Wie schon vor einem Jahr führt der Bitcoin-Marktplatz Bitcoin.de mit der RLT IT- und Systemprüfung GmbH ein Audit der Kundensalden durch.

Mit der Saldenprüfung kommt die Bitcoin Deutschland AG dem Bedürfnis der Kunden nach, Sicherheit über die von Bitcoin.de verwalteten Kunden-Bitcoins zu erhalten. Als bisher einzige Bitcoin-Handelsplattform weltweit lässt Bitcoin.de ein solches Audit von einer anerkannten Wirtschaftsprüfungsgesellschaft durchführen.

Im vergangenen Jahr hat Bitcoin.de das erste Audit erfolgreich abgeschlossen. Das Ergebnis von RLT lautete: „Nach unserer Beurteilung aufgrund der bei der Prüfung gewonnen Erkenntnisse sind die von der Bitcoin Deutschland AG verwalteten Bestände in Bitcoin zum 27.08.2014 23:59 Uhr, korrekt verwaltet. Die von der Bitcoin Deutschland AG verwalteten Bestände reichen aus, die Ansprüche der Kunden der Bitcoin Deutschland AG zu erfüllen.“

Nun wiederholt Bitcoin.de das Audit, um den Kunden die Sicherheit zu geben, dass auch ein Jahr später die Kunden-Bitcoins weiterhin korrekt verwaltet werden. Dabei nutzen die Bitcoin Deutschland AG und RLT erneut eine von den beiden Firmen entwickelte Methodik zur Prüfung von Bitcoin-Plattformen, die den deutschen Grundsätzen ordnungsgemäßer Abschlussprüfung entspricht.

RLT prüft sowohl den SOLL- als auch den IST-Bestand. SOLL meint die Summen, die laut den Datenbanken von bitcoin.de vorhanden sind, IST jene Beträge, die tatsächlich in der Blockchain stehen und für die bitcoin.de nachweislich den privaten Schlüssel besitzt.

Die Prüfung besteht aus drei Teilen: Zunächst nehmen sich die Wirtschaftsprüfer den SOLL-Bestand vor. Dafür erhalten sie die Bestandsdaten aller Kunden, selbstverständlich in anonymisierter Form. Um zu prüfen, ob diese Daten korrekt sind, überprüft RLT eine ermittelte Stichprobe durch ein Saldenbestätigungsverfahren. Die User sind dabei in eine aktive und passive Gruppe geteilt: Die aktiven User müssen ihren BTC-Kontostand auf Bitcoin.de bestätigen oder begründeten Einspruch einlegen. Durch eine E-Mail werden sie über dieses Verfahren informiert.

Die passive Gruppe bekommt ihren Kontostand per Email mitgeteilt. Wenn sie keinen Einspruch einlegen, gilt der Bestand nach 2 Wochen als bestätigt. Die User aus der passiven Gruppe können den Bestand aber auch aktiv bestätigen. Das Ergebnis der Bestätigung geht unmittelbar per Mail verschlüsselt und anonymisiert an RLT.

Aber steht das, was bitcoin.de sagt, auch in der Blockchain? Um den IST-Bestand zu prüfen, erhält RLT von bitcoin.de die BTC-Adressen der Hot- und Cold-Wallets. Gut 98% der Bestände sind “cold” gelagert, also ohne Verbindung zum Internet, verteilt auf mehrere gesicherte Lagerstätten. Dabei ist sichergestellt, dass eine Person alleine nicht über die Bestände verfügen kann. Über die Blockchain ermittelt RLT dann die Bestände dieser Adressen.

Um darüber hinaus zu prüfen, ob bitcoin.de auch Zugang zu den Adressen – also den privaten Schlüsseln – hat, ermittelt RLT eine signifikante Stichprobe an BTC-Adressen von Cold-Wallets. Für diese geben die Wirtschaftsprüfer kurze Texte an, die von bitcoin.de mit dem privaten Schlüssel signiert werden müssen. Damit bitcoin.de sich den privaten Schlüssel nicht einfach nur “ausleiht”, ist RLT zudem bei der Signierung in den Lagerstellen der Cold Wallets anwesend. Eine genaue Erklärung zu den Lagerstellen kann aus Sicherheitsgründen nicht gegeben werden.

Am Ende der Prüfung wird eine nachgewiesene IST-Menge und eine bestätigte SOLL-Menge stehen.

Die Kunden von bitcoin.de werden sich nach einer Bestätigung der Allgemeinen Auftragsbedingungen (AAB) für Wirtschaftsprüfer die von der RLT IT- und Systemprüfung GmbH erstellte Bescheinigung herunterladen können. Die Bestätigung der AAB ist für die Kunden der Bitcoin Deutschland AG nicht mit Kosten verbunden, aber aus haftungstechnischen Gründen erforderlich.