Im digitalen Zeitalter sind Kryptowährungen zu einem bedeutenden Vermögenswert geworden, deren Sicherung und Verwaltung für viele Menschen eine Herausforderung darstellt. Eine aktuelle und bemerkenswerte Geschichte wirft ein Licht auf die Risiken und Feinheiten rund um die Sicherheit von digitalen Vermögenswerten. Forscher haben es geschafft, ein 11 Jahre altes Passwort zu knacken, hinter dem sich eine Krypto-Wallet mit einem Wert von 3 Millionen US-Dollar verbarg. Diese Leistung basierte auf einer Kombination aus technischem Können, Schwachstellenanalyse und einer gehörigen Portion Glück. Die Geschichte beginnt vor über einem Jahrzehnt, als ein europäischer Krypto-Besitzer, im Bericht nur als „Michael“ bezeichnet, Bitcoins im Wert von damals wenigen tausend Dollar, heute aber einem Vermögen von mehreren Millionen Dollar, kaufte und in einer Software-Wallet speicherte.
Michael hatte sein Passwort mithilfe des damaligen RoboForm Passwort-Managers generiert. Um maximale Sicherheit zu gewährleisten, speicherte er das Passwort nicht direkt, sondern schützte es zusätzlich mit TrueCrypt, einem Verschlüsselungsprogramm. Unglücklicherweise wurde diese Datei beschädigt, und Michael verlor somit den Zugang zu seiner Wallet und dem dazugehörigen Passwort. Während Michael in der Welt der Kryptographie nicht alleine dasteht, ist der Verlust des Passworts meist das Ende aller Träume von jemals wieder Zugang zu seinem Vermögen zu bekommen. Die Kryptoszene ist dafür bekannt, dass fehlende Passwörter oder Schlüssel oft irreversibel den Zugang blockieren.
Deshalb wandte sich Michael an Experten, die sich auf das Knacken von Wallets spezialisiert haben. Anfangs stieß er auf Ablehnung und die klare Ansage, dass es keine Chance gäbe, das Passwort wiederherzustellen. Erst als Joe Grand, ein renommierter Hardware-Hacker, eingeschaltet wurde, begann sich das Blatt zu wenden. Joe Grand ist als eine Art Legende bekannt, die sich mit der Sicherheit und dem Knacken komplexer Hard- und Software auskennt. Im Jahr 2022 konnte er bereits einem anderen Fall helfen, eine verlorene Krypto-Wallet mit einem Wert von 2 Millionen Dollar wiederherzustellen, indem er Hardwareschwächen eines USB-basierten Wallets ausnutzte.
Michaels Wallet war jedoch eine rein softwarebasierte Lösung, sodass Hardwareskills bei dieser Herausforderung nur wenig Nutzen brachten. Die Komplexität des Falls ergab sich vor allem daraus, dass Michaels Passwort 20 Zeichen lang war und mit dem damals populären RoboForm Passwort-Manager erzeugt wurde. RoboForm nutzt eine sogenannte Pseudo-Zufallszahlengenerierung, um sichere Passwörter zu erzeugen. Grand und sein Kollege Bruno aus Deutschland begannen, diese Funktionalität des Programms aus dem Jahr 2013 genau zu untersuchen. Ihre Analysen zeigten, dass RoboForm in dieser Version ein großes Sicherheitsproblem hatte: Die Passwörter waren nicht wirklich zufällig, sondern von der Systemzeit abhängig und somit vorhersagbar.
Das bedeutet konkret: Wenn man ungefähr wusste, zu welchem genauen Zeitpunkt das Passwort generiert wurde, konnten potenzielle Passwörter mit einer geringeren Anzahl an Versuchen rekonstruiert werden. Da Michael sich nicht genau erinnern konnte, wann er das Passwort erstellte, begann ein langwieriges Verfahren, in dem verschiedene Zeitintervalle und Passwortparameter nachgestellt und getestet wurden. Dabei mussten viele Annahmen berücksichtigt werden, etwa ob und wie viele Sonderzeichen Michael in seinem Passwort verwendete. Es zeigte sich, dass RoboForms Zufallszahlengenerator die vermeintlich sichere Passwortgenerierung auf Basis einer Computersystemzeit stützte, was für erfahrene Hacker und Sicherheitsexperten eine Schwachstelle darstellt. Besonders in Versionen vor dem Jahr 2015 war diese Praxis gesundheitsgefährdend.
Nach der Schwachstellenerkennung in der Version 7.9.14 von RoboForm wurde diese Funktion geändert, allerdings gab es keine klare Kommunikation an die Nutzer über die Notwendigkeit einer Passwortänderung oder mögliche Sicherheitsrisiken bei älteren Passwörtern. Michael war in dem Prozess des Passwortknackens eine große Hilfe, da er zumindest grobe Angaben zum Zeitpunkt der Bitcoin-Transaktionen machen konnte, was die Zeitintervalle für die Simulation eingrenzte. Bis November 2023 dauerten die Versuche, bei denen Grand und Bruno RoboForm dazu brachten, in die Vergangenheit zu reisen und exakt jene Passwörter zu generieren, die damals produziert worden sein könnten.
Letztlich gelang es ihnen, das richtige Passwort zu finden, das am 15. Mai 2013 um 16:10:40 GMT generiert wurde – ohne Sonderzeichen und nur mit Groß-, Kleinbuchstaben und Zahlen. Diese Entschlüsselung hatte dramatische finanzielle Auswirkungen für Michael. Nach der Passwortwiederherstellung hatte er erfolgreich Zugriff auf damals 43,6 Bitcoins, deren Wert im November 2023 bei etwa 62.000 US-Dollar pro Coin lag.
Michael entschied sich, einen Teil seiner Bitcoins zu verkaufen und hält nun noch rund 30 Bitcoins, deren Marktwert bereits 3 Millionen US-Dollar übersteigt. Er erwartet, dass der Wert noch weiter steigen könnte, weshalb er einige Münzen zurückbehält. Für den Bereich Sicherheit und digitalen Besitz birgt diese Geschichte mehrere wichtige Erkenntnisse. Erstens zeigt sie, dass Passwortmanager, auch wenn sie als sicher gelten, erhebliche Schwachstellen haben können – insbesondere ältere Versionen, die möglicherweise unzureichend getestet oder gewartet wurden. Das Vertrauen in Software, die als sicher gilt, sollte immer kritisch beleuchtet werden, insbesondere wenn es um hochsensiblen digitalen Besitz geht.
Zweitens wird deutlich, wie wichtig es ist, Passwörter regelmäßig zu ändern und auf dem neuesten Stand der Sicherheitsstandards zu halten. Im Fall von RoboForm gab es zwar 2015 eine Fix-Version, allerdings wurden Nutzer nicht direkt informiert oder zum Neugenerieren ihrer Passwörter aufgefordert. Die meisten Anwender nehmen solche Sicherheitsupdates nicht ernst genug oder ignorieren sie schlichtweg, was zu Verletzlichkeiten führt. Darüber hinaus macht dieser Fall darauf aufmerksam, welche Rolle Systemzeit und andere scheinbar harmlose Parameter bei der Sicherheit von Passwörtern spielen können. Die Abhängigkeit von solchen Parametern kann bei unvorsichtigem Umgang die vermeintlich hohe Sicherheit schnell zunichte machen.
Für die Kryptowelt bedeutet es außerdem, dass die Absicherung von Wallets eine hochkomplexe Herausforderung ist. Nutzer sollten verschiedene Schutzmechanismen kombinieren, darunter auch physische Backups, Offline-Speicher und mehrstufige Authentifizierung, um das Risiko des Zugriffsverlusts zu minimieren. Die Geschichte von Michael und den Sicherheitsforschern Joe Grand und Bruno steht exemplarisch für den notwendigen Balanceakt zwischen Bequemlichkeit und Sicherheit. Passwortmanager bieten zwar eine praktische Möglichkeit, komplexe Zugangsdaten zu generieren und zu speichern, sind aber nicht unfehlbar. Das Bewusstsein über mögliche Schwachstellen und das konsequente Handeln bei Sicherheitsupdates sind entscheidend, um Vermögenswerte langfristig zu schützen.
Abschließend lässt sich sagen, dass die Entschlüsselung des 11 Jahre alten Passworts mehr als ein einfacher Hackererfolg ist. Es ist eine Mahnung an alle Nutzer digitaler Dienste, Sicherheitsmechanismen nicht als statisch zu betrachten und ständig an ihrer Verbesserung zu arbeiten. Nur so kann die digitale Welt von morgen die Sicherheit bieten, die für die zunehmend wertvollen und komplexen digitalen Vermögenswerte dringend notwendig ist.
