Die Verwahrung von Kryptowerten: Werden Banken und Finanzinstitute nun “crypto enabled”?

Philipp Sandner
Nov 18, 2019 · 11 min read

In Zukunft werden digitale Assets eine immer größere Rolle spielen. Privatanleger, aber auch institutionelle Investoren, wird der Zugang in völlig neue Anlageklassen in Form von Tokens geebnet und das mit der Rechtssicherheit, die wir seit Jahrzehnten von den traditionellen Finanzmärkten kennen. Der Verwahrung von blockchain-basierten digitalen Assets kommt dabei eine essenzielle Rolle zu. In einer Welt, in der Banken demnächst den digitalen Euro auf einem Blockchain-System bereitstellen, scheint die Wichtigkeit sogenannter Krypto-Verwahrer nicht überall verstanden zu sein. Die bisherigen Vorbehalte in Bezug auf die Sicherheit dieser Anbieter sind überholt. Krypto-Verwahrer bieten Finanzinstitutionen bereits heute Lösungen, die deren regulatorischen als auch technischen Anforderungen und Standards genügt. Autoren: Benjamin Schaub, Philipp Sandner. See English version here.

Der zukünftige Weg digitaler Assets nimmt immer schärfere Konturen an. Das Fundament hierfür wird durch regulatorischen Fortschritt, aber auch durch die technologische Evolution innerhalb des Blockchain-Sektors gebildet. Auf der einen Seite ebnet progressive Regulierung, wie durch den “Liechtenstein Blockchain Act” zu beobachten ist, den Weg für digitale Assets (Token-Ökonomie). Aus diesem Gesetz resultiert, dass jeder physische Gegenstand mit seinen verbundenen Rechten und Pflichten vollständig in ein entsprechendes digitales Assets transformiert werden kann, inklusive der exakt identischen Rechte und Pflichten.

Auch ein Blick auf die Blockchain-Strategie der Bundesregierung verdeutlicht die Marschrichtung und lässt feststellen, „dass viele Beteiligte die Tokenisierung von Assets und insbesondere Wertpapieren als eine der zukünftig zentralen Blockchain-Anwendungen ansehen“ (Blockchain-Strategie der Bundesregierung, 2019). Weiterhin möchte die Bundesregierung das deutsche Recht für elektronische Wertpapiere, zunächst für elektronische Schuldverschreibungen, öffnen. Zu einem späteren Zeitpunkt soll die Einführung elektronischer Aktien und Investmentfondsanteile geprüft werden. Somit würde die Vorgabe der urkundlichen Verbriefung von Wertpapieren entfallen. Dies ist als Entmaterialisierung von Wertpapieren zu verstehen und wird aus technischen und regulatorischen Gründen einen Krypto-Verwahrer erfordern. Daran wird kein Weg vorbei führen.

Regulatorische Legitimation von Bitcoin & Co.

Nicht nur bei der Weichenstellung der Token-Ökonomie gehen einzelne europäische Länder voran, sondern auch wenn es darum geht, eine solide regulatorische Basis für Finanzmarktakteure im Umgang mit Krypto-Währungen zu schaffen. Besonders Deutschland ist hier hervorzuheben, wenn es um die Regulierung der Krypto-Verwahrung geht. Diese Tätigkeit beinhaltet, die für die Übertragung, Speicherung und Haltung von digitalen Assets notwendigen Private Keys aufzubewahren. In der Folge bedarf es ab Q1 2020 einer Genehmigung der BaFin, um als Krypto-Verwahrer tätig zu werden: Krypto-Verwahrung wird eine erlaubnispflichtige Finanzdienstleistung.

Auch in der Schweiz ist die Entwicklung eindeutig. Die dortige Aufsichtsbehörde FINMA erweitert kontinuierlich den regulatorischen Rahmen für FinTechs. Im August dieses Jahres erhielten bereits die ersten zwei blockchain-fokussierten Banken entsprechende Bank- und Wertpapierlizenzen: Sygnum und die SEBA Bank. Diese können seitdem Krypto-Währungen und Token professionellen und institutionellen Anlegern anbieten.

Neue Technologie im alten Gewand

Wenn es um die technische Umsetzung der Verwahrung von Krypto-Werten geht, ergeben sich jedoch einige Herausforderungen. In der „alten Welt“ stellt sich die Verwahrung von Vermögenswerten, z.B. Wertpapieren so dar, dass diese physisch bei einer behördlich zugelassenen Wertpapiersammelbank hinterlegt werden. Diese Art der Verwahrung ist strikt reguliert, in Deutschland beispielsweise durch das Depotgesetz. Bei der technischen Umsetzung der Verwahrung physischer Gegenstände existiert keinerlei Spielraum. in physischer Gegenstand bleibt eben physisch und wird an einem sicheren Ort verwahrt.

Im Zuge der Tokenisierung wird nun eine neue Technologie in dieses althergebrachte, aber perfekt geölte System gezwängt. Der entscheidende Unterschied hierbei ist, dass für die Verwahrung digitaler Assets sehr unterschiedliche technische Lösungen existieren. Dabei bleibt aus regulatorischer Sicht die Frage, welche, bzw. ob eine dieser Lösungen zu präferieren ist, unberührt. Der deutsche Gesetzgeber definiert hierzu im Gesetzesentwurf zur Umsetzung der 5. EU Geldwäscherichtlinie lediglich, welche Tätigkeiten zur Krypto-Verwahrung gehören, nämlich „die Verwahrung, Verwaltung und die Sicherung von Krypto-Werten oder privaten kryptografischen Schlüsseln, die dazu dienen, Krypto-Werte zu halten, zu speichern oder zu übertragen” (Entwurf eines Gesetzes zur Umsetzung der Änderungsrichtlinie zur Vierten EU-Geldwäscherichtlinie, 2019).

Ein steiniger Weg — „Klassische“ Krypto-Verwahrung

Krypto-Börsen, die seit jeher Krypto-Werte bzw. Private Keys in Hot Storage, also mit dem Internet verbundenen Wallets speichern, sind bekanntermaßen anfällig für Hackerangriffe. Der leider nicht letzte, aber prominenteste Fall hierfür ist sicherlich Mt. Gox. Im Februar 2014 wurden hier über 850.000 Bitcoin gestohlen, was zu diesem Zeitpunkt einer Marktkapitalisierung von rund 460 Millionen US Dollar entsprach. Der Vorteil der Hot Storage liegt darin, dass Anleger unmittelbar über ihre Assets verfügen und diese somit schnell transferieren können.

Abb. 1: “Classical” Crypto Custody Providers

Der entgegengesetzte Ansatz, die sogenannte Cold Storage, speichert Krypto-Werte bzw. die dazugehörigen Private Keys auf einer Plattform, die nicht mit dem Internet verbunden ist. Hierdurch wird die Verwahrung sicherer gestaltet, da für Hacker bei diesem Ansatz keinerlei Angriffsfläche besteht. Allerdings beinhaltet diese Lösung Nachteile in Bezug auf die Verfügbarkeit der verwahrten Assets. So kann es stellenweise mehrere Stunden oder sogar Tage dauern kann, bis ein Anleger über seine Krypto-Werte verfügen kann. Für Investoren, die auf Marktschwankungen oder andere Opportunitäten reagieren möchten, eine unzureichende Lösung.

Doch auch die bei dieser Lösung vermeintliche Sicherheit birgt Gefahren, wie sich im Fall des im Dezember 2018 verstorbenen CEO Gerald Cotton von QuadrigaCX zeigt. Nur er verfügte über die notwendigen Passwörter bzw. die Autorisierung der Cold Wallet des Unternehmens, so dass seit seinem Tod ca. 140 Millionen US Dollar an Assets unwiderruflich verloren sind. Diese beiden Fälle illustrieren auf tragische Art und Weise die technischen Schwierigkeiten der Krypto-Verwahrung. Sie zeigen aber auch, dass regulatorische Vorgaben zwingend erforderlich sind, um eine solide rechtliche Grundlage für Produkte, aber auch entsprechende Sicherheiten für Konsumenten zu schaffen.

In Abbildung 1 sind Anbieter der klassischen Krypto-Verwahrung anzutreffen. Krypto-Börsen wie Bitfinex und Binance verwahren ihre Assets, wie bereits dargestellt, in Hot Wallets. Coinbase und BitGo wiederum verfolgen den entgegengesetzten Ansatz, die sogenannte Cold Storage. Ledger und Trezor sind bekannt dafür, Hardware für die private Eigenverwahrung von Krypto-Assets herzustellen. Interessanterweise entwickeln sich aber auch Anbieter dieser Kategorien weiter. Im Oktober 2019 kündigte Bitstamp, eine der größten Krypto-Börsen Europas an, zukünftig auf eine Sicherheitslösung von Ledger zurückzugreifen, die somit auch den Markt für Finanzinstitutionen betreten.

Im Folgenden soll nun auf die wesentlichen Trends innerhalb der Verwahrungs-Branche eingegangen werden und entscheidende Unterschiede herausgestellt werden. Die folgende Abbildung entspricht der subjektiven Einschätzung der Autoren.

Abb. 2: New World of “Warm” Crypto Custody Providers

Abgrenzung Non-/Self-Custodian vs. Custodian

Vor allem im Hinblick auf den Gesetzesentwurf der Bundesregierung zur Umsetzung der 5. EU Geldwäscherichtlinie spielt die Abgrenzung zwischen reinen Non-/Self-Custodians und Krypto-Verwahrern eine große Rolle. Per Definition stellt ein Non-/Self-Custodian einem Kunden lediglich die Hard- bzw. Software zur Sicherung der Private Keys zur Verfügung, welcher diese dann auf eigene Verantwortung verwaltet. Anbieter in dieser Kategorie werden nach aktuellem Kenntnisstand für ihr Geschäft vorerst keine Erlaubnis bzw. Lizenz der BaFin benötigen.

Auf der Seite der Non-Custodians ist z.B. das Unternehmen Upvest zu nennen, das seinen Kunden mittels einer API die Krypto-Verwahrung in eigene Dienstleistungen integrieren lässt. Das Münchner Startup Tangany wiederum betritt den Markt als Krypto-Verwahrer, beantragt also bei der BaFin eine eigene Lizenz und wird aus regulatorischer Sicht die Sicherung der Private Keys auf eigene Verantwortung anbieten.

Ein bisschen heiß, ein bisschen kalt: Warm Storage

Im Hinblick auf die geschilderten Schwierigkeiten der klassischen Krypto-Verwahrung scheint es nicht überraschend, dass sich neue Verwahrungs-Ansätze entwickelt haben. Diese versuchen bisherige Schwächen auszumerzen und gleichzeitig die Vorzüge bekannter Lösungen beizubehalten. Das Ökosystem der Krypto-Verwahrer wandelt sich diesbezüglich und bietet eine Vielzahl an Lösungen für unterschiedliche Zielgruppen, fokussiert sich aber zunehmend auf Finanzinstitutionen. Auffallend ist der Trend, dass sich die Lösungen in der Mitte des Spektrums von Cold Storage und Hot Storage ansammeln. Hierzu sind sämtliche Anbieter in Abbildung 2 zu zählen. Im Fokus der sogenannten Warm Storage steht hierbei dem Anleger die Digitalität seiner Assets zurückzugeben und diese innerhalb weniger Sekunden zur Verfügung zu stellen, um so aktiv und mit voller Liquidität am Marktgeschehen teilzunehmen.

Für die notwendige Sicherheit, die auch die Anforderungen und Standards von Banken erfüllt, wird sich eines alten Bekannten dieser Branche bedient, sogenannter Hardware-Sicherheitsmodule (HSMs). Die Aufgabe eines HSM besteht im Wesentlichen darin, kryptografische Schlüssel zu erzeugen, zu speichern oder zu managen und die Schlüssel dabei vor unberechtigtem Zugriff zu schützen. HSMs sind nur mit starken Einschränkungen an ein Netzwerk angeschlossen und werden nach Sicherheitsstandards zertifiziert, wodurch unbefugter Zugriff bzw. Angriffe äußerst schwierig werden. Ein weiterer Vorteil der Verwendung von HSMs für die Krypto-Verwahrung besteht darin, dass der Anbieter als solcher nicht in den Besitz der Private Keys kommt, da diese auch für ihn selbst nicht auszulesen sind.

Ein Blick auf die Anbieter zeigt, dass es bei der Verwendung von HSMs zu Unterschieden kommt. Das Berliner FinTech Finoa beispielsweise verwendet HSMs in einem eigens betriebenen Rechenzentrum. Aus diesem Grund erfolgt die Zuordnung ganz links in Abbildung 2, da auch dieser Teil der Dienstleistung der eigenen Kontrolle unterliegt.

Der Anbieter Plutoneo kooperiert bei seiner Custody-Lösung mit dem etablierten deutschen IT-Komplettdienstleister GISA, der seit Jahren IT-Dienstleistungen für kritische Infrastrukturen anbietet. Aus diesem Grund verfügt Plutoneo über eine große Anzahl von Entwicklern mit langjähriger Erfahrung in der IT-Sicherheit kritischer Infrastrukturen. Das Angebot an Custody-Lösungen ist daher breit gefächert und umfasst sowohl cloudbasierte Verwahrung als auch Custody im Rechenzentrum von GISA oder des Kunden.

Eine Position weiter rechts sind die Krypto-Verwahrer Tangany und Upvest anzutreffen, die sich der Cloud HSM Services der Google Plattform bedienen. Die hier getroffene Einstufung muss zwingend als neutral hinsichtlich der Qualität der jeweiligen Lösung gesehen werden. Im Verlauf der nächsten Jahre wird es interessant zu beobachten sein, ob es für potenzielle Kunden eine Rolle spielt, ob ein Rechenzentrum eigenständig betrieben wird oder sich der Dienste eines Cloud-Anbieters bedient wird. Weiterhin muss mit Spannung verfolgt werden, ob sich die beiden unterschiedlichen Ansätze in der Kostenstruktur der jeweiligen Krypto-Verwahrer widerspiegeln.

Dezentrale Ansätze

Innerhalb der Warm Storage kristallisieren sich auch Verwahrungs-Ansätze heraus, die den dezentralen Grundgedanken der Blockchain in unterschiedlichen Ausprägungen aufgreifen. Trustology beispielsweise erfüllt einige Kriterien, die sie zu einem zentralisierten Anbieter nach Abbildung 2 machen würden (u.a. Verwendung von HSMs). Allerdings können Anwender hier ihre MetaMask Wallet integrieren, wodurch sie sogenannte Decentralized Applications (DApps) im Ethereum Netzwerk nutzen können, wie z.B. MakerDAO oder Compound Finance. Hierbei können Nutzer an dezentralisierten Finanzprodukten, die vollständig über Smart Contracts abgewickelt werden, partizipieren und beispielsweise Zinsen für die Kreditvergabe mittels Krypto-Währungen erwirtschaften.

Das Blockchain-Unternehmen Riddle & Code setzt auf eine dezentrale Architektur mit mehreren Hardwarekomponenten. Der Anbieter verspricht sich hiervon erhöhte Sicherheit gegenüber Lösungen, die HSMs verwenden. Der Private Key wird bei diesem Ansatz nicht in einem Gerät, sondern in einzelnen Stücken (Shamir’s Secret Sharing) auf mehrere Geräte verteilt wird. Eine Transaktion muss folglich von einer vom Kunden festgelegten Anzahl an Geräten autorisiert werden, um gültig zu sein.

Der mit Abstand radikalste Ansatz wird von Qredo verfolgt, welche mit ihrer Lösung beabsichtigen der ursprünglichen Idee eines dezentralen Systems gerecht zu werden. Das Netzwerk besteht aus sogenannten Decentralised Trust Authorities (D-TAs) basierend auf der Software von Apache Milagro. Die Nutzer legen zu Beginn fest wie viele Unterschriften zur Signatur einer Transaktion berechtigen, z.B. 4 von 5. Zur Autorisierung dienen bei diesem Ansatz nicht verschiedene Hardwarekomponenten, sondern vom Kunden festgelegte Teilnehmer des Netzwerkes, die sich u.a. mit biometrische Daten ausweisen müssen. Erst wenn der erforderliche Schwellenwert zur Autorisierung einer Transaktion erreicht ist, erlaubt die D-TA den Zugriff auf den Private Key, welcher sich auch hier in einer HSM befindet.

Assets verloren: das ist nun Vergangenheit

Verlorene oder abhanden gekommene Private Keys brachten bisher die unwiderrufliche Konsequenz mit sich, dass die damit verbundenen Assets für immer verloren waren. War dies für private Anleger vielleicht noch eine Hemmschwelle, die zähneknirschend in Kauf genommen werden konnte, so war dies mit Sicherheit ein K.-O.-Kriterium für Finanzmarktakteure. Doch diese Zeiten sind vorbei. Die Verwendung von HSMs eliminiert die Möglichkeit verlorener Private Keys. Die Krypto-Verwahrer, welche bei ihrer Lösung auf HSMs zurückgreifen, sichern die Private Keys durch Backups, die zusätzlich an geographisch unterschiedlichen Zonen aufbewahrt werden.

Allen Lösungen zur Krypto-Verwahrung gemeinsam ist, dass die Authentifizierung der Nutzer und damit der Zugriff auf eine Wallet deutlich sicherer gestaltet wird. In den letzten Jahren hat sich zur persönlichen Identifikation die Zwei-Faktor-Authentifizierung (2FA) als Standard etabliert. Hierbei wird auf eine Kombination von etwas, das der Anwender weiß (Passwort) und einem Gegenstand, den der Nutzer besitzt (Smartphone), gesetzt. Neuerdings wird diesem Identifikations-Mechanismus mindestens eine weitere Dimension hinzugefügt. Die Multi-Faktor-Authentifizierung (MFA) verwendet zusätzlich zu den beiden genannten Parametern auch biometrische Daten (z.B. Fingerabdruck und/oder Face-ID).

Fazit

Aus Sicht von Banken und anderen Finanzdienstleistern ist die jüngste Entwicklung durchaus sehr positiv zu betrachten. Viele Krypto-Verwahrer können diesen Institutionen nun endlich Lösungen bieten, um einen großen Schritt in die Richtung digitaler Assets zu machen und somit neue Produkte, Dienstleistungen und Märkte zu entwickeln.

Durch die große Anzahl und sehr filigranen Unterschiede der verfügbaren Lösungen, ist es allerdings auch eine sehr komplexe Aufgabe, den vermeintlichen richtigen Anbieter auszuwählen. Eine der großen Herausforderungen liegt darin, die technologischen Unterschiede der Anbieter zu verstehen. Dies ist natürlich auch aus Sicht der Krypto-Verwahrer ein Problem, da sie auch die mutmaßlich beste und fortschrittlichste Technologie nur dann verkauft bekommen, wenn sie a.) vom Kunden verstanden wird und b.) der Kunde dieser Lösung und auch dessen Anbieter vertraut.
Aus diesen Gründen ist es mit Spannung zu beobachten, welche Lösung bei institutionellen Finanzdienstleistern Anklang findet. Gespräche mit Anbietern für Krypto-Verwahrung zeigen, dass kleinere Banken über mehr Agilität und Interesse verfügen als große Player und tendenziell für z.B. cloudbasierte Sicherheitslösungen offen sind. Daraus ließe sich ableiten, dass große Finanzinstitute, wenn sie denn überhaupt an der Verwahrung blockchain-basierter Assets interessiert sind, einen Anbieter bevorzugen könnten, der sicherheitstechnische als auch regulatorische Aspekte aus einer Hand abdeckt.

Getrieben durch fortschreitende Regulierung und technologische Optimierung sind die Rahmenbedingungen für digitale Assets bereit. Das Ökosystem der Anbieter für Krypto-Verwahrung hat sich enorm weiterentwickelt. Der Wettlauf um aussichtsreiche Marktpositionen unter den Anbietern hat begonnen und wird 2020 konkrete Formen annehmen, besonders in Deutschland. Mit der Vergabe der ersten Banklizenzen für Krypto-Verwahrer durch die BaFin liegt es dann aber in Händen der Banken und anderen Finanzdienstleistern, sich zu positionieren. Die Chancen sind groß, das Marktpotential für blockchain-basierte Assets riesig. Eines muss jedoch klar sein: Wer abwartet oder zögert, wird bei der rasanten technologischen Entwicklung der Blockchain-Technologie abgehängt — vielleicht für immer.

Bemerkungen

Wenn Ihnen dieser Artikel gefällt, würden wir uns freuen, wenn Sie ihn an Ihre Kollegen weiterleiten oder in sozialen Netzwerken teilen würden. Weitere Informationen über das Frankfurt School Blockchain Center finden Sie im Internet, auf Twitter oder auf Facebook.

Benjamin Schaub ist Projekt Manager und wissenschaftlicher Mitarbeiter des Frankfurt School Blockchain Center (FSBC). Seine Interessensgebiete sind vor allem Regulation und Governance in Bezug auf Blockchain Technologie sowie die Identifizierung von Anwendungsmöglichkeiten der Blockchain Technologie. Du kannst ihn per Mail (benjamin.schaub@fs-blockchain.de , oder auf LinkedIn (www.linkedin.com/in/benjamin-schaub) kontaktieren.

Prof. Dr. Philipp Sandner ist Leiter des Frankfurt School Blockchain Center (FSBC) an der Frankfurt School of Finance & Management. Im Jahr 2018 wurde er von der Frankfurter Allgemeinen Zeitung (FAZ), einer der größten Zeitung in Deutschland, als einer der “Top 30” Ökonomen ausgezeichnet. Darüber hinaus gehört er zu den “Top 40 unter 40” — einem Ranking des deutschen Wirtschaftsmagazins Capital. Die Expertise von Prof. Sandner umfasst insbesondere Blockchain-Technologie, Krypto-Assets, Distributed Ledger-Technologie (DLT), Euro-on-Ledger, Initial Coin Offerings (ICOs), Security Token (STOs), Digital Transformation und Entrepreneurship. Du kannst ihn per Mail (email@philipp-sandner.de), via LinkedIn (https://www.linkedin.com/in/philippsandner/) oder auf Twitter (@philippsandner) kontaktieren.

    Philipp Sandner

    Written by

    Frankfurt School Blockchain Center

    Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
    Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
    Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade