweis: Nutzen Sie unter keinen Umständen Online Seed-Generatoren, die Nutzung dieser haben bereits einige User bitter bereut, die Trinity Wallet hat mittlerweile einen eingebauten Seed-Generator, so dass man niemand mehr auf komische Ideen kommen muss.


Update Apr'20: Im Frühjahr 2020 wurde über das Drittanbietermodul Moonpay die Trinity Wallet kompromittiert (das Protokoll selber ist OK). Es wurden Token im Gegenwert von ca. 2 Millionen Euro von verschiedenen Wallets entwendet bevor die IF den Koordinator abschaltete, um den laufenden Diebstahl zu stoppen und die Gelder der Nutzer zu sichern. Der Koordinator blieb infolge dessen knapp 4 Wochen ausgeschaltet, die Moonpay App wurde aus Trinity entfernt und David S. entschädigte alle betroffenen Benutzer aus seinem Privatvermögen. Lt. der IF hätte dieser Hack in dieser Art nicht passieren dürfen, die komplette Aufarbeitung des Vorfalls wurde sehr transparent kommuniziert, zudem wurden umgehend Konsequenzen gezogen. Ein neuer Senior-Developer mit dem Schwerpunkt der Wallet-Sicherheit wurde eingestellt und weitere Sicherheits-Audits (ggf. auch extern) werden zur Pflicht. PS: Alle Benutzer die ihre Token mit einer Hardware-Wallet abgesichert hatten, waren nicht betroffen.

 

 

Smartphone Wallet: Auch hier ist die offizielle Trinity-Wallet die erste Wahl, diese kann aus den jeweiligen Shops direkt installiert werden. Aus der Sicherheitsperspektive sollte diese Wallet wie eine echte Geldbörse behandelt werden und nur für die Verwaltung geringer Summen genutzt werden. Ihr Handy ist  für einen Hacker relativ leicht zu knacken.

 

Webbasierende Wallet: Die Spark Burner Wallet ist eine solche Wallet, auch hier bitte keine größeren Summe handeln.

 

Browser Erweiterung: Pegasus ist eine solche Wallet, sie wird über Chrome-Erweiterungen installiert werden, auch hier bitte keine größeren Summe handeln.

 

Paper-wallets bestehen aus einem ausgedrucktem Blatt Papier, das eine Kryptowährungsadresse und einen Privat-Key enthält, auf die mit einem QR-Code zugegriffen wird. Die Vorteile von einer Paper-Wallet bestehen darin, dass sie als sogenannter Cold-Storage dienen, dass bedeutet das sie nicht mit dem Internet verbunden sind und somit keine Gefahr von Hacking ausgeht. 

Mit einer Paper-Wallet sind Ihre Gelder sicher, solange bis Sie einen Computer verwenden. Wenn der Computer, mit dem Sie dann auf Ihre Währung zugreifen, kompromittiert ist und Sie den Privat-Key von der Paper-Wallet eingeben, könnten Ihre Konten gehackt und ihre Guthaben gestohlen werden. Wenn Sie die Geldbörse verlieren und keine Sicherungskopie erstellt haben, gibt es keine Möglichkeit, Ihren Zugriff auf Ihre Währung wiederherzustellen. Auch kann es ziemlich mühsam sein, bei jeder Transaktion die Paper-Wallet aus dem Versteck holen zu müssen um den Privat-Key von Hand am Computer einzugeben. Mit der Trinity Desktop Version lässt sich auf einfache Weise eine Paper-Wallet erstellen, vermeiden Sie aber das Ausdrucken auf einen öffentlichen Drucker, diese speichern Daten und diese lassen sich wiederum auslesen.

Ich würde keine Paper Wallet verwenden und kann das auch keinem Neuling empfehlen, da dies voraussetzt das ihr Computer nicht kompromittiert ist (key logger etc.)

 

Hardware Wallet: Ein Hardware Wallet ist ein physisches Wallet, das die Private Keys des Nutzers offline und sicher speichert (Cold storage). Hardware-Wallets enthalten einen speziellen Sicherheitschip, der den Seed (Privat-Key) speichert, dieser gespeicherte Key verlässt niemals die Wallet, nicht einmal der Besitzer kennt die gespeicherten Keys. Um Zugriff auf die Wallet mit den Keys zu bekommen muss ein PIN-Code eingegeben werden, was bedeutet, dass selbst der Handel auf einem kompromittierten Computer sicherer ist. Jede Transaktion wird zwar über ein Endgerät und spezifischer Software über einen Browser eingegeben, die Aktion selbst ist jedoch vom System abgekapselt und wird von der Hardware-Wallet signiert. Wenn die Hardware kaputt oder verloren geht, können Sie trotzdem Zugriff auf Ihre Währung bekommen, indem Sie auf einem neuen Gerät, den zuvor notierten Widerherstellungscode (24 Wörter, in einer bestimmten Reihenfolge) eingeben.Hardware Wallets wie Ledger Nano S oder X sind bei der Verwaltung höherer Geldbeträge Pflicht.

 

Bitte beim Kauf eines Hardware-Wallets auf folgende Punkte achten:

  • nur direkt über den Anbieter wie Ledger kaufen, auf keinen Fall bei Amazon oder Ebay (zu viele unbekannte Personen haben ggf. Zugriff aus die Ware)
  • bei Gebrauchsspuren am Paket oder dem Hardware Wallet selbst, diesen bitte nicht verwenden und zurück schicken. 
  • Ist das Papier für den Seed (24 Wörter) bereits ausgefüllt? Falls ja, nicht verwenden und zurück schicken.
  • ist das Gerät bereits vor-konfiguriert und fragt beim ersten Einschalten direkt nach einem Pin Code der ggf. auch noch beigelegt wurde, bitte nicht verwenden und zurück schicken.

 

 

 

Wie den Seed richtig lagern?

Wie kann der Seed oder der Widerherstellungscode (24 Wörter) der Hardware-Wallet vor Diebstahl, Umwelteinflüssen und Verlust geschützt werden?

Im folgenden schreibe ich ein paar Punkte auf, an die sich jeder halten sollte:

  • Papier ist keine gute Idee, dies kann über die Zeit durch äußere Einflüsse Schaden nehmen, beispielsweise durch Wasser oder Feuer.
  • bitte witterungsbeständige Lösungen verwenden, wie bei https://easy-passphrase-saver.de/ oder ähnlichen Lösungen.
  • an sicherem Ort lagern, z.B. Bankschließfach oder einem richtigen Save (keine Baumarktdose)
  • den Seed keinen anderen Menschen zugänglich machen, auch nicht wenn Personen direkt danach fragen, um ihnen ggf. bei Problemen helfen zu wollen > Niemals, Niemals , Niemals !!!! 
  • nicht online in einer Cloud oder ähnliches speichern
  • kein abfotografieren
  • kein ausdrucken, Drucker können ggf. ausgelesen werden
  • nicht in einem Handy eingeben