Bitcoin vererben und trotzdem dauerhaft Zugriff darauf haben

Hallo zusammen,

meine Anforderung bzw. Wunsch:
Ich möchte die ganze Zeit uneingeschränkt über meine Bitcoin verfügen (alle Adressen). Im Todesfall sollen verschiedene Erben Zugriff auf verschiedene dieser Adressen bekommen. Dies soll vom Notar sichergestellt werden.

Idee:
Man nehme den jeweiligen Private Key und halbiere diesen, eine Hälfte geht an den Erben, die andere Hälfte wird beim Notar hinterlegt, welcher diese erst nach meinem Ableben rausrückt. Eine andere Möglichkeit wäre, den ganzen Key in eine verschlüsselte Datei zu packen, der Erbe erhält die Datei, der Notar den Schlüssel.
So kann ich die ganze Zeit über die Bitcoin verfügen und im Falle meines Ablebens kann der Erbe diese (bzw. was noch übrig ist) weiter verwenden. Weder der Notar, noch der Erbe kommen frühzeitig an die Bitcoin ran.

Jedoch möchte ich gerne alle meine Bitcoin Adressen in einer Hardware Wallet gesichert haben, wie z.B. der Bitbox. Deren Eigenschaft ist ja gerade, dass man den Private Key NICHT sieht bzw. NICHT extrahieren kann. Und damit kann ich ihn auch nicht weitergeben.

Natürlich könnte ich das mit dem Aufteilen auch mit einem Seed machen, allerdings wird dadurch ja die ganze Wallet und nicht nur eine einzelne Adresse wiederhergestellt. Dann müsste ich wieder X verschiedene Wallets erstellen und selbst X Hardwarewallets kaufen.
Habt ihr irgendeine Idee, wie man das elegant bewerkstelligen könnte?

Der Umgang mit Private Keys ist umständlicher als mit Mnemonics (24 Wörter). Wenn einer Deiner Erben Zugriff auf deinen Mnemonic (resp. Passwort) hat, dann hat er Zugriff auf ALLE Private Keys, auch derer die gar nicht für ihn bestimmt sind. Falls du den Mnemonic dagegen nicht vererben willst, besteht die Gefahr, dass du Schlüssel vergisst zu übergeben. Das kann insbesondere dann passieren, wenn du Transaktionen auf neue Adressen ausführst. Diese hätten dann einen neuen Private Key.

Du kannst auch mit nur einer BitBox mehrere Wallets aufsetzen. Das geht mit jeweils neuen Mnemonics oder mit nur einem Mnemonic aber unterschiedlichen Passwörtern. Man kann auch von einem Mnemonic neue Mnemonics ableiten. Man kann auch den Notar in ein Multisignatur Setup aufnehmen, sodass du deinen Erben heute schon ein Wallet überreichen kannst, welches aber erst durch deine oder die Hilfe des Notars vollständig wird. Man kann Transaktionen mit einem Timelock tätigen, die quasi die Vererbung vollziehen, es sei denn du gibst die Coins vorher anderweitig aus, etc. Die Möglichkeiten sind vielfältig.

Das größte Risiko sehe ich darin, die Erben zu überfordern. Deshalb wäre es in jedem Fall besser, deine Erben schon jetzt technisch vorzubereiten, anstatt sie im Falle deines Ablebens mit einer Notiz oder dem Brief vom Notar zu überraschen. Sinnvoll ist auch, sich an die gängigen Standards zu halten. Eine Vererbung auf utxo Ebene würde ich deshalb nicht empfehlen. Das Erbe anzunehmen sollte nicht schwieriger sein, als selbst ein neues Wallet aufzusetzen. Zum Üben genügt ja ein kostenloses Wallet auf dem Smartphone.

Ich empfehle dir als Einstieg das Buch: Bitcoins verwahren und vererben von Marc Steiner. Darin werden einige Gefahren verschiedener Setups beleuchtet, und einfache bis komplizierte Setups vorgeschlagen.

Melde dich gerne bei weiteren Fragen.

Viele Grüße.

Mit der BitBox02 kannst du, wie @Makowski schon geschrieben hat, mehrere Wallets verwalten. Das geht auf zwei Arten:

• Mehrere normale Wallets: Erstelle neue Wallets und speichere alle Backups auf dieselbe MicroSD-Karte (diese ist der Generalschlüssel und ausschliesslich für dich). Schreibe dir von allen Wallets die 12 oder 24 Wiederherstellungswörter auf Papier raus (diese Backups kannst du dann pro Erbe verwalten).

• Mehrere Passphrase-Wallets: Erstelle eine leere Wallet (12/24 Wiederherstellungswörter) und nutze die optionale Passphrase für beliebig viele davon abgeleitete Wallets. Wenn die Passphrase stark genug ist, kannst du dem Notar die Wiederherstellungswörter geben, und den Erben die Passphrase.

Hat beides Vor- und Nachteile:

• normale Wallets sind „nur“ durch die Wiederherstellungwörter geschützt. Diese kannst du aber auch aufteilen (wir empfehlen einen 3er-Split mit Redundanz, siehe Link unten). Du musst für die Verwaltung der Wallets die BitBox02 jeweils zurücksetzen und vom Backup wiederherstellen. Dank der MicroSD-Karte dauert das keine Minute, ist aber halt doch etwas Aufwand.

• Passphrase-Wallets: diese Methode ist effektive ein 2:2-Split ohne Redundanz. Wenn eines der Geheinmisse verloren geht, ist Feierabend. Du musst beim Entsperren der BitBox02 immer die jeweilige Passphrase eingeben. Das Setup ist auch zur Wiederherstellung durch Erben etwas komplizierter.

Tendentiell würde ich zur Methode mit den normalen Wallets raten. Am besten probierst du einfach mal beides aus und entscheidest dann.

Hier noch weitere Infos zum Thema Fortgeschrittene Wallet-Backups:

Wenn’s keine technische Lösung sein muss, kannst du die verschiedenen Guthaben in der BitBoxApp auch in mehreren Konten verwalten. Diese haben jeweils einen eigenen XPUB, so dass die Erbguthaben in einem Testament glasklar geregelt werden können.

Das Verteilen der Coins muss dann aber durch eine vertrauenswürdige Person erfolgen, da diese Zugriff auf die gesamte Wallet hat.

Hier noch ein Artikel von mir zum Thema generell, vielleicht gibt das ja noch ein wenig Inspiration für deine finale Lösung:

Also von so „Spässen“ wie Private Keys oder Mnemonics aufteilen wird eigentlich immer abgeraten, und das zu recht.

Genau so sollte man es machen: 2von2 Multisig. D.h. zum Ausgeben der BTC ist dann sowohl die Signatur des Notars als auch eines der Erben erforderlich. Der Notar hat dann einen PK für alle Erben. Jeder Erbe hat einen eigenen PK.
Du hast Deinen eigenen PK, mit dem Du weiterhin Zugriff auf Deine BTC hast: Also etwa so:
Notar: N
Erbe1: E1
Erbe2: E2
Du: D

Ausgabebedingung:
(N UND E1) ODER D
(N UND E2) ODER D

Wie und mit welchem Wallet Du so etwas machen kannst: Da musst Du weniger nerdige Theoretiker als mich fragen.

Und ACHTUNG: Da muss man sehr gut aufpassen, dass da nichts falsch läuft und die Coins versehentlich für immer im Nirvana landen.

Sehe ich auch so. Es muss einfach sein. Ein kompliziertes Setup ist komplizierter und unsicherer als für jeden erben einen eigenen Seed aufzubewahren.

So wie es klingt ist das genau das Problem des Threaderstellers. Für mich klingt es so als soll offenbar niemand wissen, wer alles noch geerbt hat und wie viel die anderen geerbt haben.

Ich würde kein Setup wählen, bei denen die Erben zwingend auf den Notar angewiesen sind. Dein eigener Seedphrase sollte als Backup Lösung für eine vertrauenswürdige Person zugänglich sein. Aber das ist meine Paranoia, dass der Notar das Dokument verliert oder die Bitcoin nicht freigeben darf, da es in Zukunft strengere Gesetze bezüglich Vermögen in Deutschland gibt.

Treadersteller bräuchte aber eine 2 von 4 Multisig für jeden Erben, da er selbst auch bis zu seinem Ableben vollständigen Zugriff auf die Bitcoin haben will. Er hätte dann zwei Keys, der Notar einen und der Erbe auch einen. Es ginge aber auch mit 2 aus 2, da hast du recht. Wäre möglich und würde das Problem lösen, ist aber dann einiges an Seedmaterial, wenn wir hier von acht Erben oder so reden.

Ich glaube jedoch (meine Interpretation der Frage), dass die Erben aktuell noch nichts von den Bitcoin wissen sollen oder noch zu jung sind, was Multisig etwas erschwert.

Ich gebe dir recht, @ViresInNumeris, dass Multisig in der Theorie perfekt dafür geeignet wäre. Aber dann nicht 2-of-2 (absolut keine Redundanz ist gefährlich), sondern 2-of-4, wie von @mapleloopsong erwähnt. Der Grund: in einem Multisig-Setup hast du keinen Generalschlüssel „D“, du brauchst immer die Mindestanzahl an Keys zum Signieren.

Alternativ machst du 2-of-2, bewahrst die Schlüssel aber redundant auf und behältst einfach beide Schlüssel zusätzlich bei Dir. Aber das ist dann eine separate SIcherheitsabwägung (abhängig vom Aufbewahrungsort, etc.)

In der Praxis bin ich überzeugt, dass Multisig noch zu kompliziert ist. Es ist sehr einfach, Fehler zu machen und Coins zu verlieren, oder die Sicherheit der Wallet zu komprimitieren. Das Setup ist aufwändig und auch teuer, falls du die Signing-Devices bereits halten willst.

Für mich ist Multisig „the next frontier“, welche wir für Bitcoin-Security einfacher zugänglich machen müssen. Miniscript wird dazu beitragen, auch kollaborative Wallets wie Nunchuck, welche die Koordination der diversen Signer via Matrix sicherstellen. Leider ist es aber noch nicht soweit.

Ich weiss, dass ist eine populäre Meinung und sie klingt auch auf den ersten Blick etwas ungewohnt. Aber kannst du mir technisch erläutern, wieso du das als unsicher betrachtest? Natürlich muss das seriös gemacht werden (siehe Anleitung im Artikel) und nicht einfach so schnell-schnell nach Bauchgefühl.

Die jeweils fehlenden 8 Wörter sellen eine Entropie von über 80 Bit dar, was heute als absolut sicher gilt. Klar, in 10 Jahren ist das eventuell nicht mehr der Fall, aber so ein Setup muss sowieso ab und zu aufgefrischt werden. Bis dahin hoffe ich schwer, dass es bessere Lösungen gibt.

Sorry, hab meinen Beitrag wohl gerade dann editiert, als Du darauf geantwortet hast. In meiner editierten Variante hat er den Zugriff des TE ja.

Ist halt immer ein Abwägen: Gefahr von a) Schlüsselverlust vs. von b) Diebstahl
Mit jeder Schlüsselkopie verringert sich a) und steigert sich dafür b).

Allerdings sehe ich in Deinem Beispiel nicht ganz ein, warum man dann 2 von 4 machen soll und nicht wie von mir beschrieben:

Dann hast Du jo genau einen Generalschlüssel für den den aktuellen Besitzer
und ein 2x2 für den Erbfall.
Theoretisch lässt sich das als Script problemlos realisieren und soweit ich weis dank Taproot (MAST) kostet es nicht einmal mehr Tx Gebühr als eine normale Tx.

Wie gesagt: Von der Praxis habe ich zuwenig Ahnung. Und ja, es ist sehr gefährlich.

Also gerade wenn es ums Erben geht sind 10 Jahre nicht so lang. Ich wünsche dem Thread-Ersteller jedenfalls ein etwas längeres Leben. Und das war auch der technische Grund: Mit PK-Halbierung erreichst Du nicht mehr als mil Multisig, aber dies mit einem erheblich höheren Risiko eines Brute Force Angriffs. Es ist ja nicht so dass 1/2 Schlüssellänge = 1/2 Sicherheit. Sondern exponentiell weniger. Und ich möchte nicht auf das „Auffrischen“ zum richtigen Zeitpunkt angewiesen sein. Auch wenn das Auffrischen an sich sicher eine gute Idee ist.

Natürlich gibt es auch hier unterschiedliche Meinungen. Aber normalerweise raten wir hier im Forum nicht davon ab.

Hier einige Gedanken aus einem älteren Thread:

Solange nichts gestohlen wird, hast du also die volle kryptographische Sicherheit.

Und wir sprechen beim Bruteforcen nicht von einzelnen Hashes oder ECC-Rechnungen, sondern von einer Key Derivation Function, die das ganze etwas ausbremst.

Aber natürlich gibt es andere, sicherere Möglichkeiten, wenn man weiß, was man tut.

Hier auch ein Artikel von @sutterseba dazu:

Ah, jetzt verstehe ich. Dann ist es aber keine Standard-Multisig-Wallet mehr, was die Komplexität noch weiter erhöht. Mit welcher Wallet würdest du das umsetzen, und was müsste alles ins Backup einfliessen?

Ja, mir ist bewusst, dass das Wiederherstellungswörter-Aufsplitten keine Lösung für die Ewigkeit ist. Daher ist es fürs Vererben sicherlich kritisch zu hinterfragen.

Bezüglich Sicherheit: stimmt. Der Split ist halt um ein vielfaches simpler, sowohl für den Ersteller, als auch für die Erben. Aus unserer Erfahrung mit dem BitBox02-Support wissen wir, dass viele bereits mit einer optinalen Passphrase überfordert sind.

Leider (oder zum Glück?) gibt es viele Möglichkeiten, jede mit Vor- und Nachteilen. Ich hoffe, wir haben OP @Berioldir nicht mehr verunsichert als weitergeholfen…

Sehe ich genau in diesem Fall aber anders: Es wäre ja die Meinung, dass sowohl die Erben (also jeder für sich) als auch der Notar den Teilschlüssel bereits zu Lebzeiten bekommt, oder?

Das fürchte ich auch: Daher:
Lieber Thread Ersteller: Was Du willst ist machbar, aber ziemlich kompliziert und risikobehaftet.

Hallo zusammen,

danke für eure ausführlichen Antworten.

Nachdem nun viel über Multisig-Wallets geschrieben wurde, möchte ich hinzufügen:
das Setup soll möglichst EINFACH sein, sowohl für mich als Ersteller, als auch für die Erben zum späteren Anwenden. Das bedeutet: alle Erben werden zu Lebzeiten über ihr mögliches Erbe informiert und wie sie mit den vererbten Informationen umgehen müssen.

Ich sehe in MultiSig-Wallets aktuell noch zu viele Risiken, deshalb scheiden diese für mich aktuell aus.

Am einfachsten scheint wirklich zu sein, mehrere „normale“ Wallets zu erstellen, jede mit einem eigenen Seed. Wie @Stadicus schreibt und ich eingangs auch befürchtet habe, muss ich dazu jede Wallet „manuell“ wiederherstellen oder einfach X fertig konfigurierte Bitboxen besitzen.
Dann wende ich den erwähnten 3er Split auf den Seed an. Notar 1 erhält Teil 1, Notar 2 erhält Teil 2 und der Erbe erhält Teil 3. Selbst wenn einer der drei die Wörter verschlampt, kann der Erbe die Wallet wiederherstellen. Und ich kann die ganze Zeit über sämtliche Guthaben verfügen.
Diese Lösung gefällt mir aktuell gut.

Was die Sicherheit angeht, gibt es hier wohl zwei grundsätzliche Meinungen:

Mit fortschreitender Zeit und damit steigender Rechenleistung wird diese Vorgehensweise wohl zunehmend als unsicher betrachtet werden.

Vorteil des Ganzen:
Keiner der Erben erfährt in diesem Szenario, ob es noch andere Erben gibt und wer diese sind.
Die Erben sind vorab instruiert, haben bereits einen Teil des Seeds und wissen, dass sie sich im Falle der Erbschaft eine Hardwarewallet besorgen sollten.

Wäre hier abgesichert durch zwei Notare, wobei beide nicht voneinander wissen.
Strenge Gesetze bezüglich Vermögen? Kennt sich jemand von euch aus in notariellen Vorgängen? Ich war der Meinung, ich gebe dem Notar einen versiegelten Umschlag mit der Anweisung, diesen an XY auszuhändigen wenn Fall Z eintritt. Der wird doch einen versiegelten Umschlag nicht öffnen?

Anhand der Transaktionshistorie kann man Rückschlüsse ziehen.

Kenne mich nicht gut aus und dachte nur an Text. Ich dachte an den Fall, dass zB unhosted Wallets als illegal eingestuft werden oder Bitcoin die nationale Sicherheit oder demokratische Ordnung gefährdet ( ) und die Weitergabe der Daten dann für den Notar strafbar sein könnte. Sehr unwahrscheinlich und sehr paranoid.

Hat eigentlich schonmal jemand von euch etwas (Seed Phrase, Passphrase, Bitbox,…) bei einem Notar verwahren lassen mit dem Auftrag, es nach eurem Ableben an jemanden bestimmtes weiterzuleiten?
Wenn ja: war das Verfahren aufwändig und was hat es gekostet?

Ich möchte ja explizit KEIN Testament erstellen.

Ruf doch mal einfach einen Notar an und lass dir einen Preis nennen.
So kannst du auch vergleichen. Vermutlich wird es aber auf sowas wie ein Testament hinauslaufen.

Ich bin zwar kein Notar, möchte etwas ähnliches aber aufbauen.

Ich hatte heute ein kurzes Gespräch mit einem Notar.

So einfach scheint das ganze nicht zu sein. Ein einfaches „Notar übergibt versiegelten Umschlag an Begünstigten“ scheint nicht vorgesehen zu sein.
Es läuft auf ein Testament hinaus, aber bei diesem muss offengelegt werden, was sich im versiegelten Umschlag befindet - es könnte sich darin ja noch ein schriftlich festgehaltener letzter Wille drin sein, der dann wieder mit der im Testament festgelegten Erbfolge kollidiert.

Man müsste dann zum Beispiel festlegen:

Mein Haus geht an Begünstigten X
Mein Auto geht an Begünstigten Y
Cryptowerte gehen an A, B, C und D. In den Umschlägen befindet sich z.B. eine Passphrase, die Seedphrase haben die Begünstigten bereits von mir zu Lebzeiten bekommen.

Hier jedoch wieder das Problem:
„Bei einem notariellen Testament, welches automatisch durch den Tod des Erblassers eröffnet wird, ist das zuständige Nachlassgericht verpflichtet, den Erbfall an das zuständige Erbschaftsteuerfinanzamt weiterzuleiten“
Aber welchen Erbfall?

Ich weiß ja noch gar nicht, ob ich auf die Adressen überhaupt was drauf schicken werde oder ein bereits vorhandenes Guthaben wieder wegschicke, also selbst aufbrauche. Außerdem möchte ich durch eine Erbschaft/Schenkung gerade NICHT dass der Staat dann über die Cryptovermögen der Begünstigten Bescheid weiß. So eine Hypothek möchte ich nicht weitergeben. Natürlich könnte man einfach irgendeine Bitcoin Adresse angeben, damit Gericht und Finanzamt zufrieden sind und feststellen können: ok, da wurde nichts vererbt. Die Begünstigten können dann selbst entscheiden, ob sie das beim Finanzamt angeben.

Sowohl Notare als auch Nachlassgerichte sind auf so etwas schlichtweg nicht richtig vorbereitet und scheinen noch nicht zu wissen, wie sie damit umgehen sollen.

Irgendwie müsste Bitcoin eine Funktion haben, die bestimmte Informationen auf einer Adresse erst mit einer bestimmten Blockhöhe im Klartext darstellt. So könnte man z.B. jemandem zu Lebzeiten eine Bitcoinadresse zukommen lassen, auf der die Passphrase verschlüsselt gespeichert ist und erst sobald eine bestimmte Blockzeit erreicht wurde, in Klartext dargestellt wird. Das wäre eine schöne dezentrale Lösung.

edit
eine andere, noch zu entwickelnde und dezentrale Möglichkeit wäre folgende: man erstellt eine Art Multisig Wallet, wobei es einen Masterkey und einen zweiten/dritten Slavekey gibt. Die Slavekeys werden mit einem Timelock versehen, der Masterkey nicht. Der Masterkey hat somit die ganze Zeit Zugriff, die Slavekeys erst nach einer bestimmten Zeit.

So eine richtige Lösung habe ich bis jetzt noch nicht, werde mal einen ausführlichen Beratungstermin beim Notar wahrnehmen.

Auf jeden Fall interessantes Thema.
Ich suche da auch noch die gescheite Lösung…

Bei mir auch gerade aktuell.
Nach reiflicher Überlegung habe ich mich dazu entschieden sicherheitshalber auf eine Multisignaturwallet zu verzichten.
Stattdessen setze ich auf einen 2 von 3 Seddsplit mit jeweils 16 Wörtern für den Erben und 2 weitere vertrauenswürdige Drittparteien. Alle 3 Splits werden gesichert gegen Einsichtnahme .
Sagen tue ich aber allen dreien das es sich um einen 3 von 3 Split ohne Redundanz mit jeweils 8 Wörtern handelt.
Die müssen ja nicht unbedingt wissen das 2 zusammen mich noch zu lebzeiten ausnehmen können.

So sieht mein Plan dazu aus.
Müsste doch ganz ordentlich sein, oder?