Jeder, der geschäftlich tätig ist, muss sich unabhängig vom Transaktionsvolumen auf die beteiligten Parteien verlassen können. Das bedeutet, anderen zu vertrauen, dass sie halten, was sie versprochen haben. Je komplexer die delegierte Leistung, und je mehr Geld und Reputation dabei auf dem Spiel stehen, desto grösser muss das Vertrauen sein. Verwahrlösungen für Kryptowährungen sind Dienstleistungen, bei denen Transparenz und Vertrauen gegenüber dem Anbieter dieser Leistungen von wesentlicher Bedeutung sind. Dies liegt in der Natur der Sache, da digitale Vermögenswerte für immer verloren gehen, wenn die dazugehörigen privaten Schlüssel nicht ausreichend geschützt werden.
Anbieter von Verwahrlösungen für Kryptowährungen sind Dienstleistungsunternehmen, die sichere Speicherungslösungen für Kryptowährungen anbieten. Diese Dienstleistungen werden sowohl für institutionelle als auch private Anleger entwickelt und erbracht. Hauptziel ist dabei, die Verfügbarkeit, Vertraulichkeit und Integrität von privaten Schlüsseln sicherzustellen, mit welchen die Kunden auf Kryptowährungen zugreifen. Daneben gilt es auch, die Korrektheit der relevanten (finanziellen) Transaktionen während des gesamten Lebenszyklus zu gewährleisten.
Für die Generierung und den Betrieb der privaten Schlüssel ihrer Kunden setzen die Anbieter von Verwahrlösungen für Kryptowährungen ausgeklügelte Technologien, Prozesse und Kontrollmechanismen ein. Die Kunden haben in der Regel indes kaum die Möglichkeit, transparent und unabhängig zu beurteilen, ob ihre privaten Schlüssel und damit ihr Vermögen während des gesamten Lebenszyklus der Schlüssel angemessen geschützt werden. Diese fehlende Transparenz kann zu einem Vertrauensverlust in den Anbieter führen.
Aber wie lässt sich dieser Mangel an Transparenz beheben? Ein effektiver Weg besteht darin, bei einem erfahrenen und kompetenten Prüfer eine unabhängige Attestierung einzuholen.
Für uns bei Bitcoin Suisse war es von zentraler Bedeutung, dass wir schon seit Beginn der Produktentwicklung des Bitcoin Suisse Vault im Jahr 2017 PwC als unabhängigen Prüfer mit an Bord hatten. Wir benötigten eine unabhängige Beurteilung von qualifizierten Experten, um unsere internen Teams zur Entwicklung einer Lösungsarchitektur anzuspornen, die entscheidend höhere Sicherheit und Stabilität des Bitcoin Suisse Vault für unsere Kunden und unseren eigenen Betrieb gewährleistet.
Ein Prüfer kann eine unabhängige Attestierung über die IT-Umgebung sowie die Prozesse und die Kontrollmechanismen des Anbieters auf der Basis eines vorgegebenen Kontrollrahmenwerks ausstellen. Er beurteilt, ob die relevanten Risiken durch angemessene Schlüsselkontrollmechanismen gemindert werden, ob diese Kontrollmechanismen angemessen definiert und zu einem bestimmten Zeitpunkt implementiert wurden (Scope-1-Prüfauftrag), bzw. ob sie über einem bestimmten Zeitraum wirksam betrieben werden (Scope-2-Prüfauftrag). Der unabhängige Prüfer wird anschliessend einen Bericht ausstellen, in dem unter anderem das Kontrollsystem, die durchgeführten Prüfungshandlungen, die zugehörigen Ergebnisse sowie die Konklusion umfassend dargelegt werden. Im Fall von Bitcoin Suisse Vault war diese Attestierung das Resultat der innovativen Zusammenarbeit von Bitcoin Suisse, ihrer Tochtergesellschaft Swiss Crypto Vault und PwC.
Ausserdem enthält der unabhängige Prüfbericht eine Konklusion mit begrenzter oder hinreichender Sicherheit («begrenzt» im Sinne einer negativen Aussage, z. B.: «Auf der Basis der durchgeführten Prüfungshandlungen sind wir nicht auf Sachverhalte gestossen, aus welchen wir schliessen müssten, dass die Aussage der Geschäftsleitung in Bezug auf XYZ wesentliche unrichtige Angaben enthält.» bzw. «hinreichender» im Sinne einer positiven Aussage, d. h.: «Auf der Basis der durchgeführten Prüfungshandlungen kommen wir zu dem Schluss, dass die Aussage der Geschäftsleitung in Bezug auf XYZ angemessen ist.»).
In der Regel schliessen unabhängige Prüfer, die sich mit Anbietern von Verwahrlösungen für Kryptowährungen befassen, in ihren Berichten die folgenden Bereiche – je nach spezifischen Bedürfnissen und Umständen des einzelnen Anbieters:
- Governance
- Generierung der Schlüssel, einschliesslich Ceremony Runbook
- Key Management
- Transaktionsgenehmigung / Transaktionsunterzeichnung
- Logisches Zutrittsmanagement
- Änderungswesen
- Datensicherung und Wiederherstellung sowie IT Desaster Recovery
- Physische Sicherheit
- Schwachstellenmanagement
Die Beauftragung eines unabhängigen Prüfers durch einen Anbieter von Verwahrlösungen für Kryptowährungen ist nicht nur eine Option, sondern hat sich zunehmend zu einer Notwendigkeit entwickelt, da sie die Transparenz bietet, die sich alle beteiligten Stakeholder wünschen.
Markus Perdrizat ist verantwortlich für das Crypto-Custody-Angebot von Bitcoin Suisse und seit 2020 CEO von Swiss Crypto Vault AG. Er verfügt über ausgezeichnetes Know-how im Bereich der IT-Infrastruktur und -Sicherheit für Blockchain- und Krypto-Vermögenswerte. Zuvor leitete er vier Jahre lang bei PwC den Bereich Risk Assurance für neue Technologien. Davor wiederum war er fast 16 Jahre lang in verschiedenen Funktionen bei UBS tätig, unter anderem als IT-Auditor, Produktmanager und Systemarchitekt sowie als globaler Teamleiter Oracle Engineering. Zudem ist er aktives Mitglied und seit 2020 auch Vorsitzender der Cyber Security Working Group der Crypto Valley Association. Er hat einen Bachelor-Abschluss in Wirtschaftsinformatik.
Ralf Hofstetter leitet seit 2019 Trust & Transparency Solution von PwC Schweiz. Er verfügt über umfangreiche Erfahrungen und Kenntnisse darin, mit Attestierungen wie ISAE 3000 oder ISAE 3402 Kunden und ihren Stakeholdern Transparenz und damit Vertrauen zu schaffen. Ralf Hofstetter und sein Team sind Pioniere im Bereich Crypto-Custody-Sicherheit. Er hat einen Master-Abschluss der Universität Zürich und ist als Certified Information Systems Auditor (CISA), Certified Information Systems Security Professional (CISSP) sowie ISO 27001 Lead Auditor zertifiziert.
#social#
