Grundprinzip der Risikoprävention bei trust4money
Unsere Modelle folgen einem einfachen, aber konsequenten Grundsatz:
Was klar geregelt, dokumentiert und überprüfbar ist, muss nicht verteidigt werden.
Wir trennen strikt zwischen:
1
Verwahrung
Verwahrung beschreibt den physischen und logischen Ort sicherheitsrelevanter Komponenten. Sie beantwortet ausschließlich die Frage, wo etwas liegt – nicht, wer darüber entscheidet oder wie es genutzt wird.
Verwahrung erzeugt Schutz vor Verlust, Diebstahl und Zerstörung.
Sie erzeugt jedoch keine Verfügungsmacht und keine Entscheidungsbefugnis.
Ergebnis: Sicherheit durch Trennung von Besitz und Kontrolle.
2
Entscheidung
Entscheidung bezeichnet die formale Befugnis, sicherheitsrelevante Prozesse auszulösen. Sie ist unabhängig von Verwahrung und Durchführung organisiert.
Entscheidungen folgen klar definierten Regeln, Mehrheiten oder Zustimmungen – nicht situativem Ermessen oder persönlicher Nähe.
Ergebnis: Verantwortung ist geregelt, nicht personengebunden.
3
Durchführung
Durchführung ist die operative Umsetzung einer zuvor legitimierten Entscheidung. Sie umfasst technische, logistische oder organisatorische Handlungen – ohne eigene Entscheidungs- oder Verfügungsmacht.
Eine durchführende Rolle kann niemals gleichzeitig entscheiden oder allein rekonstruieren.
Ergebnis: Handlung ohne Alleinverfügung.
4
Nachweis
Nachweis dokumentiert, dass etwas erfolgt ist – nicht nur, dass es behauptet wird. Er umfasst Zeitpunkt, Beteiligte, Rollen, Zweck und Ergebnis eines Vorgangs. Nachweise sind unveränderbar, nachvollziehbar und revisionsfähig gestaltet.
Ergebnis: Transparenz ohne Vertrauensannahme.
Wir definieren für jede Phase:
1
wer verantwortlich ist
Für jede Phase ist eindeutig festgelegt, welche Rolle Verantwortung trägt. Verantwortung folgt der Rolle – nicht der Person. Mehrdeutige oder implizite Zuständigkeiten sind ausgeschlossen.
Ergebnis: Haftung ist zuordenbar.
2
was erlaubt ist
Jede Rolle verfügt nur über klar begrenzte, vertraglich definierte Befugnisse. Was nicht ausdrücklich erlaubt ist, ist nicht vorgesehen. Es gibt keine informellen Abkürzungen oder stillschweigenden Kompetenzen.
Ergebnis: Sicherheit entsteht durch Begrenzung, nicht durch Vertrauen.
3
wann Übergaben stattfinden
Übergaben erfolgen ausschließlich an definierten Punkten im Prozess. Zeitpunkt, Anlass und beteiligte Rollen sind vorab festgelegt. Ungeplante oder informelle Übergaben sind ausgeschlossen.
Ergebnis: Übergänge werden kontrolliert – nicht improvisiert.
4
wie diese dokumentiert werden
Jede sicherheitsrelevante Handlung wird dokumentiert.
Die Dokumentation ist zeitlich eindeutig, rollenbezogen und nachvollziehbar. Abweichungen werden nicht verdeckt, sondern explizit erfasst und eskaliert.
Ergebnis: Nachvollziehbarkeit ersetzt Vertrauen.
Die Risikobereiche
1. Onboarding & Einrichtung
Wo Risiken entstehen, bevor Assets überhaupt gesichert sind.
2. Verwahrung & laufender Betrieb
Wo Verantwortung ruht – und warum Ruhe kein Risiko sein darf.
3. Übergaben & Bewegungen
Die kritischsten Momente jeder Sicherheitsarchitektur.
4. Rekonstruktion & Wiederherstellung
Wenn Systeme beweisen müssen, dass sie funktionieren.
5. Revision, Backup & Sonderfälle
Was passiert, wenn nichts „normal“ und "wie immer" läuft.
6. Externe Ereignisse & Ausfälle
Tod, Insolvenz, Zwang, Behörden – und wie Strukturen darauf vorbereitet sind.
1. Onboarding & Einrichtung
Wo Risiken entstehen, bevor Sicherheit überhaupt beginnt
Die meisten Haftungs‒ und Sicherheitsprobleme entstehen nicht im Betrieb, sondern am Anfang: bei Einrichtung, Übergaben und ersten Entscheidungen.
Genau deshalb ist das Onboarding bei trust4money kein technischer Akt, sondern ein strukturierter Sicherheitsprozess.
Genau deshalb ist das Onboarding bei trust4money kein technischer Akt, sondern ein strukturierter Sicherheitsprozess.
1.1 Fehlbedienung bei der Einrichtung
Risiko:
Seedphrase falsch notiert, unvollständig gesichert, falsch verteilt oder fehlerhaft überprüft.
Warum das kritisch ist:
Ein Fehler in diesem Moment ist später nicht mehr korrigierbar.
Prävention bei trust4money:
1
Begleitetes Onboarding durch CBSP (Certified Bitcoin Security Professional)
Die Einrichtung erfolgt ausschließlich im Rahmen eines strukturierten Onboarding-Prozesses unter Begleitung eines zertifizierten Bitcoin-Sicherheitsexperten. Der CBSP übernimmt dabei keine Verfügungsmacht, sondern stellt sicher, dass alle sicherheitsrelevanten Schritte korrekt, vollständig und regelkonform durchgeführt werden. Entscheidungen verbleiben bei den dafür vorgesehenen Rollen, nicht beim technischen Begleiter.
2
Mehrstufige Prüfungen der SeedPro-Struktur
Die SeedPro-Struktur wird nicht einmalig, sondern in mehreren, voneinander getrennten Prüfschritten überprüft. Jede Stufe kontrolliert Vollständigkeit, Konsistenz und formale Korrektheit der Einrichtung, ohne dabei eine vollständige Rekonstruktionsfähigkeit herzustellen. Fehler werden so frühzeitig erkannt, bevor sie strukturelle Wirkung entfalten können.
3
Keine alleinige Einrichtung durch den Kunden
Eine vollständige Einrichtung durch den Kunden allein ist ausgeschlossen. Kritische Schritte dürfen nicht isoliert durchgeführt werden, sondern erfordern die Mitwirkung klar definierter Rollen. Dadurch wird verhindert, dass Fehlannahmen, Stress oder Routineentscheidungen zu irreversiblen Sicherheitslücken führen.
4
Dokumentierte Bestätigung jeder sicherheitsrelevanten Handlung
Jede sicherheitsrelevante Handlung im Rahmen der Einrichtung wird nachvollziehbar dokumentiert und bestätigt. Zeitpunkt, Rolle und Zweck der Handlung sind eindeutig festgehalten. Informelle Abkürzungen oder nachträgliche Rekonstruktionen von Entscheidungen sind ausgeschlossen.
👉 Ergebnis: Fehler werden ausgeschlossen, bevor sie existieren können.
1.2 Übergabe von SeedPro‒Komponenten
Risiko:
Unklare Verantwortlichkeit bei Übergabe an Treuhänder oder Verwahrer.
Warum das kritisch ist:
Haftungsfragen entstehen dort, wo nicht klar ist, wer wann wofür verantwortlich war.
Prävention bei trust4money:
1
Jede Übergabe erfolgt protokolliert, zeitlich eindeutig und rollenbasiert
Übergaben von SeedPro-Komponenten finden ausschließlich an klar definierten Übergabepunkten statt. Jede Übergabe ist zeitlich eindeutig erfasst, einer Rolle – nicht einer Person – zugeordnet und vollständig protokolliert. Verantwortung wechselt nicht implizit, sondern nur durch formale Übergabe innerhalb der vorgesehenen Struktur.
2
Keine Person erhält vollständige Kenntnis oder Zugriff
Die Struktur ist so gestaltet, dass zu keinem Zeitpunkt eine einzelne Person vollständige Kenntnis über die SeedPro-Gesamtstruktur oder eine alleinige Zugriffsmöglichkeit erhält. Wissen, Besitz und Verfügungsmacht bleiben bewusst getrennt. Auch temporär entsteht keine vollständige Rekonstruktions- oder Entscheidungsmacht bei einer Rolle.
3
Verwahrung ausschließlich nach vertraglich definierten Zuständigkeiten
Die Verwahrung der übergebenen Komponenten erfolgt ausschließlich im Rahmen der vertraglich festgelegten Zuständigkeiten. Abweichungen, informelle Verwahrungen oder „Zwischenlösungen“ sind ausgeschlossen. Jede Verwahrung ist Teil der dokumentierten Treuhand- und Custody-Struktur und unterliegt deren Haftungs- und Fortführungslogik.
👉 Ergebnis: Verantwortung ist jederzeit eindeutig zuordenbar.
1.3 Mitnahme von SeedPro zur Verwahrung
Risiko:
Unkontrollierter Transport oder temporäre Alleinverfügung.
Warum das kritisch ist:
Der physische Übergang ist einer der sensibelsten Momente.
Prävention bei trust4money:
1
Getrennte Transportlogiken
Der Transport von SeedPro-Komponenten folgt einer klar definierten, getrennten Transportlogik. Einzelne Komponenten werden räumlich, zeitlich oder organisatorisch voneinander getrennt bewegt. Dadurch wird verhindert, dass durch einen einzelnen Transportvorgang faktische Zugriffsmacht oder vollständige Kenntnis entsteht.
2
Keine vollständige Rekonstruktionsfähigkeit während der Bewegung
Während der Mitnahme und des Transports besteht zu keinem Zeitpunkt die Möglichkeit einer vollständigen Rekonstruktion. Die SeedPro-Struktur ist bewusst so ausgelegt, dass auch bei Abweichungen, Verzögerungen oder Zwischenstopps keine alleinige Verfügungsmacht entsteht.
3
Klare Übergabepunkte mit Dokumentation
Mitnahme und Übergabe erfolgen ausschließlich über klar definierte Übergabepunkte. Beginn, Ende und Zweck der Bewegung sind dokumentiert, ebenso die beteiligten Rollen. Informelle Übergaben, kurzfristige Verwahrungen oder nicht dokumentierte Zwischenzustände sind ausgeschlossen.
👉 Ergebnis: Bewegung ohne Machtkonzentration.
1.4 Einrichtung mehrerer Beteiligter
Risiko:
Unklare Rollen, implizite Erwartungen, informelle Absprachen.
Warum das kritisch ist:
Was nicht explizit geregelt ist, wird später zum Konflikt.
Prävention bei trust4money:
1
Vertraglich fixierte Rollen, Rechte und Entscheidungsbefugnisse
Alle beteiligten Personen und Institutionen werden vor Beginn der Einrichtung eindeutig definierten Rollen zugeordnet. Rechte, Pflichten und Entscheidungsbefugnisse sind vertraglich festgelegt und gelten unabhängig von persönlicher Nähe, Hierarchie oder informellen Absprachen. Entscheidungen entstehen aus der Rolle, nicht aus der Person.
2
Keine impliziten Zuständigkeiten
Zuständigkeiten entstehen ausschließlich durch explizite Regelung. Erwartungshaltungen, stillschweigende Annahmen oder „gelebte Praxis“ haben keine rechtliche oder operative Wirkung. Was nicht ausdrücklich zugewiesen ist, gilt als nicht erlaubt.
3
Jede Rolle ist überprüfbar und begrenzt
Jede Rolle innerhalb der Struktur ist in ihrem Umfang begrenzt und jederzeit überprüfbar. Es existieren keine offenen oder kumulativen Befugnisse, die sich durch Dauer, Vertrauen oder Gewohnheit ausweiten könnten. Rollen sind austauschbar, kontrollierbar und klar voneinander abgegrenzt.
👉 Ergebnis: Struktur ersetzt Vertrauen.
Onboarding ist der Moment, in dem Sicherheit entweder entsteht – oder scheitert.
trust4money behandelt Einrichtung deshalb nicht als Startpunkt, sondern als erste Belastungsprobe des Systems. Nicht schneller. Nicht bequemer. Sondern nachvollziehbar, überprüfbar und haftungsarm.
2. Verwahrung & laufender Betrieb
Wo Stabilität trügt – und Haftung oft übersehen wird
2.1 Verwahrung bei externen Tresoren
Risiko:
Unklare Haftung bei Beschädigung, Verlust, Insolvenz oder behördlichem Zugriff.
Warum das kritisch ist:
Tresorverwahrung schützt vor Zugriff – aber nicht automatisch vor rechtlichen Zugriffsszenarien.
Prävention bei trust4money:
1
Vertraglich klar definierte Verwahrverhältnisse
Die Nutzung externer Tresore erfolgt ausschließlich auf Grundlage eindeutig definierter vertraglicher Verwahrverhältnisse. Zuständigkeiten, Pflichten und Haftungsgrenzen sind vorab festgelegt und gelten unabhängig vom physischen Standort oder der operativen Ausgestaltung des Tresors. Der Tresor ist Bestandteil der Struktur – nicht ihr Träger.
2
Trennung von Eigentum, Besitz und Verfügungsgewalt
Eigentum an den verwahrten Komponenten, tatsächlicher Besitz und Verfügungsgewalt sind strikt voneinander getrennt. Kein externer Verwahrer erlangt Verfügungsmacht über die SeedPro-Struktur, und kein Beteiligter kann aus physischem Besitz allein auf Entscheidungs- oder Zugriffskompetenz schließen.
3
Keine vollständigen Schlüssel oder Seeds bei einem Verwahrer
Bei keinem externen Verwahrer befinden sich vollständige Schlüssel, Seedphrases oder rekonstruierbare Gesamtheiten. Verwahrt werden ausschließlich einzelne, für sich genommen nicht verwertbare Komponenten. Dadurch bleibt der Tresor physischer Schutzraum, ohne selbst zum Sicherheitsrisiko zu werden.
4
Nutzung mehrerer externer Verwahrstellen je nach Variante
Je nach Trust-Variante werden mehrere externe Verwahrstellen eingebunden. Diese sind organisatorisch, räumlich oder institutionell voneinander getrennt. Ein Ausfall, Zugriff oder Fehler bei einer Stelle erzeugt dadurch keinen Single Point of Failure.
Ergänzung:
Die Nutzung externer Tresore ist bei trust4money kein eigenständiges Kundenangebot und keine alternative Custody-Form. Tresorfächer werden durch den Treuhänder angemietet und sind integraler Bestandteil der Treuhandstruktur.
Der Kunde bzw. Teilnehmer ist nicht Mieter des Tresorfachs und verfügt über keinen direkten Zutritt. Zugriffsrechte (Karte, PIN, Biometrie) liegen ausschließlich beim Treuhänder und sind rollen- und zweckgebunden geregelt.
Im Tresor werden ausschließlich einzelne SeedPro-Komponenten, codierte Informationen oder begleitende Dokumente verwahrt. Eine vollständige Rekonstruktions- oder Verfügungsmöglichkeit entsteht dadurch nicht.
Einordnung: Der Tresor reduziert physische Risiken wie Verlust, Diebstahl und Zerstörung – er ersetzt keine Sicherheitsarchitektur.
👉 Ergebnis: Kein Verwahrer kann allein zum Single Point of Failure werden.
2.2 Insolvenz oder Ausfall eines Verwahrers
Risiko:
Blockierung oder Verzögerung durch Insolvenzverfahren.
Warum das kritisch ist:
Selbst rechtmäßiger Zugriff kann zeitlich unmöglich werden.
Prävention bei trust4money:
1
Strukturierte Mehrparteien-Modelle
Die Verwahrung ist von Beginn an auf Mehrparteien-Modelle ausgelegt. Kein einzelner Verwahrer ist für die Funktionsfähigkeit der Sicherheitsstruktur allein entscheidend. Der Ausfall einer Stelle verändert Zuständigkeiten – er unterbricht das System nicht.
2
Ausweich-Treuhänder je nach Variante
Für den Fall des Ausfalls eines Verwahrers oder einer verwahrenden Institution sind je nach Trust-Variante Ersatz- und Ausweichstrukturen vorgesehen. Diese greifen ohne Neuverhandlung, ohne Zustimmung einzelner Beteiligter und ohne Ermessensentscheidung im Ereignisfall.
3
Vertraglich geregelte Fortführungsfähigkeit
Die Fortführung der Verwahr- und Entscheidungsstruktur ist vertraglich vorab geregelt. Insolvenz- oder Ausfallereignisse lösen definierte Rollen- und Zuständigkeitswechsel aus, statt operative oder rechtliche Blockaden zu erzeugen. Zeitverzug wird reduziert, ohne Sicherheitsmechanismen aufzugeben.
👉 Ergebnis: Handlungsfähigkeit bleibt unabhängig von einzelnen Institutionen.
2.3 Revision & Auslagerung aus dem Tresor
Risiko:
Fehlende Protokolle oder temporäre Machtkonzentration bei Prüfungen.
Warum das kritisch ist:
Revisionen sind notwendig – aber selbst ein Risiko, wenn sie schlecht strukturiert sind.
Prävention bei trust4money:
1
Protokollierte Auslagerung nur für klar definierte Zwecke
Eine Auslagerung aus dem Tresor erfolgt ausschließlich zu zuvor festgelegten und dokumentierten Zwecken, etwa für Revisionen, Prüfungen oder strukturierte Vorbereitungen. Anlass, Umfang und Dauer der Auslagerung sind eindeutig definiert. Informelle oder zweckoffene Entnahmen sind ausgeschlossen.
2
Trennung zwischen prüfender und entscheidender Rolle
Die prüfende Rolle besitzt keine Entscheidungs- oder Verfügungskompetenz über die verwahrten Komponenten. Entscheidungen über Umfang, Zeitpunkt und Ziel der Auslagerung erfolgen getrennt von der Durchführung der Prüfung. Dadurch wird verhindert, dass Revision faktisch zu Zugriffsmacht wird.
3
Keine vollständige Rekonstruktionsfähigkeit während der Revision
Auch während der Revision entsteht zu keinem Zeitpunkt eine vollständige Rekonstruktionsfähigkeit. Die SeedPro-Struktur bleibt so aufgeteilt, dass Prüfungen möglich sind, ohne eine alleinige oder kumulative Zugriffsmacht zu erzeugen.
👉 Ergebnis: Prüfung ohne Zugriffsmacht.
2.4 Routine & menschliche Nachlässigkeit
Risiko:
Abkürzungen, informelle Prozesse, „das haben wir immer so gemacht“.
Warum das kritisch ist:
Routine ist der natürliche Feind von Sicherheit. Was vertraut wird, wird seltener hinterfragt. Was selten hinterfragt wird, wird anfällig – nicht für Angriffe von außen, sondern für Fehler von innen. Gerade bei wiederkehrenden Abläufen wie Onboardings, Einlagerungen oder Revisionen entsteht die größte Gefahr nicht durch Ausnahmefälle, sondern durch Gewöhnung.
Prävention bei trust4money:
1
Regelmäßige Integritätsprüfungen
Die Sicherheitsstruktur wird in regelmäßigen Abständen auf Integrität, Vollständigkeit und Abweichungen überprüft. Diese Prüfungen folgen festen Intervallen und definierten Kriterien – unabhängig davon, ob es Anlass, Verdacht oder externe Ereignisse gibt. Sicherheit wird nicht erst überprüft, wenn etwas schiefgegangen ist.
2
Verpflichtende Protokolle statt Gewohnheiten
Alle sicherheitsrelevanten Abläufe unterliegen verbindlichen Protokollen. Abkürzungen, informelle Absprachen oder stillschweigende Vereinfachungen sind nicht zulässig – auch dann nicht, wenn sie „bewährt“ erscheinen. Prozesse gelten, weil sie definiert sind, nicht weil sie vertraut sind.
3
Klare Eskalationswege bei Abweichungen
Abweichungen vom definierten Ablauf lösen klar geregelte Eskalationsprozesse aus. Zuständigkeiten, Reaktionszeiten und Entscheidungswege sind vorab festgelegt. Abweichungen werden nicht informell ausgeglichen oder übergangen, sondern systematisch im Sicherheitsvorfallregister erfasst, bewertet und gemäß den definierten Verfahren behandelt.
👉 Ergebnis: Die Struktur bleibt lebendig – nicht bequem. Sicherheit entsteht nicht durch Vertrauen in Erfahrung, sondern durch Prozesse, die auch dann tragen, wenn Menschen müde, gestresst oder zu sicher geworden sind.
2.5 Vertraulichkeit & Geheimnisverrat durch Beteiligte
(Notar, Anwalt, Treuhänder, Verwahrer, Teilnehmer)
Risiko:
Offenlegung sicherheitsrelevanter Informationen durch beteiligte Personen oder Institutionen.
Warum das kritisch ist:
In gemeinschaftlichen Sicherheitsmodellen entsteht Wissen zwangsläufig verteilt. Dieses Wissen kann – bewusst oder unbewusst – weitergegeben werden:
durch Gespräche, Dokumente, familiäre Nähe oder externe Anfragen. Nicht jede Offenlegung ist böswillig. Aber jede unkontrollierte Offenlegung kann ein Sicherheitsrisiko darstellen.
Prävention bei trust4money:
1
Vertraglich verpflichtende Vertraulichkeit aller Beteiligten über sämtliche im Zusammenhang mit der Trust-Custody-Struktur bekannt werdenden Informationen
Alle an der Trust-Custody-Struktur beteiligten Personen und Institutionen unterliegen einer vertraglich geregelten Vertraulichkeitspflicht. Diese umfasst sämtliche Informationen, die im Zusammenhang mit der Struktur, ihren Abläufen, Rollen oder sicherheitsrelevanten Komponenten bekannt werden – unabhängig davon, ob sie technisch, organisatorisch oder rechtlich geprägt sind.
2
Schweigepflicht gilt ausdrücklich auch gegenüber Ehegatten, Verwandten und sonstigen Dritten
Die Vertraulichkeitspflicht gilt ausdrücklich auch gegenüber Ehegatten, Verwandten, Mitarbeitenden und sonstigen Dritten. Informelle Weitergaben, beiläufige Gespräche oder nicht autorisierte Dokumentation sind ausgeschlossen. Persönliche Nähe begründet keine Auskunftsbefugnis.
3
Offenlegung gegenüber Behörden ausschließlich im Rahmen gesetzlicher Auskunftspflichten
Eine Weitergabe von Informationen an Behörden erfolgt ausschließlich im Rahmen gesetzlicher Auskunfts- oder Mitwirkungspflichten. Umfang und Inhalt der Offenlegung richten sich strikt nach der jeweiligen rechtlichen Anordnung. Eine darüber hinausgehende freiwillige Offenlegung findet nicht statt.
4
Zeitlich unbegrenzte Vertraulichkeit – auch über das Ende des Vertragsverhältnisses hinaus
Die Verpflichtung zur Vertraulichkeit ist zeitlich nicht begrenzt und gilt auch über das Ende der jeweiligen Vertrags- oder Rollenbeziehung hinaus. Der Wegfall einer Funktion oder Beteiligung beendet nicht den Schutz sicherheitsrelevanter Informationen.
5
Separate Vertraulichkeitsvereinbarung (NDA) als verbindlicher Bestandteil jedes Trust-Custody-Vertrags
Eine gesonderte Vertraulichkeitsvereinbarung (NDA) ist verbindlicher Bestandteil jedes Trust-Custody-Vertrags. Sie konkretisiert Reichweite, Dauer und Sanktionen bei Verstößen und ergänzt die allgemeinen vertraglichen Pflichten.
6
Verpflichtende Informationspflicht bei Sicherheitsvorfällen
Trotz strikter Vertraulichkeit besteht eine ausdrückliche Informationspflicht bei sicherheitsrelevanten Vorfällen oder Verdachtsmomenten. Erkenntnisse dürfen nicht zurückgehalten werden, sondern sind unverzüglich gemäß den definierten Meldewegen offenzulegen.
👉 Ergebnis: Vertraulichkeit schützt vor Offenlegung, Informationspflicht schützt vor Blindheit. Sicherheit bleibt gemeinschaftlich, transparent und reaktionsfähig.
Sicherheit endet nicht beim Zugriff auf Schlüssel, sondern beim Umgang mit Wissen.
Der laufende Betrieb ist ein aktiver Sicherheitszustand, der regelmäßig überprüft werden muss.
trust4money schützt nicht nur vor dem ersten Fehler – sondern vor dem langsamen Abbau von Aufmerksamkeit. Der Tresor ist kein Sicherheitsversprechen, sondern ein Sicherheitsbaustein. Sicherheit entsteht erst durch die Einbettung des Tresors in eine geregelte Rollen‒, Haftungs‒ und Fortführungsstruktur.
3. Übergaben & Bewegungen
Die kritischsten Momente jeder Sicherheitsarchitektur
Überall dort, wo sicherheitsrelevante Komponenten bewegt oder Zuständigkeiten übergeben werden, entsteht Risiko.
Nicht durch Technikversagen, sondern durch Übergänge: zwischen Personen, Rollen, Orten und Verantwortungsbereichen.
trust4money behandelt Übergaben deshalb nicht als Nebenhandlung, sondern als eigenständige Sicherheitsereignisse mit klarer Haftungslogik.
trust4money behandelt Übergaben deshalb nicht als Nebenhandlung, sondern als eigenständige Sicherheitsereignisse mit klarer Haftungslogik.
3.1 Mitnahme von SeedPro zur Einlagerung ‒ (Onboarding / CBSP)
Risiko:
Unkontrollierter Transport, temporäre Alleinverfügung oder unklare Verantwortlichkeit während der Bewegung.
Warum das kritisch ist:
Der physische Übergang ist einer der sensibelsten Momente jeder Custody-Struktur. Hier verlassen sicherheitsrelevante Komponenten erstmals ihren Entstehungskontext und treten in die Verwahrkette ein. Fehler oder Abweichungen sind später nicht mehr rekonstruierbar.
Prävention bei trust4money:
1
Mitnahme ausschließlich als Teil eines formal definierten Onboarding-Prozesses durch einen CBSP
Die Mitnahme von SeedPro-Komponenten ist kein logistischer Vorgang, sondern Teil der Sicherheitsarchitektur. Durch die Einbindung eines CBSP wird sichergestellt, dass jeder Schritt regelbasiert, dokumentiert und rollenbezogen erfolgt. Informelle oder private Mitnahmen sind ausgeschlossen, da sie nicht überprüfbar wären.
Die Mitnahme von SeedPro-Komponenten erfolgt ausschließlich im Rahmen eines formal definierten Onboarding-Prozesses und unter Begleitung eines Certified Bitcoin Security Professional (CBSP). Außerhalb dieses Prozesses findet keine Mitnahme statt. Der CBSP agiert dabei nicht als Entscheidungsträger, sondern als prozessverantwortliche Begleitrolle.
2
Trennung von Erzeugung, Transport und Verwahrung
Die bewusste Trennung dieser Phasen verhindert Wissens- und Machtkonzentration.
Keine beteiligte Rolle begleitet eine Komponente über alle sicherheitskritischen Schritte hinweg. Dadurch bleibt Verantwortung fragmentiert und kontrollierbar.
Erzeugung der SeedPro-Komponenten, deren Transport und die anschließende Verwahrung sind strikt voneinander getrennt. Keine Rolle deckt mehr als einen dieser Schritte vollständig ab. Dadurch wird verhindert, dass durch Prozessverkettung faktische Alleinverfügung entsteht.
3
Keine vollständige Rekonstruktionsfähigkeit während der Bewegung
Während der Bewegung dürfen Komponenten niemals so zusammengeführt werden, dass eine Rekonstruktion möglich wäre. Dies schützt vor temporärer Alleinverfügung bei Verlust, Zwang oder Fehlverhalten. Rekonstruktionsfähigkeit entsteht ausschließlich innerhalb definierter Prozesse.
4
Eindeutige Rollen- und Zweckdefinition für jede Mitnahme
Jede Mitnahme erfolgt zu einem klar benannten Zweck innerhalb einer festgelegten Rolle. Dadurch ist jederzeit nachvollziehbar, warum eine Bewegung erfolgt ist – und wer dafür verantwortlich war. Zweckentfremdungen sind strukturell ausgeschlossen.
5
Protokollierte Übergabepunkte ohne informelle Zwischenzustände
Übergaben erfolgen ausschließlich an definierten Punkten und werden vollständig dokumentiert. Zwischenlagerungen, private Verwahrung oder spätere Nachdokumentation sind nicht zulässig. So entstehen keine haftungsrelevanten Grauzonen.
👉 Ergebnis: Bewegung ohne Machtkonzentration und ohne haftungsrelevante Grauzonen.
3.2 Übergaben zwischen Rollen
(Kunde, Treuhänder, Verwahrer)
Risiko:
Unklare Zuständigkeit darüber, wer zu welchem Zeitpunkt verantwortlich ist.
Warum das kritisch ist:
Haftung entsteht dort, wo Verantwortung nicht eindeutig zuordenbar ist.
Gerade bei mehrstufigen Modellen kann eine unsaubere Übergabe dazu führen, dass Verantwortung faktisch bei mehreren oder bei niemandem liegt.
Prävention bei trust4money:
1
Jede Übergabe ist rollenbasiert, nicht personenbezogen
Verantwortung ist an Funktionen gebunden, nicht an individuelle Personen.
Dadurch bleibt die Sicherheitsstruktur auch bei Personalwechseln stabil.
Persönliches Vertrauen ersetzt keine formale Zuständigkeit.
2
Verantwortung wechselt nur an klar definierten Übergabepunkten
Übergaben erfolgen ausschließlich an vorher festgelegten Prozesspunkten.
Ein gleitender oder stillschweigender Verantwortungswechsel ist ausgeschlossen.
Haftung bleibt eindeutig zuordenbar.
3
Übergaben sind zeitlich eindeutig dokumentiert
Jede Übergabe ist mit Datum und Zeitpunkt nachvollziehbar festgehalten.
Dadurch lassen sich Verantwortlichkeiten auch rückwirkend eindeutig klären.
Zeitliche Unschärfen werden vermieden.
4
Keine impliziten oder mündlichen Verantwortungsübernahmen
Verantwortung entsteht ausschließlich durch dokumentierte Prozesse.
Mündliche Absprachen oder faktisches Handeln ohne formale Übergabe sind unwirksam. Das schützt alle Beteiligten vor unbeabsichtigter Haftung.
Ergänzung:
Tresorfächer dienen bei trust4money nicht als Übergabeorte für Verantwortung oder Zugriffsmacht. Sie sind bewusst so eingebunden, dass Übergaben nicht durch physischen Besitz, sondern ausschließlich durch formale Rollenwechsel erfolgen. Ein direkter Zugriff durch Kunden oder Teilnehmer ist ausgeschlossen.
Bewegungen von Komponenten aus dem Tresor erfolgen nur zu klar definierten Zwecken, zeitlich begrenzt und vollständig dokumentiert. Einordnung: Der Tresor ist ein neutraler Aufbewahrungsort – keine Schnittstelle für informelle Übergaben oder Machtkonzentration.
👉 Ergebnis: Verantwortung ist jederzeit klar zugeordnet – vor, während und nach der Übergabe.
3.3 Temporäre Auslagerung ohne Rekonstruktionsfähigkeit
(Transport, Zwischenlagerung, Vorbereitung)
Risiko:
Temporäre Konzentration von Zugriffsmacht während Bewegung oder Zwischenlagerung.
Warum das kritisch ist:
Viele Sicherheitsmodelle scheitern nicht am dauerhaften Zugriff, sondern an kurzfristigen Ausnahmesituationen. Gerade temporäre Bewegungen werden oft unzureichend abgesichert.
Prävention bei trust4money:
1
SeedPro-Komponenten sind so gestaltet, dass keine vollständige Rekonstruktion während der Bewegung möglich ist
SeedPro-Komponenten sind so gestaltet, dass sie außerhalb definierter Prozesse nicht zusammenwirken können. Dadurch entsteht selbst kurzfristig keine neue Zugriffsmacht. Bewegung bleibt sicherheitsneutral.
2
Trennung von Transportwegen und Zeitfenstern
Komponenten werden nicht gemeinsam transportiert oder zeitgleich bewegt.
Räumliche und zeitliche Trennung reduziert das Risiko gezielter oder zufälliger Zusammenführung. Sicherheit entsteht durch Entkopplung.
3
Keine Zusammenführung sicherheitskritischer Komponenten außerhalb definierter Prozesse
Jede Zusammenführung ist an einen klar geregelten Prozess gebunden.
Vorbereitungen oder Tests erzeugen keine faktische Rekonstruktionsfähigkeit.
Der Ausnahmefall bleibt Ausnahme.
4
Keine impliziten oder mündlichen Verantwortungsübernahmen
Auch bei temporären Bewegungen gilt: Verantwortung entsteht nur durch formale Rollen. Improvisierte Lösungen sind ausgeschlossen. Das schützt vor Haftung durch „gut gemeintes“ Handeln.
👉 Ergebnis: Kurzzeitige Bewegungen erzeugen keine neue Zugriffsmacht.
3.4 Übergaben zur Revision oder Vorbereitung einer Rekonstruktion
Risiko:
Vermischung von Prüf-, Entscheidungs- und Durchführungskompetenzen.
Warum das kritisch ist:
Revisionen und Vorbereitungen sind notwendig, erzeugen aber ein erhöhtes Risiko, wenn Rollen nicht sauber getrennt sind. Prüfung darf niemals Zugriffsmacht erzeugen.
Prävention bei trust4money:
1
Auslagerung ausschließlich zu klar definierten Zwecken
Jede Auslagerung ist zweckgebunden und zeitlich begrenzt. Allgemeine oder vorsorgliche Auslagerungen sind nicht zulässig. Zweckklarheit begrenzt Zugriffsnähe.
2
Trennung zwischen prüfender, entscheidender und ausführender Rolle
Prüfung darf niemals Entscheidung oder Durchführung ersetzen. Diese Trennung verhindert Machtkonzentration unter dem Deckmantel der Kontrolle. Jede Rolle bleibt begrenzt.
3
Zeitlich begrenzte und protokollierte Übergaben
Übergaben erfolgen nur für die Dauer des definierten Vorgangs. Beginn und Ende sind dokumentiert und überprüfbar. Der Ausnahmezustand bleibt zeitlich kontrolliert.
4
Keine vollständige Rekonstruktionsfähigkeit im Rahmen der Vorbereitung
Vorbereitung erzeugt keine faktische Rekonstruktion. Selbst bei Nähe zum Prozess bleibt Zugriffsmacht begrenzt. Kontrolle entsteht ohne Kontrolle über Assets.
👉 Ergebnis: Prüfbarkeit ohne Zugriffsmacht – Kontrolle ohne Kontrolle über Assets.
Übergaben und Bewegungen sind keine logistischen Details, sondern sicherheitskritische Ereignisse. trust4money reduziert Risiken hier nicht durch Vertrauen, sondern durch Struktur. Jede Bewegung ist begrenzt, jede Übergabe nachvollziehbar, jede Verantwortung eindeutig.
Übergaben enden dort, wo Rekonstruktion beginnt – im Moment maximaler Verantwortung.
4. Rekonstruktion & Wiederherstellung
Wenn Systeme beweisen müssen, dass sie funktionieren
Rekonstruktion ist der Moment, in dem eine Sicherheitsarchitektur ihren Ernstfall erreicht. Nicht theoretisch, sondern praktisch. Nicht geplant, sondern ausgelöst. Genau deshalb ist Rekonstruktion kein technischer Vorgang, sondern ein geregelter Entscheidungs‒ und Verantwortungsprozess.
4.1 Auslösung einer Rekonstruktion
Risiko:
Unklare oder informelle Auslösung einer Rekonstruktion ohne saubere Entscheidungsgrundlage.
Warum das kritisch ist:
Rekonstruktion bedeutet temporär erhöhte Zugriffsmacht. Wird sie zu leicht, zu schnell oder durch Einzelpersonen ausgelöst, entsteht ein massives Haftungs- und Sicherheitsrisiko.
Prävention bei trust4money:
1
Rekonstruktion ist nur bei klar definierten Anlässen möglich
Rekonstruktion ist kein allgemeines Mittel zur Bequemlichkeit oder Optimierung.
Sie ist ausschließlich für klar definierte Ausnahmesituationen vorgesehen.
Dadurch wird verhindert, dass Rekonstruktion zur Routinehandlung wird.
2
Die Auslösung folgt festgelegten Entscheidungsregeln (z. B. Mehrheits- oder Einheitsentscheidung je Variante)
Die Entscheidung zur Rekonstruktion ist an die jeweilige Trust-Variante gebunden.
Einzelentscheidungen sind ausdrücklich ausgeschlossen. Entscheidungsmacht bleibt gemeinschaftlich und überprüfbar.
3
Keine spontane oder informelle Rekonstruktion
4
Dokumentierte Begründung jeder Auslösung
👉 Ergebnis: Rekonstruktion ist Ausnahme, nicht Option.
4.2 Rekonstruktion als Prozess – nicht als Handlung
Risiko:
Vermischung von Entscheidung, Durchführung und Kontrolle während der Rekonstruktion.
Warum das kritisch ist:
Sobald eine Person entscheidet und rekonstruiert, entsteht faktisch Alleinverfügung – selbst wenn sie nur temporär besteht.
Prävention bei trust4money:
1
Strikte Trennung zwischen Entscheidungs-, Durchführungs- und Kontrollrolle
Die Entscheidung über eine Rekonstruktion, ihre operative und begleitende Durchführung und ihre Kontrolle liegen bei klar getrennten Rollen. Keine Rolle vereint mehr als eine dieser Funktionen. Dadurch wird verhindert, dass Entscheidungsbefugnis automatisch zu Zugriffsmacht wird.
2
Mehrstufiger Rekonstruktionsprozess statt punktueller Handlung
Rekonstruktion erfolgt nicht als einzelner Akt, sondern als mehrstufiger Prozess mit klar definierten Phasen. Jede Phase baut formal auf der vorherigen auf und ist separat freizugeben, dokumentiert und überprüfbar. Abkürzungen oder Zusammenfassungen von Schritten sind ausgeschlossen.
3
Keine vollständige Kenntnis oder Zugriffsmacht bei einer einzelnen Rolle
Während des gesamten Rekonstruktionsprozesses erhält keine einzelne Rolle vollständige Kenntnis über die Struktur oder eine alleinige Zugriffsmöglichkeit. Wissen und Handlungsmacht bleiben bewusst verteilt – auch unter Zeitdruck oder in Ausnahmesituationen.
4
Rekonstruktion bleibt beherrschbar, auch unter Zeitdruck.
Der Prozess ist so gestaltet, dass er auch unter erhöhtem Zeitdruck, emotionaler Belastung oder externem Zwang kontrollierbar bleibt. Klare Abläufe ersetzen situative Entscheidungen. Geschwindigkeit entsteht aus Vorbereitung, nicht aus Improvisation.
👉 Ergebnis: Rekonstruktion ist Ausnahme, nicht Option.
4.3 Einbindung externer Prüfinstanzen
Risiko:
Fehlende Nachvollziehbarkeit oder Anfechtbarkeit von Rekonstruktionsentscheidungen.
Warum das kritisch ist:
Ohne externe Prüfbarkeit bleibt Rekonstruktion eine interne Behauptung – rechtlich wie organisatorisch angreifbar.
Prävention bei trust4money:
1
Optionale Einbindung unabhängiger Prüfinstitute
Je nach Trust-Variante und Anforderung können unabhängige externe Prüfinstanzen in den Rekonstruktionsprozess eingebunden werden. Diese agieren ausschließlich prüfend und beratend. Sie erhalten keine Entscheidungs- oder Verfügungsmacht über sicherheitsrelevante Komponenten.
2
Nachvollziehbare Dokumentation der Entscheidungs- und Durchführungsschritte
Alle wesentlichen Entscheidungs- und Durchführungsschritte im Rahmen der Rekonstruktion werden nachvollziehbar dokumentiert. Die Dokumentation ermöglicht eine nachträgliche Prüfung der Rechtmäßigkeit, Ordnungsmäßigkeit und Regelkonformität des Prozesses – ohne eine Offenlegung sicherheitskritischer Inhalte zu erzwingen.
3
Trennung von prüfender Instanz und operativer Durchführung
Externe Prüfinstanzen sind strikt von der operativen Durchführung der Rekonstruktion getrennt. Prüfung erzeugt Transparenz, nicht Zugriff. Empfehlungen oder Feststellungen der Prüfinstanz begründen keine operative Handlungspflicht außerhalb der vorgesehenen Entscheidungsprozesse.
👉 Ergebnis: Rekonstruktion ist überprüfbar, nicht nur erklärbar.
4.4 Rücksicherung nach der Rekonstruktion
Risiko:
Verbleib alter Komponenten oder temporärer Zugriffsmöglichkeiten nach Abschluss.
Warum das kritisch ist:
Nicht abgeschlossene Rekonstruktionen erzeugen schleichende Risiken – oft unbemerkt.
Prävention bei trust4money:
1
Verpflichtende Rückführung in definierte Verwahrung
Nach Abschluss der Rekonstruktion werden alle neu erzeugten oder wiederhergestellten sicherheitsrelevanten Komponenten unverzüglich in die vorgesehenen Verwahrstrukturen zurückgeführt. Temporäre Zustände enden nicht faktisch, sondern formal und dokumentiert.
2
Kontrollierte Vernichtung oder Invalidierung alter Sicherheitskomponenten
Sicherheitskomponenten, die im Zuge der Rekonstruktion ersetzt oder obsolet geworden sind, werden kontrolliert vernichtet oder technisch invalidiert. Eine parallele Existenz alter und neuer Komponenten ist ausgeschlossen.
3
Abschlussprotokoll mit Integritätsbestätigung
Der Abschluss der Rekonstruktion wird durch ein formales Protokoll bestätigt. Dieses dokumentiert die ordnungsgemäße Rücksicherung, die Integrität der neuen Struktur und das Ende des Ausnahmezustands. Offene Punkte oder Abweichungen werden explizit festgehalten.
👉 Ergebnis: Der Ausnahmezustand endet nachvollziehbar – nicht stillschweigend.
4.5 Haftungslogik während der Rekonstruktion
Risiko:
Diffuse Haftung bei Fehlern, Verzögerungen oder Abweichungen.
Warum das kritisch ist:
Rekonstruktion ist der haftungsrelevanteste Moment der gesamten Struktur.
Prävention bei trust4money:
1
Haftung folgt der Rolle, nicht der Person
2
Jeder Prozessschritt ist eindeutig zuordenbar
3
Abweichungen sind formal erfasst und eskalierbar
👉 Ergebnis: Haftung ist klar, begrenzt und überprüfbar.
Rekonstruktion beweist die Struktur im Ausnahmefall – Revision hält sie dauerhaft tragfähig.
Rekonstruktion ist kein Notfallknopf. Sie ist ein geregelter Beweis dafür, dass Sicherheit nicht vom Idealzustand abhängt.
Das System bleibt handlungsfähig – auch dann, wenn Menschen ausfallen, Druck entsteht oder Zeit vergeht.
5. Revision, Backup & Sonderfälle
Was passiert, wenn nichts „normal“ und nichts „wie immer“ läuft
Sicherheitsstrukturen dürfen nicht nur im Idealfall funktionieren. Sie müssen gerade dann tragen, wenn Abläufe unterbrochen, geprüft oder bewusst gestört werden. Revisionen, Backups und Sonderfälle sind deshalb kein Ausnahmezustand, sondern ein notwendiger Bestandteil belastbarer Sicherheit.
5.1 Revision als Eingriff in die Sicherheitsstruktur
Risiko:
Revisionen erzeugen temporär erhöhte Transparenz und Zugriffsnähe.
Warum das kritisch ist:
Jede Revision greift in bestehende Schutzmechanismen ein. Wird sie informell oder ohne klare Rollentrennung durchgeführt, entsteht ungewollte Zugriffsmacht.
Prävention bei trust4money:
1
Revisionen erfolgen ausschließlich zu definierten Zwecken
Revisionen werden nur aus klar benannten und dokumentierten Anlässen durchgeführt, etwa zur Integritätsprüfung, zur Einhaltung vertraglicher Vorgaben oder zur Vorbereitung definierter Folgeschritte. Zweckoffene oder routinemäßig „mitlaufende“ Revisionen sind ausgeschlossen.
2
Klare Trennung zwischen prüfender, entscheidender und ausführender Rolle
Die prüfende Rolle besitzt weder Entscheidungs- noch Durchführungskompetenz. Entscheidungen über Umfang, Zeitpunkt und Art der Revision erfolgen getrennt von ihrer operativen Umsetzung. Dadurch wird verhindert, dass Revision faktisch zu Zugriffsmacht oder Steuerung wird.
3
Zeitlich begrenzte und protokollierte Auslagerungen
Sofern im Rahmen der Revision eine Auslagerung sicherheitsrelevanter Komponenten erforderlich ist, erfolgt diese zeitlich klar begrenzt und vollständig protokolliert. Beginn, Ende, Zweck und beteiligte Rollen sind eindeutig dokumentiert.
4
Keine vollständige Rekonstruktionsfähigkeit im Rahmen der Revision
Auch während der Revision entsteht zu keinem Zeitpunkt eine vollständige Rekonstruktions- oder Verfügungsmöglichkeit. Die Struktur bleibt so gestaltet, dass Überprüfbarkeit möglich ist, ohne Zugriffsmacht zu erzeugen.
👉 Ergebnis: Überprüfbarkeit ohne Kontrollverlust.
5.2 Backup‒Mechanismen & Aktivierung
Risiko:
Unkontrollierte oder missbräuchliche Aktivierung von Backups.
Warum das kritisch ist:
Backups sind Schutzmechanismen – werden sie falsch aktiviert, können sie selbst zum Risiko werden.
Prävention bei trust4money:
1
Backups sind nicht dauerhaft aktiv, sondern bewusst getrennt
Backup-Mechanismen sind strukturell von der operativen Sicherheitsarchitektur getrennt. Sie sind nicht permanent wirksam und ersetzen weder die reguläre Verwahr- noch die Entscheidungsstruktur. Dadurch wird verhindert, dass Backups schleichend zur primären Zugriffsebene werden.
2
Aktivierung nur unter klar definierten Bedingungen
Die Aktivierung eines Backups ist ausschließlich unter zuvor festgelegten, dokumentierten Bedingungen gemäß der persönlichen Mitverwahrungsverträge zulässig. Diese Bedingungen sind vertraglich definiert und an konkrete Ereignisse oder Ausfallkonstellationen gebunden. Eine präventive oder „vorsorgliche“ Aktivierung findet nicht statt.
3
Mehrstufige Entscheidungs- und Freigabelogik
Die Aktivierung erfolgt nicht durch Einzelentscheidungen. Sie unterliegt einer mehrstufigen Entscheidungs- und Freigabelogik, die je nach Trust-Variante Mehrheits- oder Konsensentscheidungen vorsieht. Entscheidung, Aktivierung und Kontrolle sind dabei klar getrennt.
4
Dokumentierte Aktivierung und Deaktivierung
👉 Ergebnis: Backups bleiben Sicherheitsreserve – keine Abkürzung.
5.3 Speicherung & Umgang mit anonymisierten Seedlisten
Risiko:
Fehlinterpretation anonymisierter Daten als vollständige Sicherung.
Warum das kritisch ist:
Anonymisierte Seedlisten können missverstanden oder falsch eingeordnet werden. Ohne klare Kontextualisierung entsteht Scheinsicherheit.
Prävention bei trust4money:
1
Anonymisierung ohne Zuordenbarkeit zu Personen oder Wallets
2
Strikte Trennung zwischen Datenhaltung und Rekonstruktionslogik
3
Keine alleinige Rekonstruktionsfähigkeit aus anonymisierten Informationen
👉 Ergebnis: Datensicherung ohne Zugriffsmacht.
5.4 Sonderfälle & Abweichungen vom Normalbetrieb
Risiko:
Unklare Reaktion auf Situationen außerhalb definierter Standardprozesse.
Warum das kritisch ist:
Sonderfälle sind der Moment, in dem Systeme ihre Reife zeigen – oder versagen.
Prävention bei trust4money:
1
Definierte Eskalationspfade für Abweichungen
2
Keine improvisierten Entscheidungen außerhalb des Regelwerks
3
Dokumentierte Sonderfallbehandlung
👉 Ergebnis: Ausnahmefälle bleiben steuerbar – nicht chaotisch.
5.5 Zeitliche Erneuerung & Reset‒Zyklen
Risiko:
Veraltete Strukturen, schleichender Sicherheitsverlust über Zeit.
Warum das kritisch ist:
Sicherheit ist kein statischer Zustand. Was nicht erneuert wird, verliert Wirksamkeit – technisch wie organisatorisch.
Prävention bei trust4money:
1
Verpflichtende Erneuerungszyklen je nach Trust-Variante
2
Geplante Resets statt reaktiver Notlösungen
3
Vollständige Neubewertung von Rollen, Zuständigkeiten und Komponenten
👉 Ergebnis: Sicherheit bleibt aktuell – nicht historisch.
5.6 Sicherheitsvorfallregister & Informationspflicht
Risiko:
Nicht erkannte, verspätet erkannte oder nicht geteilte Sicherheitsvorfälle.
Warum das kritisch ist:
Sicherheit scheitert selten am ersten Ereignis – sondern daran, dass Warnsignale nicht dokumentiert, geteilt oder ernst genommen werden. Ein isoliertes Wissen einzelner Beteiligter erzeugt Blindstellen im System.
Prävention bei trust4money:
1
Der Treuhänder führt ein zentrales Sicherheitsvorfallregister
2
Erfasst werden alle sicherheitsrelevanten Vorfälle sowie alle bekannten Versuche
3
Alle Teilnehmer werden unaufgefordert und unverzüglich über Einträge im Register informiert
4
Das Register ist revisionsfähig und Bestandteil der laufenden Sicherheitsüberwachung
👉 Ergebnis: Sicherheitswissen ist nicht fragmentiert, sondern gemeinschaftlich verfügbar. Reaktion ersetzt Überraschung.
5.7 Regelmäßige Tests & Erreichbarkeitsprüfung
Risiko:
Scheinbare Sicherheit durch ungeprüfte Strukturen.
Warum das kritisch ist:
Was nie getestet wird, funktioniert im Ernstfall oft nur theoretisch.
Prävention bei trust4money:
1
Einmal jährlich, spätestens zum 1. November, Durchführung einer Test-Rekonstruktion mit einer Dummy-Seedphrase
2
Die Test-Rekonstruktion erfolgt in gemeinsamer Anwesenheit aller Teilnehmer
3
Zusätzlich jährliche Erreichbarkeitsbestätigung („Ich-lebe-noch“) aller Teilnehmer bis 31. März
4
Bleibt die Bestätigung dreimal aus, wird automatisch ein Sicherheitsvorfall ausgelöst
👉 Ergebnis: Die Struktur wird regelmäßig bewiesen – nicht nur behauptet.
Revisionen, Backups und Sonderfälle sind kein Zeichen von Unsicherheit. Sie sind der Beweis dafür, dass Sicherheit bewusst gestaltet ist.
Die Struktur bleibt belastbar – auch dann, wenn der Normalbetrieb endet.
6. Externe Ereignisse & Ausfälle
Tod, Insolvenz, Zwang, Behörden – und wie Strukturen darauf vorbereitet sind
Nicht alle Risiken entstehen im System selbst. Manche kommen von außen – plötzlich, unumkehrbar und unabhängig vom Verhalten der Beteiligten. Eine belastbare Sicherheitsarchitektur erkennt diese Ereignisse nicht als Ausnahme, sondern als Teil der Realität. Ein dauerhaftes Ausbleiben der Erreichbarkeitsbestätigung gilt als Ausfallereignis und löst die in diesem Abschnitt beschriebenen Fortführungsmechanismen aus.
6.1 Ausfall oder Tod eines Beteiligten
Risiko:
Handlungsunfähigkeit durch Wegfall einer entscheidenden Person.
Warum das kritisch ist:
Viele Sicherheitsmodelle binden Verantwortung faktisch an Menschen.
Fällt eine Person aus, fällt das System mit.
Prävention bei trust4money:
1
Rollen sind übertragbar, nicht personenbezogen
2
Kein Beteiligter ist allein entscheidungs- oder rekonstruktionsfähig
3
Vordefinierte Ersatz- und Fortführungsregelungen
👉 Ergebnis: Das System bleibt handlungsfähig – unabhängig vom Einzelnen.
6.2 Insolvenz eines Verwahrers oder Treuhänders
Risiko:
Blockierung oder Zugriff durch Insolvenzverfahren.
Warum das kritisch ist:
Insolvenz schützt Gläubiger – nicht zwingend die Handlungsfähigkeit von Strukturen.
Prävention bei trust4money:
1
Trennung von Eigentum, Besitz und Verfügungsgewalt
2
Mehrparteienmodelle ohne Single Point of Failure
3
Vertraglich geregelte Fortführung bei Ausfall
Ergänzung:
Da Tresorfächer durch den Treuhänder angemietet werden, ist deren Fortführung vertraglich vorab geregelt. Ein Ausfall des Treuhänders (Tod, Insolvenz oder dauerhafte Handlungsunfähigkeit) führt nicht zu einem Zugriffs- oder Verwahrungsstillstand. Alle Rechte und Pflichten im Zusammenhang mit dem Tresor gehen automatisch auf einen zuvor benannten Ersatztreuhänder oder Notar über. Der Tresor wird damit nicht zum Blockadepunkt, sondern bleibt Teil einer fortführungsfähigen Struktur. Einordnung: Externe Ereignisse führen nicht zu Stillstand, sondern zu einem geregelten Rollenübergang.
👉 Ergebnis: Insolvenz einzelner Beteiligter führt nicht zum Kontrollverlust.
6.3 Behördliche Herausgabeverlangen
Risiko:
Zwang zur Herausgabe von Komponenten oder Informationen.
Warum das kritisch ist:
Behördliche Anordnungen wirken auf Personen und Institutionen – nicht auf technische Systeme.
Prävention bei trust4money:
1
Keine vollständige Rekonstruktionsfähigkeit bei einzelnen Stellen
2
Verteilte Verwahrung über mehrere Rollen, Orte und Länder
3
Herausgabe einzelner Komponenten erzeugt keine Zugriffsmacht
👉 Ergebnis: Zwang führt zu Transparenz, nicht zu Kontrolle.
6.4 Juristische Auseinandersetzungen & Zwangslagen
Risiko:
Blockade oder Instrumentalisierung von Schlüsselträgern.
Warum das kritisch ist:
Rechtliche Konflikte wirken oft indirekt – über Druck, Verbote oder Verpflichtungen.
Prävention bei trust4money:
1
Entscheidungsfähigkeit liegt im Prozess, nicht bei Einzelpersonen
2
Klare Abgrenzung zwischen Mitwirkungspflicht und Zugriffsmacht
3
Dokumentierte Entscheidungswege
👉 Ergebnis: Rechtliche Konflikte gefährden nicht die Funktionsfähigkeit des Systems.
6.5 Langfristige Zeitereignisse & Generationenwechsel
Risiko:
Verlust von Wissen, Verantwortung oder Struktur über Zeit.
Warum das kritisch ist:
Viele Sicherheitsmodelle sind auf Personen, nicht auf Zeit ausgelegt.
Prävention bei trust4money:
1
Zeitlich gedachte Sicherheitsmodelle mit Erneuerungslogik
2
Klare Nachfolge- und Übergaberegelungen
3
Regelmäßige strukturelle Neubewertung
👉 Ergebnis: Sicherheit bleibt generationsfähig – nicht situationsabhängig.
6.6 Automatischer Rollenübergang bei Ausfall des Treuhänders
Risiko:
Handlungsunfähigkeit der Sicherheitsstruktur durch Ausfall eines zentralen Treuhänders.
Warum das kritisch ist:
In vielen Modellen ist Treuhandschaft faktisch an eine konkrete Person oder Organisation gebunden. Fällt diese weg, entstehen Verzögerungen, Rechtsunsicherheit oder faktische Blockaden – selbst dann, wenn alle Beteiligten kooperativ sind.
Prävention bei trust4money:
1
Der Ausfall eines Treuhänders (Tod, Insolvenz, dauerhafte Handlungsunfähigkeit) löst automatisch den Übergang aller Rechte und Pflichten auf einen zuvor benannten Ersatztreuhänder oder Notar aus
2
Der Rollenübergang erfolgt ohne Neuvertrag, ohne Ermessensentscheidung und ohne Unterbrechung der Sicherheitsstruktur
3
Der Ersatztreuhänder übernimmt insbesondere:
– Rechte zur Tresorverfügung
– Backup- und Wiederherstellungsrechte
– Rechte zur Rekonstruktion der Seedliste
– Abonnement- und Vertragsverwaltung
– Revisionsdurchführung
– Begleitung von Rekonstruktionen
– weitere treuhänderische Pflichten gemäß Vertrag
4
Der Rollenübergang ist vertraglich vorab definiert, dokumentiert und rechtlich wirksam ausgestaltet
👉 Ergebnis: Der Wegfall eines Treuhänders führt nicht zu Stillstand, sondern zu nahtloser Fortführung.
6.7 Nachfolge bei Ausscheiden eines Teilnehmers
Risiko:
Unsichere oder informelle Übergabe sicherheitsrelevanter Komponenten bei Ausscheiden eines Beteiligten.
Warum das kritisch ist:
Personenwechsel sind planbar – Chaos bei der Übergabe ist es nicht.
Prävention bei trust4money:
1
Ausscheidende Teilnehmer sind verpflichtet, alle sicherheitsrelevanten Bestandteile innerhalb von 30 Tagen an den Nachfolger zu übergeben
2
Die Übergabe erfolgt ausschließlich unter Aufsicht eines beteiligten Treuhänders oder aller Teilnehmer – physisch oder per Video-Anwesenheit
3
Bei Verlust, Streit oder Unklarheit wird unverzüglich eine Rekonstruktion gemäß den festgelegten Regeln durchgeführt
4
Die Änderung wird im Sicherheitsvorfallregister dokumentiert
5
Dokumente, Zuordnung und NFC-Inhaberschaft werden durch den Treuhänder angepasst
👉 Ergebnis: Personen können wechseln, ohne dass Sicherheit neu erfunden werden muss.
Externe Ereignisse zeigen, ob eine Sicherheitsstruktur funktioniert. Haftung und Vermögenszuordnung entscheiden, ob sie auch rechtlich trägt.
Deshalb endet Sicherheit nicht bei Prozessen und Rollen, sondern im klar geregelten Haftungs‒ und Eigentumsrahmen.
Deshalb endet Sicherheit nicht bei Prozessen und Rollen, sondern im klar geregelten Haftungs‒ und Eigentumsrahmen.
7. Haftung & Vermögenszuordnung
Rechtlicher Rahmen der Trust-Custody-Struktur
Trust Custody ist keine haftungsfreie Konstruktion, sondern eine klar geregelte Verantwortungsstruktur. Haftung, Vermögenszuordnung und Insolvenzfestigkeit sind ausdrücklich vertraglich definiert. Die Fortführung der Treuhandfunktionen bei Ausfall einzelner Beteiligter ist vertraglich vorab geregelt und unabhängig von Insolvenz‒ oder Todesfällen sichergestellt.
7.1 Haftung der Treuhänder
Regelung:
Treuhänder haften bei Vorsatz und grober Fahrlässigkeit unbeschränkt.
Bei leichter Fahrlässigkeit ist die Haftung je Treuhänder auf 2.000.000 € pro Schadensfall begrenzt.
Warum das wichtig ist:
Haftung ist nicht ausgeschlossen, sondern bewusst begrenzt und versichert.
Damit wird Verantwortung übernommen, ohne unkalkulierbare Risiken zu erzeugen.
Absicherung
1
Die Haftung ist durch eine Vermögensschaden-Haftpflichtversicherung der T4M GmbH gedeckt.
👉 Ergebnis: Haftung ist real, versichert und kalkulierbar.
7.2 Treuhandvermögen & Insolvenzschutz
Regelung:
Die verwahrten Komponenten sind Treuhandvermögen der Gesellschaft bzw. des Kunden. Sie unterliegen der Aussonderung gemäß § 47 InsO und gehören nicht zur Insolvenzmasse.
Warum das wichtig ist:
In vielen Verwahrmodellen ist im Insolvenzfall unklar, ob Vermögenswerte tatsächlich getrennt sind.
Strukturelle Konsequenz bei trust4money
1
Die Sicherheitskomponenten bleiben rechtlich dem Eigentümer zugeordnet – unabhängig von der wirtschaftlichen Situation einzelner Beteiligter.
Tresorpartner haften ausschließlich für die ordnungsgemäße Bereitstellung und Sicherung des Schließfachs sowie der Tresoranlage. Sie übernehmen keine Haftung für Inhalt, Bedeutung, Vollständigkeit oder Funktionsfähigkeit der verwahrten Komponenten. Die Verantwortung für Struktur, Rollenverteilung und ordnungsgemäße Einbindung des Tresors liegt beim Treuhänder im Rahmen des Trust-Custody-Vertrags. Der wirtschaftliche Eigentümer bleibt jederzeit der Kunde bzw. Teilnehmer. Einordnung: Haftung ist klar getrennt, begrenzt und nachvollziehbar – physische Verwahrung und strukturelle Verantwortung werden nicht vermischt.
👉 Ergebnis: Insolvenz betrifft Institutionen – nicht das Treuhandvermögen.
Trust Custody verspricht nicht, dass nichts passieren kann. Es sorgt dafür, dass kein einzelnes Ereignis das System bricht.
Risiken werden nicht verdrängt, sondern antizipiert. Verantwortung wird nicht delegiert, sondern strukturiert. Haftung wird nicht vermieden, sondern geregelt. Entscheidungsfähigkeit bleibt erhalten – auch über Zeit, Personen und Institutionen hinweg.
Diese Seite beschreibt keine Produkte. Sie beschreibt eine Sicherheitsarchitektur. Eine Architektur für Situationen, in denen Bitcoin nicht mehr nur Besitz ist, sondern Teil von Gemeinschaft, Vermögensverantwortung und Zukunftsplanung.
Der nächste Schritt ist kein Klick.
Ergänzend können auf Mandatsebene Vertraulichkeitsvereinbarungen (NDA) sowie rollenbasierte Zugriffskonzepte eingerichtet werden, um den Zugang zu sensiblen Informationen strikt zu kontrollieren.
Unternehmen
Blogbeiträge
Leistungen
Rechtliches