Bitcoins sind aktuell auf einem Höchststand (mehr als 300 US-Dollar!) und werden von immer mehr Händlern angenommen. Gut so, schließlich will ich meine BTCs an mehr Stellen ausgeben. Mit der Popularität, Windows-Nutzer kennen das, kommt allerdings auch das Gesindel aus den Ecken gekrochen um euch eure Bitcoins zu stehlen.
22 Bitcoins hier, 4100 BTCs dort – /r/Bitcoin ist voll von Geschichten von kleineren und größeren Diebstählen und „Hacks“. Der Großteil ließe sich aber, meiner Meinung nach, mit einer ordentlichen Sicherheitsstrategie vermeiden.
Grundlagen
Zunächst die wichtigsten Grundlagen:
Updates: Egal ob Betriebssystem, Treiber, Java, Browser, Flash etc pp – haltet euer System aktuell. Sicherheitslücken sind die Einfallstore Nummer 1. Nach jedem Update sind die Schwachstellen offengelegt, selbst mit wenigen Kenntnissen lassen sich Attacken neu schreiben oder anpassen.
Virenschutz: Ihr glaubt noch immer, dass ihr euer (Windows- oder Mac-)System ohne Anti-Virus sicher betreiben könnt? Ha. Vergesst es. Und vergesst dabei gleich noch irgendwelche kostenlosen AV-Lösungen. Die Entwicklung der Programme, der Gegenmaßnahmen und der Signaturen kostet Geld. Mein Tipp: Nehmt einen Teil eurer BTCs, wechselt sie in Euros und holt euch einen Anti-Virus von F-Secure, Kaspersky, Norton, Nod32, McAfee, Avira, Bitdefender usw usf. Tests und Vergleiche gibt es im Web genug.
Ordentliche Passwörter: Gewöhnt euch an, starke Passwörter zu nutzen. Egal wo. Windows-Login? Passwort. Smartphone-Sperrbildschirm? Passcode. Und weil es zu viele Passwörter sind, um sie sich zu merken, nutzt einen Passwort-Safe. Ich mag LastPass, wer Informationen lieber lokal speichert, der sollte sich KeePass oder Password Safe von Bruce Schneier ansehen.
Bitcoins sicher speichern
Meine Taktik für den sicheren Umgang mit Bitcoins ist ähnlich wie meine Taktik für Bargeld: Verteilen. Nicht alles an einem Ort aufheben.
Ich habe mehrere unterschiedliche Wallets, basierend auf unterschiedlichen Clients. Auf meinem PC läuft Multibit und Armory, Electrum werde ich demnächst mit ausprobieren. Armory ist deutlich langsamer als Multibit, aber deutlich mehr auf Sicherheit ausgelegt (ihr ladet u.a. die komplette Blockchain, so dass ihr nicht auf einen Drittanbieter angewiesen seid). Dazu gehören auch Funktionen zu einem Paper-Backup der Wallet, mit dem sich die Wallet notfalls wiederherstellen lässt.
Beide Wallets sicher ich mit starken Passwörtern. Und das bedeutet 64 oder mehr Zufallszeichen, die mir LastPass erstellt. Natürlich merke ich es mir nicht, sondern lasse es von LastPass speichern. Gut, hier wäre theoretisch ein möglicher Angriffspunkt, allerdings sind meine anderen Kennwörter auch bei LastPass und ich schütze den Zugriff zusätzlich mit einem YubiKey, der mir eine Zwei-Faktor-Authentifizierung bietet.
Bitcoins verwenden
Multibit hat nur einen kleinen Bruchteil meiner BTCs gespeichert, der Hauptteil liegt in mehreren Armory-Wallets, alle mit unterschiedlichen Schlüsseln gesichert sind. Das ist quasi mein eigener Safe. Für Unterwegs habe ich noch die Blackberry-Bitcoin-App als digitalen Geldbeutel. Normalerweise schicke ich Geld aus der Armory direkt zu Multibit oder zur mobilen App, von dort aus bezahle ich dann in der Niederlassung oder online.
Ihr seht meine Taktik: Verteilen. Damit minimiere ich, hoffentlich, die Angriffsfläche. Selbst wenn eine meiner Wallets geknackt wird, die Ausbeute ist minimal. Der Nachteil ist natürlich, dass ich die Bitcoins entsprechend zwischen den Systemen transferieren muss. Diese kleine Unbequemlichkeit nehmen ich aber gerne in Kauf, wenn es bedeutet, dass meine Bitcoins schwerer zu stehlen sind.
Mein Problem mit Webwallets
Wallet-Dienste im Web klingen zunächst super praktisch: Wie bei Webmail habe ich überall darauf Zugriff und kann entsprechend flexibel reagieren. Allerdings: Ich persönlich bin kein Fan von Webwallets, sie sind zu große Ziele für Kriminelle. Hey, wenn nicht einmal Adobe seine Kundendaten sichern kann, wieso sollte es dann einem kleinen Unternehmen oder einem Team von Entwicklern gelingen? Ich weiß, das klingt alles sehr negativ, aber hier geht es um Geld.
Weiterlesen
Ein guter Anlaufpunkt für Themen rund um Bitcoin ist übrigens Reddit, genauer gesagt Reddit/r/Bitcoin. Dort gibt es auch einen Security-Guide, der meine Punkte noch weiter ausführt. Wenn ich irgendwo falsch liege oder ihr weitere Tipps habt – ab in die Kommentare damit.
Bild-Credits:
Screenshot, bzw Andreas Schildbach. Aufmacherbild aus dem Pressebereich von Bitcoin.org
[…] dass sich die Seite mittelfristig davon erholen wird. Und mich bestätigt es in meiner Meinung: Web-Wallets für Bitcoins (und LiteCoins und DogeCoins und und uns) sind Mist. Macht das nicht, zumindest nicht für den Großteil eurer AltCoins. Nutzt lokale Wallets und nehmt […]