Entwicklung der Informationssicherheit für digitale und Krypto-Vermögenswerte

Finanzdienstleistungen

Digitale Finanzinstrumente wie Bitcoin etablieren sich zunehmend als ergänzende Bestandteile in den Portfolios sowohl privater als auch institutioneller Investoren. Obwohl sich diese Entwicklung noch in einem frühen Stadium befindet, zeigt beispielsweise die Ankündigung der digital nativen JPM Coin von JP Morgan für den Transfer institutioneller Gelder, dass digitale Wertpapiere auf Blockchain-Basis künftig eine wachsende Rolle im Finanzsektor spielen werden. Finanzinstitute sollten diese Entwicklung aufmerksam verfolgen, denn digitale Vermögenswerte wie Kryptowährungen bringen neue Herausforderungen im Bereich der Informationssicherheit mit sich.

Traditionell lag der Fokus der Informationssicherheit bei Finanzinstituten auf dem Schutz von Kundendaten, der Abwehr von Cyberangriffen und der Betrugsbekämpfung. Wenn digitale Vermögenswerte ins Spiel kommen, müssen jedoch zusätzliche Sicherheitsaspekte und spezifische Verfahren berücksichtigt werden. Dies liegt vor allem daran, dass sich Form, Struktur, Aufbewahrung und Transaktionsweise digitaler Assets wesentlich von klassischen Finanzinstrumenten unterscheiden.

Eine neue Architektur mit neuen Sicherheitsanforderungen

Bitcoin hat eine neue Systemarchitektur zur Übertragung von Werten in digital nativer Form eingeführt. Dies wurde durch den innovativen Einsatz verteilter Systeme, neuer ökonomischer Anreizmodelle und Kryptografie ermöglicht. Insbesondere die Anwendung kryptografischer Verfahren bringt zusätzliche Komplexität im Hinblick auf die Informationssicherheit von Unternehmen mit sich. Firmen müssen diese neue Architektur verstehen und geeignete Prozesse und Systeme entwickeln, um den daraus resultierenden Anforderungen gerecht zu werden.

Darüber hinaus ähneln digitale Wertpapiere in vielerlei Hinsicht Bargeld, also einem Inhaberpapier. Das bedeutet, dass der Wert zum Zeitpunkt des physischen Austauschs unwiderruflich übertragen wird. Finanzinstrumente wie Aktien und Obligationen wurden früher ebenfalls in Inhaberform geliefert und aufbewahrt – das ist heute nicht mehr der Fall. Die Innovation von Bitcoin bestand darin, erstmals ein digitales Inhaberinstrument zu schaffen. Mit dieser neuen Anlageklasse gehen neue Risiken einher, insbesondere die Gefahr einer unwiderruflichen Übertragung im Umfeld des schnellen und jederzeit zugänglichen digitalen Raums.

Unwiderrufliche Transaktionen erfordern höchste Sicherheitsstandards

Transaktionen mit digitalen Instrumenten werden über sogenannte Software-Wallets verwaltet und ausgeführt. Diese Wallets übernehmen mehrere Funktionen: Sie kommunizieren mit der Blockchain, senden Transaktionen ins Netzwerk und verwalten die Berechtigung zur Durchführung von Transaktionen in einem bestimmten Konto mithilfe eines privaten, kryptografisch gesicherten Schlüssels. Zusätzlich verfügen Wallets über einen öffentlich sichtbaren Schlüssel, der den privaten ergänzt. Der private Schlüssel wird genutzt, um den öffentlichen Schlüssel zu erzeugen („Hashing“). Der öffentliche Schlüssel funktioniert ähnlich wie eine IBAN oder Kontonummer – er stellt eine Adresse für Transaktionen dar, verleiht aber keine Zugriffsrechte auf das Guthaben. Transaktionen können nur mithilfe des privaten Schlüssels eines Kontos ausgeführt werden.

Jede Person, die im Besitz des privaten Schlüssels ist, kann frei über das entsprechende Konto verfügen. Da es sich bei digitalen Vermögenswerten um Inhaberpapiere handelt, sind Transaktionen nach ihrer Ausführung nicht mehr rückgängig zu machen. Die Kontrolle über den privaten Schlüssel ist daher aus sicherheitstechnischer Sicht von höchster Bedeutung. In der Blockchain-Community heisst es: „Wer den privaten Schlüssel nicht besitzt, besitzt auch die Vermögenswerte nicht.“ Und das Gegenteil gilt ebenso: Wer den Schlüssel besitzt, kontrolliert die Assets uneingeschränkt.

Strategien zur Risikominderung

Finanzinstitute sollten über ausgefeilte, offline basierte Speicherlösungen und Sicherheitsprozesse verfügen – unter anderem über das sogenannte „Cold Storage“. Darunter versteht man die Aufbewahrung des privaten Schlüssels auf eine Weise, die vollständig vom Internet getrennt ist, im Gegensatz zur „Hot Storage“-Variante, bei der sich der private Schlüssel auf einem mit dem Internet verbundenen Gerät befindet. Ein einfaches Beispiel für Cold Storage ist das handschriftliche Notieren des privaten Schlüssels auf einem Blatt Papier. Wichtig ist: Die Bitcoin-Blockchain selbst unterscheidet nicht zwischen einem Cold oder Hot Wallet.

Cold Storage ermöglicht darüber hinaus mehrere Sicherheitsschichten. Dazu gehören etwa zusätzliche Verschlüsselungen, physische Sicherheitsmassnahmen auf hohem Niveau sowie Schutzmechanismen gegen Umwelteinflüsse. Ausserdem können Transaktionen so konfiguriert werden, dass sie mehrere Signaturen erfordern, was eine weitere Schutzebene darstellt. All diese Massnahmen sind selbstgewählte Kontrollmechanismen, mit denen der Eigentümer den Zugang zu seinen privaten Schlüsseln absichert.

Wenn sich Finanzinstitute in Richtung digitaler Wertpapiere bewegen, müssen sie sich bewusst sein, dass Form und Struktur dieser Instrumente sich grundlegend von traditionellen Vermögenswerten unterscheiden und daher neue Sicherheitsansätze erforderlich machen. Sollte es einem Angreifer, sei es intern oder extern, gelingen, den privaten Schlüssel zu stehlen, ist es höchst wahrscheinlich, dass die Vermögenswerte dauerhaft verloren sind. Noch nie war eine zufällige Zeichenfolge so attraktiv für Hacker wie heute.     

Der Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit

Je mehr Schutzmassnahmen für den Zugriff auf private Schlüssel implementiert werden, desto aufwendiger wird die Abwicklung des täglichen Geschäfts. Werden hingegen zu wenige Kontrollen eingesetzt, steigt das Risiko, dass die Vermögenswerte leichtes Spiel für Hacker und Diebe sind. Es gibt daher keine Standardlösung für das Management privater Schlüssel und den Schutz digitaler Wertpapiere. Ein Institut sollte sich folgende Fragen stellen, um den tatsächlichen Sicherheitsbedarf und die erforderlichen Prozesse richtig zu definieren:

  • Woher stammen Ihre digitalen Vermögenswerte?
  • Was ist die optimale Speicherstrategie – direkte Verwahrung oder über einen Drittanbieter?
  • Wenn Sie Ihre Vermögenswerte selbst verwahren, welche Strategie verfolgen Sie, um sicherzustellen, dass sie nicht gestohlen werden?
  • Wenn Sie einen Drittanbieter beauftragen, welche Sicherheiten erhalten Sie, um zu gewährleisten, dass dieser über angemessene Sicherheitskontrollen verfügt?

Die Auseinandersetzung mit diesen Fragen und die Zusammenarbeit mit einem Sicherheitspartner der diese neue Anlageklasse versteht ermöglichen die Entwicklung einer individuellen Verwaltungslösung. Ziel ist es die digitalen Vermögenswerte wirksam zu schützen und den Geschäftsablauf nicht zu beeinträchtigen.

Verfasst von:  Jay Schulman – Principal RSM US

Unsere Experten für Steuern, Recht und Kryptowährung
Daniel Spitz
Managing Partner, Head of Tax Switzerland
View profile
Genf
Lausanne
+41 21 311 00 53
Christoph Pauli
Partner Tax & Legal
View profile
Zürich
+41 43 488 51 73
Benjamin Chessex
Senior Manager | Corporate Tax & Private Client Services
View profile
Lausanne
+41 21 311 00 53
Flavio Bolli
Senior Manager Tax & Legal
View profile
Zürich
+41 43 488 51 51

Weitere Einblicke zu Steuern & Recht