Kryptowährungen sind attraktiv, bergen jedoch besondere Risiken. Zu deren sicheren Aufbewahrung (Crypto Custody) gehört eine durchdachte Verwaltung der privaten Schlüssel. Diese gewährleisten das Eigentum und den Zugang zu den digitalen Vermögenswerten. Ganz gleich ob man als Investor seine privaten Schlüssel selbst verwahrt oder einer professionellen Drittpartei übergibt: Die Crypto-Custody-Risiken gilt es konsequent zu identifizieren und aktiv zu reduzieren.
Kryptowährungen basieren auf der dezentral strukturierten Blockchain-Technologie. Demnach existieren in der Blockchain keine zentralen Kontrollinstanzen wie Banken in traditionellen Finanzmärkten. Der Nutzer kann mit entsprechendem Fachwissen die digitalen Vermögenswerte selbst verwalten. Dazu braucht er private Schlüssel, mit welchen er Transaktionen auslöst und damit seine digitalen Vermögenswerte kontrolliert. Bei Verlust des privaten Schlüssels kann keine zentrale Instanz diesen zurücksetzen oder wiederherstellen; das gelingt nur mithilfe einer geeigneten Sicherung. Diese besteht aus einem Backup-Code und/oder einer Datensicherung des privaten Schlüssels, die vom privaten Schlüssel geografisch getrennt aufbewahrt werden sollten. Wer also in Kryptowährungen investiert, muss Aufgaben und Verantwortlichkeiten aller Involvierten verstehen und die Crypto-Custody-Risiken kennen und verringern.
Vorteile nutzen, Risiken adressieren
In wenigen Jahren wird ein wesentlicher Teil der Finanzprodukte ohne zentrale Kontrollinstanz angeboten. Kryptowährungen beschleunigen nicht nur die Umsetzung digitaler Finanzprodukte aus (Kapital-)Kostenüberlegungen, sondern ermöglichen auch eine Abwicklung in Nullzeit, wodurch sich die Transaktionskosten erheblich reduzieren.
Dass sowohl institutionelle als auch private Investoren diese Vorteile nutzen möchten, ist nachvollziehbar. Allerdings sollten sie ihre Crypto-Custody-Risiken kennen. Geht nämlich der private Schlüssel und dessen Sicherung verloren oder werden diese verändert, verliert der Anleger den Zugriff auf seine Kryptowährungen. Unbefugte können das Ausnutzen und unautorisierte Transaktionen auslösen. Ebenso besteht ein Betrugsrisiko, wenn die Crypto-Custody keiner klaren Aufgabenteilung folgt oder die Verantwortlichen Sicherheitsstandards missachten. In der traditionellen Bankenwelt ist bei Irrtum oder Betrug eine Rückerstattung von Werten möglich – nicht aber in der Welt der Kryptowährungen.
Verwahrung optimieren
Anleger müssen die privaten Schlüssel und deren Sicherung getrennt voneinander aufbewahren und vor Angriffen schützen. Hier kommen professionelle Crypto-Custody-Angebote ins Spiel. Diese sichern die Verfügbarkeit, Vertraulichkeit und Integrität der privaten Schlüssel und ermöglichen eine Wiederherstellung. Investoren können Crypto-Custody-Lösungen eigenständig oder extern bei einem Drittanbieter betreiben, je nach vorhandener technischer Expertise. Abgestimmt auf ihren Sicherheitsanspruch führen sie ihre digitalen Geldbörsen offline, online oder in einer individuellen Kombination.
Wirtschaftsprüfer einbinden
Der Wirtschaftsprüfer eines Unternehmens mit Kryptowährungen prüft, ob private Schlüssel und die dazugehörige Sicherung angemessen verwahrt werden und entsprechende Kontrollen greifen. Mit seinen Prüfhandlungen muss er nachvollziehen können, dass das Unternehmen tatsächlich auf seine digitalen Vermögenswerte zugreifen kann und kein Unbefugter sensible Informationen zum privaten Schlüssel eingesehen oder sich sogar angeeignet hat.
Dabei muss der Wirtschaftsprüfer sicherstellen, dass die Kontrollen die gesamte Lebensdauer der privaten Schlüssel abdecken – ab Generierung der Schlüssel im Rahmen einer Schlüsselzeremonie. Andernfalls besteht das Risiko, dass die Schlüssel bereits in der Vergangenheit kompromittiert wurden und die Kryptowährungen jederzeit abhandenkommen können. Deshalb empfehlen wir, den Wirtschaftsprüfer schon bei der Schlüsselzeremonie einzubinden.
Im Weiteren schafft der Wirtschaftsprüfer Transparenz und Sicherheit über die Freigabe von Transaktionen. Dabei prüft er, ob und wie das Unternehmen gewährleistet, dass nur zeichnungsberechtigte oder autorisierte Mitarbeitende den Verkauf von Kryptowährungen veranlassen – mindestens im 4-Augen-Prinzip.
Schliesslich muss der Wirtschaftsprüfer die Wahrscheinlichkeit eines Verlusts von digitalen Vermögenswerten sorgfältig beurteilen und einen allfälligen Einfluss auf die Jahresrechnung des geprüften Unternehmens evaluieren. Aus seinem Prüfurteil soll hervorgehen, dass das Verlustrisiko mit entsprechenden Kontrollen adressiert wurde und die Weiterführung des operativen Betriebs nicht gefährdet ist.
Zusammenspiel von Transparenz und Vertrauen
Kryptowährungen spannen den Beziehungsrahmen von Unternehmen, Verwahrer und (Wirtschafts-)Prüfer neu auf (vgl. Abbildung). Denn damit eine sichere externe Aufbewahrung gewährleistet ist, müssen die involvierten Parteien ihre Verantwortung wahrnehmen und vertrauensvoll zusammenarbeiten.
- Das Unternehmen mit Kryptowährungen muss eine geeignete Crypto-Custody-Lösung auswählen und dabei sicherstellen, dass ein risikoorientiertes Kontrollsystem existiert. Bei einer externen Lösung ist der Verwahrer für die Durchführung der Kontrollen zuständig. Diese bleiben jedoch in der Verantwortung des Unternehmens.
- Der Verwahrer trägt das Verwahrungsrisiko. Er verdient meist einen kleinen Prozentsatz der verwahrten Kryptowährungen. Bei einem Teilverlust der Kryptowährungen ohne Versicherung des Verlustrisikos kann er in eine Überschuldungssituation geraten und die Bilanz des Unternehmens belasten. Er betreibt die Kontrollen und beauftragt einen Prüfer mit deren Attestierung.
- Der Wirtschaftsprüfer trägt dem Risiko eines Verlusts von privaten Schlüsseln mit seinen Prüfhandlungen Rechnung. Unter anderem fordert er den Nachweis ein, dass angemessene Kontrollen für die Crypto Custody über den gesamten Lebenszyklus hinweg existieren. Bei einer externen Verwahrungslösung würdigt er den Attestierungsbericht kritisch und stellt insbesondere sicher, dass relevante Risiken durch Kontrollen adressiert sind und keine signifikanten Feststellungen während dem gesamten Lebenszyklus identifiziert wurden.
Crypto Custody: Risiken und Kontrollen aus prüferischer Sicht
Kryptowährungen sind sowohl mit Chancen als auch Risiken verbunden. Die Risiken, insbesondere während dem Generieren sowie dem Verwalten der Schüssel, müssen durch die Eignerin und den Eigner respektive den durch diesen beauftragten Dritten (Crypto Custodian) mit risikoorientiert ausgestalteten Kontrollen adressiert und durch die Abschlussprüferin und den Abschlussprüfer angemessen gewürdigt werden.
Adrian Keller leitet seit 2016 den Bereich Blockchain & Crypto Audit von PwC Schweiz. Adrian Keller und sein Team prüfen und beraten Blockchain- und Kryptokunden sowie Kunden in der Blockchain-Finanzdienstleistungsbranche. Er arbeitet eng mit Marktteilnehmern zusammen und engagiert sich in verschiedenen Initiativen und Vereinigungen. Adrian Keller ist eidgenössisch diplomierter Wirtschaftsprüfer und Dozent für Blockchain-Audit in der Berufsorganisation für Wirtschaftsprüfer, EXPERTsuisse.
Ralf Hofstetter leitet seit 2019 Trust & Transparency Solution von PwC Schweiz. Er verfügt über umfangreiche Erfahrungen und Kenntnisse darin, mit Attestierungen wie ISAE 3000 oder ISAE 3402 Kunden und ihren Stakeholdern Transparenz und damit Vertrauen zu schaffen. Ralf Hofstetter und sein Team sind Pioniere im Bereich Crypto-Custody-Sicherheit. Er hat einen Master-Abschluss der Universität Zürich und ist als Certified Information Systems Auditor (CISA), Certified Information Systems Security Professional (CISSP) sowie ISO 27001 Lead Auditor zertifiziert.
#social#