Bereits im März diesen Jahres hatte Bitcoin.de angekündigt, sämtliche Bitcoin-Bestände von Kunden, die von Bitcoin.de verwaltet werden, prüfen zu lassen. Um vollständige Sicherheit zu schaffen, dass die Bitcoin-Guthaben tatsächlich verfügbar sind, hat der Bitcoin-Marktplatz mit dieser Prüfung eine anerkannte Wirtschaftsprüfergesellschaft beauftragt. Nach monatelangem Suchen, Verhandeln und Planen ist es nun soweit: Bitcoin.de lässt als erster Bitcoin-Handelsplatz weltweit seine Kundenbestände durch eine externe Wirtschaftsprüfergesellschaft prüfen. Hierfür wurde ein Verfahren entwickelt, das die Bestätigung der Bestände ermöglicht. Die Prüfung hat am Montag, den 1. September, begonnen. Viele Kunden wurden bereits per Email informiert und gebeten, den Saldo Ihres Guthabens bei bitcoin.de zu bestätigen.

Bitcoin.de hat seit März mit verschiedenen großen und renommierten Wirtschaftsprüfungs-gesellschaften Gespräche geführt. Diese verliefen meist zäh und wurden von Zweifeln seitens der Wirtschaftsprüfer begleitet, ob diese eine solche Prüfung vornehmen können und auch haftungsrechtlich dürfen. Auch wenn das Internet sicherlich kein Neuland mehr ist, so ist es Bitcoin in vielerlei Hinsicht definitiv. Während es gängige Praxis ist, sich von Banken Saldenbestätigungen erstellen zu lassen, gibt es solche Autoritäten bei Bitcoin nicht. Die Blockchain ist öffentlich und es existiert keine Art „Verwalter“, der irgendwelche Bestätigungen ausstellen und unterschreiben könnte. Mit der „RLT IT- und Systemprüfung GmbH Wirtschaftsprüfungsgesellschaft“ hat Bitcoin.de schließlich einen Partner gefunden, der die Herausforderung angenommen hat, als weltweit erste Wirtschaftsprüfergesellschaft Bitcoin-Bestände zu prüfen.

Selbstverständlich gab es im Vorfeld viele Fragen zu Themen wie Cold Wallets, der Blockchain und so weiter zu klären, aber binnen weniger Wochen konnte ein Verfahren entwickelt werden, welches feststellt, ob Bitcoin.de im Besitz aller Bitcoin-Guthaben seiner Kunden ist. Ein wesentlicher Bestandteil einer solchen Prüfung ist es, sämtliche Möglichkeiten, durch die Bitcoin.de den Prüfer theoretisch täuschen könnte, zu berücksichtigen und auszuschließen. Die Prüfung erfolgt allerdings in Stichproben, da eine vollständige Prüfung nicht möglich ist. Dabei erfolgte die Stichprobenauswahl aber so, dass die Risikofaktoren berücksichtigt wurden und eine zuverlässige Prüfungsaussage getroffen werden konnte.

RLT prüft sowohl den SOLL- als auch den IST-Bestand. SOLL meint die Summen, die laut den Datenbanken von bitcoin.de vorhanden sind, IST jene Beträge, die tatsächlich in der Blockchain stehen und für die bitcoin.de nachweislich den privaten Schlüssel besitzt. Die Prüfung besteht also aus drei Teilen und hat nach mehrfachen Probedurchläufen am Montag, den 1. September, begonnen: Zunächst nehmen sich die Wirtschaftsprüfer den SOLL-Bestand vor. Dafür haben sie die Bestandsdaten aller Kunden erhalten, selbstverständlich in anonymisierter Form. Um zu prüfen, ob diese Daten korrekt sind, wird derzeit durch das Saldenbestätigungsverfahren von RLT eine ermittelte Stichprobe überprüft. Die User sind dabei in eine aktive und passive Gruppe geteilt: Die aktiven User müssen ihren BTC-Kontostand (zum 27.8.2014 23:59 Uhr) auf Bitcoin.de bestätigen oder begründeten Einspruch einlegen. Sie werden durch eine Email darüber informiert, um Missverständnisse zu vermeiden. Die passive Gruppe hat den Kontostand per Email mitgeteilt bekommen. Wenn sie keinen Einspruch einlegen, gilt der Bestand nach 2 Wochen als bestätigt. Die User aus der passiven Gruppe können den Bestand aber auch aktiv bestätigen. Das Ergebnis der Bestätigung geht unmittelbar per Mail verschlüsselt und anonymisiert an RLT.

Aber steht das, was bitcoin.de sagt, auch in der Blockchain? Um den IST-Bestand zu prüfen, hat RLT von bitcoin.de die BTC-Adressen der Hot- und Cold-Wallets erhalten. Gut 98% der Bestände sind „cold“ gelagert, also ohne Verbindung zum Internet, verteilt auf mehrere gesicherte Lagerstätten. Dabei ist sichergestellt, dass eine Person alleine nicht über die Bestände verfügen kann. Über die Blockchain hat RLT dann die Bestände dieser Adressen ermittelt.

Um darüber hinaus zu prüfen, ob bitcoin.de auch Zugang zu den Adressen – also den privaten Schlüsseln – hat, hat RLT eine signifikante Stichprobe an BTC-Adressen von Cold-Wallets ermittelt. Für diese haben die Wirtschaftsprüfer kurze Texte angegeben, die von bitcoin.de mit dem privaten Schlüssel signiert werden müssen. Damit bitcoin.de sich den privaten Schlüssel nicht einfach nur „ausleiht“, ist RLT zudem bei der Signierung in den Lagerstellen der Cold Wallets anwesend. Eine genaue Erklärung zu den Lagerstellen kann aus Sicherheitsgründen nicht gegeben werden.

Am Ende der Prüfung wird eine nachgewiesene IST-Menge und eine bestätigte SOLL-Menge stehen.