SSP Editorial Team

Deine Krypto-OpSec-Checkliste

·6 Min. Lesezeit·Von SSP Editorial Team
SSP-Sicherheits-Cover mit Geldbörsen-, Schlüssel-, Schild- und Chip-Symbolen für eine Krypto-OpSec-Checkliste

Selbstverwahrung ist keine einmalige Einrichtung — sie ist eine Routine. Deine Schlüssel bleiben sicher, weil du sie sicher hältst, Quartal für Quartal. Das ist deine Checkliste für operative Sicherheit (OpSec): ein 15-minütiges Audit, das du viermal im Jahr durchführst, um die kleinen Abweichungen zu erwischen, bevor sie zu Vorfällen werden. Backups verblassen, Erweiterungen häufen sich an, Freigaben sammeln sich, und das Telefon, dem du letztes Frühjahr vertraut hast, wird verkauft. Nichts davon ist für sich genommen ein Notfall; zusammen, nach einem Jahr der Vernachlässigung, ist es der Weg, auf dem gute Setups still verrotten. Reserviere zu Beginn jedes Quartals einen ruhigen Abend, drucke diese Seite aus und arbeite die Kästchen ab. Nichts davon ist schwer — der gesamte Wert liegt darin, es planmäßig zu tun, statt erst dann, wenn schon etwas schiefgegangen ist.

OpSec ist eine Disziplin, die von Menschen übernommen wurde, deren Bedrohungsmodell beruflich ernst ist — die Surveillance Self-Defense-Leitfäden der EFF sind eine gute Einführung in diese Denkweise. Für Krypto reduziert sich dieselbe Idee auf eine Handvoll Fragen: Sind meine Schlüssel wiederherstellbar, sind meine Geräte sauber, verstehe ich, was ich signiere, und sind die Konten rund um meine Wallet abgesichert? Mit dem 2-von-2-Setup von SSP braucht jede Ausgabe bereits eine zweite, unabhängige Freigabe auf deinem SSP Key, sodass ein einzelnes kompromittiertes Gerät nicht ausreichen sollte, um Gelder zu bewegen — aber dieses Sicherheitsnetz hält nur, wenn beide Hälften gesund und unabhängig bleiben. Die folgende Checkliste hält sie so.

Führe sie jedes Quartal durch. Setze den Haken nur, wenn es tatsächlich stimmt, nicht wenn du es dir vornimmst.

Schlüssel & Backups

Dein Wiederherstellungsmaterial ist das Einzige, was du nicht neu erzeugen kannst, also fang hier an und behebe alles Wackelige, bevor du weitergehst — unser Leitfaden zu bewährten Praktiken für die Seed-Phrase behandelt die Aufbewahrungsdetails. Ein Backup, das du für in Ordnung hältst, aber seit einem Jahr nicht angesehen hast, ist der häufigste Single Point of Failure in der Selbstverwahrung.

  • Finde jedes Seed-Phrase-Backup und bestätige, dass jedes körperlich lesbar, vollständig und unbeschädigt durch Wasser, Hitze oder verblasste Tinte ist.
  • Bestätige, dass die Backups an mindestens zwei geografisch getrennten Orten liegen, damit ein einzelnes Feuer, eine Überschwemmung oder ein Diebstahl nicht beide auf einmal nimmt.
  • Überprüfe, dass beide SSP-Hälften gesichert sind: Die Extension-Wallet und der SSP Key lassen sich jeweils unabhängig voneinander wiederherstellen.
  • Prüfe, dass keine Seed-Phrase jemals in ein Telefon getippt, fotografiert, per E-Mail verschickt oder in einem Passwortmanager oder einer Cloud-Notiz gespeichert wurde.
  • Bestätige, dass jede Person, der du einen Backup-Ort anvertraut hast, noch Zugriff hat — und, genauso wichtig, ihn noch haben sollte.

Geräte & Erweiterungen

Ein sauberes Gerät ist das Fundament unter jeder anderen Kontrolle, behandle deinen Browser also als Teil deiner Wallet — Browser-Erweiterungs-Hygiene für Krypto-Nutzer erklärt, warum eine einzige bösartige Erweiterung still umschreiben kann, was du signierst.

  • Aktualisiere dein Betriebssystem, deinen Browser und die SSP-Erweiterung auf die neuesten Versionen.
  • Aktualisiere das SSP-Key-Gerät und bestätige, dass es sich noch koppelt, anzeigt und korrekt signiert.
  • Überprüfe jede installierte Browser-Erweiterung und entferne alles, was ungenutzt, unbekannt oder nicht mehr gewartet ist.
  • Bestätige, dass Herausgeber und Store-ID der SSP-Erweiterung mit dem offiziellen Eintrag übereinstimmen — kein nachgeahmter Fork hat sich eingeschlichen.
  • Führe einen seriösen Malware-Scan sowohl auf dem Computer als auch auf dem Telefon durch, mit dem du Transaktionen machst.

Transaktionen & Freigaben

Die meisten modernen Verluste sind keine gestohlenen Schlüssel — es sind Signaturen, die du vor Monaten weggegeben und vergessen hast, also überprüfe mit einem Tool wie revoke.cash, was du erteilt hast, und lies unsere Erklärung zu Token-Freigaben noch einmal.

  • Überprüfe aktive Token-Freigaben und widerrufe alle, die veraltet oder unbegrenzt sind oder an eine dApp gebunden sind, die du nicht mehr nutzt.
  • Bestätige, dass du jede Transaktion auf dem SSP-Key-Bildschirm liest, bevor du sie freigibst — Betrag, Ziel und Netzwerk.
  • Prüfe stichprobenartig kürzliche ausgehende Transaktionen in einem Block-Explorer gegen das, was du tatsächlich senden wolltest.
  • Überprüfe erneut, dass gespeicherte Vertrags- und dApp-Lesezeichen noch auf die echten, aktuellen Adressen zeigen und nicht auf eine ausgetauschte.

Konten rund um deine Wallet

Angreifer brechen selten zuerst die Wallet auf — sie brechen das E-Mail- oder Börsenkonto daneben auf und arbeiten sich nach innen vor, daher ist CISAs Secure Our World eine Basis in einfacher Sprache und mobile 2FA richtig gemacht behandelt die kryptospezifischen Fallen.

  • Stelle E-Mail-, Börsen- und Cloud-Konten von SMS-2FA auf TOTP oder Passkeys um, die nicht per SIM-Swapping angreifbar sind.
  • Bestätige ein einzigartiges, starkes Passwort für jedes Konto, das deine Krypto berührt, erzeugt und in einem Passwortmanager gespeichert.
  • Überprüfe dein gespeichertes Adressbuch und entferne oder verifiziere erneut jeden Eintrag, für den du nicht mehr persönlich bürgen kannst.
  • Prüfe die Wiederherstellungsoptionen jedes Kontos — Backup-E-Mail, Telefonnummer, Sicherheitsfragen — auf schwache Glieder, über die ein Angreifer eindringen könnte.

Phishing-Bereitschaft

Phishing ist der Angriff, dem du tatsächlich begegnen wirst, und er wird immer überzeugender, halte die Muster also mit Phishing-Angriffe auf Krypto-Nutzer frisch und übe deine eigenen Reflexe, bevor ein echter Köder ankommt.

  • Setze die offizielle SSP-Seite und deine Börsen neu als Lesezeichen und erreiche sie nur über diese Lesezeichen — niemals über eine Suchanzeige oder einen DM-Link.
  • Bestätige, dass du niemals eine Transaktion freigibst oder eine Seed-Phrase als Antwort auf eine unaufgeforderte Nachricht, einen Anruf oder einen "Support"-Mitarbeiter eingibst.
  • Sieh dir kürzliche E-Mails und DMs auf etwas durch, das du angeklickt hast und nicht hättest anklicken sollen — und wechsle im Zweifel die betroffenen Zugangsdaten.
  • Erinnere jeden, der deine Finanzen teilt, daran, dass SSP und jeder legitime Support niemals nach einer Seed-Phrase fragen werden.

Wiederherstellungs- und Nachlass-Probelauf

Ein Backup, das du nie getestet hast, ist eine Vermutung, also beweise einmal pro Quartal, dass du tatsächlich wiederherstellen könntest, statt es anzunehmen — beginne mit SSP wiederherstellen, wenn du deinen Browser verlierst.

  • Führe eine Browser-Verlust-Übung durch: Stelle die SSP-Erweiterung aus dem Backup in einem sauberen Profil wieder her und bestätige, dass deine Guthaben erscheinen.
  • Führe eine Telefon-Verlust-Übung durch: Bestätige, dass du den SSP Key neu einrichten und eine vollständige 2-von-2-Freigabe von Anfang bis Ende abschließen kannst.
  • Dokumentiere den Notfall- und Nachlasszugang — wo die Backups sind, was nötig ist und wen man kontaktiert — für eine Person deines Vertrauens.
  • Bestätige, dass dieses Dokument sicher aufbewahrt wird und dass die Vertrauensperson weiß, dass es existiert, ohne die Geheimnisse vorzeitig zu erfahren.

Ausdrucken, einplanen

Eine Checkliste funktioniert nur, wenn sie tatsächlich läuft, mache das Audit des nächsten Quartals also automatisch, statt dich auf dein Gedächtnis zu verlassen.

  • Drucke diese Checkliste aus oder speichere sie offline an einem Ort, an dem du sie wirklich wiedersiehst.
  • Setze eine wiederkehrende vierteljährliche Erinnerung in deinen Kalender, festgelegt auf dieselbe Woche jedes Quartal.
  • Notiere das Datum, an dem du das heutige Audit abgeschlossen hast, und alles, was du aufgeschoben hast, damit das nächste Quartal genau dort beginnt, wo dieses endete.

Diesen Artikel teilen

Verwandte Artikel

Zwölf-Wörter-Seed-Phrase, gedruckt auf einer Papierkarte neben einem Hardware-Wallet

Seed-Phrase: Best Practices

Was eine Seed-Phrase wirklich ist, wie du sie aufbewahrst, ohne sie zu verlieren oder zu leaken, und wie SSPs 2-of-2 multisig das Bedrohungsmodell verändert.

7 min read
SSP-Sicherheitscover mit Wallet-, Schlüssel-, Schild- und Chip-Symbolen als Illustration eines Leitfadens zu Krypto-Phishing-Angriffen.

Phishing-Angriffe auf Krypto-Nutzer (und wie man sie erkennt)

Krypto-Phishing zielt auf dich ab, nicht auf die Kryptografie. Lerne die Muster: Wallet Drainer, Approval-Phishing, Address Poisoning – und wie SSP hilft.

7 min read
SSP-Sicherheitscover mit Wallet-, Schlüssel-, Schild- und Chip-Symbolen auf einer marineblauen quadratischen Karte

Browser-Erweiterungshygiene für Krypto-Nutzer

Browser-Erweiterungssicherheit für Selbstverwahrung: prüfen, was Sie installieren, geringste Rechte, auf LavaMoat setzen und SSPs 2-von-2 absichern lassen.

6 min read