Safety Instructions – Sicherheit im Umgang mit Kryptowährungen

Ein Wallet kannst du mit deinem Bankkonto vergleichen, jedoch mit dem Unterschied, dass du selbst die komplette Verwaltung übernimmst. Dein Wallet ist mit deinem einzigartigen privaten Schlüssel gesichert. Dies erfordert eine etwas andere Denkweise, wenn es um Sicherheit geht. Finanzielle Freiheit und die Möglichkeit, überall und jederzeit auf dein Guthaben zuzugreifen, gehen mit der Eigenverantwortung einher – bei Kryptowährungen gibt es keinen Kundensupport. Aber dafür gibt es solche Hilfestellungen wie mein Service CP941.

Regel 1: Bewahre das Backup deines privaten Schlüssels (Private Key) – die für Menschen lesbare „Mnemonic Seed-Phrase“ (12, 15 oder 24 englische Wörter) – in der vorgegebenen Reihenfolge auf Papier geschrieben an zwei geografisch unterschiedlichen Orten in 2 verklebten Couverts auf.

Regel 2: Teile diese „Backup-Wörter“ mit niemandem, auch nicht mit angeblichen Krypto-Experten oder Supportern, welche dich auffordern, ihnen diese per E-mail zuzustellen oder über eine Webseite hochzuladen.

Regel 3: Lege die „Mnemonic Seed-Phrase“ niemals digital ab, mache keine Screenshots und auch keine Fotos. In der Cloud oder auf kompromittierten Geräten wie PCs und Smartphones wäre ein Backup öffentlich und exponiert.

Beispiel einer „Mnemonic Seed-Phrase“ :
achieve couch effort gloom inherit major orange purse repair slow strategy worth

Es gibt verschiedene Strategien zur sicheren Verwaltung von Kryptowährungen. Darunter befinden sich sogenannte „Cold Storage Wallets“. Dies sind USB-Sticks, welche private Schlüssel offline speichern. Zu empfehlen ist die BitBox02 Multi Edition oder die BitBox02 Bitcoin-only Edition der Schweizer Firma Shift Crypto. Link weiter unten.

Eine Empfangsadresse im Krypto-Universum ist vergleichbar mit der IBAN Nummer in der Bankenwelt.

Beispiel einer International Bank Account Number (CH IBAN): CH39............
Beispiel einer Bitcoin-Empfangsadresse: 1bcq..............
Beispiel einer Ethereum-Empfangsadresse: 0x............

Eine wichtige Regel ist der Fokus vor einer Transaktion. Wenn ein Bitcoin (oder Satoshis, Teile eines Bitcoins) an eine falsche Adresse gesendet wird, ist dieser in der Regel verloren. Dies gilt auch bei anderen Kryptowährungen, welche auf einer anderen Blockchain laufen, wie z. B. Ethereum.

Regel 1: Keine Transaktionen in der Hektik tätigen! Nutze zu Hause deinen privaten Arbeitsplatz auf einem sicheren Gerät, um Transaktionen durchzuführen.

Regel 2: Prüfe beim Senden die Empfängeradresse ganz genau! Sende niemals an eine Adresse, welche du im Internet oder in einer Werbung (Ad) gesehen hast.

Regel 3: Erstelle jedes Mal eine neue Empfangsadresse in deinem Wallet, um deine Privatsphäre zu schützen! Gewisse Hardware-Wallets wie bspw. die BitBox02 machen dies automatisch.

Ich gehe hier bewusst nicht zu tief ins Detail. Fakt ist, dass eine fälschlich getätigte Transaktion in der Blockchain grundsätzlich nicht wie bei einer Bank rückgängig gemacht werden kann. Du bist die Bank und für die Transaktion als letzte ausführende Instanz verantwortlich. Daher gilt: Fokussiere dich bei Transaktionen!

Hoppla, jetzt hast du trotzdem geklickt? So schnell kann es gehen ... Aber keine Angst, es ist nichts passiert – dies war nur eine kleine Übung.

Man könnte denken, der Grossteil der Anwender:innen sollte betreffend Gefahren in der Onlinewelt informiert sein und eine entsprechende Vorsicht walten lassen. Dennoch nehmen Phishing-Mails und weitere clevere Fangmethoden exponentiell zu. So viele Menschen und Firmen werden täglich angegriffen, erpresst, verlieren Geld und noch mehr. Davor möchte ich dich schützen.

Deshalb lies bitte diese Safety Instructions ganz genau durch:

Sei besonders vorsichtig beim Öffnen von Links. Bösartige Links könnten darauf abzielen, dein Software-Wallet mit einer Betrugs-Webseite zu verbinden und deine Coins (die privaten Schüssel) zu stehlen. Solche Links – auch in einer WhatsApp – können Schadsoftware auf dein Smartphone oder deinen PC installieren, um dich auszuspionieren und deine Daten auszulesen.

Vorsicht beim Öffnen von Links
Klicke nicht einfach auf jeden Link, der in der Google-Suche erscheint. Es gibt täuschend echte URLs (das sind Adressen von Webseiten), welche zum Verwechseln ähnlich wie die Originale aufgebaut sind. Diese verleiten dazu, sie zu öffnen, um auf eine Phishing-Webseite zu gelangen.

Sobald du dir unsicher bist, frage jemanden, der sich auskennt, oder gehe jeweils direkt über die Browserleiste (da, wo man das www... eingeben kann) auf die Herstellerwebseite.

Beispiele, in denen sich gefährliche Links verbergen können:

- Webseiten- und Google-AdWords-Anzeigen, oberste Suchergebnisse
- Ads (Anzeigen-Werbung auf Internetseiten)
- Werbung in YouTube (Giveaway-Scams)
- E-Mails
- WhatsApp
- Telegram
- Signal
- Discord
- SMS (z. B. „Ihr Paket ist unterwegs ...“)
- u. v. m.

Als Grundsatz gilt: „Zuerst denken, dann klicken/tippen.“ Vor allem beim Smartphone wird viel zu schnell einmal etwas geöffnet.

„Lass uns doch vernetzen …“
Wenn du Instagram, Facebook und andere soziale Netzwerke nutzt, achte auf Fake-Profile. Überprüfe zuerst die Anzahl der Follower und gehe grundsätzlich immer davon aus, dass es ein Fake-User sein könnte, der dich ausspionieren möchte. Lösche auch regelmässig alte, unbenutzte Kontakte aus deinen Adressbüchern und prüfe bei Anfragen, ob sich die „neue“ Person evtl. bereits in deinem Netzwerk befindet.

„Hallo, hier spricht die Support-Abteilung“
Auch Betrug und Spionage per Telefon haben zugenommen. Melde dich bei einer unbekannten Nummer nie (!) mit deinem Namen, sondern sag einfach nur: „Hallo.“ Wenn dir irgendetwas merkwürdig erscheint, leg einfach auf und blockiere die Nummer. Lass dir auf keinen Fall Fernsteuerungsprogramme auf dein Smartphone oder auf deinen PC/Mac installieren, auch nicht von der angeblichen „Support-Abteilung“ deines Arbeitgebers. In der Regel werden solche Aktionen genutzt, um dir und/oder deiner Firma zu schaden. Wenn du nicht sicher bist, frag bei einer solchen Aktion zuerst einen vertrauten Experten oder die verantwortliche Person deines Arbeitgebers.

„Aber bei mir gibt es ja nichts zu holen“ oder „Ich habe nichts zu verbergen“
Bist du dir da wirklich ganz sicher? Dies ist ein häufig vorgebrachtes Argument von Benutzern in Bezug auf die Awareness.

Erklärung, warum dies so wichtig ist, auch wenn es angeblich „nichts zu holen gibt“, und Gründe für ein sogenanntes „Social Engineering“ (Ausspionieren eines Menschen und/oder seines Netzwerkes für mögliche Attacken):

Hacker nutzen entweder deine Gutmütigkeit, dein Nichtwissen oder deine Gleichgültigkeit aus, um an Informationen heranzukommen, welche dir, deiner Firma, deinem Arbeitgeber, deinen Freunden oder deiner Familie schaden könnten. Ich denke, man kann sich in etwa vorstellen, wie dies gemeint ist und dass es durchaus bei jeder Person „etwas zu holen“ und „etwas zu verlieren“ gibt.

Ein kleines Kaffee-Erlebnis für die Privatsphäre
Warst du auch schon mal in einem der bekanntesten „Coffee to go“-Franchise-Unternehmen? Man wird an der Kasse nach dem Namen gefragt, welcher dann auf einen Becher geschrieben und, nachdem der Kaffee frisch gebraut wurde, wie auf einem öffentlichen Markt laut ausgerufen wird. Ist es wirklich nötig, seinen vollen Namen – am besten mit sämtlichen Titeln und Vornamen – anzugeben? Wähle in solchen Situationen einfach einen Fantasienamen, bspw. „Mary“ oder „Mick“. Ein Privatsphäre-Mindset fängt bei solchen kleinen Dingen an. Du sollst selbstverständlich nicht per se misstrauisch oder ängstlich sein, sondern einfach nur vorsichtiger mit deiner persönlichen Identität umgehen.

Halte alle deine Geräte – PC, Mac, Smartphone, Tablet etc. – stets auf dem aktuellen Stand. Je öfter du deine Systeme aktualisierst, desto sicherer ist deine Umgebung und umso schneller sind die Updates eingespielt. Im Durchschnitt solltest du 15 Minuten wöchentlich dafür einplanen. Fahre die Systeme und auch das Smartphone nach jedem Update komplett herunter oder schalte sie aus und wieder ein und teste dann die Programme.

Wichtig: Führe keine Updates unter Zeitdruck, unterwegs oder vor einem anstehenden Termin aus! Der Zeitpunkt für deine Update-Routine sollte auf eine Randzeit abends oder am Wochenende gelegt werden.

Aktualisiere stets zuerst die Programme über die integrierten App-Stores und die übrigen über die jeweilige Hersteller-Webseite oder die Aktualisierungsoptionen in den Einstellungen der Programme/Apps. Im Folgenden findest du eine Liste der meistverwendeten Programme und Betriebssysteme:

- Sicherheits-Updates der Betriebssysteme: Android, iOS, macOS, Windows
- Antivirus-Programm und/oder Malware-Schutz aktualisieren
- Meeting-Tools: Zoom, Skype, Slack, Microsoft Teams
- Browser: Google Chrome, Mozilla Firefox, Safari, Microsoft Edge
- Messenger-Dienste: WhatsApp, Telegram, Signal, FB-Messenger, Discord
- Microsoft Office Programme: Word, Excel, PowerPoint, Outlook etc.
- Adobe Acrobat Reader, Adobe Acrobat Reader DC
- Adobe Creative Suite, Photoshop, Illustrator, InDesign etc.
- usw.

Achtung: Diese Anleitung gilt NICHT für die „Private Keys“ oder für die „Seed-Phrase“! Dies ist eine allgemeine Information zur digitalen Sicherheit. Die Regeln zur Aufbewahrung der privaten Schlüssel/Seed-Phrase findest du oben bei Punkt 1.

Es klingt mühsam und langweilig, doch es ist wichtig, eine sichere Passwortverwaltung zu führen. Gehe mal durch die Checkliste durch und versuche die gezeigten Ansätze in deine Umgebung zu integrieren

Checkliste

1. Überlege dir bei der Erstellung und Verwendung von Passwörtern immer, ob man deine Passwörter leicht erraten kann. Verwende keine Namen, Geburtsdaten, Jahreszahlen oder jegliche Wörter, welche auch in einem Wörterbuch zu finden sind.

2. Verwende für jeden Zugang unterschiedliche Passwörter.

3. Dir sollte bewusst sein, dass es infolge der unzähligen Cyber-Angriffe auf grosse Unternehmen wie Dropbox, Adobe und auch auf Schweizer Unternehmen öffentliche Passwortlisten gibt, welche Hacker für Cyber-Attacken benutzen. Auch dein Account kann betroffen sein.

Es ist denkbar und durchaus möglich, dass dein Passwort (deine Passwörter) ebenfalls bereits veröffentlicht wurde(n) und Hackern in öffentlichen Verzeichnissen zugänglich ist (sind). Stell dir vor, du benutzt für sämtliche Zugänge das gleiche Passwort. Das würde in letzter Konsequenz bedeuten, dass alle deine Zugänge in Gefahr sind!

4. Verwalte deine Passwörter in einem Passwort-Manager und generiere diese innerhalb dieser Verwaltung. Benutze dabei ein starkes Masterpasswort für deinen elektronischen Safe.

- Empfehlung: SecureSafe (Schweizer Produkt, siehe App-Store)

5. Aktiviere, wo immer diese unterstützt wird, die „2-Faktor-Authentifizierung“ („2-Factor Authentication“, „2FA“) über eine Authenticator-App wie Microsoft Authenticator, Google Authenticator oder Authy.

6. Schreibe Passwörter niemals auf Notizzettel (Post-it) oder ungeschützt in eine Datei wie Excel oder Word.

7. Teile Deine Passwörter mit niemandem.

8. Ändere deine Passwörter in regelmässigen Abständen, z. B. alle paar Monate. Generiere nicht merkbare und sichere Passwörter mit dem Passwort-Manager.

9. Verwende immer ein möglichst langes Passwort (ab 20 Zeichen).

10. Für das Masterpasswort: Warum nicht mal ein Passwort auf „Schwyzerdütsch“ generieren? Hier ein Beispiel:

„Am Zibele-märit 11. Novämber z Bärn gits di gröschte Zibele vo dr Schwiiz.“

Wenn wir nun daraus ein unlesbares Passwort kreieren wollten, könnte dieses so aussehen: AZ-m11.NovzBgdgZvdCH

Wir haben hier ein starkes Master-Passwort mit den Initialen inkl. Gross- und Kleinschreibung sowie einer Zahl und Sonderzeichen kreiert, welches 20 Stellen lang ist und das man sich durchaus merken kann.

Hier eine spannende Übung:
Auf der Webseite www.datenschutz.ch (Datenschutzbeauftragte des Kantons Zürich) gibt es einen sicheren Passwort-Check, wo man eine Kalkulation sieht, wie lange es dauern würde, um ein Passwort zu knacken.

Kopiere das oben erstellte Passwort und prüfe auf dieser Webseite die Rechenzeit. Link: Passwortcheck.ch

PS: Bitte verwende dieses Passwort NICHT (!) als Masterpasswort, da es ja auch für andere ersichtlich ist. ;)

Auf dieser Seite kannst du überprüfen, ob deine E-Mail-Adresse bereits gehackt wurde: https://haveibeenpwned.com