Bitcoin.de lässt Kundensalden durch Wirtschaftsprüfungsgesellschaft prüfen

Bereits im März diesen Jahres hatte Bitcoin.de angekündigt, sämtliche Bitcoin-Bestände von Kunden, die von Bitcoin.de verwaltet werden, prüfen zu lassen. Um vollständige Sicherheit zu schaffen, dass die Bitcoin-Guthaben tatsächlich verfügbar sind, hat der Bitcoin-Marktplatz mit dieser Prüfung eine anerkannte Wirtschaftsprüfergesellschaft beauftragt. Nach monatelangem Suchen, Verhandeln und Planen ist es nun soweit: Bitcoin.de lässt als erster Bitcoin-Handelsplatz weltweit seine Kundenbestände durch eine externe  Wirtschaftsprüfergesellschaft prüfen. Hierfür wurde ein Verfahren entwickelt, das die Bestätigung der Bestände ermöglicht. Die Prüfung hat am Montag, den 1. September, begonnen. Viele Kunden wurden bereits per Email informiert und gebeten, den Saldo Ihres Guthabens bei bitcoin.de zu bestätigen.

Bitcoin.de hat seit März mit verschiedenen großen und renommierten Wirtschaftsprüfungs-gesellschaften Gespräche geführt. Diese verliefen meist zäh und wurden von Zweifeln seitens der Wirtschaftsprüfer begleitet, ob diese eine solche Prüfung vornehmen können und auch haftungsrechtlich dürfen. Auch wenn das Internet sicherlich kein Neuland mehr ist, so ist es Bitcoin in vielerlei Hinsicht definitiv. Während es gängige Praxis ist, sich von Banken Saldenbestätigungen erstellen zu lassen, gibt es solche Autoritäten bei Bitcoin nicht. Die Blockchain ist öffentlich und es existiert keine Art „Verwalter“, der irgendwelche Bestätigungen ausstellen und unterschreiben könnte. Mit der “RLT IT- und Systemprüfung GmbH Wirtschaftsprüfungsgesellschaft” hat Bitcoin.de schließlich einen Partner gefunden, der die Herausforderung angenommen hat, als weltweit erste Wirtschaftsprüfergesellschaft Bitcoin-Bestände zu prüfen.

Selbstverständlich gab es im Vorfeld viele Fragen zu Themen wie Cold Wallets, der Blockchain und so weiter zu klären, aber binnen weniger Wochen konnte ein Verfahren entwickelt werden, welches feststellt, ob Bitcoin.de im Besitz aller Bitcoin-Guthaben seiner Kunden ist. Ein wesentlicher Bestandteil einer solchen Prüfung ist es, sämtliche Möglichkeiten, durch die Bitcoin.de den Prüfer theoretisch täuschen könnte, zu berücksichtigen und auszuschließen. Die Prüfung erfolgt allerdings in Stichproben, da eine vollständige Prüfung nicht möglich ist. Dabei erfolgte die Stichprobenauswahl aber so, dass die Risikofaktoren berücksichtigt wurden und eine zuverlässige Prüfungsaussage getroffen werden konnte.

RLT prüft sowohl den SOLL- als auch den IST-Bestand. SOLL meint die Summen, die laut den Datenbanken von bitcoin.de vorhanden sind, IST jene Beträge, die tatsächlich in der Blockchain stehen und für die bitcoin.de nachweislich den privaten Schlüssel besitzt. Die Prüfung besteht also aus drei Teilen und hat nach mehrfachen Probedurchläufen am Montag, den 1. September, begonnen: Zunächst nehmen sich die Wirtschaftsprüfer den SOLL-Bestand vor. Dafür haben sie die Bestandsdaten aller Kunden erhalten, selbstverständlich in anonymisierter Form. Um zu prüfen, ob diese Daten korrekt sind, wird derzeit durch das Saldenbestätigungsverfahren von RLT eine ermittelte Stichprobe überprüft. Die User sind dabei in eine aktive und passive Gruppe geteilt: Die aktiven User müssen ihren BTC-Kontostand (zum 27.8.2014 23:59 Uhr) auf Bitcoin.de bestätigen oder begründeten Einspruch einlegen. Sie werden durch eine Email darüber informiert, um Missverständnisse zu vermeiden. Die passive Gruppe hat den Kontostand per Email mitgeteilt bekommen. Wenn sie keinen Einspruch einlegen, gilt der Bestand nach 2 Wochen als bestätigt. Die User aus der passiven Gruppe können den Bestand aber auch aktiv bestätigen. Das Ergebnis der Bestätigung geht unmittelbar per Mail verschlüsselt und anonymisiert an RLT.

Aber steht das, was bitcoin.de sagt, auch in der Blockchain? Um den IST-Bestand zu prüfen, hat RLT von bitcoin.de die BTC-Adressen der Hot- und Cold-Wallets erhalten. Gut 98% der Bestände sind “cold” gelagert, also ohne Verbindung zum Internet, verteilt auf mehrere gesicherte Lagerstätten. Dabei ist sichergestellt, dass eine Person alleine nicht über die Bestände verfügen kann. Über die Blockchain hat RLT dann die Bestände dieser Adressen ermittelt.

Um darüber hinaus zu prüfen, ob bitcoin.de auch Zugang zu den Adressen – also den privaten Schlüsseln – hat, hat RLT eine signifikante Stichprobe an BTC-Adressen von Cold-Wallets ermittelt. Für diese haben die Wirtschaftsprüfer kurze Texte angegeben, die von bitcoin.de mit dem privaten Schlüssel signiert werden müssen. Damit bitcoin.de sich den privaten Schlüssel nicht einfach nur “ausleiht”, ist RLT zudem bei der Signierung in den Lagerstellen der Cold Wallets anwesend. Eine genaue Erklärung zu den Lagerstellen kann aus Sicherheitsgründen nicht gegeben werden.

Am Ende der Prüfung wird eine nachgewiesene IST-Menge und eine bestätigte SOLL-Menge stehen.

About Christoph Bergmann (1104 Articles)
Das Bitcoinblog wird von bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder. Wenn Ihnen das Blog gefällt, freuen wir uns über Spenden an 1BvayiASVCmGmg4WUJmyRHoNevWWo5snqC. Jeder Satoshi wird dazu verwendet, um das Blog besser zu machen. Weitere Infos, wie Sie uns unterstützen können, finden Sie HIER. Gastbeiträge sind ebenfalls willkommen. Meinen öffentlichen PGP-Schlüssel sowie den Bitmessage-Schlüssel finden Sie HIER

5 Comments on Bitcoin.de lässt Kundensalden durch Wirtschaftsprüfungsgesellschaft prüfen

  1. Heinz Schumacher // 24. September 2014 at 11:51 // Reply

    Ihr gebt private Schlüssel tatsächlich an dritte weiter?

    • Bitte genauer lesen. Wir signieren Nachrichten mit privaten Schlüsseln.

      • Name required // 24. September 2014 at 18:31 //

        Ich würde eher sagen: Genauer schreiben. Zum Beispiel auch hinsichtlich des angegeben Datums: “Die aktiven User müssen ihren BTC-Kontostand (zum 27.8.2014 23:59 Uhr) auf Bitcoin.de bestätigen oder begründeten Einspruch einlegen.” Müssen oder mußten? Ansonsten widerspricht sich das.

        Und was soll das hier bedeuten?

        “Für diese haben die Wirtschaftsprüfer kurze Texte angegeben, die von bitcoin.de mit dem privaten Schlüssel signiert werden müssen. Damit bitcoin.de sich den privaten Schlüssel nicht einfach nur “ausleiht”, ist RLT zudem bei der Signierung in den Lagerstellen der Cold Wallets anwesend.”

        Bitte genauer erläutern.

  2. Also ich hab´s kapiert 🙂

  3. Enormer Aufwand für Bitcoin.de – Steht geplantes Wachstum ins Haus? Wofür das Ganze? Sollen Investoren für Bitcoin.de “überzeugt” werden? (dass da alles mit Rechten Dingen zugeht?)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: