Das Open Bitcoin Privacy Project hat 20 der beliebtesten Wallets hinsichtlich ihrer Privacy getestet. Der Report liegt nun vor und zeigt mitunter überraschende Ergebnisse.
Viele Menschen entscheiden sich für den Bitcoin, weil sie sich eine verbesserte Privatsphäre erhoffen. Da in einer Bitcoin-Wallet die Bank nicht mitliest, wird dieser Anspruch auch meistens erfüllt. Die tatsächliche Privatheit von Bitcoin-Transaktionen ist in vielen Fällen jedoch sehr viel schlechter, als vermutet. Beispielsweise können Netzwerk- oder Blockchain-Analysen sehr viel mehr über den Sender einer Transaktion verraten, als einem lieb ist, während manche Wallet-Betreiber per Gesetz gezwungen werden, ihre Kunden auszuspionieren. Bitcoin kann privat sein, ist aber an sich noch keine Garantie auf finanzielle Privatsphäre.
Der Open Wallet Privacy Rating Report des Open Bitcoin Privacy Projects hat sich nun 20 beliebte Bitcoin-Wallets für alle Systeme zur Brust genommen und untersucht, inwieweit sie die Privatsphäre des Nutzers schützen. Dabei wurden fünf mögliche Angriffswege angenommen – über Blockchain-Analysen, Netzwerk-Analysen, den Wallet-Provider, Transaktionspartner sowie physische Feinde. In die Bewertung eingeflossen sind zudem die Qualität der Wallets, die Usability und das Feedback der Entwickler.
Den ersten Platz hat die Ledger-Wallet abgeräumt. Diese in Frankreich entwickelte Wallet nutzt das Apple-Prinzip: Entwickle Software, verkaufe eine schicke Hardware, und schon ist der User ein Kunde, dem man etwas bieten kann, ohne seine Daten zu verkaufen. So kann Ledger auf der einen Seite die Weiterentwicklung der Wallet finanzieren und zugleich dank Hardware ein höheres Maß an Sicherheit bieten. Das über Chrome / Chromium laufende Wallet von Ledger überzeugt die Jury des Reports durch ein gutes Handling von „privacy basics.“ Die Wallet verhindert effektiv das Wiederbenutzen von Adresse und hat eine exzellente Oberfläche, um verschiedene Accounts in einer Wallet zu verwalten und damit das Clustering von Adressen zu verhindern. Mehr über die Ledger-Wallet erfahrt ihr in unserem Review.
Für den PC kommt nun ganz lange nichts. Der Report empfiehlt für iOS das Breadwallet, vor allem, weil es via SPV direkt an das Netzwerk anknüpft (und damit das Abfangen von Datern über den Wallet-Provider verhindert), für Android Airbitz (mehrere Accounts, automatische Generierung neuer Adressen), Arcbit (wegen der experimentellen ECDHM-Adressen) und Samourai (noch Alpha, aber ebenfalls mit ECDHM-Adressen, TOR-Support und Mixing).
Während es für Smartphones viele neue Wallets mit intuitiver Benutzerführung und starken Privacy-Features gibt, bleibt PC-Nutzern nur Darkwallet (ebenfalls über Chrome, aber, da nicht weiterentwickelt und buggy nicht zu empfehlen) und, auf Platz 7 von 20, Bitcoin-QT. Indem die Nutzer des Bitcoin-Clienten direkt mit dem Netzwerk verbinden, gibt es kein Risiko durch Wallet Provider und nur ein geringes Risiko durch Netzwerkbeobachter. Allerdings bemerkt der Bericht, dass sich QT abgesehen davon als Wallet nicht wirklich weiterentwickelt hat. Wer sicher vor Blockchain-Beobachtern sein will, muss mit viel Disziplin Coin Controll benutzen und die Herkunft der Wechselgelder im Blick behalten.
Die zweite Hardware-Wallet, Trezor, folgt QT auf Platz 8. Die Wallet von Trezor ist zwar an sich gleichwertig wie die von Ledger, indem sie eine einfache Verwaltung mehrerer Accounts bietet und die Wiederbenutzung von Adressen verhinder. Doch da die Wallet im Web und nicht wie von Ledger lokal ist, ist sie verwunderbar gegenüber Netzwerkbeobachtern.
Die „klassischen Wallets“ wie Bitcoin Wallet für Android, Multibit, Armory, Mycelium und Electrum schneiden insgesamt eher schlecht ab. Entweder gibt es keine Möglichkeit, verschiedene interne Accounts zu verwalten, oder dies ist unnötig kompliziert gemacht; zudem ist die Netzwerkstruktur mit Server-Client-Modellen oft verwundbar gegen Ausspähangriffen. Auf dem letzten Platz ist schließlich die Wallet von Coinbase, die durch ein KYC Regime die Privatsphäre der Nutzer grundsätzlich gefährdet.
Ingesamt ist keines der Wallets perfekt. Die optimal erzielbare Privatsphäre wäre eine Wallet, die direkt an die Blockchain anknüpft (als SPV), multiple Accounts verwaltet, wiederbenutzbare Payment-Codes (Stealth- oder ECDHM-Adressen) unterstützt, Mixing-Mechanismen integriert und eine Verbindung über TOR und VPN zulässt. Vielleicht wird es damit ja noch was.