Zero Crypto at Home: Bankless im Zeitalter von Wrench-Angriffen und Phishing | Jameson Lopp und Beau

Ryan:
[0:00] Heute haben wir zwei Sicherheitsexperten zu Gast in unserem Podcast. Neben mir ist das Ryan Sean Adams. David kann heute leider nicht dabei sein. Ich möchte Ihnen kurz erklären, warum ich diese Folge mache.

Ryan:
[0:10] Es gibt immer mehr physische Angriffe auf Krypto-Investoren. Das ist wahrscheinlich vor allem in den letzten ein bis zwei Jahren passiert. Ich könnte Ihnen ein Dutzend oder mehr Geschichten erzählen. Das sorgt für Unruhe in der Krypto-Community. Vielleicht sind Sie als Zuhörer auch etwas beunruhigt, da Sie einige dieser Fälle in den Schlagzeilen gesehen haben. Diese Folge soll Ihnen helfen, wieder etwas Kontrolle zu erlangen. In dieser Folge geht es um Taktiken. Es geht darum, wie Sie Ihre physische Sicherheit gegen Angriffe und Ihre digitale Sicherheit gegen Phishing-Angriffe verbessern können. Dazu gehört ein Ansatz, den ich sehr schätze und der „Zero Crypto at Home” heißt. Zumindest nenne ich es so. Und es bedeutet ziemlich genau das, was es sagt. Es geht darum, ein System zu entwickeln, mit dem Sie zu Hause nicht auf Kryptowährungen zugreifen können, indem Sie Multi-Signaturen, Zeitverzögerungen und bei Bedarf eine Überprüfung durch Dritte verwenden. Ich weiß, dass dies den Prozess etwas erschwert. Ich weiß, dass es in gewisser Weise nicht ideal ist, aber ich empfehle es dennoch, insbesondere wenn Sie ein bekannter Krypto-Investor sind. Sie sind nicht pseudonym und Ihr Name ist öffentlich bekannt. Denn wenn Sie den Bankless-Podcast schon länger hören, wissen Sie, dass wir glauben, dass der Zweck von Kryptowährungen Freiheit ist. Sie möchten Ihre eigene Bank sein, aber Sie möchten nicht der Wachmann Ihrer Bank sein. Das ist keine Freiheit. Lassen Sie uns also herausfinden, wie man im Zeitalter von Wrench-Angriffen banklos leben kann.

Ryan:
[1:37] Bankless Nation macht diese Folge, weil sie sehr aktuell ist. Und ehrlich gesagt habe ich diese Folge schon ziemlich lange vor mir hergeschoben.

Ryan:
[1:45], weil sie etwas beunruhigend ist. Aber ich denke, wir brauchen sie jetzt, weil Krypto-Natives und vielleicht auch die Krypto-Branche eine gewisse Unsicherheit in Bezug auf die Sicherheit verspüren, eine zunehmende Unsicherheit. Deshalb habe ich zwei Gäste eingeladen, die darüber sprechen werden. Ich hoffe, dass wir ein klares Bild von dem Problem bekommen, mit dem Krypto-Natives konfrontiert sind. Und ich hoffe, dass wir aus dieser Diskussion mit etwas Optimismus und einigen Lösungen hervorgehen. Wenn Sie also ein Krypto-Native sind, wenn Sie schon eine Weile in dieser Branche tätig sind, sollten Sie sich diese Folge anhören, denn wir beschäftigen uns ziemlich intensiv mit einigen Themen rund um Sicherheit, Schutz und Wrench-Angriffe. Ich habe die beiden besten Gäste dafür eingeladen. Jameson Lopp. Er ist Mitbegründer von Casa Security. Und Beau. Er ist ein ehemaliger CIA-Beamter. Jetzt ist er für die Sicherheit bei Pudgy Penguins verantwortlich. Jameson, Beau, danke, dass ihr bei uns seid. Wir freuen uns, hier zu sein.

Beau:
[2:44] Danke für die Einladung.

Ryan:
[2:45] Alles klar. Zu Beginn des Jahres 2026 würde ich gerne Ihre Meinung zu den größten Bedrohungen für Krypto-Natives hören. Wie würden Sie diese kategorisieren und was würden Sie sagen, Jameson?

Jameson:
[2:56] Nun, ich denke, die größte Bedrohung ist dieselbe wie immer, nämlich vertrauenswürdige Dritte und die Tatsache, dass man seine eigenen Vermögenswerte nicht selbst verwahrt, weil in diesem Bereich eine Million Dinge schiefgehen können. Wenn man zumindest die Kontrolle über seine Schlüssel hat, schränkt man ein, wer all diese Fehler machen kann. Darüber hinaus ist Datenschutz ein wirklich großes Thema. Wir werden darauf noch eingehen, denn ich betrachte den Datenschutz im Grunde genommen als die äußerste Sicherheitsschicht. Wenn man Menschen an der Datenschutzschicht aufhalten kann, dann kommen sie hoffentlich gar nicht erst dazu, Ihre anderen Sicherheitsschichten zu testen. Und dann wirklich... Was wir wahrscheinlich am Ende noch etwas länger besprechen werden, aber meiner Meinung nach für die Menschen am wenigsten besorgniserregend ist, weil es am seltensten vorkommt, aber zunehmend Aufmerksamkeit erregt, sind die tatsächlichen physischen Angriffe. Aber das ist in diesem Bereich noch relativ neu und hat einfach aufgrund seiner ungeheuerlichen Natur zunehmend Aufmerksamkeit erregt.

Ryan:
[3:54] Okay, ich möchte das kurz vertiefen, Jameson. Sie denken also an alle Bedrohungen, denen Krypto-Besitzer und Krypto-Nutzer heute ausgesetzt sind. Einige der Bedrohungen, über die wir sprechen werden, wie vielleicht Brunch-Angriffe, sind viel weiter entfernt als die tatsächliche Gefahr, dass Ihre Krypto-Vermögenswerte durch eine Art Drittpartei beschädigt werden. Und mit Dritten meinst du beispielsweise eine Börse oder einen Verwahrer, einen FTX oder einen BlockFi, bei denen du dir nicht sicher bist. Du bewertest diese Bedrohungen immer noch als weitaus größer als einige der Bedrohungen, über die wir im Zusammenhang mit dem Verzicht auf Banken für deine Krypto-Assets sprechen werden?

Jameson:
[4:29] Ja, oder sogar die Selbstverwahrung mit neuartigen Smart Contracts, die noch nicht ausreichend geprüft und auditiert wurden und so weiter. Das Problem bei all diesen Vorgehensweisen ist, dass sie alle zu katastrophalen Verlusten führen können. Aber wenn man sich die Gesamtstatistik der Verluste und Arten von Verlusten der letzten Jahre ansieht, sind es immer noch hauptsächlich vertrauenswürdige Dritte und schlecht geprüfte Systeme. Und obwohl Wrench-Angriffe relativ gesehen zunehmen, sind sie im Vergleich zum größeren Ökosystem der Bedrohungen immer noch sehr gering.

Ryan:
[5:07] Okay. Bo, was würdest du auf dieselbe Frage antworten, nämlich was die größten Bedrohungen für Krypto-Natives im Jahr 2026 sind?

Beau:
[5:13] Ich würde Jamesons Priorisierung hier weitgehend zustimmen. Ich denke, insbesondere wenn man bedenkt, dass wir möglicherweise auf einen Bärenmarkt zusteuern. Wir befinden uns in einem Bärenmarkt, wie auch immer man das sehen mag. Die von dir erwähnten Risiken wie FTX oder Robinhood im letzten Zyklus haben dazu geführt, dass Leute ihre Solana-Token nahe dem Markttief verkaufen mussten, richtig? Wenn man seine eigenen Token nicht kontrolliert, kann eine Menge Schlimmes passieren. Das reicht von...

Beau:
[5:39] Sie wissen schon, von einer Börse, die aus regulatorischer Sicht versucht, das Richtige zu tun, bis hin zu einer Börse, die untergeht. Jameson hat das ein wenig angedeutet, aber wissen Sie, wenn Krypto-Unternehmen anfangen, ihre Entwicklungsteams zu entlassen, weil einfach weniger Geld in diesem Bereich zur Verfügung steht, werden diese Smart Contracts nicht mehr so häufig geprüft werden. Betrüger werden sich möglicherweise mehr darauf konzentrieren als auf einzelne Investoren, weil sie wissen, dass es weniger Leute gibt, die diese Art von Finanzanlagen schützen. Ich habe dem nicht viel hinzuzufügen. Ich denke, da stimme ich Ihnen zu. Ich möchte noch hinzufügen, dass Wrench-Angriffe zwar immer mehr zum Thema werden und beängstigend klingen, aber für den durchschnittlichen Anleger, der diesen Podcast hört, ...

Beau:
[6:26] muss man sich zuerst um die digitale Sicherheit kümmern. Denn die Wahrscheinlichkeit, dass man Opfer eines Wrench-Angriffs wird, ist im Vergleich zu den Hunderten von Phishing-Versuchen, die man täglich online über X, Discord oder Telegram sieht, sehr gering. Man muss sich also auf das vorbereiten, was einem täglich am ehesten begegnen wird. Da stimme ich Jameson voll und ganz zu.

Ryan:
[6:48] Eigentlich, Bo, ist das vielleicht ein guter Ansatzpunkt. Lassen Sie uns das Publikum ein wenig eingrenzen. Wie Sie wahrscheinlich wissen, sprechen Sie im Bankless-Podcast darüber, dass wir uns für die Idee des Bankless-Bankings einsetzen, richtig? Und das ist es, wofür wir uns seit dem ersten Tag aus einigen der von Ihnen beiden genannten Gründen einsetzen. Dritte sind oft diejenigen, die bei der Sicherheit versagen, und sie sind es, die Ihre Vermögenswerte verlieren. Wie löst man dieses Problem? Der Weg der Kryptowährung, der Weg von Bitcoin, der Weg von Ethereum ist, banklos zu werden. Nun habe ich das Gefühl, dass es in dieser Hinsicht zunehmend einige Schwachstellen gibt. Manchmal ist die Benutzererfahrung etwas schwierig. Darüber werden wir sprechen. Aber man kann all das überwinden und lernen, wie man seine Krypto-Vermögenswerte gut verwahrt. Was mich jedoch wirklich aus der Bahn geworfen hat, waren sowohl die Phishing-Angriffe, die ...

Ryan:
[7:42] ... die immer raffinierter geworden sind und sogar erfahrene Krypto-Nutzer um ihre Vermögenswerte gebracht haben. Das ist also eine Dimension, die eine Art Schwachstelle in der Empfehlung darstellt, banklos zu sein, um dieses Problem zu lösen, wenn man 100 % Sicherheit haben möchte. Und die andere Sache sind, ganz offen gesagt, Wrench-Angriffe. Diese sind zwar selten, aber unglaublich beängstigend. Und sie sind Krypto-Nutzern in diesem Bereich schon passiert. Das sind also vielleicht die beiden Dinge, auf die ich mich konzentrieren möchte. Und Beau, Sie haben uns gerade eine Priorisierung gegeben. Du hast gesagt, dass die mit Abstand größte Bedrohung, der man ausgesetzt ist, wenn man seine Vermögenswerte selbst verwahrt, wahrscheinlich eine Art Phishing-Angriff ist. Und du hast gesagt, dass digitale Sicherheit meiner Meinung nach das Wichtigste ist. Kannst du uns etwas über die Arten von Angriffen erzählen, die auf Krypto-Nutzer im Bereich Phishing abzielen? Und uns dann vielleicht einige Szenarien nennen, damit wir

Ryan:
[8:41] darüber nachdenken können, und dann werden wir darüber sprechen, wie Sie Ihre digitale Sicherheit schützen können.

Beau:
[8:46] Sicher, und ja, ich denke, um es etwas besser zu veranschaulichen: Ich habe einen militärischen und geheimdienstlichen Hintergrund. Wenn wir planen, sprechen wir über die wahrscheinlichste Vorgehensweise und die gefährlichste Vorgehensweise. Für Menschen, die sich Sorgen um Krypto-Bedrohungen machen, ist die wahrscheinlichste Vorgehensweise, dass sie diesen digitalen Bedrohungen begegnen werden. Wir können gleich über die Einzelheiten sprechen. Die gefährlichste Vorgehensweise ist jedoch die Vorstellung, dass jemand bei Ihnen zu Hause auftaucht, Sie und Ihre Familie bedroht und Ihnen möglicherweise das Leben nimmt, um an Ihre Kryptowährung zu gelangen, richtig? Es ist also wichtig, sich sowohl auf die wahrscheinlichsten als auch auf die gefährlichsten Vorgehensweisen vorzubereiten. Man sollte die Gefahr eines Wrench-Angriffs also keinesfalls unterschätzen. Aber ja, ich denke, einige Szenarien für einige der Phishing-Versuche, die wir gesehen haben, wissen Sie...

Beau:
[9:36] Tatsächlich versuchen Betrüger eines von zwei Dingen.

Beau:
[9:40] Und zwar entweder Ihre privaten Schlüssel zu kompromittieren oder Sie dazu zu bringen, ihnen die Erlaubnis zu erteilen, etwas in der Blockchain zu tun. Ich habe einen NFT-Hintergrund, weil

Beau:
[9:49] ich mit ihnen arbeite.

Beau:
[9:50] Pudgy Penguins. Um ein NFT-Beispiel zu nennen: Wenn Sie NFTs auf Ethereum handeln, müssen Sie Smart Contracts für Marktplätze wie OpenSea genehmigen, damit diese die von Ihnen verkauften Vermögenswerte aus Ihrer Wallet entnehmen und an den Käufer übertragen können. Und wenn Sie diese Genehmigungen erteilen, geben Sie diesem Smart Contract die Erlaubnis, auf Ihre Wallet zuzugreifen, diese Vermögenswerte zu entnehmen und zu übertragen. Betrüger entwickeln daher Phishing-Websites, die im Wesentlichen seriöse Marken in diesem Bereich wie OpenSea oder Pudgy Penguins imitieren und versuchen, den Nutzer dazu zu verleiten, diese Website aufzurufen. Sie scrollen also vielleicht durch Ihren Feed auf X und sehen, dass Pudgy Penguins einen neuen Airdrop startet, den Sie sich jetzt sichern können. Sie rufen diese Website auf, die genau wie unsere Website aussieht. Sie sehen einen Button zum Verbinden Ihrer Wallet. Sie verbinden Ihre Wallet und die Website scannt Ihre Wallet, um zu sehen, welche Vermögenswerte Sie besitzen. Und wenn Sie die wertvollen Vermögenswerte besitzen, nach denen sie suchen, präsentieren sie Ihnen eine Signatur, die einen Aufruf an den Smart Contract ausführt, für den Sie Ihre Zustimmung erteilt haben. Sie nutzen also die Berechtigungen, die Sie OpenSea erteilt haben, um einen Pudgy Penguin NFT aus Ihrer Wallet zu entnehmen und ihn an sich selbst zu übertragen. Dazu können sie gaslose Signaturanfragen verwenden. Es ist nicht ganz klar, was Sie unterschreiben. Wenn Sie also nicht aufmerksam sind oder müde sind, können Sie Ihre Vermögenswerte innerhalb von Sekunden verschenken.

Beau:
[11:18] Ein weiterer Ansatz, den ich erwähnt habe, ist, dass sie Ihre privaten Schlüssel kompromittieren wollen. Eine wichtige Methode, mit der Angreifer dies versuchen, ist das Einschleusen von Malware auf Geräte, die Ihre privaten Schlüssel schützen könnten. Ich bin mir sicher, dass viele Menschen diesen Bereich betreten, so wie ich es getan habe.

Ryan:
[11:35] Das bist du

Beau:
[11:36] Sie laden eine MetaMask-Wallet herunter. Das ist eine Hot Wallet. Ihre Schlüssel werden online generiert. Sie werden lokal gespeichert. Wenn Sie also Malware herunterladen, kann diese möglicherweise Ihre privaten Schlüssel stehlen und Ihre Wallet vollständig kompromittieren. Und das kann auf millionenfache Weise geschehen, vom Herunterladen eines Mods bis hin zu einem Spiel, wenn Sie einen Gaming-PC für Krypto-Zwecke verwenden. Wir haben gefälschte Vorstellungsgespräche gesehen, bei denen der Betrüger versucht, das Opfer dazu zu bringen, eine Meeting-Software herunterzuladen, die wie Zoom aussieht. Gefälschte Versionen von Ledger Live oder anderen Hardware-Wallets, lokaler Software. Das Ziel ist es, Zugriff auf Ihr Gerät zu erhalten, auf dem diese privaten Schlüssel gespeichert sind. Ich denke, das sind zwei Beispiele für Phishing, die wir auf hoher Ebene sehen. Wir könnten auch allgemeiner über Social Engineering sprechen, aber fast alle diese Versuche enthalten Elemente des Social Engineering, bei dem versucht wird, die Emotionen einer Person so zu beeinflussen, dass sie eine Handlung ausführt, die sie sonst vielleicht nicht ausführen würde. Wenn man also behauptet, man würde Geld geschenkt bekommen, löst das bei den Menschen eine emotionale Reaktion aus.

Beau:
[12:54] Wenn Ihnen jemand einen Job anbietet, haben Sie möglicherweise ähnliche Reaktionen. Ich mache hier mal eine Pause.

Ryan:
[13:00] Jameson, was würdest du zu den digitalen Bedrohungen hinzufügen?

Jameson:
[13:03] Ja, ich finde, das ist eine gute Zusammenfassung der Bedrohungslage. Und ich würde sagen, dass die Techniken zur Bekämpfung dieser Bedrohungen eigentlich gar nicht so schwierig sind. Es kommt vor allem auf Einfachheit und die Minimierung Ihrer Angriffsfläche an. Wenn Sie also regelmäßig mit Kryptowährungen handeln oder über einen Browser, Laptop oder Desktop mit Kryptowährungsnetzwerken interagieren, sollten Sie die Anzahl der verschiedenen Softwareprogramme, die Sie dort installieren, minimieren. Jedes Mal, wenn Sie eine neue Software installieren, ist das ein potenzieller Bedrohungsvektor. Außerdem sollten Sie Ihre verschiedenen Arten von Wallets voneinander trennen.

Ryan:
[13:43] Stellen Sie sich das so vor, als hätten Sie eine Brieftasche, die Sie mit sich herumtragen und in der Sie etwas Bargeld, Kreditkarten und andere Dinge aufbewahren. Das ist Ihre Geldbörse für Ausgaben. Sie tragen ja auch nicht Zehntausende oder Hunderttausende von Dollar mit sich herum.

Jameson:
[13:57] in Ihrer Hosentasche mit sich herumtragen. Das Gleiche sollten Sie auch nicht mit Ihren Krypto-Vermögenswerten tun. Sie sollten einen hochsicheren Tresor haben, der komplett separat ist, idealerweise ein Cold Storage, und hoffentlich mit verteilten Schlüsseln, wenn es sich um eine lebensverändernde Geldsumme handelt. Und dann haben Sie Ihr kleines Ausgabenkonto, mit dem Sie mehr Risiken eingehen, und es wird Ihr Leben nicht ruinieren, wenn etwas schief geht.

Ryan:
[14:21] Das leuchtet mir ein. Um noch einmal auf einige der Dinge zurückzukommen, die ihr gesagt habt: Bo, als du das beschrieben hast, hatte ich fast das Gefühl, dass eine Art Lähmung einsetzt, so als würde ich mir eine einfache Lösung wünschen. Und vielleicht ist die einfache Lösung, dass ich einfach nichts in der Blockchain mache.

Ryan:
[14:42] Du sagst, dass ich zum Beispiel bei Smart Contracts dazu verleitet werden könnte, auf den falschen Link zu klicken und eine Art Phishing-Smart-Contract auszuführen. Nun, vielleicht höre ich einfach ganz auf, Dinge in der Blockchain zu tun. Ist das eine Antwort? Denn ich denke, das ist Teil der Herausforderung, mit der Bankless-Hörer konfrontiert werden, wenn sie von einigen dieser Szenarien hören, nämlich dass die Antwort vielleicht lautet: Ich sollte aufhören, Dinge in der Blockchain zu tun. Sie gehen sogar noch weiter. Vielleicht lautet die Antwort, dass ich meine Krypto-Assets einfach in verwahrte ETFs investieren und sie einfach laufen lassen sollte. Bo, gibt es Möglichkeiten, dies zu umgehen? Denn ich mache mir Sorgen, dass die Angriffe immer raffinierter werden. Ich werde nicht immer auf der Hut sein. Es könnte zum Beispiel das Telegram-Konto eines Kollegen gehackt werden, wo dann unsere Konversationshistorie analysiert wird. Die Hacker klingen dann genau wie die Person, mit der ich gesprochen habe. Ich bin ein bisschen müde, ein bisschen benommen. Ich klicke immer auf diesen Zoom-Link, dann klicke ich auf den Zoom-Link und logge mich ein, und es ist eine Deepfake-Fälschung. Es sieht aus wie die Person, mit der ich interagiert habe, und irgendwie schaffen sie es, mir meine privaten Schlüssel durch Social Engineering zu entlocken. Nun, ich möchte einfach keine Links im Internet anklicken. Ich möchte einfach an keinen Zoom-Meetings teilnehmen. Welche praktischen Sicherheitsvorkehrungen können wir im Bereich der digitalen Sicherheit treffen, die machbar sind, uns aber dennoch ermöglichen, unser tägliches Leben zu leben und Dinge in Kryptowährung zu tun?

Beau:
[16:11] Ja, ich finde, das ist eine großartige Frage. Und ich werde Jameson nicht die Show stehlen, was die ETFs angeht, denn ich weiß, dass er einige hat und viel darüber gesprochen hat. Aber ich glaube nicht, dass die Antwort lautet, einfach nichts auf der Blockchain zu machen, oder dass die Antwort lautet, ich werde kein Bitcoin halten, sondern stattdessen einen ETF besitzen, richtig? Ich denke, besonders in der NFT-Welt besitzt man diese Vermögenswerte, weil sie einem Zugang zu Dingen verschaffen. Sie einfach zu kaufen, in einer Wallet zu lassen und nie etwas damit zu machen, würde den Zweck irgendwie verfehlen. Ähnlich wie wenn man sich für DeFi interessiert, oder? Und man möchte Liquiditätspositionen eröffnen oder sein Geld verleihen oder ähnliches, dann lässt man sich eine ganze Reihe von Optionen offen, wenn man einfach sagt:

Ryan:
[16:58] Ich werde nicht teilnehmen.

Beau:
[17:00] Und deshalb denke ich, dass das, was Jameson über die Trennung von Wallets gesagt hat, in der Praxis sehr wichtig ist. Ich habe so etwas wie ein Drei-Wallet-System, bei dem ich eine Wallet für den Alltag habe, die ich für kleine Dinge mit mir herumtrage. Ich habe Wallets, die ich für risikoreichere Aktivitäten nutze. Wenn ich also einen Vermögenswert verkaufen oder mit einem Smart Contract interagieren möchte,

Ryan:
[17:25] Genehmigungen erteilen, solche Dinge, mache ich meistens auf einem speziellen

Beau:
[17:29] Ich habe dann noch Wallets, für die ich niemals Genehmigungen erteile.

Beau:
[17:34] Und ich mache nie wirklich etwas damit, außer Vermögenswerte dorthin und dorthin zu übertragen. Das hilft mir zu wissen, dass meine riskantesten Aktivitäten weit entfernt von meinen wertvollsten Vermögenswerten sind. Und eigentlich wette ich mit diesem System in gewisser Weise gegen mich selbst, denn wenn ich am Ende einen Fehler mache, weiß ich, dass ich diesen Fehler nicht mit einer Wallet gemacht habe, die meine wertvollsten Vermögenswerte enthält. Ich denke also, dass es wichtig ist, ein einfaches System zu haben, bei dem man weiß, was man mit jeder Wallet macht, und versteht, womit man sich selbst die Interaktion erlaubt hat. Das ist wirklich wichtig. Und was ich generell noch sagen würde, ist, dass die Wallet-Anbieter besser geworden sind. Die Wallet-Optionen sind besser geworden.

Beau:
[18:23] Sowohl bei der Erkennung von Betrug.

Beau:
[18:25] Bei der Sicherung Ihrer privaten Schlüssel. Ich denke, Jamesons Unternehmen Casa ist ein gutes Beispiel dafür. Es gibt eine Reihe von Alternativen zu „Oh, ich habe auf diesen Zoom-Link geklickt und plötzlich sind alle meine Vermögenswerte weg”. Und so funktioniert das sowieso nicht wirklich. Aber es gibt eine Reihe von Alternativen zu „Ja, wenn ich jetzt Malware auf mein MacBook herunterlade, könnte ich ein paar hundert Dollar in einer Hot Wallet verlieren”. Aber ich weiß mit Sicherheit, dass die Art und Weise, wie ich meine privaten Schlüssel gespeichert habe, die Art und Weise, wie ich meine Seed-Phrasen offline aufbewahrt habe, sie nicht in meiner Notizen-App auf meinem iPhone oder meinem MacBook gespeichert sind, dass diese Dinge nicht kompromittiert werden können. Deshalb mache ich mir keine großen Sorgen darüber, was passiert, wenn ich Malware herunterlade. Wird das Auswirkungen auf meine Krypto-Assets haben? Denn das System, das ich eingerichtet habe, gibt mir ein gewisses Maß an Sicherheit, sodass ich mir über solche Betrugsmaschen keine großen Sorgen machen muss. Ich halte es für sehr wichtig, dass wir Menschen, die zum ersten Mal in diesen Bereich einsteigen, dabei helfen, die Konsequenzen bestimmter Entscheidungen zu verstehen.

Beau:
[19:29] So viele Menschen verwenden einfach dieselbe Wallet für alles, was sie in der Blockchain tun, und denken nie über die Risiken nach, die damit verbunden sind, wenn man alles auf eine Karte setzt. So einfach es auch ist: Wenn man einfach eine Wallet mit einer separaten Seed-Phrase hat, die man aufschreibt, und eine Hardware-Wallet oder verteilte Signaturen verwendet, schützt das einen Großteil seines Vermögens im Vergleich dazu, wenn man beispielsweise alles in einer MetaMask-Wallet oder einer Hot Wallet aufbewahrt. Ich denke also...

Beau:
[20:03] Ich würde es einfach so zusammenfassen: Legen Sie nicht alle Eier in einen Korb. Nutzen Sie die Vorteile von Hardware-Wallets, die Ihre Schlüssel offline speichern. Das ist etwas, worüber wirklich jeder nachdenken sollte, der mehr als 1.000 Dollar in Kryptowährungen hat. Kaufen Sie sich für 100 Dollar eine Hardware-Wallet und übertragen Sie Ihre Vermögenswerte aus Ihrer Browser-Erweiterungs-Wallet oder Ihrer iPhone-App-Wallet auf etwas anderes.

Beau:
[20:30] das etwas sicherer ist.

Ryan:
[20:32] Okay, also Wallet-Trennung. Ich denke, wir haben unsere erste taktische Aufgabe aus dieser Folge herausgearbeitet. Lassen Sie uns das nun etwas näher ausführen. Okay, ich möchte also einen Ansatz zur Trennung von Wallets, den Sie beide beispielsweise mit 9 von 10 Punkten bewerten würden. Im Moment klingt es so, als wäre das Schlimmste, was man tun könnte, alle seine Krypto-Vermögenswerte in einer Wallet in der Browser-Erweiterung MetaMask aufzubewahren. Tun Sie das nicht. Das ist das Schlimmste, was Sie tun können. Aber was ist ein Ansatz zur Trennung, der für die große Mehrheit der Menschen funktioniert? Ist es eine Art Hot Wallet, Cold Wallet? Gibt es zwei Arten? Und ist die Cold Wallet mit Multi-Sig ausgestattet? Ist sie hardwarebasiert? Und wie unterscheidet man dann, was man in der Hot Wallet und was man in der Cold Wallet aufbewahrt? Und gibt es etwas dazwischen? Gibt es so etwas wie eine Warm Wallet? Vielleicht könntest du, Jameson, den Zuhörern näher erläutern, wie ein ziemlich guter Ansatz zur Wallet-Segregation aussehen würde.

Jameson:
[21:35] Nun, ich sage generell, dass man in einer Hot Wallet nicht mehr Wert aufbewahren sollte, als man in einer Brieftasche, die man in der Tasche trägt, an Bargeld mit sich führen würde. Für mich wären das vielleicht etwa 1.000 Dollar. Das ist sehr praktisch, aber auch sehr anfällig für eine Vielzahl verschiedener Verlustarten. Wenn Sie über Vermögenswerte im Wert von mehr als ein paar Tausend Dollar verfügen, ist es wirklich sinnvoll, 100 Dollar für eine der bewährten und renommierten Cold-Wallet-Hardware-Marken auszugeben, sei es Trezor, Ledger, Bitbox oder was auch immer. Es gibt eine Vielzahl davon. Es bedarf keiner großen Recherche, um herauszufinden, welche davon schon lange auf dem Markt sind und einen guten Ruf haben.

Beau:
[22:20] Und das ist gut, denn man kann sie bei Bedarf mit sich herumtragen.

Jameson:
[22:24] Das sind unglaublich kleine Geräte, die man einfach an sein Smartphone, seinen Laptop oder was auch immer anschließen kann, wenn man mit einem Krypto-Asset-Netzwerk interagieren muss, um etwas zu erledigen. Und das schützt einen vor etwa 95 % der bösen Dinge, die da draußen passieren. Das Einzige, was Sie an dieser Stelle verstehen müssen, ist, dass Sie diese Seed-Phrase niemals, niemals, niemals in etwas anderes als das eigentliche winzige Cold-Storage-Gerät selbst eingeben sollten, denn hier kommt Social Engineering ins Spiel. Unsere Best Practices im Bereich Sicherheit haben sich in den letzten zehn Jahren so stark verbessert, dass Social Engineering heutzutage die häufigste Form von Angriffen ist, weil die böswilligen Akteure wissen, dass sie diese Geräte, die unglaublich robust und einfach sind und auf denen Malware nur schwer installiert werden kann, weil sie dafür ausgelegt sind, Malware zu widerstehen, nicht kompromittieren können. Stattdessen liegt die Schwachstelle für die meisten Menschen heutzutage genau hier zwischen Ihren Augen: Sie werden versuchen, Sie auszutricksen, und sie werden sehr gängige Taktiken anwenden – Angst, Zweifel, Dringlichkeit –, um Ihnen einzureden, dass es sich um eine Art Notfall handelt, in dem Sie Maßnahmen ergreifen müssen, und Sie springen durch Reifen, ohne wirklich darüber nachzudenken. Und ich denke, die Menschen müssen vor allem verstehen, dass, sobald Sie die Verwahrung Ihrer Vermögenswerte übernehmen,

Beau:
[23:51] Mit großer Macht kommt große Verantwortung.

Jameson:
[23:53] Sie übernehmen eine große Macht, weil Sie nicht mehr um Erlaubnis bitten müssen, um Ihr Vermögen nach Ihren Wünschen zu verwenden. Aber jetzt sind Sie die Bank. Und Banken investieren aus gutem Grund viel Aufwand in ihre Sicherheit. Es gibt einen Grund, warum es Banken gibt. Das liegt daran, dass die Menschen es im Allgemeinen vorziehen, alle komplexen Sicherheitsfragen auszulagern. Ich sehe das so: Es gibt viele Medikamente, auf deren Etikett steht, dass man während der Einnahme keine schweren Maschinen bedienen darf. Ich finde, man sollte es so sehen, dass man niemals eine Krypto-Wallet bedienen sollte, wenn man nicht in bester kognitiver Verfassung ist. Wenn Sie unter dem Einfluss von irgendetwas stehen, wenn Sie müde oder krank sind, kann das dazu führen, dass Sie nicht so aufmerksam sind und Dinge nicht bemerken, mit denen ein Angreifer Sie austricksen will. Deshalb interagiere ich generell so wenig wie möglich mit Krypto-Netzwerken. Und wenn ich es tue, dann nur zu bestimmten Zeiten. Ich mache das nur, wenn ich hellwach bin und keine Probleme habe, die dazu führen könnten, dass ich etwas übersehe. Man muss also sehr vorsichtig sein, wenn man mit seiner Wallet interagiert, denn es kann katastrophale Folgen haben, wenn man einen Fehler macht oder auf einen Trick hereinfällt, denn es gibt niemanden, der das rückgängig machen kann.

Ryan:
[25:17] Ich denke, es ist vielleicht eine Art Instinkt: Wenn Sie aus irgendeinem Grund das Gefühl haben, diese Transaktion sofort durchführen zu müssen, sollten Sie wirklich innehalten, tief durchatmen und versuchen, mindestens 24 Stunden zu warten, bis diese Panik abgeklungen ist. Man sollte nichts überstürzt oder in Panik tun, wenn es um On-Chain-Assets geht. Was die Social-Engineering-Seite angeht, wie wäre es, wenn man die Kanäle reduziert? Ich denke, viele Krypto-Hörer und Bankless-Hörer erhalten wahrscheinlich Textnachrichten und Spam-Anrufe aufgrund von Datenlecks in der Vergangenheit, die vorgeben, von Google oder vielleicht vom Coinbase-Support zu stammen. Gilt die Regel, dass man auf solche Nachrichten einfach nicht antworten sollte? Oder auf Telegram zum Beispiel bekommt man DMs, und das passiert einfach ständig. Die Leute fragen: „Hey, ist soundso ein Bankless-Mitarbeiter? Sie haben mich gebeten, diesem Kanal für ein Interview beizutreten.“ Und die Antwort lautet immer: „Nein. So kontaktieren wir Sie nicht.“ Aber lautet die Antwort einfach, nicht auf eine Direktnachricht oder eine Telegram-Nachricht von einer Quelle zu antworten, der man nicht vertraut oder die man nicht über mehrere Kanäle authentifiziert hat? Gibt es da allgemeine Faustregeln?

Ryan:
[26:35] Um sich davor zu schützen und sich dagegen zu wappnen, durch eine E-Mail, einen Link, etwas, das online passiert, eine Textnachricht, sozial manipuliert zu werden?

Jameson:
[26:45] Ja, das Schlüsselwort, das Sie verwendet haben, ist „authentifizieren”. Kurz gesagt sind fast alle Kommunikationskanäle nicht authentifiziert. Es gibt nur sehr wenige, vielleicht solche mit End-to-End-Verschlüsselung, wie zum Beispiel Signal-Chat, wenn man bereits einen Chat mit jemandem eingerichtet hat, den man bereits überprüft hat, vielleicht WhatsApp, darüber hinaus sind E-Mails, Textnachrichten, Discord, Telegram und all diese anderen Dinge nicht authentifiziert, und es ist sehr einfach für Menschen, sich als jemand anderes auszugeben. Kurz gesagt: Ich vertraue keiner eingehenden Nachricht. Wenn Sie eine eingehende Nachricht erhalten, die Ihnen verdächtig erscheint, sollten Sie selbst herausfinden, wie Sie diese Person kontaktieren können, vorzugsweise über einen anderen Kommunikationskanal, und sie fragen: „Hey, bist du das? Kannst du das bestätigen oder dementieren?“

Ryan:
[27:43] Nun, bei solchen Dingen kommt es zu Katz-und-Maus-Spielen. Einige der Angriffe werden immer raffinierter. Stellen Sie sich zum Beispiel ein Szenario vor, in dem Sie ein geliebter Mensch anruft, der sich wie dieser anhört, und Sie um Geld für einen dringenden Notfall bittet. Und es klingt genau wie er. Vielleicht sieht es sogar so aus, als käme der Anruf von seiner Telefonnummer. Ich habe gehört, dass Leute darüber sprechen, Sicherheitswörter für ihre engen sozialen Kontakte einzuführen, eine Art Code oder eine Möglichkeit, einen Ihrer Lieben, Ihre Person, zu benachrichtigen. Sie vereinbaren das Sicherheitswort im Voraus, und damit können Sie die Identität überprüfen. Was sind hier die besten Vorgehensweisen, Jameson?

Jameson:
[28:25] Ja, ich meine, der Hauptgrund, warum ich kein Fan von Sicherheitswörtern bin, ist, dass man, wenn man nicht etwas Einzigartiges auswählt und es nicht regelmäßig übt, es in einer Situation, in der jemand unter Druck steht, sehr leicht vergessen kann. Ich bevorzuge es, gemeinsames Insiderwissen zu verwenden. Wenn Sie und ein Freund oder Sie und ein geliebter Mensch eine lange gemeinsame Geschichte haben, dann gibt es sicherlich viele unvergessliche Ereignisse, die Sie miteinander teilen und die nicht öffentlich sind und nach denen Sie sich gegenseitig fragen können. Natürlich kann man das im Voraus besprechen. Aber ich denke, dass es so einfacher ist, den Überblick zu behalten und sicherzustellen, dass man nicht plötzlich eine Gedächtnislücke hat, wenn man in eine Situation gerät. Man möchte nicht, dass es ein zufälliges Wort gibt, über das man vor fünf Jahren nur einmal gesprochen hat und das man komplett vergessen hat.

Ryan:
[29:16] Wenn ihr also ein Sicherheitswort verwendet, solltet ihr das regelmäßig üben, oder ihr könnt euch gegenseitig bestätigen, indem ihr euch an eine gemeinsame Erinnerung erinnert, an etwas, das nur ihr beide wisst. Ich hoffe, dass das funktioniert. Aber Bo, hast du noch etwas zum Thema Social Engineering hinzuzufügen?

Beau:
[29:35] Ja, ich denke, was Sicherheitswörter angeht, ist das ein Konzept, das in der Welt der Geheimdienste natürlich sehr verbreitet ist. Wenn man jemanden im wirklichen Leben trifft, möchte man sich vergewissern, dass es sich um die Person handelt, die man tatsächlich treffen möchte, oder? Und James hat völlig Recht, das muss man üben, oder? Etwas zu tun, das natürlicher ist, einfach diese gemeinsamen Erinnerungen zu haben, ist viel effektiver als zu versuchen, seinen Liebsten zu zwingen, Bananen in einem Gespräch zu erwähnen, oder? Vor allem, wenn es sich um ein Szenario handelt, in dem sie unter Druck stehen, so etwas wie ein Wrench-Angriff. Was Social Engineering im Allgemeinen angeht, ist meine Faustregel: Wenn ich eine Nachricht von einer Krypto-Website oder überhaupt etwas Krypto-bezogenem erhalte, einer Börsen-Website, einer App, und ich mir Sorgen über den Inhalt dieser Nachricht mache, logge ich mich direkt auf dieser Website ein. Ich klicke nicht auf den Link in der E-Mail oder der SMS. Ich rufe nicht die Telefonnummer an, die in der SMS angegeben ist.

Beau:
[30:40]

Beau:
[30:41] Ich kann mich jederzeit in mein Coinbase-Konto einloggen und überprüfen, ob es verdächtige Anmeldungen gibt. Das kann man in den Sicherheitseinstellungen des Coinbase-Kontos sehen. Man vertraut also direkt dieser Quelle und überprüft, ob die Informationen, die man von Coinbase erhält, tatsächlich von Coinbase stammen. Das kann man tun, indem man sich bei Coinbase einloggt, richtig? Das hängt natürlich davon ab, dass Sie das selbstständig tun, die richtige Website in Ihren Browser eingeben, sich einloggen und sicherstellen, dass es die richtige Website ist, richtig? Sie wissen schon.

Beau:
[31:20] Diese Nachricht, die besagt: „Hey, Ihr Coinbase-Konto wurde gehackt, klicken Sie hier, um Ihr Passwort zurückzusetzen“, wird Ihnen niemals helfen.

Jameson:
[31:28] Ja. Eine weitere sehr häufige Sache, die meiner Meinung nach nur sehr wenige Menschen zu schätzen wissen, ist, vor wie vielen Arten von Angriffen ein einfacher Passwort-Manager Sie schützt. Der Grund dafür ist, wie Bo bereits sagte, dass diese eingehenden Nachrichten oft Links enthalten und Phisher im Grunde versuchen, Sie dazu zu verleiten, Ihre Anmeldedaten in ihr Webportal einzugeben, die sie dann abgreifen und verwenden, um sich tatsächlich in Ihr Konto einzuloggen und alles zu plündern. Wenn Sie jedoch einen Passwort-Manager verwenden, sollten Sie nur auf den Passwort-Manager klicken, damit dieser Ihren Benutzernamen und Ihr Passwort automatisch ausfüllt. Der Grund, warum dies so wirkungsvoll ist, liegt darin, dass es Dinge wie Typo-Squatting gibt, bei denen diese Domains gekauft werden, um

Beau:
[32:13] Das menschliche Auge.

Jameson:
[32:13] genau wie die Domain des Ziels aussehen, wie coinbase.com oder was auch immer, aber der Passwort-Manager kann den Unterschied erkennen, und wenn Sie am Ende auf einen dieser Phishing-Links zu einer Domain klicken, die genauso aussieht, wird der Passwort-Manager diese nicht automatisch ausfüllen, und das ist ein weiteres wichtiges Warnsignal, okay

Ryan:
[32:29] Eine weitere Empfehlung sind also Passwortmanager. Weiter so, Bo!

Beau:
[32:33] Ja, und ich denke, das ist ein sehr ähnliches Konzept wie das, was Jameson mit 2FA und Multi-Faktor-Authentifizierung beschreibt. Wenn Sie einen Schlüssel wie einen YubiKey oder sogar die meisten Passkeys verwenden, werden diese auf diesen gefälschten Phishing-Websites nicht authentifiziert. Wenn Sie hingegen Google Authenticator verwenden und einen sechsstelligen Code erhalten, sind Sie angreifbar, da Sie diesen sechsstelligen Code auf einer Phishing-Website eingeben können, wenn Sie nicht aufpassen. Und in diesem Moment hat Ihre 2FA nichts für Sie getan, da diese Websites im Hintergrund ein Skript ausführen, um Ihren 2FA-Code sofort zu übernehmen und ihn beispielsweise in die echte Coinbase-Website einzugeben. Also ein Pluspunkt für Passwortmanager. Und wenn Sie über 2FA nachdenken, ist meiner Meinung nach der Kauf eines YubiKey für 50 Dollar eine großartige Investition für jeden, Punkt. Aber besonders für Leute, die mit Kryptowährungen zu tun haben. Das ist also etwas, das Sie Ihrem Coinbase-Konto hinzufügen können. Das ist etwas, das Sie den meisten anderen Börsen hinzufügen können.

Ryan:
[33:36] Also ein großes, großes Plus für Passwortmanager und 2FA für alle Ihre Konten im Allgemeinen. Und der Goldstandard für 2FA ist es, sich daran zu gewöhnen, tatsächlich einen physischen YubiKey zu verwenden, diesen zu speichern, zu schützen und entsprechend zu sichern. SMS für Zwei-Faktor-Authentifizierung? Nein, danke.

Beau:
[33:58] Ja, wir mögen SMS nicht.

Ryan:
[34:00] Stimmt's? Der Grund dafür ist natürlich, dass Sie bei Erhalt einer SMS Opfer eines SIM-Swaps werden könnten. Das ist unglaublich unsicher. Verwenden Sie keine SMS. Die Authentifizierungscodes sind besser als SMS, wenn es sein muss, aber der Goldstandard wäre ein YubiKey. Das klingt nach der Empfehlung.

Jameson:
[34:16] Ja, ich werde es Ihnen tatsächlich sagen. Die konkreten Anforderungen, die wir an unsere Mitarbeiter bei CASA stellen, sind... Am besten geeignet ist ein YubiKey, wie FIDO2, TAP oder Passkey auf YubiKey, der neuere YubiKey, der Passkeys unterstützt. Und wie Bo sagte, sind Passkeys eine große Verbesserung gegenüber allen anderen Arten von 2FA, da sie an den Domainnamen gebunden sind.

Jameson:
[34:41] Als Nächstes kommt TOTP, die zeitbasierten Einmalpasswörter, also die sechsstelligen rotierenden Passwörter. Viele Leute sagen einfach Google Authenticator, weil das die gängigste Software ist. Aber Google Authenticator selbst hasse ich, weil es standardmäßig alle Ihre Geheimnisse in die Cloud, auf Ihr Google Drive, hochlädt. Wenn Ihr Google-Konto dann kompromittiert wird, können sie sich all diese Daten schnappen. Das Coole an YubiKey ist, dass viele Leute nicht wissen, dass es, selbst wenn ein Dienst FIDO U2F oder Passkey auf YubiKey nicht unterstützt, eine Software für YubiKey namens Yubico Authenticator gibt. Diese funktioniert ähnlich wie Google Authenticator, speichert die Geheimnisse jedoch auf dem Hardware-Gerät selbst. Auch hier gilt wieder, dass Sie die gesamte physische Sicherheit erhalten, sodass ein Angreifer nichts tun kann, solange er nicht die physische Kontrolle über den YubiKey erlangt. Die letzte Bastion der 2FA darüber hinaus wäre dann die E-Mail und möglicherweise die SMS. Tatsächlich gibt es immer noch oft Banken, die nur die SMS-2FA unterstützen, und dagegen kann man nicht viel tun. Ich persönlich habe eine Menge verschiedener virtueller Telefonnummern, und diese virtuellen Telefonnummerndienste sind voneinander getrennt und werden separat eingerichtet.

Jameson:
[36:07] Anmeldedaten und sie können nicht portiert werden. Das ist meiner Meinung nach das Beste, was man in Sachen SMS-Sicherheit bekommen kann.

Ryan:
[36:14] Können wir zum Thema digitale Sicherheit noch etwas zu E-Mails sagen? Der Gründer von ProtonMail war kürzlich zu Gast und sagte, dass E-Mails nicht mehr nur E-Mails sind. E-Mails sind eigentlich Identität. Die Herausforderung dabei ist, dass viele Zuhörer Gmail verwenden und Gmail viele Probleme mit sich bringt, wenn Ihre E-Mails gehackt werden. Ich plädiere für erweiterten Schutz, zum Beispiel das Entfernen der Wiederherstellungs-Telefonnummer und der Wiederherstellungs-E-Mail-Adresse. Diese Standardeinstellungen sind genauso schädlich wie die Standardeinstellungen von Google Authenticator. Und wenn möglich, sollte man Gmail nicht verwenden, oder? Man könnte stattdessen ProtonMail verwenden. Dort kann man Aliase und Identitäten für verschiedene Konten einrichten. Jameson, was halten Sie von diesem Ratschlag und was würden Sie zu diesem Thema noch hinzufügen?

Beau:
[37:02] Ja.

Jameson:
[37:02] Was wir bei Social Engineering am häufigsten beobachten, ist, dass sie versuchen, sich Zugang zu Ihrem E-Mail-Konto zu verschaffen, da die meisten Menschen oft keine starke Zwei-Faktor-Authentifizierung haben. Und wenn Sie das E-Mail-Konto einer anderen Person besitzen, können Sie deren Passwörter und deren 2FA zurücksetzen und dann auf alle Drittanbieter-Dienste zugreifen, die diese Person nutzt. Ich würde also sagen, dass das E-Mail-Konto für die meisten Menschen der wichtigste Aspekt ihres digitalen Lebens ist. Deshalb sage ich noch einmal: YubiKey ist die Lösung. Sie können mehrere Yubikys kaufen. Sie müssen nicht nur einen kaufen, denn wenn dieser verloren geht oder kaputt geht, ist das natürlich ein großes Problem. Sie können drei, vier, fünf kaufen und dann mehrere als Backup haben. Sie können sogar einen davon zum Beispiel in einem Banktresor aufbewahren. So wissen Sie, dass es nicht verloren gehen kann, und das ist nur ein extremes Szenario für die Wiederherstellung. Aber das ist auf sehr, sehr hohem Niveau, wie alles, worüber wir sprechen, alle Arten von Cybersicherheit, die stärkste Kraft. Das Sicherheitsmodell, das Sie erstellen können, ist, wenn Sie all diese digitalen Sicherheitsprobleme tatsächlich in den realen Raum übertragen und in ein physisches Sicherheitsproblem verwandeln können. Im Allgemeinen geschieht dies mithilfe einer Art physischer Sicherheitshardware, sei es ein Treasury-Ledger oder etwas anderes auf der Kryptoseite, oder Sie verwenden Schlüssel oder andere digitale Geheimnismanager, die für eine Vielzahl verschiedener Authentifizierungsmechanismen verwendet werden. Ich möchte nur

Ryan:
[38:32] An dieser Stelle des Gesprächs möchte ich den Zuhörern ein paar aufmunternde Worte mit auf den Weg geben, nämlich dass sie in Passkeys, in YubiKeys und in die Sicherung ihrer Konten investieren sollten. Das ist eine Art Pionierinvestition, denn ich bin fest davon überzeugt, dass die Angriffe, die auf Kryptowährungen erfolgen, nur die Spitze des Eisbergs sind. Die Angriffe, die auf Kryptowährungen in dieser ausgeklügelten Weise stattfinden, werden sich auf alles ausweiten, und in Zukunft wird jeder diese Art von Schutz und Sicherheit haben, weil es einfach grundlegend sein wird. Wenn man das nicht tut, wird man komplett ausgeliefert sein. Was ich damit sagen will, ist: Diese Investition, die Sie in den Schutz Ihrer Konten und in Passkeys und YubiKeys und Passwortmanager und all die Sicherheitsinvestitionen tätigen,

Ryan:
[39:19] verschafft Ihnen einen Vorsprung gegenüber allen anderen. Aber alle anderen werden sich ebenfalls an diese Welt anpassen müssen. Es ist also keine verschwendete Zeit. Es handelt sich nicht nur um eine Nischensache im Bereich Kryptowährungen. Jeder muss in Zukunft über diese Art von Sicherheit verfügen, egal ob es drei bis fünf Jahre dauert, bis der Rest der Welt aufholt.

Jameson:
[39:35] Der unglückliche Aspekt der Sicherheit im Allgemeinen ist, dass es immer Angreifer geben wird. Man wird also nie perfekte Sicherheit haben. Man kann nur versuchen, besser geschützt zu sein als andere, denn sie werden die Zielscheibe sein. Der Angreifer wird sich die Landschaft potenzieller Ziele ansehen und sagen: Oh, das sieht zu schwierig aus. Ich werde mich stattdessen Ihrem Nachbarn zuwenden.

Ryan:
[39:57] Bevor wir das Thema digitale Sicherheit verlassen, möchte ich noch auf einen Fall eingehen, den ich gesehen habe: Jemand hat auf einen Link geklickt und die bösartige Zoom-Software heruntergeladen, woraufhin sein gesamter Computer komplett übernommen wurde, mit Root-Zugriff auf alles. Die Lösung ist natürlich, so etwas gar nicht erst zuzulassen, aber es kann trotzdem passieren. Ich möchte eine Frage zu einer weiteren Maßnahme stellen, von der ich gehört habe, dass einige Krypto-Anwender sie anwenden. Diese ist vielleicht etwas fortgeschrittener und daher nicht für jeden geeignet. Zusätzlich zu den Multi-Signaturen, Hardware-Wallets und der Trennung, über die wir gesprochen haben, gibt es noch eine weitere Möglichkeit: einen separaten Computer, der ausschließlich zum Signieren verwendet wird und nicht einmal mit Ihrem öffentlichen WLAN verbunden ist. Was halten Sie davon als narrensichere Methode, bei der Sie keine Kryptotransaktionen auf Ihrem normalen Alltagscomputer durchführen? Wenn Sie solche Transaktionen durchführen, tun Sie dies auf einem separaten Transaktionssignaturcomputer, der keine Zoom-Links anklickt, keine E-Mails öffnet und nur einem einzigen Zweck dient. Und dieser Zweck ist, wenn Sie eine wichtige Kryptotransaktion signieren müssen.

Jameson:
[41:02] Ja, ich meine, das fällt unter die Minimierung der Angriffsfläche. Vorher war Trezor das erste Krypto-Hardwaregerät, das auf den Markt kam, und das war 2014, und davor war ein Laptop mit Luftspalt wirklich der Goldstandard für alles.

Ryan:
[41:19] Okay. Ja. Vielleicht schließt sich hier der Kreis. In Ordnung. James, Sie haben gerade gesagt, dass Sie versuchen wollen, einen Teil des Digitalen in den physischen Bereich zu verlagern.

Ryan:
[41:29] Man hat also Hardware-Geräte und YubiKeys und vielleicht separate Laptops mit Luftspalt und solche Dinge. Aber lassen Sie uns mehr über den physischen Bereich sprechen, denn die Angreifer haben sich ebenfalls in den physischen Bereich verlagert. Lassen Sie uns über das sprechen, was Sie, Bo, als die gefährlichste Art von Angriff bezeichnet haben. Wir haben die wahrscheinlichsten angesprochen. Hoffentlich haben Sie, liebe Zuhörer, jetzt einige Tipps, wie Sie damit umgehen und sich schützen können. Lassen Sie uns über eine bestimmte Form von besorgniserregenden Angriffen sprechen, die vielleicht die gefährlichste ist.

Ryan:
[41:56] Art von Angriff, nämlich diese gewalttätigen Angriffe von Angesicht zu Angesicht. Bo, was beobachtest du in diesem Bereich? Kannst du uns einige Zahlen zu dieser Art von Angriffen, den sogenannten „Wrench Attacks“, nennen, Zahlen wie ein Profil dessen, was typischerweise passiert, wen sie ins Visier nehmen. Gib uns einfach einen Überblick darüber, wie die Lage im Jahr 2026 aussieht.

Beau:
[42:17] Ja, ich glaube, letztes Jahr gab es etwas mehr als 70 Angriffe, von denen wir wissen, richtig? Wir gehen davon aus, dass viele dieser Angriffe nicht gemeldet werden, oder wenn sie gemeldet werden, ist es möglich, dass kein Zusammenhang mit Kryptowährungen festgestellt wird. Ja. Mit Blick auf das Jahr 2026 haben wir dieses Jahr bisher 10 oder 11 Angriffe gesehen, vielleicht noch ein paar mehr. Wenn man also über das Ausmaß der Menschheit nachdenkt, ist das definitiv wieder so, oder? Es gibt 8 Milliarden Menschen auf der Erde, und wir sprechen hier von 100 Vorfällen in den letzten 12 Monaten, von denen wir wissen, richtig? Das ist also relativ wenig, aber sehr gezielt. Es beginnt also wirklich mit Ihrer digitalen Sicherheit und Ihrer Privatsphäre, oder? Diese Angreifer versuchen, Personen in der realen Welt zu identifizieren, die die Kontrolle über diese digitalen Vermögenswerte haben. Also schauen sie sich die Twitter-Konten von Personen an. Sie schauen sich die On-Chain-Wallets von Personen an. Sie suchen nach Personen, die mit ihrem Reichtum prahlen. Und man kann natürlich sehen, dass diese Person Geld hat. Sie könnte ein interessantes Ziel sein. Und dann versuchen sie herauszufinden: Okay, kann ich herausfinden, wer diese Person ist? Viele von uns agieren unter Pseudonymen. Ich würde nicht sagen, anonym, denn keiner von uns ist wirklich anonym, aber viele von uns verwenden online Pseudonyme, um unseren richtigen Namen zu verbergen.

Beau:
[43:39] Wenn sie diese Hürde überwinden und herausfinden können, wer diese Person sein könnte, beginnen sie mit einer sogenannten Open-Source-Recherche oder OSINT-Recherche und suchen online nach Informationen über diese Person. Das sieht dann so aus, dass man Daten im Dark Web kauft oder billige oder kostenlose Online-Suchmaschinen nutzt, mit denen man E-Mail-Adressen, Telefonnummern und Wohnadressen nachschlagen kann, um herauszufinden, wo sich diese Person physisch befindet, richtig? Sie würden sich wundern, in wie vielen Bundesstaaten der USA man die Privatadresse einer Person allein anhand von Wählerregistrierungsunterlagen oder anhand von Strafzetteln oder Gerichtsterminen herausfinden kann. Unser System ist einfach nicht auf den Datenschutz im digitalen Zeitalter ausgelegt. Und so hat wirklich jeder dieses Problem, wenn er seit mehr als zehn Jahren online ist. Alle Konten, bei denen man sich angemeldet hat ... Vor ein paar Wochen habe ich jemandem geholfen, der Opfer eines Datenlecks geworden war. Seine Privatadresse war bei einem Datenleck einer Fluggesellschaft offengelegt worden, bei dem man sein Geburtsdatum, seine Privatadresse, seinen Wohnort und seine Staatsangehörigkeit sowie seine Telefonnummer angeben musste. All diese Daten kommen also zusammen und ermöglichen es einem potenziellen Angreifer, wirklich herauszufinden, wo sich diese Person befindet.

Beau:
[45:06] Person, die sie online gefunden haben, sich in der realen Welt befinden könnte. Und manchmal sehen wir, dass Menschen selbst recherchieren. Das ist wie eine hochentwickelte Organisation, die Menschen hat, die diese Recherchen durchführen, die Menschen vor Ort hat. In anderen Fällen sehen wir, dass Menschen im digitalen Raum diese Daten an Personen verkaufen, die bereit sind, diese Angriffe in der realen Welt durchzuführen. Die Angriffe sehen je nach Situation etwas unterschiedlich aus, aber oft beobachten wir, dass sie zu Hause stattfinden. Jemand kommt an Ihre Tür und gibt sich als Lieferant oder Polizist aus, also mit einer plausiblen Begründung, warum er bei Ihnen zu Hause ist. Er klopft an die Tür, Sie öffnen, und dann versucht er entweder, Sie zu überzeugen, ihn ins Haus zu lassen, oder er drängt sich mit Gewalt ins Haus, indem er eine Waffe schwingt oder sich physisch Zugang verschafft. Und dann, wissen Sie, haben wir oft gesehen, dass Angreifer Menschen festhalten, sie an einen Stuhl fesseln oder so etwas, sie bedrohen und im Grunde versuchen, sie dazu zu bringen, zu verraten, wo sie sind.

Beau:
[46:17] Krypto-Wallets sind ja der Ort, an dem ihre Seed-Phrasen gespeichert sind. Und dann ist es ihr Ziel, diese Informationen zu finden und so schnell wie möglich zu verschwinden. Wir haben auch Fälle gesehen, in denen sich das zu einer Art Entführung mit Lösegeldforderung entwickelt hat, bei der sie beispielsweise in ein Haus eindringen und die Schlüssel sind nicht dort aufbewahrt oder die falsche Person ist zu Hause usw., dann nehmen sie vielleicht Kontakt zu der Person auf, die die Kontrolle über die Gelder hat, und sagen: „Ich habe Ihren Angehörigen, schicken Sie mir 10 Millionen Dollar in Bitcoin, okay?“ Das sind also einige der Taktiken, die wir beobachtet haben. Es ist ein wenig unterschiedlich, je nach Situation. Wir haben gesehen, wie Menschen auf der Straße überfallen wurden, wir haben gesehen, wie Menschen ausgeraubt wurden, richtig? Sie gehen in Bürogebäude hinein und wieder hinaus, und meistens sind die Ziele bekannte Persönlichkeiten aus der Branche, Influencer, Führungskräfte von Krypto-Unternehmen, ihre Familienangehörigen, ja. Das ist also sozusagen der Ablauf von A bis Z. Und ich lasse Jameson etwas hinzufügen, wenn er etwas hat.

Ryan:
[47:23] Ja. Und Jameson, während du etwas hinzufügst, kannst du uns sagen, was in Frankreich gerade vor sich geht? Denn es scheint, als gäbe es in Frankreich eine sehr aktive Gruppe. Die Leute in der Krypto-Community in Frankreich haben wirklich damit zu kämpfen, aber es ist nicht auf Frankreich beschränkt. Ich meine, diese Art von Angriffen gibt es überall in Europa. Sie finden definitiv statt, sie finden in den USA statt und sie haben 2025 in den USA stattgefunden, genau so, wie Beau es beschrieben hat. Aber es scheint eine gewisse Häufung in Frankreich zu geben. Wie sieht das Muster dort aus und warum ist das so?

Jameson:
[47:54] Ich denke, es gibt eine Reihe von Faktoren, die hier eine Rolle spielen, aber ich möchte darauf hinweisen, dass ich dies in einer Präsentation, die ich letztes Jahr gehalten habe, ausführlich analysiert habe. Pro Kopf gesehen lag Frankreich immer noch nicht unter den Spitzenreitern. Tatsächlich war es Dubai, das pro Kopf gesehen die meisten Wrench-Angriffe zu verzeichnen hatte. Und wenn ich mich recht erinnere, waren so gut wie alle auf Personen zurückzuführen, die hochkarätige OTC-Geschäfte von Angesicht zu Angesicht tätigten. Im Grunde genommen tauchte jemand mit einer Aktentasche voller Bargeld in einem Hotelzimmer auf und wollte dann auf die eine oder andere Weise einen Tauschhandel durchführen. Interessant ist aber auch, dass Dubai die höchste Quote bei der Strafverfolgung von Kriminellen hat, nämlich eine Aufklärungsquote von 100 %, was wahrscheinlich auf das hohe Maß an Überwachung in ganz Dubai zurückzuführen ist. Was passiert also in Frankreich? Ich meine, ich denke

Beau:
[48:45] Es gab welche.

Jameson:
[48:45] Es gab mehrere organisierte Banden, die aktiv waren. Ich weiß, dass es eine gab, deren Drahtzieher, glaube ich, von Marokko aus operierte und der, glaube ich, letztes Jahr gefasst wurde. Eine weitere Sache, die passiert ist, ist, dass wir wissen, dass es einen korrupten Steuerbeamten gab, der private Daten von Menschen verkauft hat. Also wurden die Daten von Menschen, die in ihrer Steuererklärung Angaben zu Kryptowährungen gemacht hatten, an eine Art organisierte Verbrechergruppe verkauft.

Ryan:
[49:11] Wahnsinn. Im Grunde genommen also eine Bestechung der Regierung, um herauszufinden, wer Kryptowährungen besitzt und wer wahrscheinlich über diesen Wert verfügt. In Frankreich muss man solche Dinge der Regierung melden. Also bestechen sie einfach einen Beamten, und der Beamte gibt Namen und Adressen preis.

Jameson:
[49:24] Ja. Und ein ähnliches Problem gab es tatsächlich auch in Schweden, wo man alle seine Steuerinformationen öffentlich machen muss. Und so gab es in Schweden eine Reihe von Wrench-Angriffen, weil man im Grunde genommen der ganzen Welt mitteilen musste: Hey, ich gebe Kryptowährungen in meiner Steuererklärung an. Ich weiß nicht, ich war schon lange nicht mehr in Frankreich, aber ich sehe auf jeden Fall viele Kommentare zu diesen Beiträgen, in denen Leute im Grunde genommen behaupten, dass in Frankreich eine Art kultureller Niedergang stattfindet, weil es an Strafverfolgung mangelt. Es scheint, als würden sie eine Reihe von Leuten fassen, aber es scheint auch, als würden viele dieser Leute, die gefasst werden, keine besonders schweren Strafen bekommen. Und zu Ihrem Punkt:

Ryan:
[50:04] Jameson, das Muster ist oft so, dass es einen externen Drahtzieher gibt, der möglicherweise völlig entfernt ist. Er versucht, die Zieldaten zu analysieren, und dann stellt er, ich weiß nicht, Leute ein, arbeitet mit ihnen zusammen, teilt sich die Beute auf und macht mit einer eher lokalen Gruppe von Schlägern weiter, jungen Schlägern, die nichts zu verlieren haben, die vielleicht nicht die Fähigkeiten haben, alle operativen Informationen zu sammeln, um bestimmte Personen ins Visier zu nehmen. Und dieser Drahtzieher kann manchmal sehr schwer zu fassen sein, selbst wenn die lokalen Schläger tatsächlich gefasst werden. Ja.

Jameson:
[50:39] Und dann denken Sie daran, dass Ledger seinen Sitz in Frankreich hat. Ich bin sicher, dass sie viele französische Kunden haben und dass es im Laufe der Jahre eine Reihe von Datenverstößen gegeben hat, obwohl ich nicht glaube, dass wir Informationen haben, die die Datenverstöße direkt mit den Angriffen in Verbindung bringen, aber es scheint durchaus plausibel, dass dies ein weiterer Faktor ist. Bei den organisierten kriminellen Gruppen haben wir ein weiteres Muster beobachtet, das zwar hauptsächlich in Südostasien auftritt: Wir haben gesehen, dass organisierte kriminelle Banden aus einem Land Informationen über Staatsangehörige dieses Landes sammeln. Wenn diese Staatsangehörigen dann in ein anderes Land, meist in Südostasien, in den Urlaub fahren, schicken sie Leute dorthin, überfallen sie und fliegen dann zurück. Ich halte dies für eine interessante Form der grenzüberschreitenden organisierten Kriminalität, die sich aus der Ausnutzung von Rechtsunterschieden zwischen verschiedenen Ländern ergibt.

Beau:
[51:30] Vor allem auch in der EU, wo man ohne Pass von Frankreich in die Schweiz oder von Frankreich nach Spanien reisen kann. So ist man sehr schnell in einem anderen Rechtsgebiet. Ich glaube, bei einem der jüngsten Anschläge in Frankreich wurden die Attentäter schließlich in einem Zug gefasst, mit dem sie von Paris in Richtung Südfrankreich nahe der Schweizer Grenze unterwegs waren. Die Idee, einen Anschlag zu verüben und dann schnell in eine andere Gerichtsbarkeit oder weit weg zu fliehen, ist meiner Meinung nach das Attraktive an Europa.

Ryan:
[52:01] Okay, ich denke, für viele Zuhörer ist die beängstigendste Variante nicht die, bei der sie jemanden auf einem Parkplatz treffen oder ihre Vermögenswerte in den sozialen Medien zur Schau stellen. Ich glaube, die meisten Zuhörer sind klug genug, solche Dinge nicht zu tun. Die beängstigendste Variante, wenn man an die gefährlichste Kategorie denkt, Beau, ist ... Ein Drahtzieher hat Ihre physische Adresse ausfindig gemacht, und wie Sie sagen, ist das heutzutage unglaublich einfach. Ich meine, vielleicht können wir uns damit befassen, ob es eine Möglichkeit gibt, Ihre physische Adresse tatsächlich zu schützen und privat zu halten. Aber sie kennen Ihren Standort und haben vielleicht auch eine Ahnung, dass Sie Kryptowährungsbesitzer sind, aufgrund von Datenlecks, vielleicht einem Datenleck aus einer Hardware-Wallet oder einem Datenleck aus einer Börse. Vielleicht auch über die Steuersoftware, die du verwendest. Ich glaube, das war auch ein Faktor bei einigen der Angriffe in Frankreich. Du weißt schon, wenn du Steuersoftware verwendest, um deine Steuererklärung einzureichen, und wenn das automatisiert ist, gibst du deine Adressen ein, und was passiert, wenn diese Informationen durchsickern? All diese Informationen sind also öffentlich zugänglich. Nehmen wir an, du wirst ausfindig gemacht und ein Angreifer kennt deine Adressen.

Ryan:
[53:14] Er weiß, wie viel Krypto-Vermögen Sie möglicherweise besitzen, hat eine gewisse Vorstellung davon, wie Sie diese Vermögenswerte tatsächlich halten könnten, bricht in Ihr Haus ein, begeht einen Einbruch und bedroht Sie und Ihre Familie. Ich meine, das ist für viele Zuhörer wohl ein Albtraum. Wir haben bereits vorweggenommen, dass dies immer noch äußerst selten ist und nicht die Art von Angriff ist, über die sich die meisten Zuhörer Sorgen machen sollten.

Ryan:
[53:41] Allerdings ist es meiner Meinung nach der Angriff, der die größte Panik und Besorgnis auslöst. Können wir also darüber sprechen, wie man das abmildern kann? Ich weiß, dass es keine 100-prozentige Sicherheitsgarantie gibt,

Ryan:
[53:55] Aber ich bin überzeugt, nachdem ich mich mit diesem Thema beschäftigt und mit Ihnen beiden gesprochen habe, dass es eine Reihe von Maßnahmen gibt, die Zuhörer tatsächlich ergreifen können, um die Angriffsfläche für diese Art von Angriffen zu verringern und sie nicht zu beseitigen, aber sich dagegen zu wappnen. Lassen Sie uns also darüber sprechen. Jameson, wie kann sich jemand, der dies hört, gegen physische Einbrüche und Angriffe mit Schraubenschlüsseln schützen?

Jameson:
[54:22] Nun, wie ich bereits zu Beginn gesagt habe, ist das Wichtigste oder, ich würde sagen, das Einfachste, was man tun kann, der Schutz der Privatsphäre, also zu verhindern, dass man überhaupt erst zum Ziel wird. Aber wie Sie bemerkt haben, kann das sehr schwierig sein, insbesondere je nachdem, in welchem Rechtsgebiet man lebt. Ihnen stehen verschiedene Instrumente zur Verfügung, verschiedene Dinge, die Sie möglicherweise offenlegen müssen. Zumindest in Amerika haben wir einige ausgezeichnete rechtliche Instrumente wie Trusts und Gesellschaften mit beschränkter Haftung, mit denen Sie die wahren Eigentumsverhältnisse verschleiern können, öffentlich registrierte Vermögenswerte wie Häuser, Fahrzeuge und was auch immer. Und ich nutze all diese Möglichkeiten. Außerdem müssen Sie sich damit abfinden, Ihre Privatadresse nicht in ausländischen Datenbanken oder ähnlichem anzugeben. Sie müssen davon ausgehen, dass diese irgendwann bekannt wird. Deshalb habe ich verschiedene Postfächer, die ich immer dann benutze, wenn ich nach einer physischen Adresse gefragt werde.

Jameson:
[55:23] Aber ich möchte noch darauf hinweisen, dass dieses Problem der Wrench-Attacken nicht auf die Selbstverwahrung beschränkt ist. Ich sehe, dass viele Leute in die Selbstverwahrung investieren, nach dem Motto: Wenn man seine Vermögenswerte nicht selbst verwahrt, muss man sich keine Sorgen um Wrench-Attacken machen. In einer Reihe dieser Fälle haben die Leute ihre Vermögenswerte jedoch tatsächlich bei einem Verwahrer aufbewahrt. Und der Wrench-Angreifer sagt einfach: „Okay, authentifiziere dich bei diesem Verwahrer und ziehe alle Vermögenswerte ab.“ Für den Angreifer selbst macht das also keinen großen Unterschied, denn es läuft alles auf einzelne Schwachstellen hinaus. Und hier wird es kompliziert, denn nur sehr wenige Menschen denken kritisch über ihre Sicherheitslage nach. Die Kurzfassung all dessen und der Grund, warum Wrench-Angreifer so erfolgreich sind, ist meiner Meinung nach, dass sie im Allgemeinen eine Erfolgsquote von über 50 % haben. Und aus den uns bekannten jährlichen Kennzahlen geht hervor, dass sie mit mehreren zehn Millionen Dollar davonkommen. Und das nur bei den Angriffen, bei denen sie die entwendete Summe offenlegen. Bei vielen dieser Angriffe legen sie die Summe nie offen.

Jameson:
[56:31] Aber betrachten Sie es einmal so: Wenn Sie in der Lage sind, große Geldbeträge zu überweisen, ohne Ihr Haus zu verlassen, dann haben Sie einen Single Point of Failure, denn im Grunde genommen müssen Sie sich ein Wrench-Attack-Szenario so vorstellen, dass Sie oder eine Ihnen nahestehende Person physisch unter Druck gesetzt werden. Und alle Ihre normalen Authentifizierungsverfahren können umgangen werden, weil Sie selbst sie umgehen, da Sie wissen, wie das geht. Die einzige Möglichkeit, wirklich Probleme zu verursachen, besteht also darin

Beau:
[57:12] Ein Wrench-Angriff erfolgreich ist.

Jameson:
[57:15] Wenn sie bereits alle Ihre Datenschutzmaßnahmen überwunden haben, besteht darin, sich selbst als einzigen Schwachpunkt aus der Gleichung zu nehmen. Das bedeutet im Grunde genommen, dass Sie zumindest Ihre langfristigen Ersparnisse und Ihre Cold Storage nicht so einrichten sollten, dass Sie diesen Wert authentifizieren und übertragen können, ohne physisch an mehrere Orte gehen und mehrere physische Authentifizierungsverfahren durchlaufen zu müssen.

Jameson:
[57:45] Das ist eines der Dinge, bei denen wir bei CASA helfen, nämlich ein verteiltes Schlüsselsystem, bei dem Sie physische Hardwaregeräte haben, die geografisch verteilt sind und von mehreren verschiedenen Herstellern stammen, um Angriffe auf die Lieferkette zu verhindern. So stellen Sie sicher, dass Sie durch Vielfalt Stärke erlangen. Es ist ein sehr interessanter Aspekt der Sicherheit, wenn Sie mehrere Schlüssel mit unterschiedlichen Sicherheitseigenschaften haben können. Man erhält diesen coolen zusätzlichen Sicherheitsaspekt für seine Einrichtung, den meiner Meinung nach nur sehr wenige Menschen überhaupt kennen. Der Grund, warum ich das Ganze so faszinierend finde und warum ich mich seit über einem Jahrzehnt damit beschäftige, ist, dass ich der Meinung bin, dass man mit richtig konzipierten kryptografischen öffentlichen Netzwerken ohne Berechtigungen tatsächlich Sicherheitsmodelle erreichen kann, die weit über das hinausgehen, was eine Bank oder sogar Fort Knox leisten kann. Selbst Fort Knox ist ein Single Point of Failure, und man kann seine Schlüssel und seine Sicherheit auf mehrere Kontinente verteilen, wenn man möchte. Wir haben einige Kunden in Extremfällen, die buchstäblich in ein Flugzeug steigen und alle physischen Sicherheitskontrollen der TSA und des Flughafens durchlaufen müssen, und wie Sie wissen, wird Sie niemand unter Zwang halten und Sie können diese physischen Sicherheitskontrollen durchlaufen, um an Ihre anderen Schlüssel zu gelangen.

Ryan:
[59:10] Lassen Sie uns das näher betrachten, denn ich habe tatsächlich einen Artikel darüber geschrieben und veröffentlicht

Ryan:
[59:15] auf X und auf Bankless veröffentlicht. Im Grunde ging es um die Idee, zu Hause keine Kryptowährungen aufzubewahren. Und das ist sozusagen die Erkenntnis, die ich gewonnen habe, nachdem ich mir eine Zeit lang die Aussagen von Sicherheitsexperten angehört habe, dass der Goldstandard für die Verteidigung gegen einen erfolgreichen Wrench-Angriff tatsächlich darin besteht, Jameson, wie du sagst, fast keine, null, null Kryptowährung zu Hause zu haben. Ich definiere das in einem memetischen Format so: keine Hot Wallet zu Hause mit einem Guthaben von mehr als 1.000 Dollar. Das würde man weder zu Hause noch bei sich tragen. Keine Cold Wallet zu Hause, Punkt.

Ryan:
[59:52] Und keine Börse, das ist entscheidend, die es ermöglicht, Gelder ohne Überprüfung und Verzögerungen zu bewegen. Also null Kryptowährung zu Hause, du weißt, dass du sie hast, wenn du nicht die Möglichkeit hast, ohne Zeitverzögerung auf deine Gelder zuzugreifen. Ohne mehrere Standorte, ohne möglicherweise eine Art von Authentifizierung durch Dritte, sagen wir, ein Schließfach oder einen anderen Ort, an dem du auf einen Teil deiner Multi-Sig zugreifen kannst, und du machst das zu einer Sache. Das ist Ihre Haltung. Sie könnten natürlich trotzdem banklos leben, aber Sie haben einfach keinen Zugriff auf Ihre Krypto-Vermögenswerte. Und für mich, als ich das entdeckt habe, werden wir vielleicht etwas tiefer in das Thema eintauchen, Jamison. Wenn also jemand das umsetzen möchte, was Sie sagen und worüber ich geschrieben habe, nämlich null Kryptowährung zu Hause, welche Tools braucht er dann, um das umzusetzen? Ich denke, der Kern davon ist eine Art Multi-Sig-Wallet, möglicherweise mit Zeitverzögerungen und einer Möglichkeit, und wenn sie Krypto-Assets auf Börsen halten, auch so einzurichten, dass etwas erforderlich ist, bevor sie auf diese Gelder zugreifen können, vielleicht eine Zeitverzögerung vor dem Hinzufügen einer Wallet oder so etwas. Können Sie für den durchschnittlichen Zuhörer, der versucht, etwas baglesser zu sein, aufschlüsseln, wie eine Zero-Crypto-at-Home-Strategie aussehen könnte?

Jameson:
[1:01:21] Ja, wie ich bereits sagte, ist es unser primäres Ziel bei Casa, einzelne Fehlerquellen zu beseitigen. Und dazu gehört auch Casa selbst als Unternehmen. Wenn Casa untergeht, können wir trotzdem nachts ruhig schlafen, weil wir wissen, dass unsere Kunden uns umgehen und weiterhin auf ihre Gelder zugreifen können. Aber der erste, grundlegende Teil davon ist die Verwendung dieser Air-Gapped-Geräte, der Ledger und Tresore und was auch immer, um diese Schlüssel aus dem Internet zu entfernen. Denn wie ich bereits sagte, schützt Sie das vor etwa 95 % aller Angriffe. Sobald Sie etwas auf einem mit dem Internet verbundenen Gerät tun, haben Sie im Grunde genommen eine Tür offen, an die 8 Milliarden Menschen klopfen und versuchen können, durchzukommen. Darüber hinaus, sobald Sie diese Schlüssel offline und in Selbstverwahrung gebracht haben, sind die größten Probleme, mit denen Sie tatsächlich konfrontiert werden, ...

Jameson:
[1:02:09] sind in der Regel Selbstverschuldungen, bei denen man einen Fehler macht, etwas schief geht, es zu einer Art Umweltkatastrophe kommt, zum Beispiel einem Hausbrand, und man sollte nicht alles zu Hause aufbewahren, da dies ein Single Point of Failure ist. Es geht also weniger um Hacker und Angreifer, sondern vielmehr darum, über ausreichende Redundanz und Ausfallsicherheit zu verfügen, damit es nicht zu einer katastrophalen Störung kommt, wenn etwas schiefgeht, denn irgendwann wird etwas schiefgehen. Und genau hier kommt wieder einmal die Multi-Signatur ins Spiel. Das ist großartig, weil man die Flexibilität hat, einen digitalen Tresor mit vielen verschiedenen Schlüsseln einzurichten. Vielleicht hat er drei Schlüssel, fünf Schlüssel, zehn Schlüssel, wirklich so viele, wie man will.

Jameson:
[1:03:00] Und dann haben Sie genug Flexibilität, dass Sie, wenn Sie einen, zwei oder drei Schlüssel verlieren, höchstwahrscheinlich noch andere Schlüssel zur Verfügung haben. Aber natürlich ist dies kein Allheilmittel. Der Teufel steckt wirklich im Detail. Wenn Sie einen Tresor mit fünf Schlüsseln einrichten und alle fünf Schlüssel zu Hause aufbewahren – und wir haben gesehen, dass Leute das tun –, haben Sie immer noch einen einzigen Schwachpunkt. Wichtig ist, diese Schlüssel so zu verteilen, dass sie unterschiedliche Eigenschaften haben. Sie legen die Schlüssel auf verschiedenen Hardwaregeräten von verschiedenen Herstellern an unterschiedlichen geografischen Standorten ab. Und all diese Dinge sind mit Entscheidungen verbunden. Und genau da können die Leute meiner Meinung nach sehr gelähmt sein. Und deshalb sind Dienste wie Casa meiner Meinung nach sehr hilfreich, denn wir sind im Wesentlichen ein Sicherheitsberatungsdienst. Wir helfen Ihnen zu verstehen, welche Vor- und Nachteile diese Entscheidungen mit sich bringen. Und in der Regel geht es bei jeder dieser Entscheidungen darum, dass Sie versuchen, Komfort und Sicherheit gegeneinander abzuwägen. Ein einfaches Beispiel ist die Frage, wie weit Sie diese Schlüssel voneinander entfernt aufbewahren. Sie können sie

Beau:
[1:04:08] Ein Haus weiter, was sehr praktisch ist, aber vielleicht nicht besonders sicher.

Jameson:
[1:04:13] Das extreme Beispiel, das ich bereits genannt habe, ist, dass Sie sie auf verschiedenen Kontinenten aufbewahren können, sodass Sie dafür fliegen müssen, was ein extremes Maß an Sicherheit bietet. Man befindet sich sogar an einem Punkt, an dem man von Rechtsstreitigkeiten betroffen ist, wenn es auf Regierungsebene Maßnahmen gegen Kryptowährungen gibt. Aber natürlich ist das unglaublich unbequem. Es kommt also wirklich auf Robustheit und die Fähigkeit an, sich von Ausfällen zu erholen. Und das erreicht man, indem man die Schlüssel auf so viele verschiedene Vektoren wie möglich verteilt.

Ryan:
[1:04:45] Lassen Sie uns das anhand des Angriffsszenarios durchspielen, über das wir sprechen, nämlich dass Sie in irgendeiner Weise ins Visier genommen werden.

Ryan:
[1:04:51] Sie haben eine Multi-Sig-Konfiguration, sei es Kasa. Und Kasa unterstützt, glaube ich, Bitcoin, Ethereum, Stablecoins und diese Krypto-Assets. Es gibt auch andere Multi-Sig-Technologien. Da wäre zum Beispiel SAFE. Ich habe von Leuten gehört, die Bitcoin-Tresore wie Zengo verwenden. Wie auch immer, Sie haben Ihr Multi-Sig-Setup. Was passiert also in einem Szenario mit einem Wrench-Angriff? Jemand bricht in Ihr Haus ein und was dann? Sie sagen, ich habe keine Kryptowährungen zu Hause. Ich meine, natürlich können sie die Krypto-Assets nicht bekommen, oder könnten sie zu einem zweiten Ort fahren, um zu versuchen, Ihre anderen Multi-Sig-Signaturen zu holen? Was passiert dann? Wie verhindert das in Ihrer Szenarioplanung, Jameson, tatsächlich einen erfolgreichen Wrench-Angriff?

Jameson:
[1:05:38] Ja. Die nächste Frage, die sie sich natürlich stellen werden, lautet: Was wird eigentlich benötigt, um auf diese Schlüssel zuzugreifen? Und hier kommen die Details ins Spiel. Wenn Sie die Schlüssel einfach bei einem Freund oder Nachbarn hinterlegen, der nur wenige Minuten entfernt wohnt, ist das wahrscheinlich keine gute Idee. Und Sie sollten davon ausgehen, dass Sie unter Zwang dazu gebracht werden, die Wahrheit zu sagen. Das wird eine sehr unangenehme Situation. Und wenn Sie lügen und dabei erwischt werden, wird es für Sie nur noch schlimmer. Deshalb ist es so wichtig, dass die Schlüssel hinter physischen Sicherheitsvorkehrungen aufbewahrt werden, auf die nur zu bestimmten Tageszeiten, beispielsweise während der Geschäftszeiten, zugegriffen werden kann, und dass es weitere physische Authentifizierungsstufen gibt, um sicherzustellen, dass tatsächlich Sie es sind, der sie durchläuft.

Ryan:
[1:06:32] Ein Bankschließfach ist ein klassisches Beispiel dafür, oder?

Jameson:
[1:06:36] Ja. Und deshalb ist auch Multisig so wichtig, denn ich würde nicht empfehlen, einen einzelnen Schlüssel zu einer Single-Signature-Wallet in ein Bankschließfach zu legen, da dies immer noch ein Single Point of Failure ist. Die Bank könnte einen korrupten Mitarbeiter haben. Oder es gab sogar Fälle, in denen die Polizei kam und das gesamte Schließfach ausgeräumt hat.

Ryan:
[1:07:00] Das passiert in Kalifornien. Es gibt noch andere Bundesstaaten, die das getan haben.

Jameson:
[1:07:03] Ja, aber wenn Sie nur einen Schlüssel für eine Multi-Sig-Wallet haben, könnten Sie erneut den Zugriff darauf verlieren. Er könnte gestohlen oder zerstört werden, und das ist in Ordnung. Sie können ihn mit Ihren anderen Schlüsseln wiederherstellen.

Ryan:
[1:07:13] Okay, wenn man das also richtig macht, kann der Angreifer im Grunde nichts bekommen. Ich meine, werden sie frustriert sein, dass sie nichts bekommen können? Werden sie dir glauben? Wie, weißt du, was

Jameson:
[1:07:25] Was können Sie sonst tun? Es spielt keine Rolle, ob sie Ihnen glauben. Und nun ist natürlich die nächste Frage, was sie als Folge ihrer Frustration tun werden. Und die nächste logische Frage, die sich die meisten Menschen stellen, ist: Sollte ich ein Duress-Wallet haben, um zu versuchen, sie zu bezahlen und sie zum Verschwinden zu bringen? Leider haben wir keine Daten, die belegen, dass Duress-Wallets funktionieren. Wir haben sogar das Gegenteil beobachtet, nämlich dass Menschen sofort alles, was sie hatten, ausgehändigt haben, woraufhin die Angreifer glaubten, sie hätten versucht, sie mit einer Notfall-Geldbörse zu täuschen, und sie dann lange Zeit weiter gequält haben, bevor sie schließlich frustriert waren und wegliefen. Das Einzige, was meiner Meinung nach hier zugunsten der Opfer spricht, ist, dass die Mordrate bei diesen Angriffen unglaublich niedrig ist. Wenn man darüber nachdenkt, handelt es sich hier um Räuber. Sie sind bereit, Einschüchterung und ein gewisses Maß an Gewalt anzuwenden, um eine sehr, sehr hohe Beute zu machen, aber sie sind in der Regel nicht bereit, tatsächlich jemanden zu ermorden und sich damit der Strafverfolgung wegen Mordes auszusetzen. Denn jeder Kriminelle, der zumindest erfahren ist und versteht, wie die Strafverfolgungsbehörden und das Justizsystem bei der Verfolgung von Angreifern vorgehen, weiß, dass Mord die höchste Aufklärungsrate hat und mit den meisten Ressourcen verfolgt wird. Man möchte also nicht wegen Mordes ins Visier der Strafverfolgungsbehörden geraten.

Ryan:
[1:08:49] Ja. Okay. Das habe ich auch hinzugefügt, als ich über meinen Artikel über „Zero Crypto at Home” nachgedacht habe. Der erste Schritt ist also die Umsetzung von „Zero Crypto at Home”. Man sollte tatsächlich keine Kryptowährungen besitzen und keinen Zugang dazu haben. Und unter Verwendung einiger der Mechanismen, die Jameson gerade beschrieben hat, hatte ich noch eine weitere Idee: Man könnte eine Notiz schreiben oder etwas vorbereiten, auf dem steht: „Ich habe keine Kryptowährungen zu Hause”. Ich habe zu Hause keine Kryptowährung auf meinem Handy, nur Kleingeld. Ich habe Kleingeld, weniger als 1.000 Dollar. Nehmen Sie das. Ich habe sonst nichts. Und dann denke ich, wenn man in der Öffentlichkeit steht, gibt es Möglichkeiten, dies zu signalisieren oder darüber zu sprechen. Vitalik Buterin hat das zum Beispiel in seinen Tweets und Antworten ziemlich gut gemacht. Er hat über seine Multi-Sig-Einrichtung gesprochen und sie als M von N beschrieben, wobei einige Schlüssel bei Ihnen liegen, aber nicht genug, um die Wiederherstellung zu blockieren, und der Rest bei Personen, denen Sie vertrauen. Er hat also eine Art sozialen Wiederherstellungsmechanismus. Geben Sie nicht preis, wer diese anderen Personen sind, auch nicht untereinander. Und so

Ryan:
[1:09:51] Und Vitalik hat öffentlich gesagt, dass er zu Hause so gut wie keine Kryptowährung hat. Wenn ein Angreifer also auf irgendeiner Ebene Zugang zu ihm bekommt, kann er eigentlich nichts tun. Und ich denke, du hast Recht, Jameson, dass bisher eine große Anzahl dieser Angriffe tatsächlich erfolgreich war. Und deshalb passieren sie immer wieder. Deshalb verbreiten sie sich. Wenn diese 50 % auf 2 % bis 1 % sinken, wird es für Angreifer sehr negativ, in Häuser einzudringen und Mietangriffe durchzuführen, und sie werden damit aufhören. Das wird nicht über Nacht passieren, aber so können wir als Branche die Kontrolle zurückgewinnen. Das ideale Szenario ist natürlich, dass Ihr Haus gar nicht erst überfallen wird. Vielleicht könnten Sie, Beau, etwas dazu sagen. Wie kann man sich also gegen einen Eindringling schützen? Vielleicht ist es ein Lieferant oder jemand, der mitten in der Nacht Ihre Tür aufbricht. Was kann man konkret tun, um sein Zuhause besser zu schützen? Nehmen wir an, dass Privatsphäre derzeit keine Option ist. Man müsste vielleicht umziehen und einige der Maßnahmen ergreifen, die Jameson in „Jason Bourne“ zum Schutz seiner Adresse ergreift. Nehmen wir an, dass dies keine Option ist. Man weiß also, dass die eigene Adresse bekannt ist. Gibt es Möglichkeiten, das Haus zu sichern oder Protokolle einzuführen, um sich selbst zu schützen?

Beau:
[1:11:17] Und um auf das zurückzukommen, was Jameson zuvor gesagt hat: Man muss nicht immer die sicherste Person der Welt sein. Man muss nur sicherer sein als der Nächste auf der Liste. Und ein schweres Ziel zu werden, ist ... Es ist wirklich wichtig, sein Zuhause als schweres Ziel zu betrachten und nicht als leichtes Ziel. Also, wissen Sie, einige Kameras an der Vorderseite Ihres Hauses anzubringen, die sichtbar sind, aber auch effektiv dabei helfen, zu erkennen, wer an Ihre Tür kommt. Mir gefällt die Idee von Flutlichtern in der Nacht, die mit Bewegungssensoren ausgestattet sind, und wenn jemand kommt, über Ihren Gartenzaun klettert und auf Ihr Haus zugeht, wird er plötzlich von einem Lichtstrahl ins Gesicht getroffen. Ich bin ein großer Fan des Konzepts, ein Haussicherheitssystem zu verwenden, oder es gibt sogar einige recht günstige Optionen für Panikknöpfe, die man in der Nähe der Haustür anbringen oder im Büro platzieren kann, wo sie einen wahrscheinlich hinbringen würden, wenn sie hier in Ihr Haus kommen würden.

Beau:
[1:12:19] Ich denke, es ist ganz klar eine Frage des gesunden Menschenverstands, dass man keine Fremden in sein Haus lassen sollte, oder? In San Francisco gab es einen Fall, in dem ein falscher Lieferant um eine Unterschrift bat und vorgab, keinen Stift zur Hand zu haben, um dem Kunden die Unterschrift zu geben. Also fragte er, ob er hereinkommen könne, um einen Stift zu holen, damit der Kunde den Lieferschein auf dem Paket unterschreiben könne. Das war seine Lüge, mit der er sich ins Haus redete. Man sollte sich also bewusst sein, dass Leute einem eine Ausrede geben könnten, die irgendwie legitim klingt, und sie nicht hereinlassen. Ein paar andere Dinge, die ich den Leuten empfehlen möchte, sind, dass Sie sich über diese Konzepte mit allen, die mit Ihnen zusammenleben, unterhalten sollten, okay? Egal, ob es Ihr Ehepartner oder Ihr Mitbewohner ist oder wer auch immer, damit sie das gleiche Risiko verstehen. Und ganz wichtig ist, dass Sie in diesem Moment einen Plan haben, okay? Vielleicht ist Ihr sicherer Raum Ihr Schlafzimmer, das über ein zusätzliches Schloss an der Tür verfügt und in dem sich ein Telefon befindet, mit dem Sie die Polizei alarmieren können, oder vielleicht haben Sie dort einen Panikknopf angebracht.

Ryan:
[1:13:37] Um die Polizei zu alarmieren.

Beau:
[1:13:39] Polizei zu alarmieren. Ich denke, es läuft darauf hinaus, sicherzustellen, dass, wenn jemand Ihr Haus auskundschaftet, denn wir wissen, dass sie das tun, sie Ihr Eigentum auskundschaften, bevor sie einen Angriff durchführen. Wenn sie Kameras vor dem Haus sehen, wenn sie Bewegungsmelder sehen, könnten sie davon abgehalten werden, einen solchen Angriff durchzuführen. Und wenn dann etwas passiert, lassen Sie sich nicht von dem, was direkt vor Ihren Augen geschieht, überraschen. Sprechen Sie im Voraus mit sich selbst und den Menschen, mit denen Sie zusammenleben, darüber, was zu tun ist, wenn Sie glauben, dass jemand versucht, in Ihr Haus einzubrechen. Das erste Mal, dass Sie darüber nachdenken, sollte nicht sein, wenn es Ihnen gerade passiert. Es kann so einfach sein wie: Ich habe einen Panikknopf an dieser Stelle. Ich werde ihn drücken. Dadurch wird meine Sicherheitsfirma alarmiert. Die rufen dann auf meinem Handy an. Ich gehe nicht ran. Und so weiß ich, dass die Sicherheitsfirma die Polizei ruft.

Beau:
[1:14:36] Ich persönlich bin ein Befürworter der Selbstverteidigung. Ich werde das den Anrufern nicht empfehlen, denn ich denke, es ist wirklich eine sehr persönliche Entscheidung, ob man sich gegen einen Angreifer wehrt, ob man dazu einen Baseballschläger nimmt oder ob man Schusswaffen oder etwas anderes einsetzt. Man kann die Situation nämlich verschlimmern, wenn man sich dafür entscheidet. Wenn man nicht trainiert ist, weiß man nicht, was man tut. Aber das ist Teil meines persönlichen Sicherheitsplans, oder? Wenn jemand in mein Haus einbricht, bin ich bereit, mit Gewalt zu reagieren, oder?

Beau:
[1:15:15] Ich denke, es gibt eine Reihe verschiedener Optionen. Die Grundlagen sollten sein, wie man sein Haus selbst zu einem schwierigen und unattraktiven Ziel macht, durch den Einsatz von Kameras, durch den Einsatz von Beleuchtung, durch starke Schlösser an den Türen. Ich meine, Fenster können Leute aufbrechen, oder? Ein Sicherheitssystem, das Leute alarmiert, wenn jemand versucht, in dein Haus einzubrechen. In den Vereinigten Staaten ist das so etwas wie das klassische ADT-Sicherheitssystem, diese Panikknöpfe, die ich erwähnt habe. Und das Letzte, was ich erwähnen möchte, ist, dass viele Leute nicht in Häusern wohnen, oder? Sie wohnen in Mehrfamilienhäusern. Sie wohnen in solchen Gemeinschaftsräumen. Und das kann sowohl zu Ihrem Vorteil als auch zu Ihrem Nachteil sein, oder? Wenn Sie in einem Wohnhaus wohnen, in dem man einen Schlüsselanhänger braucht, um den Aufzug zu benutzen, oder in dem rund um die Uhr jemand an der Rezeption oder ein Wachmann vor Ihrer Tür steht, könnten diese Faktoren Leute abschrecken, im Gegensatz zu...

Beau:
[1:16:15] Weißt du, wenn jeder das kann, ich erinnere mich noch an meine College-Zeit, als wir uns in die Wohnhäuser unserer Freunde geschlichen haben, um zur Vorgeschichte zu gehen, weißt du? Man ist einfach jemandem ins Gebäude gefolgt, und die Sicherheitsvorkehrungen waren sehr gering. Wenn man sich also für einen Wohnort entscheidet, insbesondere wenn man umzieht, sollte man einige Faktoren berücksichtigen: Wie sicher ist der Ort, an den ich ziehe? Schreckt eine Kamera an der Eingangstür oder ein Wachmann am Empfang einen Angreifer ab? Könnte jemand einfach nach oben schauen, zum Aufzug gehen, einen Knopf drücken und aussteigen? Oder braucht man einen Schlüsselanhänger, um tatsächlich nach oben zu gelangen? Es gibt also einige Faktoren, die man berücksichtigen kann, wenn es sich nicht um ein eigenständiges Haus handelt.

Ryan:
[1:16:59] Ich finde, das ist eine fantastische Liste von Faktoren. Ich merke, dass Jameson noch ein paar Dinge hinzufügen möchte. Ich werde auch noch ein paar Dinge hinzufügen. Ich denke, wenn jemand an Ihrer Tür klingelt, den Sie nicht kennen und der nicht angekündigt war, sollten Sie die Tür nicht öffnen. Sprechen Sie mit der Person über eine Kamera, wenn Sie möchten. Machen Sie das zu einer Regel in Ihrem Haus. Das fühlt sich zunächst etwas unangenehm an, aber wenn man es einmal in seine Sicherheitsvorkehrungen integriert hat, denkt man sich: Warum eigentlich nicht? Was ich noch sagen möchte, ist, dass zusätzlich zur Selbstverteidigung, wie du, Beau, erwähnt hast, und ich glaube, Jameson, du hast einige Statistiken genannt, dass leider nur etwa 6 % aller dieser Krypto-Wrench-Angriffe durch Selbstverteidigung abgewehrt werden konnten. Wenn Sie das tun, dann stellen Sie sicher, dass Sie gut vorbereitet sind. Ich würde sagen, dass Sie einen Teil dieser Selbstverteidigung, nicht dass Sie sie auslagern könnten, aber Sie können sie an einen großen Hund auslagern. Ehrlich gesagt, ich denke, dass ein Hund, der alarmiert und vielleicht auf solche Angriffe reagiert, ein unterschätzter Beschützer des Haushalts ist. Ich habe eine Frage an Sie, Beau, und dann werden wir Jameson hinzufügen, oder Sie beide können diese Frage beantworten. Es geht darum, dass wir über Kameras und Alarmanlagen gesprochen haben. Gibt es Maßnahmen, mit denen Sie Ihre Eingänge, Türen und Fenster tatsächlich sichern können? Ich glaube, Sie haben darüber Blogbeiträge geschrieben, Jameson. Sprechen Sie darüber und teilen Sie alles mit, was Ihrer Meinung nach hilfreich sein könnte.

Jameson:
[1:18:23] Ja, nun, das hängt wirklich von der Bauweise Ihres Hauses ab. Aber zumindest in Amerika sind die meisten Häuser wirklich billig gebaut. Es werden nur etwa 1,9 cm lange Schrauben verwendet. Für 20 Dollar kann man doppelt verbundene Schrauben mit gehärteten Schließblechen kaufen, die die Robustheit der Türscharniere und Verriegelungsmechanismen im Rahmen erheblich verbessern. Wenn Sie noch einen Schritt weiter gehen möchten – ich habe diesbezüglich einige Tests durchgeführt –, gibt es eine Reihe von Sicherheitsfolien auf dem Markt. Ich würde mich für eine 3M-Folie entscheiden und diese professionell an den Fenstern anbringen lassen. Diese machen die Fenster zwar nicht vollständig undurchdringlich, verschaffen Ihnen aber wahrscheinlich mindestens 30 Sekunden bis eine Minute zusätzliche Zeit, in der jemand versuchen muss, sie zu durchbrechen, bevor er tatsächlich in das Haus eindringen kann.

Ryan:
[1:19:11] Und genau das ist es, was man mit solchen Lösungen erreichen will, auch mit verstärkten Türen mit längeren Schrauben. Im Grunde verwandelt man etwas, das in etwa fünf Sekunden eingetreten werden kann, in etwas, für das man 30 Sekunden braucht und das einen guten Widerstand leistet. Und das ist natürlich etwas sehr Wichtiges. Es verschafft einem Zeit. Das stärkt definitiv die Sicherheit. Ja.

Jameson:
[1:19:31] Und Sie haben tatsächlich einen Punkt angesprochen, den ich erwähnen wollte, nämlich dass Hunde eine Sache sind, die sehr leicht übersehen wird. Und es muss nicht einmal ein großer Hund sein. Tatsächlich sind kleinere Hunde in den meisten Fällen besser darin, Alarm zu schlagen, wenn sie etwas hören.

Ryan:
[1:19:45] Und jeder kennt diesen kläffenden Hund, der einfach nicht still sein will.

Jameson:
[1:19:49] Und der durchschnittliche Kriminelle möchte nicht auf die harte Tour herausfinden, ob es sich um einen Kampfhund oder nur um einen neugierigen Hund handelt. Wenn Sie es wirklich ernst meinen, können Sie sich einen Deutschen Schäferhund oder einen Aduljan Malinois zulegen, etwa 20.000 Dollar bezahlen, sie auf Shoot-Song-Niveau ausbilden lassen, und schon haben Sie einen Kampfhund. Aber auch hier geht es wieder um Zeit, Ressourcen, Investitionen und was weiß ich noch alles. Und noch eine Sache. Ich möchte das nur kurz erwähnen, denn ich könnte eine ganze Stunde darüber reden, und ich habe einen langen Artikel mit dem Titel „Firearms for Home Defense” (Schusswaffen zur Selbstverteidigung zu Hause) in meinem Blog. Sich mit Schusswaffen zu beschäftigen, erfordert eine Menge Entscheidungen und, noch einmal, Ressourcen, Zeit und Training.

Jameson:
[1:20:33] Und ich sage den Leuten vor allem, dass es nicht ausreicht, einfach eine Waffe zu kaufen und sie in einen Safe zu legen. Denn je nach Grundriss Ihres Hauses, was passiert, wenn sich der Angreifer zwischen Ihnen und der Waffe befindet? Man muss also jede mögliche Situation durchdenken. Ich habe ein dezentrales System von Safes, bei dem jeder Raum im Umkreis von etwa 3 bis 4,5 Metern einen Safe hat. Und es ist nicht irgendein Safe. Es ist ein Schnellzugriffssafe, der sich in weniger als drei Sekunden öffnen lässt. Er hat ein einfaches mechanisches Schloss, kein biometrisches und kein elektronisches. Er funktioniert immer, auch wenn ich unter Druck stehe, und in jedem Safe befindet sich dieselbe Waffe, sodass ich nicht darüber nachdenken muss, wie ich sie bedienen soll.darüber nachdenken muss, wie ich ihn bediene. Es gibt all diese kleinen Dinge und dann gibt es eine Menge Entscheidungen, die getroffen werden müssen, wie z. B. welche Waffe, welches Kaliber, Überpenetration, wie ist Ihr Haus gebaut und wie ist es geschnitten, Sie wollen keinen Angreifer erschießen und versehentlich jemanden treffen, der Ihnen wichtig ist, und dann...

Beau:
[1:21:37] Wie Bo schon sagte, muss man sich, egal ob man in einem Einfamilienhaus oder in einer Wohnanlage wohnt, auch um die Nachbarn Gedanken machen.

Jameson:
[1:21:43] Es gibt viele, viele Faktoren, und es gibt keine einfache Antwort auf diese Fragen.

Ryan:
[1:21:47] An alle Zuhörer, die sich überfordert fühlen: Seien Sie sich bewusst, dass es mir genauso geht. Wenn ich Jameson zuhöre, habe ich das Gefühl, dass er ein Level-99-Warlock der Sicherheit ist. Okay. Die meisten Zuhörer sind nicht auf diesem Niveau. Aber ich denke, das Wichtigste ist, dass Sie diese Liste mit Empfehlungen, die Sie heute von Bo und Jameson gehört haben, nehmen und sie nach und nach umsetzen können. Das muss nicht innerhalb einer Woche oder eines Monats geschehen. Ich denke, das Wichtigste ist, dass Sie Jahr für Jahr Fortschritte machen. Wenn Sie also auf das Jahr 2027, den Februar 2027, blicken, sollten Sie sich fragen: Bin ich sicherer geworden? Bin ich in einer besseren Position als letztes Jahr? Habe ich ein laufendes Projekt, um einige der Dinge mit der höchsten Kapitalrendite nacheinander anzugehen? Habe ich einen aktiven Plan, um dies zu tun? Und wenn Sie in einem Jahr besser dastehen als heute, dann sind Sie auf dem richtigen Weg. Sie müssen also nicht das Gefühl haben, dass Sie all diese Empfehlungen über Nacht umsetzen müssen. Bo, ich möchte Sie noch etwas anderes fragen, denn wir haben darüber gesprochen, dass einige dieser Angriffe gezielt erfolgen, richtig? Und einer der Punkte, die uns meiner Meinung nach derzeit an Blockchain nicht gefallen, ist, dass es keine guten nativen On-Chain-Datenschutztechniken gibt, um Adressen zu verschleiern. Und das gibt potenziell einer Art Drahtzieher die Möglichkeit, ...

Ryan:
[1:23:11] Wenn man nicht vorsichtig ist, oder manchmal sogar, wenn man vorsichtig ist, die Möglichkeit, seine Wallets und Vermögenswerte in der Blockchain zu identifizieren.

Ryan:
[1:23:20] Gibt es Möglichkeiten, so etwas zu verhindern, um vorsichtig zu sein? In meinem Artikel habe ich einige offensichtliche Möglichkeiten aufgeführt, wie zum Beispiel, dass man keinen ENS-Namen oder ein NFT, das Ihr PFP verwendet, mit einigen Ihrer Hauptkonten verknüpfen sollte, auf denen Sie Krypto-Vermögenswerte halten. Tun Sie das einfach nicht. Das ist eine schlechte Idee, oder? Und man muss sich bewusst sein, dass die Übertragung von Vermögenswerten von einer Adresse zu einer anderen offensichtlich mit jedem in Verbindung gebracht werden kann, der sich die Blockchain ansieht. Aber wenn man sich näher mit dem Thema Datenschutz beschäftigt, fragt man sich: Wie kann ich einige meiner Adressen privat halten? Haben Sie dafür eine Lösung? Oder was würden Sie in Bezug auf den Datenschutz bei Blockchain-Adressen empfehlen?

Beau:
[1:24:02] Ja, ich denke, die einfache Antwort lautet: Wenn Sie einen neuen Satz einrichten möchten, also neue Wallets, die von den alten getrennt sind, dann sollten Sie diese über eine andere Börse finanzieren als die, über die Sie Ihre ersten Wallets finanziert haben. Das ist natürlich keine echte Privatsphäre, weil Sie Ihre Identität gegenüber den Börsen nicht verbergen, oder? Aber aus der Perspektive eines Angreifers habe ich Wallets, die ich über eine andere zentralisierte Börse eingerichtet habe, die nicht miteinander in der Blockchain kommunizieren. Ich teile keine NFTs. Ich verwende Bo Security nicht als ENS-Namen.

Beau:
[1:24:40] Für mich ist das etwas, was ich vor einiger Zeit gemacht habe, und ich bin einfach bei diesem System geblieben. Ich denke, es gibt viele Tools, die in letzter Zeit herausgekommen sind oder erst kürzlich entwickelt wurden, wie Zcash mit Near Intents als Datenschutzoption. Es gibt Datenschutz-Tools wie Railgun. Und natürlich gibt es das berüchtigte Tornado Cash, nicht wahr? Ich denke, wenn man anfängt, mit solchen Dingen herumzuspielen, kann man sich möglicherweise mehr Compliance-Probleme mit den von einem genutzten Börsen einhandeln und so weiter. Das hängt irgendwie davon ab, wie hoch die Risikotoleranz dafür ist. Aber ich denke, dass der Durchschnittsbürger nicht unbedingt ein Twitter-Konto hat, das mit seiner On-Chain-Wallet verknüpft ist. Daher ist das vielleicht kein so großes Problem. Aber für Leute, die ihre On-Chain-Wallet-Cluster von ihren zukünftigen Aktivitäten trennen möchten, ist es aus Sicht der Öffentlichkeit am einfachsten, einfach neue Wallets über eine andere Börse einzurichten und Gelder auf diese Weise zu transferieren. Jameson hat vielleicht eine weitaus fundiertere Antwort darauf als ich, aber ich denke, dass die Verwendung vieler Mixing-Tools und anderer Dinge mit so vielen Compliance-Risiken und anderen Problemen verbunden ist, dass ich noch keine vollständige These dazu habe, was meiner Meinung nach die beste Vorgehensweise ist.

Beau:
[1:26:07] Es ist, weißt du.

Jameson:
[1:26:08] Bei den meisten dieser Netzwerke, öffentlichen, genehmigungsfreien Netzwerken, die völlig transparent arbeiten, sind die Karten gegen Sie gestapelt. Der Versuch, in einem völlig offenen Netzwerk privat zu bleiben, ist, gelinde gesagt, schwierig. Wissen Sie, ich selbst benutze nicht einmal wirklich Mischungen. Wie Sie gesagt haben, können sie tatsächlich Probleme verursachen, weil man mit anderen Aktivitäten in Verbindung gebracht werden könnte, die man nicht möchte. Und wenn man wirklich starken Datenschutz braucht, empfehle ich den Leuten, Monero oder Zcash zu verwenden, also Netzwerke, bei denen starker Datenschutz in die Protokollschicht integriert ist und man nicht erst eine Reihe von Hürden nehmen und sich mit komplexen technischen Mechanismen auseinandersetzen muss, um in einem transparenten Netzwerk Datenschutz zu erreichen. Deshalb versuche ich meistens nicht, Leuten aus Sicht des Datenschutzes zu sagen, was sie tun sollen, weil es einfach so viele Fallstricke gibt und man sehr leicht Fehler machen kann. Selbst wenn man viele Dinge privat macht, reicht schon ein einziger Fehler, um alles, was man getan hat, zunichte zu machen.

Ryan:
[1:27:16] Ich denke, das trifft den aktuellen Stand der Privatsphäre ziemlich genau. Und leider ist das wirklich der Stand der Dinge in unserer Branche. Derzeit gibt es nicht viele gute Lösungen für Bitcoin oder Ethereum, obwohl jeden Tag neue Lösungen auf den Markt kommen. Und ich denke, das ist ein großer Investitionsbereich. Wir sehen, dass Protokolle wie Zama ziemlich cool sind. Das ist neu auf dem Markt, oder Dinge wie Aztec. Es gibt Dinge, die sich in der Entwicklung befinden. Es fühlt sich nur immer noch wie der Status quo an, das Beste, was man tun kann, ist, sich zu bewegen

Ryan:
[1:27:46] Geld über eine Börse zu verschieben und eine neue Wallet zu erstellen. Aber das ist natürlich auch ein Risiko, denn was ist, wenn die Börse Daten verliert? Wie unsichtbar ist das wirklich? Es ist einfach so, dass es im Moment definitiv nicht toll ist. Die Privatsphäre ist im Moment in der Kryptowelt nicht toll. Und das ist einfach eine Erkenntnis. Eine weitere Sache, die ich hinzufügen möchte, ist, dass man vorsichtig mit der Steuerverfolgungs-App sein sollte, die man verwendet. Es gibt einige lokale Versionen, die alle Steuerinformationen lokal auf Ihrem Rechner speichern, zu denen Sie wechseln können. Wir werden vielleicht einige Links dazu in den Shownotes einfügen. Aber ich meine, das scheint mir ein Punkt zu sein, der mir große Sorgen bereitet. Ich meine, das sind Unternehmen, die nicht unbedingt Sicherheitsmaßnahmen auf Börsenniveau anwenden, obwohl sie keine Vermögenswerte verwahren.

Beau:
[1:28:29] Und sie sind cloudbasiert.

Ryan:
[1:28:30] Lösungen. Sie können gehackt werden. Wenn jemand Ihr On-Chain-Profil mit den gehackten Informationen verknüpfen kann und Sie identifiziert, dann weiß er, wo sich Ihre Wallets befinden. Das ist also etwas, das am Ende dieser Episode möglicherweise umsetzbar ist.

Jameson:
[1:28:45] Außerdem würde ich sagen, lassen Sie sich nicht dazu verleiten, Exchange-API-Schlüssel in Ihre Steuersoftware einzugeben. Ja, das macht es ihnen leicht, an die Daten zu kommen, aber es gab tatsächlich schon Hackerangriffe, bei denen die Angreifer die API-Schlüssel erhalten und damit Ihr Exchange-Konto übernommen haben. Also ja, ich denke, Dinge wie Rockkey, zum Beispiel, das ist

Ryan:
[1:29:09] Wie ein lokaler

Jameson:
[1:29:09] Version davon ist der beste Weg.

Ryan:
[1:29:12] Leider befinden wir uns in einer Situation, in der die Angreifer immer raffiniertere Werkzeuge einsetzen und immer besser in der Lage sind, mithilfe von KI alle Daten zusammenzuführen und zu planen, welche Ziele sie angreifen wollen. Aber ich denke, das Ziel, das Sie beide betonen, ist, dass wir hier nicht nach Perfektion streben. Wir müssen einfach besser sein, besser geschützt als alle anderen. Und ich denke, einige der Taktiken, über die wir gesprochen haben, werden den Zuhörern dabei helfen, dies heute zu erreichen. Ich bin wohl irgendwie darauf gestoßen, als ich 2026 zunehmend darüber nachgedacht habe. Wie ich bereits erwähnt habe, habe ich den Artikel „Zero Crypto at Home” geschrieben, der eine Art...

Ryan:
[1:29:49] Das heißt, ich habe einige meiner Gedanken zu Best Practices zur Verhinderung von Wrench-Angriffen dargelegt, mit vielen Beiträgen aus der Krypto-Sicherheits-Community, die fantastisch ist und zu der Sie beide so viel beigetragen haben. Aber es fühlt sich ein bisschen wie ein Rückschlag für die Vision einer banklosen Gesellschaft an. Das ist sozusagen mein Eindruck. Ich denke einfach, dass das noch nicht die ganze Geschichte ist. Wir sind noch nicht fertig. Und natürlich gibt es noch mehr Herausforderungen mit den Verwahrungslösungen, die wir in der traditionellen Welt sehen. Aber es ist eine große Verantwortung, private Schlüssel zu übernehmen und seine eigene Bank zu sein. Wenn Sie also diese Verantwortung übernehmen, stellen Sie sicher, dass Sie sich nicht für einen 24-Stunden-Sicherheitsdienst für Ihr eigenes Haus und Ihre eigenen privaten Schlüssel anmelden. Man muss klüger sein als das. Aber trotzdem empfinde ich es als einen gewissen Rückschlag. Einige Leute hören sich vielleicht diese Folge an und denken: „Oh mein Gott, Leute, das ist ja viel zu viel. Ich kann einfach Krypto-Assets in meinem Brokerage-Konto kaufen, und es gibt dieses Ding namens iBit, und das kaufe ich einfach. Ich muss mir über diesen ganzen Mist keine Gedanken machen.“

Beau:
[1:30:59] Was denkst du?

Ryan:
[1:31:00] Ich bin immer noch optimistisch. Ich habe das Gefühl, dass wir uns in Bezug auf Verwahrung und Schlüssel vielleicht in einer Art lokaler Tranche befinden, insbesondere die Stimmung rund um einige dieser Krypto-Angriffe, diese Wrench-Angriffe in Person, hat mich zu dieser Einschätzung gebracht. Aber werden wir da wieder herauskommen? Wird selbstverwaltete Kryptowährung das Endziel sein? Werden Milliarden von Menschen das tun, was banklose Zuhörer tun, und ihre eigenen Schlüssel kontrollieren? Oder ist das eine Art Rückschlag für die Vision? Fahren Sie fort, James.

Beau:
[1:31:29] Lassen Sie mich einen Wrench in Ihren iBit-Plan werfen, Wortspiel beabsichtigt, okay? Nehmen wir an, Sie halten Ihre iBit auf Robinhood und werden Opfer eines Wrench-Angriffs, weil Sie ständig über Bitcoin sprechen, aber Sie denken, Sie seien sicher, weil Sie sie in einem ETF halten. Und der Angreifer taucht zwischen 9 und 16 Uhr, also während der Handelszeiten, bei Ihnen zu Hause auf und sagt: „Hey, verkaufen Sie alle Ihre iBit, kaufen Sie Bitcoin auf Robinhood und überweisen Sie es mir.“ Richtig. Ich bin mir sicher, dass Robinhood einige Maßnahmen getroffen hat, um solche Dinge zu verhindern. Aber das ist eine theoretische Möglichkeit, die eintreten könnte. Richtig. Ich denke also, wenn man in Kryptowährungen investieren möchte, ist die Selbstverwahrung immer noch der richtige Weg, weil man die Vermögenswerte nutzt. Das ist der Vorteil, wenn man seine eigene Bank ist und nicht darauf angewiesen ist, dass eine Regierung die von einem verwendete Währung genehmigt, wie es beispielsweise bei der Fed der Fall ist, richtig? Ich sehe einfach die Vorteile dieses Systems so deutlich.

Beau:
[1:32:33] Und wie Jameson heute schon gesagt hat: Wenn man die richtigen Schritte unternimmt, kann man tatsächlich eine höhere Sicherheit als bei einer Bank erreichen und gleichzeitig die Vorteile genießen, selbst über sein Geld zu entscheiden. Wie oft sehen wir schon, dass jemand einen Artikel darüber postet, dass er versucht hat, 20.000 Dollar von seinem Bankkonto abzuheben. Und zwei Stunden später muss er immer noch Fragen darüber beantworten, wofür er das Geld verwendet. Ich denke, dass die Vorteile dieses Systems die Sicherheitsprobleme überwinden werden, insbesondere wenn neue Tools eingeführt werden, wenn Wallets besser werden und wenn die Polizei sich dieser Trends bewusst wird und

Beau:
[1:33:11] beginnt, härter gegen die Kriminalität vorzugehen, richtig, da mehr Wrench-Angriffe scheitern, da mehr Betrügereien scheitern. Ich denke, es gibt keinen Grund, warum wir in Bezug auf die Sicherheit von Kryptowährungen nicht einen sehr ähnlichen Stand erreichen können wie heute in der Web2-Umgebung.

Ryan:
[1:33:29] Gut gesagt. Was würdest du hinzufügen, Jameson?

Jameson:
[1:33:31] Ja, ich meine, sehen Sie, der Grund, warum ich die letzten zehn Jahre damit verbracht habe, Selbstverwahrungssysteme aufzubauen, ist, dass ich das Gefühl hatte, dass wir gegen die menschliche Natur ankämpfen. Und die menschliche Natur ist es, im Allgemeinen Bequemlichkeit auf Kosten von fast allem anderen zu wählen. Außerdem haben sich die menschliche Gesellschaft und Zivilisation über Jahrtausende hinweg durch die Spezialisierung von Aufgaben entwickelt. Wir Menschen sind es also gewohnt, sehr große Teile unseres Lebens auszulagern, sogar unsere eigene Nahrungsmittelproduktion. Wissen Sie, diese Dinge sind unglaublich wichtig für unser tägliches und langfristiges Leben. Und so ist es auch ganz selbstverständlich, finanzielle Angelegenheiten auszulagern. Es widerspricht also wirklich dem Naturell der Menschen, ihnen zu sagen, sie sollen dieses Modell komplett auf den Kopf stellen und Verantwortung für einen sehr wichtigen Aspekt ihres Lebens und ihrer Finanzen übernehmen. Und deshalb hatte ich das Gefühl, dass wir weitermachen müssen...

Jameson:
[1:34:30] daran arbeiten müssen, die Selbstverwahrung bequemer und sicherer zu machen, denn wenn der Durchschnittsbürger nicht darauf vertraut, dass er dies sicher und zuverlässig tun kann, wird er nachts nicht schlafen können undwird die Hände hochwerfen und sagen: „Okay, ich werde das einfach an jemanden auslagern, der wirklich weiß, was er tut.“ Und natürlich bedeutet das, wie wir alle wissen, dass sie damit die wertvollste Prämisse neuer Systeme über Bord werfen, nämlich dass man keinem Dritten vertrauen und um Erlaubnis bitten muss, um sein Geld so zu verwenden, wie man es möchte. Ich möchte zum Schluss noch ein Zitat anführen, das mir immer wieder in den Sinn kommt und meiner Meinung nach ziemlich gut zu dieser Situation passt, da wir die letzten anderthalb Stunden darüber gesprochen haben, wie kompliziert das alles ist und wie viele verschiedene Dinge man beachten muss, wenn man Kryptowährungen sicher verwalten will. Und dieses Zitat lautet

Jameson:
[1:35:25] Wenn Sie ein Schiff bauen wollen, teilen Sie die Männer nicht in Teams auf und schicken Sie sie in den Wald, um Holz zu hacken. Bringen Sie ihnen stattdessen bei, sich nach dem weiten und endlosen Meer zu sehnen. Und deshalb predige ich das Evangelium der Souveränität, das Evangelium der Selbstermächtigung durch diese öffentlichen, genehmigungsfreien Protokolle, damit Sie sich nicht auf die Launen von Bankern, Regulierungsbehörden, Regierungen und was auch immer verlassen müssen. Und so werden wir in gewisser Weise von den Michael Sayers dieser Welt als paranoide Krypto-Anarchisten abgeschrieben werden. Und das ist für mich in Ordnung. Ich möchte nur, dass möglichst viele Menschen verstehen, dass dies eine Option ist. Und wenn Sie bereit sind, sich dafür einzusetzen, können Sie sich selbst und Ihre Familie für viele kommende Generationen stark machen.

Ryan:
[1:36:13] Gut gesagt. Und ich glaube nicht, dass wir paranoid sind. Ich glaube, wir sind einfach unserer Zeit voraus. Und das Endziel ist, wie Sie es treffend zusammengefasst haben, Souveränität. Ein anderes Wort dafür ist Freiheit. Und ich denke, eine Möglichkeit, wie banklose Zuhörer ihre Freiheit verlieren können, ist, wenn sie zu Bankwächtern werden und diesen Druck ständig spüren. Aber einige der Tools, über die wir gesprochen haben, wie Multi-Sig, sind dafür sehr wichtig. Sobald Sie eine gute Multi-Sig-Konfiguration haben, werden Sie sich meiner Meinung nach viel besser fühlen. Wenn Sie dies umsetzen, können Sie Ihre Freiheit zurückgewinnen. Lassen Sie uns hier Schluss machen. Ich muss Sie natürlich darauf hinweisen, dass Kryptowährungen risikoreich sind. Sie könnten Ihr investiertes Geld verlieren, aber wir sind auf dem Weg nach Westen. Das ist Neuland. Es ist nicht für jeden geeignet, aber wir freuen uns, dass Sie uns auf unserer banklosen Reise begleiten. Vielen Dank.