Open Vasp: Schweizer Krypto-Startups entwickeln Ethereum-basierte Open-Source-Lösung für die Travel-Regel der FATF

Die FATF, das weltweit wichtigste Organ zur Bekämpfung von Geldwäsche und Terrorfinanzierung, hat vor einiger Zeit bestimmt, dass auch für Kryptowährungen die sogenannte “Travel-Regel” gelten soll: Börsen und andere Verwahrer müssen den Empfänger von Krypto-Transaktionen feststellen. Die Umsetzung dieser Regel ist für viele Unternehmen eine gewaltige Herausforderung. Eine Kooperation einiger Schweizer Krypto-Unternehmen soll die Probleme durch ein Ethereum-basiertes Open-Source-Protokoll lösen. Krypto wird damit ein Stück ähnlicher wie die bekannte Bankenwelt.

Die mächtige Financial Actions Task Force (FATF) ist das leitende zwischenstaatliche Organ für den Kampf gegen Geldwäsche und Terrorfinanzierung. Ihre “Ratschläge”, wie Einzelstaaten die Geldströme kontrollieren sollen, sind für die meisten Regierungen verbindlich, da ihnen bei Missachtung droht, auf der schwarzen Liste der FATF neben den sogenannten Schurkenstaaten zu landen.

Mitte des vergangenen Jahres hat die FATF nun ihre “Empfehlungen” veröffentlicht, wie die Staaten mit Kryptowährungen umgehen sollten. Diese Empfehlung wurde seit langem erwartet, und zum Teil bringt sie die Hoffnung, dass sie eine globale Harmonisierung der Krypto-Regulierung anstößt. Allerdings stoßen nicht alle der Empfehlungen auf die Zustimmung der Krypto-Branche. Insbesondere die “Travel-Regel” (“Reiseregel”) hat es in sich: Unternehmen, die mit virtuellen Währungen arbeiten und damit der Finanzaufsicht unterstehen, sollen bei Transaktionen mit einem Wert von mehr als 1.000 Dollar Informationen zu Sender und Empfänger ermitteln, speichern und weiterleiten. Viele Unternehmen fragen sich seitdem, wie sie dies umsetzen sollen. Dabei arbeitet die Zeit gegen sie: Ab Mitte des Jahres möchte die FATF dafür sorgen, dass die Einhaltung ihrer Empfehlungen überwacht wird.

Ein kürzlich erschienenes Post auf dem Blog des Schweizer Crypto Valleys erklärt, dass bei der Umsetzung zwei Hauptprobleme hervorstechen: “Die Identifizierung des wirtschaftlichen Berechtigten sowie dessen Datenübertragung.” Das Post stellt Open Vasp vor, eine im November 2019 gegründete Initiative von Bitcoin Suisse, Lykke, Seba Bank, Sygnum, Avaloq und MME mit der Unterstützung der Crypto Valley Association (CVA) und der International Digital Asset Exchange Association (IDAXA). Ihr Ziel sei es, “der Kryptoindustrie bei der Einhaltung dieser FATF Richtlinie zu helfen”, indem sie ein offenes und dezentrales Protokoll schafft, das zum Industriestandard werden soll: “Ein SWIFT-ähnliches Messaging-System, das auf Kryptographie basiert.” Open Vasp soll es Unternehmen der Krypto-Branche erlauben, die für die Beachtung der Travel-Regel notwendigen Informationen auf private und dezentrale Weise auszutauschen.

Dafür wurde ein Open-Source-Protokoll entwickelt, über das die beteiligten dezentral Ende-zu-Ende-verschlüsselte Informationen zu Transaktionen kommunizieren können, ohne die Privatsphäre der Beteiligten zu gefährden. Lykke und Bitcoin Suisse haben bereits eine erste Version in C# umgesetzt, andere Mitglieder des Verbandes arbeiten an Implementierungen in Java und anderen Sprachen. Das Protokoll ist allerdings deutlich komplexer als ein bloßes Nachrichtensystem, wie das zugehörige Whitepaper zeigt. Es umfasst einen Smart Contract auf Ethereum, die Nutzung des Whisper-Protokolls für private, dezentrale Kommunikation, spezielle Ableitungen von Ethereum-Schlüsseln und eine lange Liste möglicher Nachrichten.

Jedes beteiligte Unternehmen muss einen Smart Contract auf Ethereum anlegen, durch den es sich registriert. Dafür muss es zunächst eine VASP Identity erzeugen, welche sich aus dem Schlüsselpaar für Ethereum-Adressen ableitet. Parallel zu diesem bildet es eine “Virtual Assets Account Number” (VAAN), welche analog zur IBAN als Routing-Information dient, damit die Nachrichten ihr Ziel finden. Sowohl VASP-Identity als auch VAAN werden dann mit dem Ethereum Name Service (ENS) auf der Ethereum-Blockchain abgespeichert. Dies erlaubt es, sie über einen kürzeren, für Menschen lesbaren Namen anzusprechen. Mit einem Smart Contract werden damit VASP-Code, VAAN und die “Domain” auf der Blockchain festgehalten. Dadurch wird auch verhindert, dass Angreifer die Identität einer Börse vorgibt, um Guthaben oder Informationen zu erhalten.

Um die Nachrichten danach auszutauschen, verwendet Open Vasp das Whisper-Protokoll. Dies ist ein Teil des Ethereum-Projektes und soll als ein Nachrichtensystem dienen, das zwar an die Blockchain andockt, aber die Nachrichten an sich offchain übermittelt. Es dient einem dezentralen, privaten, stabilen und schnellen Austausch von Nachrichten, und bietet sich an, weil die Teilnehmer ohnehin einen Ethereum-Knoten benötigen. Wie bei Bitcoin teilt dabei jeder Knoten alle umherlaufenden Nachrichten, so dass ein Beobachter nicht feststellen kann, wer Sender und Empfänger einer Nachricht ist. Diese sind natürlich verschlüsselt, entweder symmetrisch mit AES oder asymmetrisch mit ECDSA. Ferner entwirft das Protokoll zahlreiche Formate für Nachrichten, welche die relevanten Informationen, die auszutauschen sind, in Einklang mit den Vorgaben der FATF standardisiert.

Insgesamt dürfte ein solches offenes und dezentrales Protokoll Krypto-Unternehmen davor bewahren, die teure Hilfe von Drittdienstleistern zu beanspruchen, von denen sie dann in Abhängigkeit geraten und welche womöglich sensible Kundeninformationen speichern. Allerdings zeigt die schiere Komplexität des Protokolls mit seinen vielen Nachrichtenformaten, der Implementierung des alles andere als einfachen Whisper-Protokolls sowie den beteiligten Smart Contracts, dass die Regulierung durch die FATF die Hürden, ein Krypto-Unternehmen zu betreiben, deutlich erhöht.

Sollte das Open VASP Protokoll jedoch Erfolg haben, dürfte es für Ethereum zahlreiche positive Aspekte haben. So stellt es einen Anreiz an Krypto-Unternehmen dar, einen Ethereum-Node zu betreiben und sich auf ein sicheres, dezentrales und privates Kommunikationssystem und den Ethereum Domain Service einzulassen. Dies würde die Dezentralität des Ethereum-Netzwerkes befördern, der gesamten Branche helfen, offchain Transaktionen und Nachrichten auszutauschen, und über die Nutzung des ENS womöglich auch dazu führen, dass Börsen und Zahlungsdienstleister die sperrigen Adressen mehr und mehr durch Domains ersetzen.

Mit der strengen Regulierung nähert sich die Krypto-Branche damit zwar dem Bankenwesen an – zeigt aber gleichzeitig, dass sie moderner sein kann als dieses.