Um verlorene Wallets bilden sich im besten Fall nette Anekdoten und im schlimmsten Fall erschüttert der Verlust das Schicksal ihrer Besitzer. Wir sprachen mit Bruno Krauß, dem CTO eines jungen Unternehmens, welches sich auf die Rettung von diesen wertvollen Datensätzen spezialisiert hat. Wie kommt man auf die Idee einen solchen Service ins Leben zu rufen? Wie baut man gegenüber den Kunden das notwendige Vertrauen auf? Und was kann man noch heute unternehmen, damit man den Zugang gar nicht erst verliert?
Du bist CTO in einem Unternehmen, was sich auf die Rettung von Wallets spezialisiert hat. Beschreibe unseren Lesern einmal deinen Alltag. Was ist dein Job bei der ganzen Sache?
Einen großen Teil der Zeit verbringe ich zusammen mit unserem Team mit der Evaluation neuer Cases und der Beurteilung aus technischer Sicht, ob eine Recovery möglich ist. Der Hauptteil meiner Zeit beschränkt sich jedoch auf das Cracken von Cases. Das beinhaltet Recherchearbeit, Zoom-Sessions mit Kunden, Programmieren von Lösungen für spezielle Fälle und erstellen der Software Parametrisierung. Dabei wird viel über mögliche Ansätze nachgedacht, beispielsweise wie die Passwörter für einen Fall aufgebaut sind, damit wir dies anschließend softwareseitig testen können.
Wie kommt man überhaupt auf die Idee? Hat einer von euch im Team das direkt als Geschäftsidee geäußert oder habt ihr so was schon mal im privaten Bereich angeboten?
Wir haben uns alle schon sehr früh mit Kryptowährungen beschäftigt, damals waren wir noch Schüler und später Studenten. Da durch das Studium und andere unternehmerische Aktivitäten unser Fokus ein bisschen nachgelassen hatte, haben wir selber durch Schludrigkeiten unseren Wallet-Zugang verloren. Im Frühling 2020 – also mitten im Lockdown – war es dann bei uns allen ein bisschen ruhiger und wir haben uns noch mal mit dem Thema auseinandergesetzt, da unsere – wenn auch kleinen Beträge an Kryptowährungen – mittlerweile an Wert zugelegt hatten und wir durch den Lockdown Zeit hatten, uns wieder damit zu beschäftigen.
Nach einigen schlaflosen Nächten konnten wir dann endlich wieder den Zugang zu unseren Wallets herstellen und dachten uns, dass nicht nur wir es sind, die dieses Problem hatten. Nach ein paar Wochen haben wir dann tatsächlich aus unserem Bekanntenkreis weitere Wallets erfolgreich wiederherstellen können. Da haben wir dann das erste Mal daran gedacht, diesen Service als Geschäftsidee zu verfolgen.
Nach einer Marktanalyse haben wir dann gesehen, dass es fast ausschließlich amerikanische Anbieter auf dem Markt gibt, die zwar einen guten Track Record haben, aber für Kunden aus dem deutschsprachigen Raum eher unattraktiv sein dürften, da es fernab von möglichen Kommunikationsproblemen keinen Vertrag nach deutschem Recht gibt und man auch seine Hardware nicht gerne nach Amerika schickt.
Wir haben uns dann entschieden, diesen Service für den deutschsprachigen Raum anzubieten und haben die Arbeit an der Website und erste Marketingbemühungen aufgenommen. Nach dem Launch haben wir dann von vielen Seiten sehr positives Feedback erhalten, dass es so einen Service nun endlich auch im deutschsprachigen Raum gibt.
Ihr seid jetzt schon eine ganze Weile am Markt aktiv. Was ist die häufigste Ursache für den Verlust der Passwörter bzw. dem Zugang zum Wallet?
Die mit Abstand häufigste Ursache ist, dass der Seed oder Private-Key verloren gegangen ist. Dort können wir grundsätzlich nur unter der Bedingung helfen, dass der Kunden noch Zugriff auf Gerät besitzt, auf dem sich das Wallet bzw. der Private-Key sich mal befand und möglicherweise gelöscht wurde. Aber selbst das garantiert keine Erfolgsaussichten, denn wenn kein Zugriff erlangt wird, ist es technisch mit den aktuellen Ressourcen nicht möglich, wieder Zugriff zu erhalten. Es gibt andere Dienste online, die so etwas versprechen, diese sind jedoch keinesfalls seriös und nehmen meist vorab hohe Gebühren, die kein Resultat hervorbringen. Dort wird dann durch die Vorab-Gebühr mit der Verzweiflung der Kunden Geld verdient, ohne dass es irgendwelche realistischen Erfolgswahrscheinlichkeiten gibt.
Die zweit häufigste Ursache ist, dass das Passwort entweder komplett oder teilweise vergessen wurde. Hier haben wir aufbauend auf unserer Erfahrung eine Sammlung an Ansätzen, um dem Kunden weiterhelfen zu können. Dabei steigern Informationen zu Bestandteilen des Passworts oder der Aufbau benutzter Standardpasswörter die Erfolgswahrscheinlichkeit signifikant.
Ansonsten sind Hardwareprobleme wie ausgefallene Festplatten, Fehlkonfigurationen von Software oder abgeschaltete Wallet-Lösungen häufige Probleme.
Eure Kunden setzen großes Vertrauen in euch, eure Fähigkeiten und das, was ihr macht. Wie wird von technischer Seite sichergestellt, dass am Ende kein Verlust entsteht?
Wenn die Evaluation eines Cases positiv ausfällt und wir mit dem Projekt starten, bekommt der Kunde vorab einen rechtssicheren Vertrag nach deutschem Recht zugesandt, den wir zusammen mit einem Fachanwalt entwickelt haben. Fernab davon sind E-Mails, Telefonate und Zoom Sessions zur genauen Absprache und für Rückfragen ebenfalls Alltag für uns, sodass es keine kommunikativen Missverständnisse gibt.
Wie lange braucht ihr im Schnitt, um einem Kunden wieder den Zugang zu seinem Schatz zu ermöglichen?
Das ist von Fall zu Fall unterschiedlich. Im Schnitt brauchen wir aber 1-4 Wochen. Wir hatten aber auch Fälle, bei denen wir schon nach einer Stunde oder aber auch erst nach 8 Wochen den Zugang wiederherstellen konnten. Bevor wir mit einem Fall beginnen, geben wir dem Kunden einen individuellen groben Zeitplan, damit er einen Richtwert hat. Auch wenn wir Kunden manchmal leider nicht beim ersten Mal weiterhelfen können, steigert aber unsere täglich wachsende Sammlung an Lösungsansätzen und verbesserte Software die Wahrscheinlichkeit, dem Kunden und Kunden mit ähnlichen Problemen in Zukunft helfen zu können.
Was war die höchste Summe umgerechnet in Euro, die ihr retten konntet?
Da uns Diskretion gegenüber unseren Kunden sehr wichtig ist, können wir leider keine Angaben bezüglich der genauen Höhe machen. Ich kann aber so viel sagen, dass es für den einen oder anderen Kunden eine lebensverändernde Summe war.
Gibt es eine Grenze des Machbaren? Kann mein Passwort so sicher sein, dass selbst ihr nicht mehr helfen könnt?
Ja, es sind durchaus Fälle dabei, bei denen wir leider nicht weiterhelfen können. Wenn beispielsweise der Private-Key verloren gegangen ist oder Coins durch Eigen- oder Fremdverschulden auf einem Wallet landen, auf welches der Kunde keinen Zugriff hat, müssen wir dort schon im Vorfeld absagen. Aber auch nach gestartetem Cracking müssen wir des Öfteren absagen, wenn Passwörter eine zu hohe Entropie bzw. Komplexität besitzen. Aber auch wenn gelöschte Dateien auf der Festplatte bereits wieder überschrieben wurden oder durch andere hardwareseitige Defekte kein Zugriff mehr möglich ist. Einige Male konnten wir aber auch Cases lösen, die zu Beginn wenig Aussicht auf Erfolg hatten. Deswegen empfehlen wir im Zweifelsfall immer, eine kostenlose Einschätzung bei uns einzuholen.
Was macht ihr, wenn es nicht klappt? Wie reagieren die Kunden, wenn ihr nicht helfen könnt?
Wir würden natürlich gerne immer nur positive Neuigkeiten übermitteln, aber aus den zuvor genannten Gründen kommen wir leider manchmal an Punkte, wo dies nicht mehr möglich ist. Wir müssen daher auch Kunden absagen. Diese haben bisher immer gefasst reagiert, da sie selbst wussten, dass auf Basis der gegebenen Informationsgrundlage die Erfolgswahrscheinlichkeit sehr gering war.
Abschlussfrage: Guter Rat muss nicht teuer sein. Was empfiehlst du unseren Lesern, damit sie erst gar nicht in die Situation kommen, euch kontaktieren zu müssen?
Die höchste Priorität sollte sein, den Private-Key, Seed oder die Wallet-Datei inkl. möglichem Passphrase sicher aufzubewahren. Für das Aufbewahren der Passwörter empfehle ich einen Passwort-Manager wie Keepass. Seeds oder Private-Keys sollten zusätzlich verschlüsselt sein und mit Passwort geschützt werden, um Missbrauch durch Fremde zu verhindern.
Um sicherzugehen, empfehle ich, die Dateien auf mehreren Speichermedien bzw. Plattformen an unterschiedlichen physischen Standorten zu verwahren. So wären die Dateien auch in einem Worst-Case-Szenario wie einem Wohnungsbrand immer noch sicher.
Ich persönlich besitze ein NAS-System, welches die Dateien zusätzlich einmal spiegelt. Zusätzliche Sicherheit bietet ein verschlüsseltes Cloud Backup, welches die Dateien in der AWS Cloud gespiegelt auf mehreren verschiedenen Rechenzentren abgelegt.