Ledger ist die weltweit meistverkaufte Hardware-Wallet-Marke und stellt für die meisten Nutzer ein erhebliches Sicherheitsupgrade dar gegenüber der Aufbewahrung von Guthaben auf Börsen oder in Software-Wallets. Allerdings hatte Ledger mit echten Kontroversen zu kämpfen — ein großer Datenleck bei Kunden im Jahr 2020, ein Angriff auf die Lieferkette 2023 und erhebliche Kontroversen über die Ledger Recover-Funktion. Ein genaues Verständnis dieser Ereignisse ist entscheidend, um eine informierte Entscheidung zu treffen, ob Ledger das Richtige für dein Sicherheitsmodell ist.
Dieser Artikel bietet dir eine vollständige, ehrliche Sicherheitsanalyse von Ledgers Hardware, Software und Erfolgsbilanz.
Die Kernarchitektur der Sicherheit
Der Secure-Element-Chip
Das Fundament von Ledgers Sicherheit ist der Secure-Element-(SE)-Chip. Dies ist die gleiche Kategorie von Chip, die verwendet wird in:
- EMV-Zahlungskarten (Visa, Mastercard)
- Elektronischen Pässen
- SIM-Karten
- Staatlichen Ausweisen
Secure Elements sind physisch gehärtete Chips, die gegen folgende Angriffe resistent sind:
Das Nano X und Nano S Plus verwenden das ST33K1M5 Secure Element mit CC EAL5+ Zertifizierung. Das neuere Stax und Flex verwenden einen Chip mit CC EAL6+ Zertifizierung, ein höherer Standard. Zum Vergleich: EAL6+ ist das Niveau, das für Smart Cards verwendet in nationalen Ausweisprogrammen erforderlich ist.
Die Zwei-Chip-Architektur
Ledger-Geräte verwenden zwei separate Chips:
Diese Trennung ist ein wichtiges Sicherheitsmerkmal. Selbst wenn ein Angreifer die MCU kompromittiert (die das Display und USB/Bluetooth betreibt), kann er nicht auf die im Secure Element gespeicherten privaten Schlüssel zugreifen, ohne die physische Sicherheit dieses Chips zu brechen.
Die MCU und SE kommunizieren über einen sicheren internen Kanal. Der SE überprüft die Integrität der MCU beim Hochfahren — wenn die MCU-Firmware manipuliert wurde, erkennt dies der SE und warnt den Benutzer.
CC EAL5+ vs EAL6+: Was bedeutet das eigentlich?
Common Criteria (CC) ist ein internationaler Standard zur Bewertung der Sicherheit von Informationstechnologieprodukten. Die Evaluation Assurance Level (EAL) Skala reicht von EAL1 (niedrigsten) bis EAL7 (höchsten).
| Niveau | Beschreibung | Häufige Anwendungsfälle |
|---|---|---|
| EAL1 | Funktional getestet | Basis-Unterhaltungselektronik |
| EAL2 | Strukturell getestet | Einige Sicherheitsprodukte für Verbraucher |
| EAL3 | Methodisch getestet | Einige Banksysteme |
| EAL4 | Methodisch konzipiert | Die meisten Zahlungskarten |
| EAL5+ | Halbformal konzipiert und getestet | Ledger Nano X/S Plus, Pässe |
| EAL6+ | Halbformal verifiziertesDesign | Ledger Stax/Flex, einige staatliche Ausweissysteme |
| EAL7 | Formal verifiziert | Militärische Systeme |
Der Unterschied zwischen EAL5+ und EAL6+ ist bedeutsam — EAL6+ erfordert eine rigorosere formale Verifikation des Chip-Designs. Allerdings ist EAL5+ bereits weit über dem hinaus, was die meisten Verbraucherelektronik erreicht, und stellt echten Schutz gegen ausgefeilte physische Angriffe dar.
Der Datenleck 2020
Im Juli 2020 wurde Ledgers E-Commerce- und Marketing-Datenbank gehackt. Ungefähr 272.000 Kunden hatten ihre vollständigen Namen, E-Mail-Adressen, Telefonnummern und physische Adressen preisgegeben. Ungefähr 1 Million E-Mail-Adressen wurden ebenfalls geleakt.
Was NICHT preisgegeben wurde:
- Recovery Phrases
- Private Schlüssel
- Guthaben
- Zahlungskartendetails
- Passwörter zu Ledger-Konten
Der Angriff zielte auf Ledgers Marketing-Datenbank, nicht auf die Hardware-Geräte selbst, die Blockchain oder kryptografisches Material. Niemand verlor Kryptowährungen als direkte Folge dieses Lecks.
Was folgte: Ledger-Kunden waren umfangreichen und ausgefeilten Phishing-Angriffen ausgesetzt. Kriminelle schickten physische Briefe an Heimadressen, behaupteten, von Ledger zu sein, und forderten Recovery Phrases an. E-Mails imitierten Ledgers Branding, um Benutzer dazu zu bringen, ihre Seed Phrase auf gefälschten Websites einzugeben.
Wichtigste Lektion: Die Hardware war nie kompromittiert. Aber der Datenleck schuf eine lang anhaltende Phishing-Bedrohung für betroffene Kunden. Wenn du ein Ledger-Kunde vor 2020 warst, bleibst du einem höheren Phishing-Risiko ausgesetzt und solltest wachsam bleiben.
Der Ledger Connect Kit Angriff 2023
Im Dezember 2023 kompromittierte ein Angreifer das npm-Paket für Ledger Connect Kit — eine JavaScript-Bibliothek, die von vielen DeFi-Websites verwendet wird, um sich über WalletConnect mit Ledger-Geräten zu verbinden. Der Angreifer injizierte bösartigen Code, der Benutzer aufforderte, ihre Seed Phrases über ein gefälschtes modales Fenster einzugeben.
Was kompromittiert wurde: Die DApp/Browser-Schicht — das JavaScript, das auf Websites läuft
Was NICHT kompromittiert wurde: Das Ledger-Hardware-Gerät, die Firmware oder das Secure Element
Der Angriff betraf Benutzer mehrerer DeFi-Protokolle, darunter SushiSwap und andere, während eines Fensters von ungefähr 5 Stunden, bevor Ledger das bösartige Paket patched. Ledger schätzte, dass etwa $600.000 Kryptowährung von Benutzern gestohlen wurden, die ihre Seed Phrase in die gefälschte Eingabeaufforderung eingaben.
Wichtigste Lektion: Dies war ein Software-Supply-Chain-Angriff auf die Web-Schicht, nicht auf Ledger-Hardware. Das grundlegende Sicherheitsmodell des Hardware-Geräts wurde nicht gebrochen. Der Angriff zeigte jedoch das Risiko, Hardware-Wallets mit webbasierten DApps zu verbinden — du vertraust nicht nur der Hardware, sondern dem gesamten Web-Stack. Gib deine Seed Phrase niemals in eine Web-Oberfläche ein, egal wie legitim sie aussieht.
Die Ledger Recover Kontroverse (2023)
Im Mai 2023 kündigte Ledger Ledger Recover an — einen kostenpflichtigen Abonnementdienst, der deine Seed Phrase in drei verschlüsselte Fragmente unter Verwendung von Shamirs Secret Sharing aufteilt und jedes bei einem anderen Verwahrunternehmen speichert.
Diese Ankündigung führte zu erheblichem Widerstand aus einem bestimmten Grund: Sie offenbarte, dass Ledgers Firmware in der Lage ist, die Seed Phrase aus dem Secure Element zu extrahieren und über das Internet zu übertragen — etwas, das viele Benutzer für architektonisch unmöglich gehalten hatten.
Ledgers Position: Ledger Recover ist optional und erfordert ausdrückliche Zustimmung des Benutzers. Das Secure Element schützt immer noch Schlüssel; Recover nutzt einfach eine vorhandene Funktion, um die Seed bei Anforderung durch den Benutzer zu verschlüsseln und zu exportieren.
Position der Kritiker: Die Existenz dieser Funktion bedeutet, dass Benutzer darauf vertrauen müssen, dass Ledger sie nicht ohne Zustimmung aktiviert, oder dass ein bösartiges Firmware-Update (oder staatlicher Zwang) es nicht aktivieren könnte. Dies widerspricht den früheren Zusicherungen von Ledger, dass Schlüssel „niemals das Gerät verlassen könnten“.
Die Sicherheitsrealität: Ledger Recover stellt tatsächlich eine Änderung der Sicherheitsannahmen für Ledger-Geräte dar. Benutzer, die absolute Gewissheit benötigen, dass ihre Schlüssel niemals über das Internet exportiert werden können, haben jetzt einen legitimen Grund, neu zu überdenken. Benutzer, die Ledgers Implementierung vertrauen, sind nicht in zusätzlicher Gefahr durch Recover, wenn sie sich nicht anmelden.
Eine vollständige Analyse von Ledger Recover findest du in unserem ausführlichen Leitfaden.
Open-Source-Status
Ledgers Secure Element Firmware ist teilweise geschlossener Quellcode — Ledger begründet dies mit NDA-Anforderungen des Chip-Herstellers (ST Microelectronics). Das Ledger OS (BOLOS) und der App-Quellcode sind öffentlich auf GitHub verfügbar.
Dieser teilweise geschlossene Ansatz bedeutet, dass unabhängige Sicherheitsforscher die Firmware, die auf dem Secure Element läuft, nicht vollständig prüfen können. Im Gegensatz dazu ist die gesamte Firmware von Trezor Open Source.
Ledger hat Sicherheitsprüfungen mit Drittanbietern durchgeführt, diese werden aber nicht immer vollständig veröffentlicht. Dies ist eine echte Einschränkung im Vergleich zu vollständig Open-Source-Alternativen.
Vergleich mit Konkurrenten
| Sicherheitsmerkmal | Ledger Nano X | Ledger Stax | Trezor Safe 3 | Trezor Safe 5 |
|---|---|---|---|---|
| Secure Element | Ja (EAL5+) | Ja (EAL6+) | Ja (EAL6+) | Ja (EAL6+) |
| Open-Source-Firmware | Teilweise | Teilweise | Vollständig | Vollständig |
| Luftgap-Option | Nein | Nein | Nein | Nein |
| Passphrase-Unterstützung | Ja | Ja | Ja | Ja |
| Lieferketten-Verifizierung | Genuine-Check | Genuine-Check | Genuine-Check | Genuine-Check |
| Display zur Adressverifizierung | Ja | Ja | Ja | Ja |
Trezors vollständig Open-Source-Firmware ist ein aussagekräftiger Vorteil für Sicherheitspuristen. Ledgers Secure-Element-Design bietet stärkeren physischen Schutz gegen Hardware-Extraktionsangriffe. Keiner ist objektiv „sicherer“ für jeden Benutzer — es hängt von deinem Bedrohungsmodell ab.
Praktisches Sicherheitsverdikt
Für die überwiegende Mehrheit der Kryptowährungsbenutzer stellen Ledger-Hardware-Wallets eine ausgezeichnete und angemessene Sicherheitswahl dar. Das Hardware-Sicherheitsmodell — mit einem Secure Element, physischer Bestätigungstaste und Adressverifizierung auf dem Gerätebildschirm — schützt vor den häufigsten realen Bedrohungen: Phishing, Malware, Exchange-Hacks und Softwareschwachstellen.
Die echten Risiken für Ledger-Benutzer stammten nicht aus Hardware-Kompromissen, sondern aus:
In jedem Fall war nicht die Hardware die Schwachstelle — Social Engineering und Benutzerverhalten waren es. Dies ist tatsächlich ein Argument für die Solidität von Ledgers Hardware: Angreifer umgehen sie, anstatt sie zu brechen.
Fazit: Ledger ist sichere Hardware. Die Bedrohungen für Ledger-Benutzer stammen aus der Software- und Social-Engineering-Schicht, nicht aus Fehlern im Secure Element oder der kryptografischen Implementierung des Geräts.
Häufig gestellte Fragen
F: Hat jemand Kryptowährungen direkt durch einen Ledger-Hardware-Exploit verloren?
Es gibt keine öffentlich dokumentierten Fälle von Gelddiebstahl durch einen direkten Exploit von Ledgers Secure Element oder Kern-Hardware-Design. Diebstähle von Ledger-Benutzern betrafen Phishing, Social Engineering und Benutzer, die freiwillig Seed Phrases preisgaben.
F: Sollte ich mir Sorgen um den Datenleck 2020 machen?
Wenn du ein Ledger-Kunde vor dem Leck warst, bleib wachsam vor Phishing. Deine Guthaben waren nie in Gefahr durch das Leck selbst — nur deine persönlichen Kontaktinformationen wurden preisgegeben.
F: Ist Ledgers Secure Element wirklich unzerbrechlich?
Keine Hardware ist mit unbegrenzter Zeit und Ressourcen wirklich unzerbrechlich. Die CC EAL5+/EAL6+ Zertifizierung bedeutet, dass es äußerst widerstandsfähig gegen State-of-the-Art physische Angriffe ist, aber akademische Forscher haben theoretische Schwachstellen in älteren Secure-Element-Designs nachgewiesen. In der Praxis sind praktische Angriffe auf moderne zertifizierte Secure Elements äußerst ausgefeilte und nicht für alltägliche Kriminelle zugänglich.
F: Sollte ich mir Sorgen machen, dass Ledgers Firmware meine Seed extrahieren kann?
Dies ist eine legitime Besorgnis, die durch die Ledger Recover Ankündigung aufgeworfen wurde. Wenn dies für dein Bedrohungsmodell ein großes Anliegen ist, können Trezors vollständig Open-Source-Firmware und Architektur besser zu deinen Anforderungen passen.
F: Ist es sicherer, ein Ledger direkt von Ledgers Website zu kaufen?
Ja — kaufe immer direkt von ledger.com oder autorisierten Wiederverkäufern. Ein gebrauchtes Gerät oder ein Gerät von einem nicht autorisierten Verkäufer könnte manipuliert worden sein.
F: Können Behörden Ledger zwingen, auf meine Guthaben zuzugreifen?
Mit Standard-Setup (ohne Ledger Recover Abonnement) sind deine Guthaben nicht für Ledger oder Dritte zugänglich. Die Schlüssel existieren nur auf deinem Gerät und in deinem Recovery-Phrase-Backup. Mit aktiviertem Ledger Recover werden Fragmente deiner Seed von Dritten aufbewahrt und könnten theoretisch behördlichem Zwang unterliegen.
Verwandte Leitfäden:
