Es gibt keine universelle Lösung für alle Fälle, aber wir versuchen, Tipps zu geben, die fast immer zutreffen. Die konkrete Umsetzung der Architektur sollte auf Basis Ihrer Bedürfnisse und Risiken geplant werden. Dieser Artikel kann als Checkliste zur Überprüfung verwendet werden.
Empfehlungen zur Organisation der Aufbewahrung von Kryptowährungen und Token
Legen Sie nicht alle Eier in einen Korb! Teilen Sie Ihre Gelder auf und bewahren Sie die Gelder, die Sie in naher Zukunft nicht verwenden möchten, in einer Cold Wallet auf. Bei Bedarf können mehrere Cold Wallets vorhanden sein. Beispielsweise befindet sich ein Teil des Geldes in einem Hardware-Wallet, ein Teil in einem Multi-Signatur-Wallet und ein Teil in Form eines privaten Schlüssels in einem Krypto-Container mit einem starken Passwort. Bei wirklicher Gefahr können Sie sogar 1 oder 2 passieren.
Separate Computer für Krypto. Wenn Sie mit Krypto-Assets arbeiten, deren Kosten um ein Vielfaches höher sind als die Kosten für ihre Speichereinrichtungen, dann weisen Sie separate Computer zu, die für nichts anderes verwendet werden. Es ist besser, auf einem anderen Computer im Internet zu surfen, Spiele zu spielen und gesendete Dokumente zu bearbeiten.
Nichts Überflüssiges. Auf Wallet-Computern sollte keine Software von Drittanbietern installiert sein, ganz zu schweigen von Windows, das mit einem Crack von C001_][aker's gehackt wurde. Nur bewährte Distributionen des Herstellers.
Fehlertoleranz. Das größte Ärgernis in Sachen Fehlertoleranz ist der Festplattenausfall. Die restlichen Teile im Computer werden in der Regel schnell und ohne besondere Konsequenzen ausgetauscht. Bei Festplatten lässt sich Systemfehlertoleranz am einfachsten über RAID-Arrays mit Spiegelung erreichen. Grob gesagt ist dies der Fall, wenn zwei Festplatten installiert sind, auf denen Schreib- und Lesevorgänge parallel stattfinden und das System sie als eine Festplatte betrachtet. In diesem Fall geht die Preiserhöhung auf eine Festplatte; der Raid-Controller kann sogar im Motherboard integriert verwendet werden. Die Wahrscheinlichkeit, dass beide Festplatten gleichzeitig ausfallen, ist äußerst gering, und wenn eine ausfällt, setzen Sie an ihrer Stelle eine neue ein und arbeiten weiter. Einige RAID-Controller können dies sogar im laufenden Betrieb tun, ohne das System auszuschalten.
Sicherung. Sie müssen darauf vorbereitet sein, dass das fehlertoleranteste System möglicherweise nicht mehr verfügbar ist. Feuer, Diebe, Sonderdienste oder einfach nur eine Katze, die ins Netzteil pinkelt und alle Platinen und Festplatten durchbrennen, spielt keine Rolle. Das kann passieren. Sie müssen über aktuelle Backups aller Wallets verfügen. Darüber hinaus müssen sie verschlüsselt und gleichzeitig an mehrere Orte gesendet werden. In die Cloud, zur E-Mail, zum Flash-Laufwerk im Safe, zum Archiv im Smartphone usw. Wählen Sie mehrere Optionen, überlegen Sie sich besser Ihre eigene und nutzen Sie sie. Erstellen Sie einen Backup-Zeitplan und halten Sie sich daran. Laden Sie regelmäßig eines der Backups herunter und überprüfen Sie die Verfügbarkeit der darin enthaltenen Informationen, ob nichts beschädigt wurde, dass Sie sich alle Passwörter merken und Informationen aus dem Backup extrahieren können.
Verschlüsselung und Passwörter. Akzeptieren Sie, dass Ihr Computer, Ihr Telefon, Ihr Flash-Laufwerk oder der Zugriff auf Ihr Postfach und andere Dienste in die Hände von Kriminellen gelangen kann. Gleichzeitig muss verhindert werden, dass ein Angreifer Zugriff auf Wallets erhält. Wenn alle Ihre Geräte sicher verschlüsselt sind und die Passwörter nicht denen von Qwerty123 ähneln, gewinnen Sie zumindest Zeit, um Vermögenswerte auf andere Wallets zu übertragen, und im Maximum ist der Zugriff auf Geräte und Zugriff für einen Angreifer nutzlos. Nutzen Sie daher die maximale Verschlüsselung, auch auf Systempartitionen, Smartphones, Archiven und Backups. Legen Sie Passwörter zum Laden und Entsperren Ihres Smartphones fest. Auf Computern ohne sichere Passwörter sollten keine Konten vorhanden sein. Verwenden Sie bei Webdiensten nach Möglichkeit die Zwei-Faktor-Authentifizierung. Legen Sie sichere und unterschiedliche Passwörter für alle Dienste und Geräte fest. Es empfiehlt sich, sie in bestimmten Abständen durch neue zu ersetzen.
Aktualisierung. Achten Sie besonders auf Software-Updates. Häufig nutzen Angreifer Fehler im Update-Algorithmus aus oder tarnen Downloads von Schadsoftware als Updates. Dies ist bereits bei einigen Kryptowährungs-Wallets passiert, beispielsweise bei Electrum, als eine Meldung über die Notwendigkeit einer Aktualisierung angezeigt wurde und ein Trojaner heruntergeladen wurde. Eine einfachere Methode besteht darin, auf einer Webseite ein Fenster im Browser anzuzeigen, das Sie angeblich dazu auffordert, den Browser zu aktualisieren. Manchmal öffnet sich dieses in einem neuen Popup-Fenster und versucht so weit wie möglich die Schnittstellendetails des echten Update-Fensters zu kopieren. Es ist klar, dass bei Einholung der Einwilligung des Nutzers ein Trojaner auf ihn heruntergeladen wird. Also nur Updates von offiziellen Seiten, und es ist ratsam, diese genauer zu prüfen.
Lassen Sie die Dinge nicht unbeaufsichtigt. Jeder versteht alles über Flash-Laufwerke oder ein Smartphone ohne Passwort. Aber in manchen Fällen kann sogar ein Laptop gehackt werden, indem man einfach ein Gerät, das einem Flash-Laufwerk ähnelt, in den USB-Anschluss einsteckt. In Wirklichkeit handelt es sich jedoch um einen Hardware-HID-Tastaturemulator und eine Reihe von Exploits. In einer Windows-Umgebung wird daher empfohlen, nach der Einrichtung aller Ihrer Geräte die automatische Installation von Treibern und Geräten zu verhindern, indem Sie die Richtlinie „Installation von Geräten verbieten, die nicht durch andere Richtlinieneinstellungen beschrieben werden“ aktivieren.
Was tun, wenn ein Hack bereits erkannt wurde?
Trennen Sie den angegriffenen Computer vom Netzwerk und prüfen Sie, was gestohlen wird und was nicht.
Übertragen Sie die verbleibende Kryptowährung und die Token auf andere Wallets und erstellen Sie diese bei Bedarf auf einem sauberen Computer. Um den Vorgang zu beschleunigen, können Sie in den bekanntesten Web-Wallets temporäre Adressen erstellen.
Verfolgen Sie, wohin die Münzen gegangen sind. Möglicherweise handelt es sich dabei um Dienste wie Börsen oder Online-Geldbörsen. Schreiben Sie in diesem Fall dringend an den Support über den Vorfall und geben Sie dabei Adressen, Transaktions-Hashes und andere Details an. Wenn möglich, rufen Sie nach dem Absenden des Briefes an und machen Sie mit Ihrer Stimme auf die Dringlichkeit der Situation aufmerksam.
Ändern Sie alle Passwörter von einem sauberen Computer aus, auch diejenigen, die nicht direkt mit Wallets zusammenhängen. Der infizierte Computer verfügte höchstwahrscheinlich über einen Keylogger, der alle eingegebenen Informationen sammelte. Passwörter müssen mindestens zwei Säuberungen unterzogen werden – vorübergehend und einer neuen dauerhaften. Passwörter müssen stark sein: lang genug und kein Wörterbuch.
Sichern Sie alle notwendigen Informationen von Computern, Smartphones und Tablets, die Sie nicht verlieren möchten. Ausführbare Dateien und andere Dateien, die infiziert sein könnten, sollten nicht im Backup enthalten sein. Verschlüsseln Sie das Backup. Erstellen Sie mehrere Sicherungskopien an geografisch verteilten Standorten.
Löschen Sie alle Flash-Laufwerke und Festplatten, setzen Sie das Smartphone auf die Werkseinstellungen zurück und konfigurieren Sie alles erneut. Wenn Sie planen, in Zukunft mit sehr wichtigen Informationen zu arbeiten, oder mit Mengen, die den Gerätepreis um ein Vielfaches übersteigen, lohnt es sich im Idealfall, die gesamte Hardware auszutauschen, da einige Arten von Trojanern in Servicebereichen registriert werden können Festplatten und werden auch beim Formatieren nicht gelöscht und verändern auch das BIOS auf Motherboards.
Allgemeine Sicherheitsempfehlungen
Phishing. Am häufigsten werden Websites von Börsen, Online-Wallets und beliebte Börsen angegriffen. Die Spitzenreiter sind myetherwallet.com, Blockchain.com und localbitcoins.com. Am häufigsten registrieren Betrüger eine Domain, die der angegriffenen ähnelt. Sie laden dort eine harmlose Website oder ein harmloses Forum hoch. Sie kaufen dafür Werbung in Suchmaschinen. Sobald die Werbung die Moderation besteht, wird die Site durch einen Klon der angegriffenen Site ersetzt. Gleichzeitig ist es nicht ungewöhnlich, dass Menschen mit DDoSing beginnen. Der Nutzer gelangt nicht auf die Seite, gibt ihren Namen in eine Suchmaschine ein, klickt auf die erste Zeile der Suchergebnisse, ohne zu merken, dass es sich um eine Werbung handelt, und landet auf einer Betrugsseite, die wie eine echte aussieht. Als nächstes gibt er seine Login-Daten und Passwörter ein und das Geld von seinem Konto gelangt an die Angreifer. Oftmals helfen auch Zwei-Faktor-Authentifizierung, PIN-Codes etc. nicht. Der Benutzer wird dies alles selbst eingeben. Nehmen wir an, Sie geben beim Anmelden einen Code ein, das System meldet, dass der Code falsch ist, und geben Sie ihn erneut ein. Er wird den zweiten Code eingeben. Tatsächlich wurde der erste Code jedoch zur Anmeldung und der zweite zur Bestätigung der Geldabhebung verwendet.
Ein weiteres Beispiel sind verzögerte Angriffe. Wenn Sie eine Ihnen zugesandte Website öffnen, die sicher zu sein scheint, und die Registerkarte geöffnet lassen. Wenn nach einiger Zeit keine Aktion auf der Seite erfolgt, wird der Inhalt durch eine Phishing-Site ersetzt, die Sie zur Anmeldung auffordert. Benutzer behandeln zuvor geöffnete Tabs in der Regel mit mehr Vertrauen als zuvor geöffnete und geben ihre Daten möglicherweise ohne Überprüfung ein.
In einigen Fällen kann es auch zu Phishing-Angriffen auf speziell vorbereitete öffentliche Netzwerke kommen. Sie haben eine Verbindung zu einem öffentlichen Wi-Fi-Netzwerk hergestellt, aber dessen DNS gibt bei Domänenanfragen die falschen Adressen aus oder der gesamte unverschlüsselte Datenverkehr wird gesammelt und auf wichtige Daten hin analysiert.
Um nicht darauf hereinzufallen, lassen Sie Ihre Wachsamkeit nicht außer Acht, nutzen Sie zusätzliche Kontrollen und einen sichereren Kanal, mehr dazu weiter unten.
Zusätzliche Kontrollen. Erkennen Sie für die am häufigsten besuchten und wichtigsten Websites auf einem sicheren Computer mehrere indirekte Parameter. Beispielsweise der Aussteller des Zertifikats und dessen Ablaufdatum. Alexa-Zählerwert oder geschätzter Traffic von Similarweb. Sie können Ihre eigenen Parameter hinzufügen. Und wenn Sie Websites besuchen, behalten Sie den Überblick. Wenn sich beispielsweise das Zertifikat plötzlich ändert, lange bevor das alte abgelaufen ist, ist dies ein Grund, vorsichtig zu sein und die Website zusätzlich zu überprüfen. Oder wenn bitfinex.com früher etwa 7.000 Punkte auf dem Alexa-Zähler anzeigte, jetzt aber plötzlich 8 Millionen, dann ist das ein klares Zeichen dafür, dass Sie sich auf einer betrügerischen Website befinden. Das Gleiche gilt für Similarweb-Metriken, die von CDN, Domainnamen-Registrar, Hoster usw. verwendet werden.
Passwörter. Verwenden Sie keine schwachen Passwörter. Es ist besser, sich die wichtigsten Passwörter zu merken, ohne sie irgendwo aufzuschreiben. Da es jedoch besser ist, für alle Dienste und Wallets unterschiedliche Passwörter festzulegen, müssen einige davon gespeichert werden. Bewahren Sie sie niemals offen auf. Die Verwendung spezieller „Schlüsselhalter“-Programme ist der Verwendung einer Textdatei weitaus vorzuziehen. Dort werden sie zumindest verschlüsselt gespeichert, außerdem werden die Daten nach der Nutzung automatisch aus der Zwischenablage gelöscht. Es ist besser, Offline-Open-Source-Lösungen zu verwenden.
Erstellen Sie für sich selbst einige Sicherheitsregeln, indem Sie zum Beispiel zu Beginn sogar drei zufällige Zeichen zu notierten Passwörtern hinzufügen. Löschen Sie diese Zeichen, nachdem Sie das Kennwort kopiert und dort eingefügt haben, wo Sie es benötigen. Geben Sie keine Methoden zum Speichern von Passwörtern weiter, sondern entwickeln Sie Ihre eigenen. Selbst wenn der Schlüsselhalter kompromittiert ist, besteht in diesem Fall die Möglichkeit, dass der Angreifer ihn nicht verwenden kann.
Sicherer Kanal. Um sicherer aus öffentlichen Netzwerken heraus zu arbeiten, ist es sinnvoll, einen eigenen VPN-Server einzurichten. Dazu können Sie eine virtuelle Maschine bei einem der Hoster im Ausland kaufen; den Standort können Sie nach eigenem Ermessen wählen. Die durchschnittlichen Kosten für eine virtuelle Maschine betragen 3 bis 7 US-Dollar pro Monat, was für einen etwas sichereren Zugriff auf das Netzwerk ein durchaus angemessener Betrag ist. Sie installieren Ihren eigenen VPN-Server auf dem Server und lassen den gesamten Datenverkehr von Mobilgeräten und Computern durch. Vor dem VPN-Server wird der gesamte Datenverkehr zusätzlich verschlüsselt, so dass dieser Ihr DNS nicht manipulieren oder durch die Installation eines Sniffers auf seinem Weg zusätzliche Daten aus Ihrem Datenverkehr erhalten kann.
Windows/Linux/Mac OS? Das beste Betriebssystem ist das, mit dem Sie sich am professionellsten konfigurieren und sicher arbeiten lassen. Ein gut konfiguriertes Windows ist besser als ein schlecht konfiguriertes Linux. Sicherheitsprobleme treten in allen Betriebssystemen auf und müssen rechtzeitig behoben werden. Der größte Teil der Schadsoftware wird jedoch unter Windows geschrieben; in den meisten Fällen verfügen Benutzer über Administratorrechte, und bei der Untersuchung des Systems versuchen Betrüger zunächst, Exploits unter Windows auszunutzen. Unter sonst gleichen Bedingungen lohnt es sich daher, ein weniger verbreitetes und eher sicherheitsorientiertes Betriebssystem zu wählen, beispielsweise eine der Linux-Distributionen.
Nutzerrechte. Geben Sie dem Benutzer genau so viele Rechte, wie er zum Ausführen von Aufgaben benötigt. Sitzen Sie nicht unter einem Benutzer mit Administratorrechten. Darüber hinaus können Sie Ihr Wallet durch eingeschränkte Benutzerrechte zusätzlich schützen. Erstellen Sie beispielsweise zwei Konten. Das erste hat Zugriff auf das Wallet, Sie können sich jedoch weder lokal noch über das Netzwerk darunter anmelden. Mit dem zweiten Konto kann man sich anmelden, hat aber keinen Zugriff auf das Wallet. Um mit der darunter liegenden Wallet zu arbeiten, müssen Sie sie zusätzlich mit dem Runas-Befehl starten.
Antivirus. Soll ich ein Antivirenprogramm installieren oder nicht? Wenn der Computer mit dem Netzwerk verbunden ist und für andere Aufgaben als das Speichern von Kryptowährungen verwendet wird, besteht die Möglichkeit, Flash-Laufwerke anzuschließen oder auf andere Weise Malware zu laden – wir empfehlen die Verwendung eines Antivirenprogramms. Wenn der Computer speziell nur als Wallet konfiguriert ist, die Sicherheit überall auf das Maximum erhöht ist, sich keine Fremdsoftware auf dem Computer befindet und es keine Möglichkeit gibt, diese dort zu laden, ist es besser, auf ein Antivirenprogramm zu verzichten. Es besteht eine geringe Wahrscheinlichkeit, dass das Antivirenprogramm die Wallet beispielsweise als verdächtige Datei an das Unternehmen des Herstellers sendet oder eine Schwachstelle im Antivirenprogramm selbst gefunden wird. Obwohl dies sehr unwahrscheinlich ist, sind ähnliche Fälle bereits aufgetreten und sollten nicht vollständig ausgeschlossen werden.
Wenn Sie ein Antivirenprogramm installiert haben, halten Sie die Datenbanken auf dem neuesten Stand, löschen oder „swipen“ Sie keine Malware-Prüfungen, achten Sie auf alle Warnungen und führen Sie regelmäßig einen vollständigen Systemscan durch.
Erwägen Sie die Installation eines Antivirenprogramms auf Ihren Smartphones und Tablets.
Sandkästen. Erstellen Sie eine separate virtuelle Maschine, um gesendete Dateien anzuzeigen. Es besteht immer das Risiko, dass Sie ein Dokument mit einem 0-Day-Exploit erhalten, das vom Antivirenprogramm noch nicht erkannt wird. Virtuelle Maschinen haben den Vorteil, dass sie mit Snapshots relativ schnell arbeiten können. Das heißt, Sie erstellen eine Kopie des Systems, führen fragwürdige Dateien darauf aus und stellen nach Abschluss der Arbeit den Zustand der virtuellen Maschine auf den Zeitpunkt zurück, an dem Sie die verdächtigen Dateien noch nicht geöffnet hatten. Dies ist mindestens für das spätere sichere Arbeiten mit anderen Daten erforderlich.
Adressen prüfen. Wenn Sie Zahlungsdaten an einen sicheren Computer senden, überprüfen Sie unmittelbar vor dem Senden zusätzlich die Adresse und den Betrag visuell. Einige Trojaner-Programme ersetzen die Adressen von Kryptowährungs-Wallets in der Zwischenablage durch ihre eigenen. Sie kopieren eins und das andere wird eingefügt.
Umfeld. Bitte beachten Sie, dass der primäre Angriff möglicherweise nicht auf Sie gerichtet ist, sondern auf Ihren Mitarbeitern oder Ihren Angehörigen. Sobald Sie sich in einer vertrauenswürdigen Zone befinden, ist es für Malware einfacher, Ihre Ressourcen zu erreichen.
Kommunikation. Behandeln Sie Nachrichten während Telefongesprächen oder Korrespondenz so, als würden sie definitiv von Dritten gelesen/abgehört und aufgezeichnet. Also keine sensiblen Daten im Klartext.
Lieber auf der sicheren Seite sein. Wenn Sie vermuten, dass einige Wallets kompromittiert wurden, erstellen Sie neue und überweisen Sie alle Gelder von den verdächtigen Wallets.
Geben Sie sensible Informationen weniger weiter. Wenn der Moderator auf einer Konferenz diejenigen, die über Kryptowährungen verfügen, auffordert, ihre Hand zu heben, sollten Sie dies nicht tun, da Sie nicht alle im Raum kennen und potenzielle Opfer auf den Bleistift zu setzen, ist der erste Schritt, bei dem Sie helfen können Angreifer. Oder es gab zum Beispiel einen solchen Fall: Ein Besitzer einer Kryptowährung nahm die Speichersicherheit sehr ernst. Doch die Angreifer fanden heraus, dass er ein Grundstück verkaufte. Wir fanden einen und kontaktierten ihn unter dem Deckmantel eines Käufers. Während der Dialoge und des Austauschs von Dokumenten gelang es den Angreifern, einen Trojaner auf dem Computer des Opfers einzuschleusen und dessen Funktion eine Zeit lang zu überwachen. Dies reichte aus, um zu verstehen, wie die Gelder aufbewahrt wurden, und um sie zu stehlen. Beim Verkauf eines Grundstücks war die Wachsamkeit des Opfers deutlich geringer als beim Umgang mit Krypto-Assets, was den Angreifern in die Hände spielte.
Abschluss
Denken Sie daran, dass alle oben genannten Sicherheitstipps für den durchschnittlichen Angreifer gelten. Wenn Sie körperlich entführt werden und eine thermorektale Kryptoanalyse verwenden, geben Sie selbst alle Adressen und Passwörter preis. Wenn Sie von speziellen Diensten mit entsprechender Ausbildung verfolgt werden, kann es außerdem zu einer Beschlagnahme von Servern mit Kryo-Einfrieren des Arbeitsspeichers kommen, um Schlüssel zu beschlagnahmen, sowie zu einer physischen Beschlagnahme bei der Arbeit mit einem offenen Kanal zur Brieftasche. Und wenn Sie Sicherheitsregeln befolgen, keine Gesetze brechen oder niemand etwas über Sie weiß, geht die Wahrscheinlichkeit, auf solche Probleme zu stoßen, gegen Null. Wählen Sie daher je nach Höhe Ihrer Risiken die richtigen Schutzmethoden. Verschieben Sie sicherheitsrelevante Probleme nicht auf später, wenn Sie sie jetzt erledigen können. Dann könnte es zu spät sein.
Es ist einfacher, einen Brand zu verhindern, als ihn zu löschen.