Endlich: Erster regulierter Bitcoin-Automat Deutschlands in Betrieb genommen
Schweinfurt bei Nacht. Bild von Manuel Karl via Wikipedia.de. Lizenz: Creative Commons
Die cpi Crypto Payment International GmbH hat es geschafft, mit Hilfe einiger Partner den ersten von der BaFin regulierten Bitcoin-Automaten Deutschlands aufzustellen. Die Lösung kommt nicht ganz ohne Einschränkungen daher – zollt aber der Privatsphäre der User immerhin auch Respekt.
Nein, nicht Berlin, und auch nicht München, Hamburg oder Köln. Noch nicht mal Stuttgart. Sondern Schweinfurt, eine Industriestadt in Unterfranken, die die meisten daher kennen, dass man auf dem Weg von Würzburg nach Berlin an ihr vorbeifährt.
In Schweinfurt steht nun also der einzige Bitcoin-Automat Deutschlands, ein sogenannter Bitcoin-ATM, bei dem man Bargeld gegen Bitcoin tauschen kann. Er sticht aus einer leeren Landschaft hervor. Denn die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ging in diesem Jahr hart gegen die Bitcoin-Automaten vor und suspendierte schließlich auch den Betrieb der Automaten von Coin Fellows, im Mai der einzige verbliebene nennenswerte Operateur.
Nun gelang es der cpi Crypto Payment International GmbH offenbar, die regulatorischen Auflagen der BaFin zu erfüllen, um in Schweinfurt den „ersten regulierten Cryptomat®“ in Betrieb zu nehmen, wie die Pressemitteilung schreibt. Der Automat befindet sich in den öffentlich zugänglichen Räumlichkeiten der Crypto Supply GmbH, einem Lieferanten von Mining-Hardware, der auch anbietet, die Miner zu hosten, und wurde offenbar vom estnischen Hersteller Intellogate als eine Variante des APT Automaten produziert.
Wie erfüllt cpi die regulatorischen Auflagen der BaFin? Zunächst kann der Cryptomat® nur benutzt werden, wenn man die Wallet-App von cpi verwendet: Erworbene Bitcoins werden ausschließlich der Wallet-App gutgeschrieben. Diese Wallet basiert auf der Technologie von Tatoshi, einer Bitcoin-Wallet aus der Schweiz, die ein Konzept der sozialen Wiederherstellung der Wallet entwickelt hat.
Um die Wallet zu benutzen, muss man sowohl Telefonnummer als auch E-Mail-Adresse bestätigen, was schon mal eine geringe, eher schwache Identifizierung ausmacht. Mit diesem Status kann man Bitcoins für bis zu 500 Euro an einem Cryptomat® kaufen. Anschließend muss man seine Identität prüfen lassen, was vermutlich durch ein Video-Identifizierungsverfahren geschieht.
Damit versucht cpi, eine Brücke zwischen BaFin und den Nutzern zu schlagen. Die BaFin will – mit gutem Grund – verhindern, dass über ATMs anonym Bitcoins gewechselt werden, die kriminelle Ursprünge haben. Die User dagegen wollen – mit ebenso gutem Grund – den Automaten eben darum benutzen, weil sie keine Lust haben, ihre Identität in einer Datenbank zu verewigen. Dahinter muss keine kriminelle Absicht stehen, sondern lediglich die vollkommen berechtigte Sorge für den Datenschutz.
Als User kann man also nun an einem Cryptomat® bis zu 500 Euro je verfügbarer Telefonnummer gegen Bitcoin wechseln. Bei den meisten Menschen dürfte sich dies auf nicht mehr als wenige tausend Euro summieren, wobei es in Deutschland auf legalem Wege nicht mehr möglich ist, eine Telefonnummer zu beziehen, ohne seine Identität zu bestätigen. Ob und wie es Kriminellen gelingt, dies zu unterlaufen, ist mir unbekannt. Insgesamt darf man annehmen, dass das Geldwäsche-Risiko durch den ATM sehr gering ist, während die User bescheidene Beträge weiterhin einigermaßen diskret erwerben können.
Diese Brücke ist ein Gemeinschaftsprojekt von cpi aus Berlin, der CM-Equity AG aus München, die die notwendigen Lizenzen der BaFin hält, sowie von den Entwicklern von Tatoshi. Der Plan ist es nun, in ganz Deutschland ein Netzwerk solcher Automaten aufzuziehen. Damit würde Deutschland endlich auch den Stand erreichen, der in den meisten Ländern schon seit mehreren Jahren normal ist.
Yay! Passend zur endgültigen Dichtmachung des room77 endlich ein Automat an dem man seine Coins gegen Urinprobe erwerben darf! Welch ein Durchbruch… nicht!
Ja, leider unbefriedigend, aber war abzusehen.
Nichtsdestotrotz habe ich gehört, dass etliche Spätis in Berlin vorregistrierte Sim-Karten verkaufen, aber ob sich der Aufwand dafür lohnt? Vor allem muss man die dazugehörige Wallet installiert haben… Ein Tschechienausflug dürfte für die meisten interessanter sein 😉
Es wird leider nicht ganz klar, was mit „Anschließend muss man seine Identität prüfen lassen“ gemeint ist. Bei Beträgen über 500 EUR? Und gelten die pro Transaktion oder pro installierter App und Telefonnummer? Kann man BTC auch verkaufen an dem Automat?
Voraktivierte SIMs gibts im Netz wie Sand am Meer… Kosten allerdings so 15 bis 20 Eur. Für 1x 500 Eur BTC wäre das schon ein nennenswerter Anteil. Da trifft man doch lieber Leute über Mycelium und tradet persönlich.
Für mich liest sich das recht eindeutig, dass dies insgesamt pro Telefonnummer ist, ähnlich wie bei Prepaid Debitkarten, die mittlerweile ohnehin scheinbar komplett verschwunden sind. Diese konnte man an einer Tankstelle anonym kaufen und je nach Bedarf bis zu einem bestimmten Betrag aufladen, das waren damals wenn mich nicht alles täuscht 1.000 Euro pro Jahr, was aber immer weiter herabgesenkt wurde, zuletzt waren das wohl noch 250 Euro, ab der eine Verifizierung per Postident notwendig wurde.
In Deutschland war das hauptsächlich myWirecard, ich denke mal die ist nun weg. In Frankreich gibt es die PCS Mastercard und in AT die Cash4Web. Die Limits sind aber in der Tat sehr niedrig.
Danke für diesen Artikel, jedoch eröffnen sich für mich hier noch einige offene Fragen.
Vielleicht verstehe ich langsam die Technologie auch nicht mehr.
Woher weiss der ATM das die Empfangsadresse von der Tatoshi Wallet App gehalten wird?
laut website von Tatoshi habe ich ja volle Kontrolle über meinen PrivateKey. Damit könnte ich ihn extrahieren und in jede andere Wallet importieren. Wozu soll diese zusätzliche Beschränkung gut sein?
Mal abgesehen davon das die App anscheinend nur für Apple verfügbar ist (bei Android könnte man ja noch NOX auf dem PC nutzen), fürchte ich das nicht die Telefonnummer oder eMail zur Deanonymisierung sondern die Smartphone-ID genutzt wird. Ob das dann aus Datenschutzrichtlinien noch gesetzeskonform ist, möchte ich mal bezweifeln.
Hallo Tom,
cpi nutzt eine eigene Wallet auf Basis der Tatoshi Technologie. Die gibt es auch für Android.
Wie es konkret funktioniert, weiß ich nicht, aber ich nehme an, der Automat wird irgendwie mit der Wallet kommunizieren, vielleicht ein Secret austauschen oder so. Dass man die Coins dann auf eine andere Wallet bringen kann, sei es durch eine Transaktion oder den export privater Schlüssel, macht ja an sich nichts, weil cpi schon User (ich vermute, Telefonnummer) mit Anzahl gekaufter Coins verbunden hat.
hm, über Bluetooth von ATM zur Handy-Wallet oder über einen Server von cpi ?
wer sagt mir das sie als secret nicht den pk austauschen ?
Ich habe mir die Wallet heruntergeladen, zum Thema ATM gibt es zumindest keinen gesonderten Menüpunkt, wenn man auf „Empfangen“ klickt kann man entweder ein Paperwallet einlesen oder einen QR Code generieren lassen.
Interessant ist ein weiterer Punkt „Kaufen & Verkaufen“, wo es eine Einbingung von Moonpay gibt, zusätzlich aber lokale Händler. In Deutschland gibt es genau 1 davon, in Schweinfurt mit 8% Gebühren. Wenn man diesen anklickt, bekommt man eine Warnung, dass man sich auf eigene Gefahr mit diesem verabreden kann und dann wird ein simpler Chatdialog geöffnet.
Was mich aber Stutzig macht, ist eine Warnung, dass man am besten mindestens drei „Protectoren“ haben sollte, mit denen man seine Coins im Falle eines Verlustes wiederherstellen kann.
https://imgur.com/a/OOBDFYU
Genau einer dieser Protectoren reicht aus, um einen privaten Key wiederherzustellen, wie kann ich leider nicht nachvollziehen, denn dazu müsste ich der App Zugriff auf meine Kontakte geben, aber das ist schon ziemlich heavy, auch wenn der Schlüssel mit dem eigenen Passwort verschlüsselt werden sollte…
Keine Ahnung, wie das mit den Protektoren genau funktioniert, das ist das Modell von Tatoshi, einer von denen hat es mal auf einem Meetup in Stuttgart erklärt …
Ok, hab ein paar „Details“ in deren Knowledge Base gefunden.
Es wird ein Zufalls-AES256 Schlüssel generiert, mit dem man seinen Seed verschlüsselt, wenn ordentlich implementiert durchaus sicher. Dieser zufällige Schlüssel wird aber mit dem eigenen Passwort verschlüsselt, welches lediglich 8 Zeichen lang sein muss, zur dabei verwendeten Verschlüsselungsmethode findet sich leider nichts und lässt vermuten, dass es per Brute Force relativ einfach zu knacken ist, da der Schlüssel je nach Passwort viel zu kurz ist. Zumindest ist der Schlüssel und der verschlüsselte Seed theoretisch räumlich getrennt beim Protektoren und auf dem Server von Tatoshi. Allerdings liest man in der Knowledge Base, dass es bei der Übertragung von Nachrichten „noch“ keine Ende-zu-Ende Verschlüsselung gibt und die Nachrichten auf dem Server von Tatoshi gespeichert werden. Somit ein single Point of Failure und ich würde nicht darauf vertrauen.
Falls das Wallet für die Nutzung des ATM benötigt wird, würde ich die Funds jedoch so schnell wie möglich in ein solides Open Source Wallet übertragen. Auch kommerzielle Wallets können Open Source sein, das beweisen u.A. BRD, Exodus oder CakeWallet, diese veröffentlichen ihren Quellcode und verdienen trotzdem an den Wechselgebühren bei integrierten Partnern. Open Source bietet zwar keine 100%ige Sicherheit, aber man kann sich zumindest grob einen Überblick verschaffen, wie was implementiert wurde und OS Wallets, die von Nerds empfohlen werden sind wahrscheinlich auch relativ sicher.
Damit wirbt die Wallet ja: mit Sozial Recovery. OK, für Newbies, die es sich nicht zutrauen ihren pk sicher zu verwalten mag das eine Alternative sein. Warum die BaFin aber auf die alleinige Nutzung dieser Wallet im Zusammenspiel mit dem ATM besteht macht mich schon stutzig – oder auch wieder nicht: wenn ich 3 vertauenswürdige Freunde angebe, weiss man auch wer ich bin – Anonymität ade.
Dass sie damit werben habe ich bemerkt, aber wie genau wird das technisch bewerkstelligt? Mit dem wallet-Passwort, welches 8 Zeichen lang sein muss und Groß-, Kleinbuchstaben und ein Sonderzeichen enthalten muss wäre das imho ziemlich fahrlässig und leider finde ich auch auf deren Website nichts technisches dazu.
An sich ist das eine interessante Idee, aber dann müsste man es auf einer Art Shamir’s Secret aufsetzen, bei dem man x von y Freunden unabhängig voneinander benötigt, dazu von mir aus mit dem Wallet Passwort verschlüsselt. Aber den pk komplett auf jedem von deren Devices abspeichern?