Die Vertraunswürdigkeit von Wallet Anbietern

in #blockchain6 years ago

david-shares-630745-unsplash.jpg
Um diese zu beurteilen, kann man je nach Wallet-Art unterschiedliche Aspekte mit einbeziehen. Die folgende Auflistung soll einen Überblick geben, welche Kriterien von einem Wallet Herausgeber erfüllt sein sollten, um ein hohes Maß an Vertrauenswürdigkeit zu erzielen. Im Detail wird auf folgende Aspekte eingegangen:

· Rechtliche Aspekte: natürliche oder juristische Personen, Rechtsraum und Versicherung
· Aktivität des Anbieters: Regelmäßigkeit von Updates, Interaktion mit der Community und der Kundenservice
· Durchführung von Sicherheitsüberprüfungen von externen Dienstleistern
· Nutzerzahlen, Feedback der Nutzer und Dauer am Markt
· Vergangene Hacks, Bugs oder sonstige Sicherheitsprobleme
· Verbindung zur Krypto-Community
· Open Source Klassifizierung

Ø Rechtliche Aspekte
Wer ist der Herausgeber der Software und handelt es sich um eine natürliche oder juristische Person dahinter?
Der Rechtliche Aspekt lässt sich grob in vier unterschiedliche Kategorien unterteilen. Diese können eine Privatperson, eine Stiftung, ein Unternehmen oder ein Zusammenschluss aus Programmierern (Core Team) sein.
In welchem Rechtsraum ist das Unternehmen gemeldet und welche rechtlichen Anforderungen muss es erfüllen?
Unternehmen, welche den Handel zwischen Fiat- (Euro, Dollar..) und Kryptowährungen ermöglichen und somit einen Web-Wallet anbieten, müssen wesentlich mehr rechtliche Vorgaben erfüllen als z.B. ein Desktop Wallet. Des Weiteren ist es wesentlich schwieriger solch eine Lizenz in den USA zu erhalten als in liberalen Rechtsräumen wie den Cayman Islands oder Malta.
Ist der Anbieter rechtlich durch eine Versicherung abgesichert, welche vor Diebstahl der Vermögenswerte schützt?
Dies ist auch nur für Handelsplätze bzw. Anbietern von Web Wallets relevant. Immer wieder wird von Fällen berichtet, in denen Angreifer es schaffen Zugang zu den Hot Wallets der Handelsplätze zu erhalten und somit die Tokens bzw. Coins ergaunern können. Ein verlässlicher Handelsplatz sollte über eine entsprechende Versicherung verfügen, welche mögliche Schäden absichert. Eine Auflistung von bekannten Fällen von Hacks von (Web-) Wallets kannst du hier finden: https://magoo.github.io/Blockchain-Graveyard/

Ø Aktivität des Anbieters
In welcher Regelmäßigkeit sind neue Updates oder Änderungen am Source Code in Github verfügbar?
Unregelmäßige oder gar die Abwesenheit von Updates ist ein schlechtes Zeichen. Es sollten regelmäßig Updates verfügbar sein, welche mögliche Sicherheitslücken schließen, die Benutzerfreundlichkeit erhöhen und neue Funktionen oder Coins bzw. Token integrieren.
Wie interagiert der Anbieter mit seinen Nutzern und welche Kanäle werden dafür genutzt?
Um ein hohes Maß an Transparenz zu bieten sollte ein Wallet Anbieter über mehrere Kommunikationskanäle verfügen, welche regelmäßig genutzt werden, um Informationen an die Nutzer weiterzugeben. Hierfür werden häufig Facebook, Medium, Telegram, Slack, Twitter, Reddit, Discord oder eigene Blogs genutzt. Falls einer der Channel von dem Anbieter nicht genutzt wird, sollte dieser darauf explizit hinweisen, um betrügerischen Aktivitäten abzuwenden.
Welche Art von Kundenservice bietet der der Wallet Anbieter an?
Um spezielle Probleme zu lösen ist häufig ein Kundenservice notwendig. Vor allem für unerfahrene Nutzer, welche ihre Fragen nicht zwingend in öffentlichen Foren posten möchten. Die offizielle Website sollte einen FAQ bzw. über einen Support Bereich verfügen, welcher Anleitungen und Hilfestellung bei häufigen Problemen liefert. Das Support-Team sollte jedoch auch in der Lage sein direkt in sozialen Medien Hilfestellung zu leisten. Von den Anbietern werden hierfür Telegram, Slack, Discord, Bitcointalk und Reddit genutzt. Auch ein E-Mail Support wird von einigen Herausgebern angeboten.

Ø Durchführung von Sicherheitsprüfung durch externe Dienstleister
Diese Überprüfungen werden im englischen als Security Audits bezeichnet und helfen den Anbietern Sicherheitsprobleme in der Software zu erkennen. Des Weiteren ist es eine gute Möglichkeit den Nutzern zu demonstrieren, dass der Programmcode das macht wofür er vorgesehen ist. Diese Überprüfung ist durch einen Großteil der Nutzer nicht möglich, selbst wenn der Programmcode öffentlich einsehbar ist. Die gefunden Sicherheitslücken sollten klar kommuniziert und umgehend behoben werden.
Durchgeführt werden diese Überprüfungen von Experten in den Gebieten Software Programmierung und Kryptografie. Durch die Anwendung von speziellen Sicherheitstools, Regelwerken und Sicherheit by Design lässt sich die Software häufig noch weiter optimieren und kleinere Sicherheitslücken, welche von den Programmieren übersehen worden, schließen.

Ø Nutzerzahlen, Feedback der Nutzer und Dauer am Markt
Die Anzahl der Nutzer ermöglicht eine grobe Einschätzung der Seriosität des Anbieters. Wenn ein Anbieter mehrere Millionen Nutzer hat illustriert dies die Erfüllung der anderen Indikatoren. Jedoch sollte die Zahl mit Skepsis betrachtet werden, da die Zahlen zumeist von den Anbietern selber kommen.
Das Feedback der Nutzer durch soziale Medien gibt einen groben Eindruck, mit welchen Problemen andere Nutzer zu kämpfen haben oder welche Funktionen diese besonders schätzen. Auch eine kurze Google Suche mit dem Namen des Wallet Anbieters in Kombination mit dem Wort „scam" (Betrug) gibt einen Einblick, ob sich die Krypto-Community gegen oder hinter den Anbieter stellt.
Die Dauer am Markt ist auch ein wichtiger Indikator. Wenn ein Wallet Anbieter z.B. seit 2011 am Markt ist und sich immer um sein Produkt und dessen Funktion gekümmert hat, wird er dies mit großer Wahrscheinlichkeit weiterhin tun. Von Anbietern, welche komplett neu am Markt sind und man noch wenig Informationen von der Community hat, sollte man absehen oder nur kleine Beträge zum Test verwenden.

Ø Vergangene Hacks, Bugs oder sonstige Sicherheitsprobleme
Ob nun Ledger, Exodus oder Jaxx, zu jedem Anbieter lassen sich Berichte über Sicherheitslücken finden. Diese sind jedoch meist sehr schwierig von Angreifern umzusetzen oder haben keine Verbindung mit dem genutzten Anbieter. Wichtig ist hierbei wie Anbieter darauf reagieren und wie versucht wird die potenziellen Angriffe abzuwenden. Der Schutz der Anwender sollte für jeden Anbieter erste Priorität haben.

Ø Verbindung zur Krypto-Community
Wenn eine Wallet von Personen herausgegeben wird, welche bereits durch andere Projekte bekannt sind und sich somit innerhalb der Community schon etabliert hat, ist dies ein guter Indikator für die Vertrauenswürdigkeit. Ein gutes Beispiel hierfür ist Atomic Wallet, welche noch relativ neu ist. Die Multi-Coin-Wallet wird unter anderem von Konstantin Gladych herausgegeben, welcher als CEO von Changelly bekannt ist. Auch Charlie Shrem als Mitgründer von BitInstant und Mitgründer der Bitcoin Foundation hat sich innerhalb der Community einen Namen gemacht.

Ø Open Source Klassifizierung des Wallets
Unter dem Begriff Open Source ist die öffentliche Zugänglichkeit des Quellcodes der Programmierung gemeint. Anstatt die Software zu kompilieren und die fertige Maschinensprache als Download bereit zu stellen, ist hier die Programmierung in der ursprünglichen Programmiersprache für jeden einsehbar und somit theoretisch größerer Kontrolle ausgesetzt. Aktuell lassen sich die Herausgeber der Wallets in vier unterschiedliche Open Source Kategorien aufteilen:

  1. Core Team, welches den Quellcode öffentlich publiziert und zum Download anbietet.
  2. Stiftungen, Gründungen und Vereine mit transparenter Verbindung zum Projekt.
  3. Individuum oder Unternehmen, welche ihren Quellcode veröffentlichen.
  4. Individuum oder Unternehmen, welche keine Einsicht in die Programmierung gewähren oder nur bestimmte Teile veröffentlichen.

Nr. 1: Core Team, welches den Quellcode öffentlich publiziert und zum Download anbietet.
Die Zusammenarbeit unterschiedlicher Entwicklergemeinschaften auf öffentlichen Plattformen ist seit Jahren Standard. Es ist für jeden möglich neuen Programmcode als Vorschlag zu deklarieren. Dieser wird dann von der Gemeinschaft angenommen oder abgelehnt. In der Vergangenheit hat dies sehr gut funktioniert. Diese Core Teams bestehen nicht zwingend nur aus Programmierern, sondern haben auch die Hilfe von Personen, welche sich um Tests, Dokumentation, Übersetzungen und Recherche kümmern. Eine besondere Rolle hierbei haben die sogenannten Projekt Instandhalter, welche sich um die Zusammensetzung einzelner Software Abschnitte kümmern.

Nr. 2: Stiftungen, Gründungen und Vereine mit transparenter Verbindung zum Projekt.
Das beste Beispiel für eine Stiftung fokussiert auf die Entwicklung eines wirtschaftlichen Ökosystems, welches auf der Blockchain Technologie basiert, ist die Ethereum Foundation. Diese hat ihren Sitz in Zug in der Schweiz. Die Mission der Stiftung ist es die Ethereum Plattform zu unterstützen und die Entwicklung der Grundstruktur der Software und deren Forschung voranzutreiben. Die Projekte, welche von der Foundation unterstütz werden, sind jeweils über GitHub im Detail einzusehen.

Nr. 3: Individuum oder Unternehmen, welche ihren Quellcode veröffentlichen.
Der Fakt, dass der Quellcode der Software öffentlich gemacht wird, ermöglicht es potenziellen Schadcode sofort zu entdecken. Jedoch kann man sich auch erst ab einer bestimmten Größe der Community darauf verlassen, dass jemand die Programmierung überprüft hat. Auch sollte man darauf achten, dass die fertige Software, welche man herunterlädt, mit dem veröffentlichten Code auf GitHub übereinstimmt. Hier empfiehlt sich ein Download direkt über GitHub. Die Veröffentlichung der Programmierung bringt zwar Transparenz, jedoch auch das Problem, dass Dritte die Software kopieren und mit zusätzlichem Schadcode auf anderen Plattformen veröffentlichen können. Dies sind dann sogenannte Fake Wallets.

Nr. 4: Individuum oder Unternehmen, welche keine Einsicht in die Programmierung gewähren oder nur bestimmte Teile veröffentlichen.
Diese Wallets basieren zwar auf Open Source, jedoch werden bestimmte Teile der Programmierung nicht veröffentlicht. Der Hintergrund sind die in Nr. 3 erwähnten Fake Wallets. Für Betrüger wird der Prozess der Erstellung eines Fake Wallets wesentlich erschwert. Dies schützt den Endnutzer vor Wallet Software, welche nicht vom ursprünglichen Herausgeber publiziert wurde. Closed Source - also Software, deren Quellcode nicht öffentlich einzusehen ist - kann also nicht einfach kopiert, mit Schadsoftware ausgestattet und auf anderen Plattformen verbreitet werden. Software von Handelsplätzen fällt immer unter diese Kategorie, da diese die Angriffsfläche für Hacker minimieren müssen.

Es gibt also viele Unterschiedliche Kriterien allein für die Vertrauenswürdigkeit der Software, welche berücksichtigt werden müssen. Im Allgemeinen helfen die Erfahrungswerte anderer und der gesunde Menschenverstand, die um sein Kryptovermögen zu schützen.

Es empfiehlt sich auch die Nutzung von Vergleichsportalen für Wallets:
https://bitcoin.org/de/waehlen-sie-ihre-wallet
https://www.cryptocompare.com/wallets/#/overview

Photo by David Shares on Unsplash

Coin Marketplace

STEEM 0.39
TRX 0.12
JST 0.040
BTC 70118.22
ETH 3546.28
USDT 1.00
SBD 4.89