Auf dem heutigen Hardware-Wallet-Markt wird einem ein mehr oder weniger bunter Blumenstrauß an Auswahl geboten: Von selbst gebauten Signiergeräten bis hin zum Schweizer Taschenmesser ist für jeden etwas dabei. Eine Eigenschaft, welche die Community schon länger spaltet, ist der sogenannte „Air-Gap“, also die Frage, ob eine Hardware-Wallet direkte Verbindungen mit anderen Geräten aufnimmt, oder komplett von der Außenwelt abgeschirmt ist – also nicht einmal mit einem Kabel oder per Bluetooth verbunden werden muss.
Warum diese Diskussion in weiten Teilen grundlegend falsch angegangen wird, was es mit einem "Air-Gap" überhaupt auf sich hat und warum diese Eigenschaft wohl eher für ein gutes Bauchgefühl anstatt tatsächliche Sicherheitsvorteile sorgt, schauen wir uns in diesem Beitrag etwas genauer an.
Disclaimer: Hardware-Wallets bieten, vor allem für Anfänger, mit Abstand die sicherste Möglichkeit, Bitcoin zu empfangen und zu versenden. Es gibt viele gute Produkte und Projekte, sowohl mit als auch ohne Air-Gap. In diesem Beitrag soll daher die Verwendung von bestimmten Hardware-Wallets nicht schlecht geredet werden. Es geht lediglich um die Art und Weise, wie die Air-Gap-Eigenschaft vermarktet und diskutiert wird.
Was ist ein Air-Gap?
Bevor man sich der Diskussion und den Argumenten rund um dieses Thema annehmen kann, muss erstmal klargestellt werden, was mit einem „Air-Gap“ überhaupt gemeint ist. Doch das ist einfacher gesagt als getan. Aus klassischer Netzwerksicht spricht man von einem Air-Gap, wenn ein Computer oder Netzwerk keine Verbindung zu anderen Netzwerken, wie beispielsweise dem Internet, aufbauen kann, also sozusagen nur eine „Luftlücke“ zwischen diesen besteht.
Wie hoch man die Anforderung an einen Air-Gap ansetzt, ist eigentlich eine reine Definitionsfrage: Gilt ein Laptop, den man in den Flugmodus versetzt, bereits als Air-Gapped? Oder muss bereits auf physischer Ebene ausgeschlossen sein, dass Verbindungen mit dem Internet oder einem anderen Netzwerk überhaupt aufgebaut werden können? Darf überhaupt irgendeine Form der Kommunikation stattfinden?
Im Kontext von Bitcoin-Wallets meint man mit Air-Gap-Wallets normalerweise Hardware-Wallets oder Signiergeräte, die nicht physisch mit einem potenziell unsicheren Endgerät, wie einem Smartphone, verbunden sind. Die Kommunikation zwischen dem Endgerät und der Wallet soll damit auf das Allernötigste reduziert werden und findet in der Regel über QR-Codes und microSD-Karten statt.
Kommunikation
Wie gerade angedeutet, müssen allerdings Air-Gap-Wallets mit der Außenwelt, genauer gesagt mit dem Bitcoin-Netzwerk, kommunizieren können. Daran führt kein Weg vorbei, zumindest so lange man seine Bitcoin auch wirklich ausgeben möchte. Das Grundprinzip ist immer dasselbe: Das potenziell unsichere Endgerät schickt Transaktionsdetails an die Hardware-Wallet, diese überprüft bzw. signiert die Transaktion und schickt das Ergebnis wieder zurück.
Der gewählte Kommunikationskanal für diesen Austausch, also ob man direkt über eine USB-Schnittstelle oder mithilfe von QR-Codes „über die Luft“ kommuniziert, spielt erstmal keine Rolle: Die Kommunikation findet statt. Beim Benutzer kommt aber wahrscheinlich ein deutlich besseres Bauchgefühl auf, wenn die eigene Hardware-Wallet mit keinem anderen Gerät direkt verbunden werden muss. Doch ist dieses Bauchgefühl gerechtfertigt?
Was das Austauschen von QR-Codes von den alternativen Kanälen unterscheidet, ist in erster Linie die Bandbreite, also wie viele Daten innerhalb einer gewissen Zeit übertragen werden können. Diese ist erstens bereits auf technischer Ebene extrem eingeschränkt, da schließlich nur eine gewisse Menge an Informationen in einen QR-Code passen, und zweitens wird eine aktive Interaktion des Nutzers benötigt. Und hier soll auch das Argument für einen Air-Gap liegen: Durch Einschränkung der Kommunikation soll auch die Angriffsfläche eingeschränkt werden.
Doch aus rein theoretischer Sicht ist dies kein wirklich valides Argument. Jede Form der Kommunikation hat seine eigenen Angriffsvektoren und kann grundsätzlich manipuliert werden. Niedrige Bandbreite ist nicht zwingend ein Argument für erhöhte Sicherheit. Es ist die Aufgabe der Hardware-Wallet, sämtlichen Informationen, die vom Endgerät bereitgestellt werden, zu misstrauen und diese sorgfältig zu überprüfen. Sicherlich ist das auch bei den allermeisten Air-Gap-Wallets der Fall, doch das ist wohl eher ein Argument für die Hardware-Wallet selbst, völlig ungeachtet des verwendeten Kommunikationskanals.
Don't trust, don't verify?
Ein leider nicht vollständig wegzudenkendes Element bei der Verwendung einer Hardware-Wallet ist Vertrauen. Zwar können Hersteller durch hohe Transparenz und zusätzliche Sicherheitsmechanismen dieses auf ein Minimum reduzieren, aber eben nicht vollständig eliminieren. Dass die verwendete Hardware-Wallet auch wirklich genau das macht, was man von ihr erwartet, kann man nie mit hundertprozentiger Sicherheit sagen.
Vor allem ist das der Fall bei Hardware-Wallets mit Air-Gap. Durch die selbst auferlegten Einschränkungen in der Kommunikation nach außen kann die Software auf dem Endgerät nicht mehr als die allernötigsten Transaktionsdetails mit der Hardware-Wallet austauschen. Was auf den ersten Blick nach einem Vorteil klingt, kann auch zum Nachteil werden: Die Authentizität der Hardware-Wallet kann nicht so einfach überprüft werden.
Manche Hardware-Wallets führen im Austausch mit der Software auf dem Smartphone oder Rechner eine kryptografische Überprüfung auf Echtheit des verbundenen Geräts durch. Damit wird der Großteil des verbleibenden Vertrauensbedarfs durch die Software auf dem Endgerät als „zweiten Faktor“ gesenkt.
Theoretisch sind ähnliche Verfahren auch mithilfe von microSD-Karten unter einem Air-Gap umsetzbar, aber abgesehen von der daraus resultierenden, unpraktischeren Nutzererfahrung gäbe es keinen relevanten Unterschied gegenüber einem gewöhnlichen Kommunikationsweg. Ganz davon abgesehen hat die Kommunikation über microSD-Karten generell nicht mehr viel mit dem Grundgedanken eines Air-Gaps gemeinsam, mal ganz davon abgesehen, dass diese häufig ohnehin für z.B. Firmware-Updates verwendet werden müssen. Die Bandbreite der übertragbaren Daten ist hoch und microSD-Karten selbst können sogar einen neuen Angriffsvektor darstellen – denn auf ihnen läuft sogar ein kleiner Mikrocontroller.
Wir halten fest:
- Der Begriff "Air-Gap" kann im Kontext von Bitcoin-Wallets irreführend wirken, da für das Versenden von Transaktionen grundsätzlich immer Kommunikation nach außen notwendig ist.
- In den meisten Fällen ist ein Air-Gap mehr etwas für ein gutes Gefühl, als ein tatsächlich relevanter Sicherheitsvorteil.
- Nur, weil die Kommunikation über QR-Codes und microSD-Karten in ihrer Bandbreite und Praktikabilität eingeschränkter ist, kann man daraus nicht automatisch einen Sicherheitsvorteil ableiten.
- Manche Sicherheitsfunktionen, wie das Überprüfen des angeschlossenen Geräts auf Echtheit, gehen durch die selbst auferlegten Einschränkungen verloren.
Wann ist ein Air-Gap sinnvoll?
Besitzt und verwendet ein Nutzer einmal eine originale Hardware-Wallet, haben es Angreifer sehr schwer, an dessen Besitztümer zu gelangen. Dafür ist das Gerät schließlich gebaut. Umso attraktiver ist es daher, Hardware-Wallets, noch bevor sie überhaupt beim Kunden ankommen, abzufangen und zu manipulieren.
Lese-Tipp: Gefälschte Hardware-Wallets aufgetaucht! Wie schützt man sich vor Supply-Chain-Angriffen?
Solche Manipulationen sind, wie im vorherigen Abschnitt erwähnt, bei gewöhnlichen Hardware-Wallets mit Air-Gap allerdings schwer nachvollziehbar und können ein Risiko darstellen. Mit einer besonderen Ausnahme: Baut man sich die eigene Wallet selbst zusammen, also mit gewöhnlichen und unauffälligen Bauteilen, kann man eine gute Zwischenlösung finden: Das Risiko von manipulierter Hardware wird reduziert, da bis zum Zusammenbau niemand wusste, dass es sich später überhaupt um eine Wallet handeln wird. Gleichzeitig muss man der handelsüblichen Hardware nicht alle Türen öffnen, sondern reduziert die Kommunikation nach außen auf ein Minimum. Projekte wie der SeedSigner oder Specter-DIY setzen genau hier an und können für Tüftler und Technik-Liebhaber, vor allem in einem Multisignatur-Setup, eine gute Alternative darstellen. Diese Geräte gehen allerdings auch den Kompromiss ein, dass der Seed, also die 12 oder 24 Wiederherstellungswörter der Wallet, nicht persistent auf der Hardware gespeichert werden, was die alltägliche Nutzung unpraktisch und auch riskanter macht.
Von solchen DIY-Signiergeräten abgesehen sind die wirklichen Vorteile, die mit einem Air-Gap erzielt werden können, relativ überschaubar und in vielen Fällen nicht wirklich relevant. Das heißt natürlich nicht, dass etwaige Geräte per se unsicher sind, sondern nur, dass der Aspekt des Air-Gaps nicht so entscheidend ist, wie es Kunden häufig vermarktet wird. Denn das ist wahrscheinlich der entscheidende Punkt: Eine Air-Gap-Wallet vermarktet sich sehr gut, da man als potenzieller Kunde auch ohne technisches Verständnis sofort nachvollziehen kann, wo die vermeintliche Sicherheit herkommen soll.
Für Anfänger, aber auch fortgeschrittene Nutzer empfiehlt Blocktrainer.de daher nach wie vor die BitBox02. Hier konzentriert man sich auf eine möglichst einfache Nutzererfahrung sowie innovative Sicherheitsmaßnahmen, wie beispielsweise die bereits erwähnte Überprüfung auf Echtheit des Geräts, die ohne die USB-Schnittstelle nicht so einfach umsetzbar wären.
