{"id":30109,"date":"2023-05-12T07:57:35","date_gmt":"2023-05-12T05:57:35","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30109"},"modified":"2023-05-12T07:57:35","modified_gmt":"2023-05-12T05:57:35","slug":"five-threats-hardware-crypto-wallets","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/five-threats-hardware-crypto-wallets\/30109\/","title":{"rendered":"F\u00fcnf Angriffsarten auf Hardware-Krypto-Wallets"},"content":{"rendered":"

Hardware-Wallets gelten als die zuverl\u00e4ssigste L\u00f6sung zur Aufbewahrung von Kryptow\u00e4hrungen \u00fcberhaupt. Ein Spezial-Ger\u00e4t, das alle Blockchain-Operationen seines Besitzers offline signiert, scheint so viel zuverl\u00e4ssiger zu sein als ein Online-Speicher oder Computer-Apps. Immerhin h\u00f6ren wir fast monatlich von Hacks<\/a> und Insolvenzen<\/a> von Online-B\u00f6rsen f\u00fcr Kryptow\u00e4hrungen, w\u00e4hrend Apps eindeutig f\u00fcr regul\u00e4re Computerbedrohungen<\/a> wie Malware anf\u00e4llig sind.<\/p>\n

Diese \u00dcberlegungen sind zwar vern\u00fcnftig, doch lassen sich Investitionen nicht vollst\u00e4ndig durch einfache Hardware-Krypto-Wallets sch\u00fctzen, da auch deren Besitzer f\u00fcr eine Reihe von Angriffen anf\u00e4llig sind. Dementsprechend m\u00fcssen auch sie vor Angriffen gesch\u00fctzt werden\u2026<\/p>\n

Hot, Cold, Hardware- und Software-Wallets<\/h2>\n

Bevor wir mit der Risikoanalyse fortfahren, sollten wir kurz den Unterschied zwischen den verschiedenen Arten von Wallets zusammenfassen. Zun\u00e4chst einmal speichert kein Wallet die Kryptow\u00e4hrungen selbst. Alle Informationen zu den Assets werden in der Blockchain aufgezeichnet, w\u00e4hrend ein Krypto-Wallet lediglich eine sichere Aufbewahrung f\u00fcr den jeweiligen privaten (geheimen) Schl\u00fcssel darstellt. Der Eigent\u00fcmer ben\u00f6tigt den Schl\u00fcssel, um eine neue Transaktion in der Blockchain zu erfassen, d. h. um eine Transaktion von Kryptow\u00e4hrung vorzunehmen. Neben dem geheimen Schl\u00fcssel speichern Krypto-Wallets in der Regel auch einen nicht geheimen \u00f6ffentlichen Schl\u00fcssel, der f\u00fcr den Empfang von \u00dcberweisungen verwendet wird.<\/p>\n

Es gibt mehrere M\u00f6glichkeiten, einen privaten Schl\u00fcssel zu speichern:<\/strong><\/p>\n

    \n
  1. Verschl\u00fcsselt auf dem Server. Hierbei handelt es sich um Online- oder Depot-Wallets, die von bekannten B\u00f6rsen wie Binance und Coinbase angeboten werden.<\/li>\n
  2. In einer mobilen App auf einem Computer oder Smartphone.<\/li>\n
  3. Auf einem separaten Offline-Ger\u00e4t.<\/li>\n
  4. Als alphanumerische Sequenz, die auf ein Blatt Papier geschrieben wird.<\/li>\n<\/ol>\n

    Im ersten und zweiten Fall wird der Schl\u00fcssel immer online gespeichert; daher kann er jederzeit zum Signieren einer Transaktion in der Blockchain verwendet werden. Dies sind sogenannte \u201eHot Wallets\u201c.<\/p>\n

    Um mit den Optionen drei und vier Geld zu senden, sind bestimmte zus\u00e4tzliche Aktionen erforderlich: Sie m\u00fcssen Ihr Ger\u00e4t an einen Computer oder ein Telefon anschlie\u00dfen oder Informationen auf Papier eingeben. Dies sind \u201eCold\u201c Wallets.<\/p>\n

    Ein dediziertes, eigenst\u00e4ndiges Ger\u00e4t zur Aufbewahrung von Schl\u00fcsseln wird als Hardware-Wallet bezeichnet; Anwendungen zur Speicherung von Schl\u00fcsseln auf normalen Computern und Smartphones sind Software-Wallets.<\/p>\n

    Eine Kombination aus diesen beiden Varianten bietet eine weitere praktikable \u2013 wenn auch etwas exotische \u2013 Option: die Speicherung des Schl\u00fcssels in einem separaten Smartphone, das stets offline gehalten wird. Die Mischung ergibt ein Software-Wallet, obgleich es sich um ein Cold Wallet handelt.<\/p>\n

    Kurz ein paar Worte zu Paper Wallets. Ein Paper-Wallet ist ein ausgedrucktes Exemplar Ihres Schl\u00fcssels und\/oder Ihrer Seed-Phrase (mehr dazu sp\u00e4ter), und seine Verwendungszwecke beschr\u00e4nken sich auf den Empfang von Geldern oder die Nutzung als Backup. Um Ihr Geld zu verwenden, m\u00fcssen Sie Ihren privaten Schl\u00fcssel an eine Online-Softwarel\u00f6sung \u00fcbermitteln. Dann wird aus Ihrem Cold Wallet ein Hot Wallet.<\/p>\n

    \u00a0<\/p>\n

    Arten von Hardware-Wallets<\/h2>\n

    Hardware-Wallets sehen meist aus wie USB-Sticks oder sperrige Autoschl\u00fcssel. In der Regel verf\u00fcgen sie \u00fcber ein Display zur Transaktionskontrolle. Um eine Transaktion zu signieren, wird das Wallet an einen Computer oder ein Smartphone angeschlossen, eine \u00dcberweisung vom Computer oder Smartphone aus veranlasst, die Informationen auf dem Display des Wallets \u00fcberpr\u00fcft und die Aktion durch Eingabe des PIN-Codes oder einfaches Dr\u00fccken einer Taste best\u00e4tigt. Der Hauptvorteil von Hardware-Wallets besteht darin, dass sie Vorg\u00e4nge signieren, ohne dass Ihr privater Schl\u00fcssel an den Computer gesendet wird \u2013 dadurch sind die Daten vor einfachen Diebstahlsmechanismen gesch\u00fctzt.<\/p>\n

    Au\u00dferdem enthalten viele Wallets zus\u00e4tzliche Funktionen und k\u00f6nnen als Hardware-Schl\u00fcssel f\u00fcr die Zwei-Faktor-Authentifizierung verwendet werden.<\/p>\n

    Es gibt auch Wallets, die einer Bankkarte \u00e4hneln, und Wallets, die dem Format eines \u201eOffline-Telefons\u201c gleichkommen, die aber weniger verbreitet sind. Letztere haben einen funktionsf\u00e4higen Bildschirm und erm\u00f6glichen die Signierung von Transaktionen durch Scannen von QR-Codes. Viele dieser Modelle haben au\u00dfer dem Anschluss f\u00fcr das Ladeger\u00e4t keinerlei weitere Schnittstellen, sodass sie mit Ausnahme der Kamera und des Bildschirms nicht mit der Au\u00dfenwelt verbunden sind.<\/p>\n

    Risiko Nr. 1: Verlust oder Zerst\u00f6rung<\/h2>\n

    F\u00fcr die Besitzer von Hardware-Wallets besteht das offensichtlichste Risiko darin, dass sie dieses verlieren k\u00f6nnten. Um das Wallet gegen unbefugte Nutzung zu sch\u00fctzen \u2013 zum Beispiel bei Verlust \u2013 sollten Sie einen PIN-Code oder biometrische Daten verwenden: Diese m\u00fcssen in Ihrem Wallet aktiviert werden. Anders als bei Handys und Bankkarten k\u00f6nnen lange PINs verwendet werden \u2013 bei manchen Modellen bis zu 50 Ziffern; denken Sie daran: je l\u00e4nger \u2013 desto besser.<\/p>\n

    Eine physische Zerst\u00f6rung des Wallets f\u00fchrt auch zur Zerst\u00f6rung der darauf gespeicherten Daten, daher ist es wichtig, ein Backup der privaten Schl\u00fcssel zu haben. Eine solche Kopie wird bei der Erstellung des Krypto-Wallets erstellt: in Form der so genannten Seed-Phrase, die aus einer Reihe von 12 oder 24 englischen W\u00f6rtern besteht. Durch Eingabe dieser W\u00f6rter in der richtigen Reihenfolge k\u00f6nnen Sie sowohl Ihren \u00f6ffentlichen als auch Ihren privaten Schl\u00fcssel neu generieren. Die Erstellung der Seed-Phrase ist bei den meisten Blockchain-L\u00f6sungen standardisiert (BIP39-Algorithmus), d. h. selbst wenn z. B. ein Ledger-Wallet verloren geht, k\u00f6nnen Sie Ihre Daten auf einem Hardware-Wallet eines anderen Anbieters, z. B. Trezor, oder einem der \u201eHot\u201c Software-Wallets wiederherstellen.<\/p>\n

    Es ist wichtig, die Seed-Phrase nicht in einer leicht zug\u00e4nglichen digitalen Form zu speichern, wie z. B. in Form eines Fotos auf Ihrem Handy, einer Textdatei oder \u00e4hnlichem. Im Idealfall sollte sie auf Papier aufgeschrieben und an einem sehr sicheren Ort wie einem Schlie\u00dffach oder einem Tresor aufbewahrt werden. Noch wichtiger ist es, die Seed-Phrase an niemanden weiterzugeben, da ihre einzige Funktion darin besteht, Ihr verlorenes Krypto-Wallet wiederherzustellen.<\/p>\n

    Risiko Nr. 2: Phishing und Betrug<\/h2>\n

    Eine Hardware-Wallet sch\u00fctzt in keiner Weise vor Social Engineering. Wenn sich das Opfer freiwillig dazu entscheidet, eine Transaktion vorzunehmen oder seine Seed-Phrase einem falschen \u201eSpezialisten f\u00fcr den technischen Support von Krypto-Wallets\u201c mitzuteilen, ist das gesamte Geld weg, v\u00f6llig unabh\u00e4ngig davon, welche Hardware-Schutzma\u00dfnahmen ergriffen wurden. Menschen sind erfinderisch, wenn es um Betrug geht: Die T\u00e4uschungsman\u00f6ver \u00e4ndern sich laufend. Einige Beispiele daf\u00fcr sind etwa E-Mails zu Datenlecks<\/a>, die an Besitzer von Hardware-Krypto-Wallets geschickt werden, oder gef\u00e4lschte Websites<\/a>, die als perfekte Nachbildungen bekannter Kryptow\u00e4hrungsb\u00f6rsen oder Krypto-Wallet-Anbieter konzipiert sind.<\/p>\n

    Um Schlimmeres zu verhindern, ist Wachsamkeit erforderlich \u2013 und sogar paranoides (im positiven Sinne) Misstrauen gegen\u00fcber allem Unerwarteten. Eine gro\u00dfe Hilfe ist auch das integrierte Cybersicherheitssystem f\u00fcr Computer und Smartphones<\/a>, das das Risiko, eine Phishing-Seite zu besuchen, nahezu auf Null reduziert.<\/p>\n

    Risiko Nr. 3: Malware<\/h2>\n

    Ein von einem Virus infizierter Computer oder Smartphone stellt eine h\u00e4ufige Ursache f\u00fcr den Verlust von Kryptow\u00e4hrungs-Investitionen dar. Wenn das Opfer ein Online-Wallet (Hot Wallet) verwendet, k\u00f6nnen die Kriminellen den privaten Schl\u00fcssel entwenden und eigenst\u00e4ndig alle Transaktionen durchf\u00fchren, die sie ben\u00f6tigen, um das Wallet zu r\u00e4umen. Der Trick funktioniert nicht mit einem Hardware-Wallet, aber in diesem Fall k\u00f6nnen andere Angriffsvektoren genutzt werden. Sobald das Opfer eine legitime Transaktion t\u00e4tigt, kann die Malware beispielsweise die Adresse des Ziel-Wallets ersetzen, um so das Geld an die Kriminellen umzuleiten. Die Malware \u00fcberwacht dazu die Zwischenablage und ersetzt die eigentliche Wallet-Adresse durch die Adresse der Krypto-Wallets der Betr\u00fcger<\/a>, sobald sie dorthin verschoben wird.<\/p>\n

    Die Bedrohung l\u00e4sst sich bis zu einem bestimmten Ma\u00df abschw\u00e4chen, indem die Adressen, die in einem Hot-Wallet oder auf dem Display eines Cold-Wallet angezeigt werden, sorgf\u00e4ltig abgeglichen werden. Je nach Ger\u00e4t k\u00f6nnen jedoch auch andere Probleme ins Spiel kommen: Bei vielen Hardware-Wallets ist das Display zu klein, um lange Blockchain-Adressen angemessen zu lesen. Und weil die Integration des Hardware-Wallets in die Computer-Anwendung auch anf\u00e4llig f\u00fcr Angriffe sein kann, kann sogar die auf dem Computerbildschirm angezeigte Adresse gef\u00e4lscht<\/a> werden.<\/p>\n

    Die beste Strategie ist es, Ihren Computer- oder Smartphone-Schutz<\/a>\u00a0<\/strong>zu erweitern, um Malware abzuwehren.<\/p>\n

    Risiko Nr.4: gef\u00e4lschte und modifizierte Wallets<\/h2>\n

    Der Kauf eines Hardware-Wallets ist ebenfalls mit Vorsicht zu genie\u00dfen: Schon ab Werk befinden sich diese Ger\u00e4te im Fadenkreuz von Kriminellen. Es liegen Berichte \u00fcber Krypto-Wallet-K\u00e4ufer vor, die USB-Speichersticks mit Trojaner-Payloads<\/a>, gef\u00e4lschte Ger\u00e4te mit modifizierter Firmware oder einen \u201ekostenlosen Ersatz f\u00fcr ein defektes Ger\u00e4t im Rahmen der Garantie<\/a>\u201c erhalten haben.<\/p>\n

    Um derartige Bedrohungen zu umgehen, sollten Sie Krypto-Wallets niemals aus zweiter Hand, \u00fcber Online-Kleinanzeigen oder bei Online-Versteigerungen kaufen. Bestellen Sie sie immer \u00fcber die offiziellen Online-Shops der Anbieter. Sobald das Paket eintrifft, sollten Sie das Ger\u00e4t auf Sch\u00e4den untersuchen (Klebereste, Kratzer, Spuren von Manipulationsversuchen) und mit der Beschreibung auf der offiziellen Website abgleichen, wo f\u00fcr gew\u00f6hnlich die wichtigsten Authentizit\u00e4tsmerkmale aufgef\u00fchrt sind und Empfehlungen gegeben werden, wie man eine Nachahmung erkennen kann.<\/p>\n

    Risiko Nr.5: physisches Hacking mit Speicher-Analyse<\/h2>\n

    Dies ist die exotischste \u2013 aber nicht die unwahrscheinlichste \u2013 Bedrohung. Viele Attacken auf g\u00e4ngige Wallet-Modelle (eins<\/a>, zwei<\/a>, drei<\/a>, vier<\/a>) basieren auf der Tatsache, dass man die Firmware manipulieren, den Speicher auslesen oder die Daten\u00fcbertragung zwischen den Komponenten des Ger\u00e4ts st\u00f6ren kann, indem man das Ger\u00e4t physisch auseinander nimmt und dessen Schaltungselemente an spezielle Ger\u00e4te anschlie\u00dft. Dadurch ist es m\u00f6glich, den privaten Schl\u00fcssel oder seine leicht verschl\u00fcsselte Version innerhalb von Minuten zu extrahieren.<\/p>\n

    Gegen dieses Risiko kann man sich in zweierlei Weise sch\u00fctzen. Erstens: Achten Sie besonders auf die physische Sicherheit Ihres Wallets, sch\u00fctzen Sie es vor Diebstahl, und lassen Sie es nie unbeaufsichtigt. Zweitens sollten Sie zus\u00e4tzliche Schutzma\u00dfnahmen, wie z. B. die Verwendung einer Passphrase<\/a> in Trezor-Wallets, nicht ignorieren.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

    Hardware-Krypto-Wallets sind zwar ein effektiver Schutz f\u00fcr Ihre Kryptow\u00e4hrung, k\u00f6nnen aber dennoch missbr\u00e4uchlich behandelt werden. Wir gehen auf die Risiken ein, vor denen sich ihre Besitzer sch\u00fctzen m\u00fcssen.<\/p>\n","protected":false},"author":2722,"featured_media":30110,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[10],"tags":[274,142,872,1400,2744,4062,2944,2745,3993,125,1654],"class_list":{"0":"post-30109","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"tag-bedrohungen","9":"tag-betrug","10":"tag-bitcoin","11":"tag-blockchain","12":"tag-ethereum","13":"tag-hardware-wallet","14":"tag-krypto-wallet","15":"tag-kryptowahrungen","16":"tag-nft","17":"tag-passworter","18":"tag-tips"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/five-threats-hardware-crypto-wallets\/30109\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/five-threats-hardware-crypto-wallets\/25547\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/five-threats-hardware-crypto-wallets\/20968\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/five-threats-hardware-crypto-wallets\/10658\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/five-threats-hardware-crypto-wallets\/28153\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/five-threats-hardware-crypto-wallets\/25844\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/five-threats-hardware-crypto-wallets\/26308\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/five-threats-hardware-crypto-wallets\/28724\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/five-threats-hardware-crypto-wallets\/35157\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/five-threats-hardware-crypto-wallets\/11425\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/five-threats-hardware-crypto-wallets\/47971\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/five-threats-hardware-crypto-wallets\/20486\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/five-threats-hardware-crypto-wallets\/21239\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/five-threats-hardware-crypto-wallets\/33863\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/five-threats-hardware-crypto-wallets\/26166\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/five-threats-hardware-crypto-wallets\/31854\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/five-threats-hardware-crypto-wallets\/31538\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/krypto-wallet\/","name":"Krypto-Wallet"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30109","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=30109"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30109\/revisions"}],"predecessor-version":[{"id":30114,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30109\/revisions\/30114"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/30110"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=30109"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=30109"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=30109"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}