Ledger verursacht einen Skandal. Ein Gründer offenbart eine de-facto-Hintertür im Gerät Nano X. Zusammen mit Anforderungen, die im Rahmen eines neuen Dienstes gestellt werden, entsteht in der Szene so ein gewaltiger Aufschrei.
Kaufe jetzt eine BitBox02 oder einen Trezor One – dank quelloffenen Programmcodes garantiert ohne Hintertür!
Ledger Skandal: Entwickler offenbaren Hintertür?
Ledger ist einer der grössten Produzenten von Hardware Wallets. Bislang konnten sich die Geräte des französischen Unternehmens grosser Beliebtheit erfreuen. Nun glauben einige Kritiker an den Niedergang des Unternehmens. Der Ledger-Skandal beruht auf einem frischen Update und Fragen im Bezug zur Sicherheit der Wallets.
Jüngst stellt Hersteller Ledger ein neues Produkt namens Ledger Recover vor, das man in Zusammenarbeit mit der Krypto-Versicherung Coincover bereitstellt. Nutzern der Hardware Wallet Nano X will man so mehr Sicherheit bieten. Das soll geschehen, indem die Schlüsselphrase der Nutzer gesichert wird – jedoch nicht händisch vom Nutzer selbst, sondern durch Ledger, Coincover und ein namentlich unbekanntes drittes Unternehmen.
Immer wieder verloren Nutzer den Zugriff auf ihre Kryptowährungen, deren Schlüssel sie im Ledger aufbewahrten. Damit soll dank des neuen Angebots endlich schluss sein. Die nötige Sicherheit will man durch eine Aufteilung der Schlüsselphrase erreichen.
Drei Fragmente werden an drei verschiedene Anbieter übertragen. Nur, wenn alle drei Bruchteile zusammen genutzt werden, kann der Zugriff wiederhergestellt werden. Unter Nutzern wirft das neue Angebot jedoch grosse Fragen auf.
“Gibt es eine Hintertür in Ledger-Geräten, ja oder nein?” Mit dieser Frage konfrontierte ein Nutzer auf Reddit das Unternehmen. Einer der Firmengründer beantwortete die Frage zumindest indirekt mit “ja.” Konkret schrieb er;
“Das Gerät sendet verschlüsselte Bruchstücke Deiner Schlüsselphrase an verschiedene Unternehmen, wenn Du den Dienst buchst. Natürlich kannst Du auch selbst ein Backup erstellen.”
In der Nutzergemeinschaft führte diese Antwort zu einem Schock. Denn: Ledger-Geräte sind technisch dazu in der Lage, die Schlüsselphrase über das Internet zu übertragen. Viele Nutzer befürchten an dieser Stelle die Gefahr eines Missbrauchs.
“Ich dachte, der ganze Sinn einer Ledger-Hardware-Wallet sei, dass der Seed im sicheren Element des Geräts eingeschlossen ist und nicht aus dem Gerät herausgeschickt werden kann, wodurch sichergestellt wird, dass kein Hacker Zugriff hat.” Schreibt ein Nutzer auf Reddit.
Ledger fordert Identifizierung
Die Antwort des Firmengründers führte zur weiteren Aufheizung einer ohnehin schlechten Stimmung. Nutzer beklagten sich über die Anforderungen, die das Angebot von Ledger Recover stellt. Der Dienst, der 9,99 Euro pro Monat kostet, fordert eine Identifizierung des Anwenders.
Dabei geht es jedoch nicht um eine Identifizierung mit arbiträren Daten, sondern mit Klarnamen. Damit eine Person Ledger Recover verwenden kann, muss sie sich zuvor mit einem Ausweisdokument offenbaren.
Bereits diese Herangehensweise löste einen Aufschrei in der Szene aus. Nutzer legen üblicherweise hohen Wert auf Privatsphäre, da Kryptowährungen das nötige Vertrauen in staatliche Einrichtungen und Drittparteien minimieren sollen.
Weist sich ein Nutzer jedoch in Verbindung mit einer Schlüsselphrase aus, besteht die Gefahr der staatlichen Überwachung. Gelangen die Daten in die Hände von Behörden, könnten jene genau feststellen, welches Vermögen der jeweilige Nutzer in Kryptowährungen hat.
Damit ein Nutzer im Falle eines Verlusts seine Schlüsselphrase mit Ledger Recover wiederherstellen kann, muss er natürlich eine einzigartige Information vorlegen, damit der Dienst überhaupt nachvollziehen kann, ob es sich bei der Person um den rechtmässigen Eigentümer handelt. Dafür kommen Ausweisdokumente zum Einsatz.
Kritiker befürchten hingegen, dass ein Ausweis nicht sicher genug ist, um den Zugriff auf das Krypto-Vermögen zu ermöglichen.
