Die Empfehlung eine Hardware Wallet zu nutzen, um die eigenen Bitcoin sicher zu verwahren ist wenig umstritten. Doch Hardware Wallets sind keine uneingeschränkten Allheilmittel, die automatisch alle Probleme lösen. Es gibt unzählige Anbieter mit unterschiedlichsten Ansätzen und Sicherheitsversprechen, die allerdings nicht immer eingehalten werden können oder gar sinnvoll sind.
Dieser Beitrag soll erörtern, warum gerade Hardware Wallets ohne eigenes Display, also solche, die nicht direkt mit dem Nutzer kommunizieren können, im Grunde komplett nutzlos sind und sich sicherheitstechnisch kaum von gewöhnlichen Software-Wallets (Hot Wallets) unterscheiden.
Warum Hardware Wallets?
Um zu verstehen, wann Hardware Wallets nutzlos sind, müssen wir zunächst verstehen, warum sie überhaupt nützlich sind: Auf einem offenen, mit dem Internet verbundenen System möchten wir nicht die Schlüssel zu unseren Bitcoin verwahren. Angreifer haben dort deutlich leichteres Spiel, mit Schadsoftware, Phishing oder sonstigen Angriffen unsere Bitcoin zu stehlen.
Darüber hinaus gibt es eigentlich keinen Anwendungsfall, da Software Wallets, von der Sicherheit mal abgesehen, ansonsten in allen Punkten überlegen sind: Sie sind einfacher zu benutzen, kostenlos und bieten oft auch zusätzliche Funktionen an.
Der Vermittler
Wer Bitcoin nutzen möchte, muss mit dem Bitcoin Netzwerk kommunizieren. Um diese Tatsache kommt keine Wallet, egal wie sicher die Schlüssel verwahrt werden, herum. Zwangsläufig muss also auch der Nutzer einer Hardware Wallet mit dieser kommunizieren können, damit ihm Empfangsadressen bereitgestellt oder eben Transaktionen signiert werden können.
Diese Kommunikation kann auf verschiedenen Wegen stattfinden, z.B. über eine direkte USB-Verbindung, Bluetooth oder mittels QR-Codes. Da eine Hardware Wallet aber definitionsgemäß keine Verbindung zum Internet, und damit auch nicht zum Bitcoin Netzwerk hat, muss es stets einen „Vermittler“ in der Mitte geben, der letzteres übernimmt.
Dieser Vermittler tritt meistens in Form einer Software Wallet auf dem Smartphone oder Rechner auf und unterhält sich auf Verlangen des Nutzers mit der Hardware Wallet. Möchte dieser beispielsweise eine Transaktion erstellen, dann bereitet die Software diese vor und gibt sie an die Hardware Wallet weiter, um dort unterschrieben zu werden. Die fertig unterschriebene Transaktion wird dann von der Software im Bitcoin Netzwerk veröffentlicht.
Wir erinnern uns: Software, die auf unserem Endgerät läuft, können und möchten wir unter keinen Umständen vertrauen. Deshalb nutzen wir schließlich eine Hardware Wallet.
Ohne Display
Stellen wir uns eine Hardware Wallet ohne Display vor, mit der wir eine neue Empfangsadresse erzeugen möchten. Dafür verbinden wir zwar die Hardware Wallet z.B. mit unserem Smartphone, die eigentliche Adresse wird dann aber nur in der Software angezeigt.
Ist die App auf dem Smartphone kompromittiert, also von einem Angreifer manipuliert, könnte sie eine gefälschte Empfangsadresse anzeigen, die gar nicht zu unserer Hardware Wallet gehört. Dem Nutzer bleibt gar keine andere Wahl, als diese Adresse einfach so hinzunehmen, da es keinen direkten Weg gibt, sie direkt auf der Hardware Wallet zu verifizieren.
Genauso muss bei Transaktionen vollständig der Software vertraut werden. Ohne Display kann der Nutzer nicht sicherstellen, ob die Software auch wirklich die gewünschte Transaktion an die Hardware zum Signieren weiter gegeben hat und nicht im Hintergrund eine Transaktion an einen anderen Empfänger vorbereitet hat.
Nur solange die Software von Angreifern unberührt bleibt, kann die Wallet also sicher benutzt werden. Ein Zustand, der auf jede beliebige Hot Wallet zutrifft und für den es keine teure Hardware Wallet braucht.
Anbieter, die solche Hardware Wallets mit großen Versprechen vermarkten, sollten möglichst gemieden werden. Egal, wie viele Funktionen einem mit Marketingbegriffen offenbart werden, mit einem fehlenden Display ist eine der grundlegendsten Voraussetzungen nicht erfüllt. So praktisch Lösungen wie z.B. Hardware Wallets im schlanken Kreditkartenformat auch erscheinen mögen, sie gehen einen Kompromiss ein, der den eigentlichen Anwendungszweck untergräbt.
Mit Display
Bei einer Hardware Wallet mit Display muss der Software auf dem Endgerät nicht mehr vertraut werden. Sämtliche kritische Informationen, wie z.B. Empfangsadressen oder Details zu einer Transaktion, die unterschrieben werden soll, können direkt auf dem Display angezeigt und verifiziert werden.
Zeigt die Software Wallet eine falsche Adresse an, oder übergibt eine manipulierte Transaktion an die Hardware Wallet, würde dies dem Nutzer sofort auffallen, solange er diese Informationen auf der Hardware Wallet überprüft.
Don't trust, verify!
Es bringt also nichts eine Hardware Wallet mit Display zu nutzen, wenn man dieses nicht nutzt. Nur wer …
- Empfangsadressen
- Beträge von Transaktionen
- Zieladressen von Transaktionen
- Erweiterte öffentliche Schlüssel
- Sonstige Nachrichten die unterschrieben werden sollen
… sorgfältig auf dem Display verifiziert, nimmt die zusätzliche Sicherheit der Hardware Wallet erst wahr.
Die BitBoxApp der von Blocktrainer.de empfohlenen BitBox02 besteht beispielsweise sogar darauf, dass Nutzer ihre Hardware erstens angeschlossen haben, und zeigt zweitens Adressen nur gleichzeitig mit einer Aufforderung, diese auf dem Hardware-Display zu verifizieren, an.
Wir empfehlen Nutzern, sich dieses Verhalten anzueignen und stets zu überprüfen, ob Adressen und Transaktionen auch wirklich korrekt sind. Mit diesem kleinen bisschen mehr Zeitaufwand kann man somit deutlich sorgenfreier Bitcoin benutzen und muss niemandem mehr vertrauen, dem man nicht vertrauen möchte.
Eine Übersicht mit weiteren Testberichten und Informationen zu Hardware Wallets findet ihr hier auf Blocktrainer.de
