Risikomanagement bei Kryptowährungen: Wie gehe ich auf Nummer sicher?
Der zentralste Aspekt bei der Internalisierung von Blockchain-Transaktionen ist, dass es sich bei den meisten um pseudo-anonyme Transaktionen handelt. Die Transaktionen sind naturgemäss nicht an eine Person oder Identität gebunden. Öffentliche Adressen werden für Transaktionen verwendet - alphanumerische Zeichenfolgen, die öffentlich in der Blockchain aufgezeichnet sind. Die Identitäten hinter solchen Adressen sind weitgehend unbekannt.
Grundsätzlich gibt es vier Arten von privaten Informationen, die bei einer Kryptowährungstransaktion durchsickern können: der Absender, der Empfänger, der Transaktionsbetrag und die IP-Adresse. Bleiben alle vier Angaben erfolgreich einem Beobachter eines Drittanbieters gegenüber verborgen, ist die Transaktion vollkommen privat. Wie kann man sich jedoch Gewissheit verschaffen, dass diese neuen digitalen Vermögenswerte hinsichtlich ihrer Herkunft als sicher eingestuft und auf inhärente Risiken überprüft werden? Worauf sollte das Risikomanagement hier besonders achten?
Anonymität von Kryptowährungen
Die Tabelle zeigt eine Übersicht über das Datenschutzspektrum ausgewählter Kryptowährungen:
Zunächst sollten die «Grossen», Ethereum und Bitcoin, berücksichtigt werden. Die Basisschicht von Ethereum ist standardmässig weniger privat als jene von Bitcoin, da anstelle eines UTXO-basierten Modells ein kontobasiertes Modell verwendet wird. Dies bedeutet, dass eine einzelne Adresse für viele verschiedene Transaktionen, statt einer neuen Adresse für jede einzelne Transaktion verwendet wird.
Im erweiterten Spektrum sind zudem ETH Mixers, Monero (XMR) und Zcash (ZEC) zu erwähnen. Ethereum «Mixers» bietet in diesem Bereich Dienstleistungen an, welche eine Art «Lost in the Crowd»-Funktion darstellen. Hier können Benutzer fixe Beträge eines bestimmten Vermögenswerts in einen «Smart Contract» einzahlen, anschliessend warten bis genügend weitere Benutzer Einzahlungen in einem ähnlichen Umfang getätigt haben, um so einen grossen Anonymitätssatz zu bilden und ihren ursprünglichen Betrag dann an eine neue Adresse, ohne Bezug zum Original, weiterzuleiten.
Monero-Transaktionen hingegen verwenden drei Grundelemente, um Absender, Empfänger und Betrag zu verdecken: Ringsignaturen, Stealth-Adressen und «Ring Confidential Transactions» (RingCT). Bei Ringsignaturen kann eine Transaktion mit den Schlüsseln einer n-ten Anzahl an Benutzern signiert werden, um so zu verdecken, welcher Schlüssel dem effektiven Absender gehört. Bei Stealth-Adressen muss der Absender im Namen des Empfängers für jede Transaktion eine einmalige Adresse verwenden. Somit kann der Empfänger seinen wahren öffentlichen Schlüssel verbergen.
Zcash (ZEC) geht noch einen Schritt weiter und setzt die «zero knowledge»-Verschlüsselungstechnologie ein. Jedes Mal, wenn eine vollkommen private Transaktion erstellt wird, muss der Absender eine genaue Reihe von Rechenschritten durchlaufen, um den digitalen Beweis auf Richtigkeit zu erbringen, sodass ein Validator dies ohne Wissen - also mit zero knowledge - verifizieren kann.
Dem risikobasierten Ansatz den Vorzug geben
Die Verwendung dieser Vielzahl von Kryptowährungen stellt eine ganze Reihe sich überschneidender Herausforderungen dar, ändert jedoch nichts an der Art der Aufgabe: die Überwachung der Quelle, des Ziels und des Werts von Geldern ist eine entscheidende und zeitgleich eine der komplexesten Anforderungen der laufenden Due Diligence beim Umgang mit Kryptowährungen. Was vor einigen Jahren noch undenkbar schien, wurde inzwischen zur Realität. Jetzt werden «immaterielle Werte» einer parallelen virtuellen Welt durch Tokenisierung und Verbriefung zunehmend greifbarer - sie werden zu einem Vermögenswert mit einer nachvollziehbaren Transaktionsgeschichte.
Unabhängig von den neuen Risiken, die mit der Anpassung von Kryptowährungen entstehen, wird sich ein fallweiser, umsichtiger, risikobasierter Ansatz, der von Fachleuten angewandt wird, nicht schädlich auswirken, sondern die Organisationen weiter stärken.