Ob Kreditkarte, Online-Banking oder Computerzugang – der Moment, in dem man realisiert, dass man sein Passwort oder den Pincode vergessen oder verloren hat, bleibt einem definitiv in Erinnerung. Glücklicherweise lässt sich das Problem in den meisten Fällen via Kundendienst oder mit der Unterstützung einer Fachperson relativ schnell lösen.
Nicht so in der dezentralen Blockchain-Technologie. In dieser existiert keine zentrale Kontrollinstanz, die einem beim Verlust des privaten Schlüssels, mit dem man Transaktionen auslösen und digitale Vermögenswerte kontrollieren kann, zur Seite steht. Dieser Umstand bedingt, dass jeder Nutzer seine Rolle, die damit verbundenen Aufgaben und Verantwortlichkeiten sowie die Risiken verstehen muss.
Digitale Währungswächter
Key Management ist in der digitalen Währungswelt also der Key. «Geht der private Schlüssel verloren oder wurde dieser kompromittiert, gibt es keine Möglichkeit, ihn bei einer zentralen Instanz zurückzusetzen oder einen neuen privaten Schlüssel anzufordern», erklärt Adrian Keller, Partner und Leader Audit für Blockchain bei PwC Schweiz. Daher sind das sichere Erstellen, Aufbewahren und Verwalten der privaten Schlüssel sowie deren Backups absolut relevant. Für eine maximale Sicherheit müssen private Schlüssel und deren Backups getrennt voneinander aufbewahrt und von internen und externen Angreifern geschützt werden.
Seit einigen Jahren ist mit den Anbietern von professionellen Crypto-Custody-Lösungen ein neuer Dienstleistungszweig entstanden. Der Gedanke, den persönlichen Pincode der eigenen Kreditkarte einem fremden Anbieter anzuvertrauen, ist gewöhnungsbedürftig. Doch genau das geschieht, wenn man seinen privaten Schlüssel für Transaktionen mit Kryptowährungen von einem Anbieter verwalten lässt.
Prozesse und Kontrollen sind zentral
Dass es Risiken gibt, bestätigt auch Adrian Keller. Weil es aber für Kryptolösungen genau wie für die traditionelle Finanzindustrie Prozesse und Kontrollen gebe, mit denen die Qualität der Anbieter gemessen und transparent gemacht werden können, seien die Risiken minimierbar. «Wer sich auf eine Crypto-Custody-Lösung einlässt, sollte allerdings genau wissen, welche Risiken er oder sie selbst trägt. Zudem sollte man den End-to-End-Prozess verstehen und welche Partei die kritischen Risiken in welcher Form verwaltet und kontrolliert.»
Wichtig ist es gemäss Adrian Keller zudem, dass man sich überlegt, ob die Lösung intern oder extern betrieben werden soll. «Bezieht ein Unternehmen die Lösung von einem externen Anbieter, kann es die Aufgabe zwar delegieren, die Verantwortung – insbesondere über das interne Kontrollsystem – verbleibt jedoch im eigenen Haus.» Zu diesem Zweck stellen professionelle Crypto-Custody-Provider sogenannte Kontrollberichte nach den Standards ISAE 3000 oder ISAE 3402 respektive SOC 1 oder 2 zur Verfügung. «Damit lassen sich die ausgelagerten Prozesse, Risiken und Kontrollen beurteilen.»
Spezialisierte Versicherungslösungen
Verwahrlösungen für Kryptowährungen, da sind sich die Experten einig, gehören in der Blockchain-Welt zu den Schlüsselelementen und werden auch in Zukunft bestehen bleiben. «Die Art und Weise der Lösungen wird sich den Businessmodellen anpassen und je nach deren Anforderungen weiterentwickelt und aufgesetzt werden», ist Adrian Keller überzeugt. Zudem erwartet er, dass mit der breiten Anwendung von Blockchains auch verschiedene Versicherungslösungen auf den Markt kommen werden. «Im Moment werden diese lediglich von spezialisierten Versicherungen angeboten.»
Doch auch Versicherungen werden die Unternehmen nicht von einem gut funktionierenden Kontrollsystem entbinden. Denn ob virtuelle oder reale Risiken: Prävention und saubere Prozesse sind die beste Absicherung.