Der Cybersicherheitsexperte David Schwed hat Bedenken geäußert, dass die Verwahrer, die die Bitcoin-ETF-Anbieter ausgewählt haben, mit größeren Risiken konfrontiert werden könnten und sich das Risiko von Cyberangriffen vor allem bei der Kryptobörse Coinbase konzentriert.
Coinbase – ein zu großes Risiko?
Die meisten Anbieter der nun zugelassenen Spot Bitcoin-ETFs haben Coinbase als Verwahrer gewählt. Coinbase selbst war noch nie von einem bekannten Hack betroffen und galt vielleicht deshalb für viele Antragsteller als angemessene Verwahrstelle. Lediglich drei der elf Antragsteller entschieden sich für andere Verwahrer: Hashdex entschied sich für BitGo, VanEck für Gemini und Fidelity für die Selbstverwahrung.
Doch die inhärent riskante Natur der Kryptoverwahrung, die sich ständig entwickelnden Sicherheitsverfahren sowie die extreme Vermögenskonzentration von institutionellen Werten in Milliarden-Höhe bei einer einzigen Verwahrstelle sind die Gründe für die Bedenken von Schwed. Als Experte für Cybersicherheit und Vermögensverwaltung ist er der Meinung, dass man nur genügend Zeit und Ressourcen investieren müsse, um ein bestimmtes Ziel zu hacken. Genau dafür wären Hackergruppen wie die nordkoreanische Lazarus Group oder die russische Hackergruppe Cozy Bear/APT29 bereit. Die institutionellen Kryptowährungsbestände würden für sie ein attraktives Ziel darstellen.
Zudem steckt hinter Bitcoin keine rechtliche Vereinbarung wie bei Aktien oder Anleihen, die nicht einfach so gestohlen werden können. Wie Bargeld oder Gold ist Bitcoin ein Inhaberwert, der bei einem Diebstahl endgültig verloren ist.
Für einen Krypto-Verwahrer reicht also ein einziger Fehler aus, um das Vermögen komplett zu verlieren.
David Schwed
Verbesserte Sicherheitsstandards und externe Aufsicht
Schwed schlägt vor, dass die Verwahrer digitaler Vermögenswerte durch „besser ausgebildete Aufsichtsbehörden“ stärker beaufsichtigt werden sollten. Dazu müssten auch strengere Standards geschaffen und durchgesetzt werden, wie es zum Teil schon beim Risikomanagement großer Banken und Finanzinstitute der Fall ist. Dort gibt es mehrere Ebenen der Sicherheitspraktiken, die von der Geschäftsleitung entwickelt und implementiert, von der Risikoabteilung überwacht und bewertet und schließlich ihre Wirksamkeit von einer weiteren Abteilung überprüft wird.
Außerdem werden diese Sicherheitspraktiken dann zusätzlich von externen Prüfern und Aufsichtsbehörden unter die Lupe genommen, sodass sehr viele Mitarbeiter daran beteiligt sind. Schwed bezweifelt, dass Coinbase mit weniger als 5000 Mitarbeitern ausreichend Personal für die Überprüfung der Risiken und der Sicherheitsaspekte einsetzt, um eine echte Aufsicht und Sicherung der Inhaberwerte gewährleisten zu können.
Aus diesen Gründen sollten die Cybersicherheitsstandards für „qualifizierte Verwahrstellen“ verbessert werden. Diese orientieren sich zurzeit an traditionellen Finanzinstituten und berücksichtigen die Cybersicherheitsaspekte nicht in dem Umfang, wie es eigentlich notwendig wäre. Die Anleger und der neue Finanzsektor seien dadurch einem undurchsichtigen Risiko ausgesetzt.
Es gibt [noch] keine branchenweiten Standards für die Cybersicherheit und das Risikomanagement von Krypto-Verwahrstellen, was bedeutet, dass der Status einer „qualifizierten Verwahrstelle“ nicht ganz so beruhigend ist, wie er vielleicht klingt.
David Schwed
Fazit
Neue Cybersicherheitsstandards auf staatlicher Ebene sind für das Interesse der Anleger und den neuen Finanzsektor durchaus sinnvoll. Zusätzliches Personal beseitigt das Risiko einer einzelnen Schwachstelle allerdings nicht und kann unter Umständen auch zu einer Erhöhung des Risikos führen. Die Verwahrung von Bitcoin in Cold Wallets, mit gut gesicherten Seeds oder besser noch auf MultiSig-Adressen stellt aber eine bereits jetzt schon sichere Verwahrung dar. Dieses Sicherheitskonzept wird sich auch für noch größere Werte bewähren. Aber auch in der Bitcoin-Community werden bereits zusätzliche Sicherheitsmaßnahmen wie zum Beispiel sogenannte "Bitcoin Vaults" (OP_Vault) debattiert. Es ist davon auszugehen, dass bei Coinbase Experten sitzen, die stets die höchstmöglichen Sicherheitsstandards verwenden. Das Risiko kann somit zwar weitestgehend reduziert, aber vermutlich niemals komplett ignoriert werden.