Ein Wallet ordentlich abzusichern gehört zu den Grundfertigkeiten, mit denen sich jeder vertraut machen muss, der seine BTC selbst verwahren möchte. Das gilt selbstverständlich nicht nur für Bitcoin, sondern auch für alle anderen Kryptowährungen. Die meisten Anleger machen sich schlau und folgen den gängigen Regeln, wenn es um die Sicherheit ihrer Wallets geht.
Doch es gibt immer wieder Fälle, in denen Nutzer die Kontrolle über ihr Vermögen bzw. ihre Daten verlieren. Im Internet und insbesondere im sogenannten Darknet werden Bitcoin Wallets zum Verkauf angeboten, welche jedoch nicht entschlüsselt sind.
Wir haben uns diese Angebote näher angeschaut und möchten euch eine Einschätzung geben, wie mit solchen Angeboten umzugehen ist.
Es handelt sich oft um Betrug
Viele dieser Angebote sind Betrug. Warum sollte man ein Wallet oder gar eine ganze Sammlung an Wallet-Dateien zum Dumping-Preis verkaufen? Oftmals machen die Verkäufer sogar Angaben darüber, wie viel BTC sich auf einzelnen Wallets befinden oder wie das Passwort aufgebaut ist.
Man bekommt also den Eindruck, dass sich ein Jackpot im Lostopf befindet und alles, was man tun muss, ist die Wallets zu kaufen und danach das richtige Passwort zu finden. Auf die Details bezüglich des Knackens von Passwörtern werden wir später noch genauer eingehen. Vorab nur so viel: Es ist in der Regel nicht möglich, wenn das Passwort sicher erstellt worden ist. Für die Betrüger ist es leicht verdientes Geld mit der Leichtgläubigkeit ihrer Kunden, die nicht selten von der Gier übermannt werden, wenn sie daran denken, für Kleinstbeträge ein Vermögen in Form von Bitcoin, Ethereum, Dogecoin oder anderen Kryptowährungen zu erhalten.
Allerdings erstellen die Betrüger die Wallets selbst, gestalten die Passwörter bombensicher und nachdem sie ihre Wallet-Dateien an den Mann gebracht haben, heben sie teilweise sogar Beträge auf den Wallets etwas später wieder ab. Uns sind auch Fälle von gefälschten Wallet-Dateien bekannt, auf denen zwar ein BTC-Guthaben angezeigt wird, die Wallet-Datei aber gar nicht die Private Keys enthält. Am Ende geht der Käufer solcher Wallets also sogar dann leer aus, wenn er das Passwort finden sollte.
Auch digitaler Diebstahl ist strafbar
Wenn wir davon ausgehen, dass es sich nicht um Betrug handelt, bei der die Wallets durch den Verkäufer erstellt und mit BTC befüllt oder gefälscht worden sind, dann kommt nur noch eine andere Option in Frage. Bei der angebotenen Ware handelt es sich um Datensätze, die bei einem Hack gestohlen worden sind.
Dabei werden die entsprechenden Wallet-Dateien auf unterschiedlichem Weg erbeutet. Krypto phishing ist eine Methode, die sehr häufig zum Einsatz kommt. Es kann sich aber auch um einen sogenannten Dump handeln, bei der beispielsweise eine Sicherheitslücke in einem NAS ausgenutzt wird und Millionen von Kunden des Herstellers beklaut werden. Am Ende landet ein großer Datensatz von allen Betroffenen im Netz und kann durchwühlt werden. Hier finden sich hin und wieder Wallet-Dateien, die von Kriminellen extrahiert und danach als Paket zum Kauf angeboten werden.
Und genau an dieser Stelle geht den meisten unserer treuen Leser hoffentlich ein Licht auf, denn der Erwerb und auch der Besitz geklauter Daten ist in Deutschland und in vielen anderen Ländern eine Straftat. Würde man mit einer solchen Wallet-Datei den Erfolg genießen und Bitcoin erhalten, dann wäre das ebenfalls strafbar und kann bittere Konsequenzen nach sich ziehen. Doch so weit kommt es häufig gar nicht und der Grund dafür ist sehr einfach.
Wie kann man ein Wallet knacken?
Gehen wir rein gedanklich davon aus, dass wir ein Wallet erhalten, welches BTC enthält und wir es knacken könnten. Warum sollte jemand es weiterverkaufen anstatt es selber zu knacken? Die Wahrscheinlichkeit ist extrem gering, dass es sich um ein Wallet mit schwachem Passwort handelt.
Dabei ist es grundsätzlich wahr, dass sich ein vollkommen unbekanntes Passwort brechen lässt. Dazu gibt es spezielle Software, bei der die Zieldatei eingebunden wird und der Rechner danach Millionen von Operationen durchführt und hintereinander alle möglichen Kombinationen für das Passwort durchprobiert. Diese Methode nennt man auch Brute Force-Attacke, weil hier mit roher „Rechengewalt“ der Versuch unternommen wird, ein Passwort zu knacken.
Man braucht aber nicht nur die Software, sondern auch die entsprechenden Kenntnisse und vor allen Dingen eines: So viel Rechenleistung wie nur irgend möglich.
Doch selbst wenn man das alles mitbringt, gibt es keine Garantie, dass man Erfolg erzielt. Je länger und komplexer das Passwort, desto unwahrscheinlicher ist ein Treffer. Hier ein kleiner Einblick, wie lange es beispielsweise dauert, ein Passwort per Brute Force-Attacke zu knacken. Als Grundlage für diese Berechnungen wurde eine RTX3090 für ein Bitcoin Core Passwort angenommen.
Passwortlänge | Verwendete Zeichen | Dauer |
---|---|---|
7 | Kleinbuchstaben | 6,3 Tage |
7 | Klein- und Großbuchstaben, Ziffern | 7,5 Jahre |
7 | Klein- und Großbuchstaben, Ziffern & Sonderzeichen | 150 Jahre |
8 | Kleinbuchstaben | 163 Tage |
8 | Klein- und Großbuchstaben, Ziffern | 467 Jahre |
8 | Klein- und Großbuchstaben, Ziffern & Sonderzeichen | 13 042 Jahre |
Natürlich handelt es sich hierbei nur um ungefähre Angaben und das Ergebnis kann mit der verwendeten Rechenleistung schneller oder langsamer ausfallen.
Nutzt man also einen Passwortgenerator zur Erstellung, der mit 20 Zeichen oder mehr arbeitet und dabei Klein- und Großbuchstaben sowie Ziffern und Sonderzeichen verwendet, dann hat man keine Aussicht auf Erfolg. Wenn sich das Passwort einer geklauten Wallet also knacken lässt, dann macht das der Dieb sehr wahrscheinlich selber, ansonsten handelt es sich immer um Betrug.
Abseits davon möchten wir abschließend noch einen Rat an alle geben, die sich am Ende versucht sehen, es trotzdem zu versuchen. Die Strafverfolgungsbehörden haben mittlerweile in Deutschland und Europa Kapazitäten aufgebaut, um mit Hilfe von Blockchain-Analyse gestohlene Kryptowährungen aufzuspüren. Auch bei Börsen ist das schon länger ein Standard. Sobald das Opfer eines Diebstahls Anzeige erstattet, kann und wird bei dem Versuch Bitcoin in Euros umzuwandeln, eingegriffen und ein Strafverfahren eingeleitet.