Coldcard behandelt jeden Computer als feindlich — auch den, dem Sie zu vertrauen wählen.

Funktionsweise

Coldcard ist ein ausschließlich für Bitcoin gedachtes Hardware-Signaturgerät von Coinkite, einem Unternehmen aus Toronto, das das Produkt seit 2017 vertreibt. Es erfüllt nur eine Aufgabe: die privaten Schlüssel einer Bitcoin-Wallet zu erzeugen und zu schützen und anschließend Transaktionen zu signieren, ohne sich je über eine vertrauenswürdige Datenverbindung mit einem Computer zu verbinden.

Der Ablauf ist bewusst indirekt. Eine Watch-only-Wallet auf einem Rechner oder Telefon — Sparrow, Electrum oder Coldcards eigene Werkzeuge — erstellt eine unsignierte Transaktion im PSBT-Format. Diese Datei wandert auf einer microSD-Karte, als QR-Code oder per NFC beim größeren Coldcard Q zum Coldcard. Das Gerät zeigt Empfänger und Betrag auf dem eigenen Display, der Nutzer bestätigt mit einer PIN, und die signierte Transaktion kehrt auf demselben Weg zurück. Der Host-Rechner übernimmt das Aussenden, berührt die Seed-Phrase aber nie.

Die Schlüssel liegen hinter zwei Sicherheitselementen von verschiedenen Herstellern, sodass ein Bruch in einem Chip kein Bruch der Wallet ist. Das Gehäuse ist absichtlich durchsichtig, um physische Manipulation sichtbar zu machen.

KYC & Datenschutz

Es gibt kein Konto, keine Registrierung, keine E-Mail-Adresse und keinen begleitenden Cloud-Dienst. Der Coldcard ist ein physischer Gegenstand, kein gehosteter Dienst: Ist er einmal in der Hand, weiß kein Server von seiner Existenz, und es gibt nichts, das man vorladen, einfrieren oder protokollieren könnte. Das Gerät verbindet sich überhaupt nicht mit dem Internet und sendet daher keine Telemetrie.

Der Datenschutz hängt anschließend davon ab, wie das Gerät gekoppelt wird. Der Coldcard signiert Transaktionen; er entscheidet nicht, wie eine Desktop-Wallet das Netzwerk abfragt. Wer eine Watch-only-Wallet auf den Electrum-Server eines Fremden richtet, gibt diesem Server seine Adressen preis. Den Coldcard mit einer eigenen Bitcoin-Node zu koppeln, schließt diese Lücke. Das Gerät selbst erfasst nichts; in der umgebenden Einrichtung wird die Adressprivatsphäre gewonnen oder verloren.

Stärken und Grenzen

Das stärkste Argument für den Coldcard ist das Bedrohungsmodell, von dem er ausgeht: Jeder Computer ist feindlich, auch der des Besitzers. Vom Netz getrennte Signatur, Prüfung auf dem Gerät und zwei Sicherheitselemente machen eine entfernte Kompromittierung schwer und eine stille sichtbar. Acht Jahre Betrieb unter einem einzigen Unternehmen, mit offengelegten und behobenen statt vergrabenen Schwachstellen, sind eine aussagekräftige Bilanz.

Die Grenzen sind real. Die Firmware ist veröffentlicht und reproduzierbar, wird aber unter einer Commons-Clause-Lizenz vertrieben — einsehbar zur Prüfung, jedoch nicht quelloffen im strengen Sinne, ein Punkt, den die Datenschutz-Community regelmäßig anspricht. Frühere Offenlegungen — eine Umgehung der Testnet-Anzeige 2020, ein Fehler bei der Registrierung von Multisig-xpubs 2020–21, behoben in Firmware 3.2.1, und eine Schwäche zur PIN-Extraktion am längst eingestellten Mk2 — wurden alle behoben, zeigen aber, dass das Gerät der Prüfung nicht entgeht. Zudem ist es ausschließlich für Bitcoin und verlangt mehr Sorgfalt als eine mobile Wallet, die man mit einer Geste signiert.

Fazit

Der Coldcard eignet sich für den Nutzer, der die Schlüsselverwaltung als Disziplin und nicht als Bequemlichkeit behandelt, und er wird jeden frustrieren, der Mittel in Sekunden bewegen will. Die Commons-Clause-Lizenz und die Reihe offengelegter Fehler sind echte Vorbehalte, doch keiner stellt ein Gerät infrage, dessen Kernversprechen — die Seed-Phrase von jeder vernetzten Maschine fernzuhalten — seit acht Jahren hält. Note: A (9,4/10). Vertrauen: TRUSTED.