BIP39: Mnemonische Seed-Wörter für die Bitcoin-Wallet-Sicherung
Etwa 3,7 Millionen Bitcoins befinden sich in Wallets, die niemand öffnen kann. Das entspricht rund einem Fünftel aller jemals geprägten Coins. Eine Studie von Chainalysis aus dem Jahr 2020 schätzte diese Zahl, und Analysten zitieren sie auch 2026 noch, da sich die Zahl kaum verändert. Die meisten dieser Coins gehören Privatpersonen, die einfach ihre Seed-Phrase verloren haben. Auf der anderen Seite des Problems zählte Chainalysis für 2025 158.000 Fälle von Kompromittierung persönlicher Wallets, bei denen rund 80.000 Opfer um etwa 713 Millionen US-Dollar gebracht wurden. Zwei Arten von Fehlern. Ein Dokument im Zentrum beider: BIP39, die Spezifikation, die die Bedeutung Ihrer zwölf oder vierundzwanzig Wörter festlegt, bildet die Grundlage für alles.
Warum BIP39-Backups im Jahr 2026 wichtig sind
Eine neue Wallet gibt Ihnen einen Zettel mit zwölf Wörtern und fordert Sie auf, diese sicher aufzuschreiben. Es handelt sich dabei um eine BIP39-Wiederherstellungsphrase. Gehen Sie sorgsam damit um, und sie ist die sicherste Datensicherung, die Sie besitzen können. Gehen Sie unachtsam damit um, und sie ist im Nu verloren. Geben Sie die Wörter in eine beliebige kompatible Wallet auf einem beliebigen Gerät ein, und Ihre Guthaben sind wieder da. Gehen sie verloren, gibt es keine Hilfe mehr.
Das Ausmaß beider Entwicklungen ist nun messbar. Die 3,7 Millionen BTC stammen aus Coins, die mindestens fünf Jahre lang in Wallets der frühen Ära unberührt blieben, und haben sich kaum verändert. Was Diebstähle betrifft, so verzeichnet der Hacking-Bericht von Chainalysis vom Dezember 2025 einen Gesamtschaden von 3,4 Milliarden US-Dollar im Laufe des Jahres, davon 713 Millionen US-Dollar aus 158.000 Angriffen auf persönliche Wallets. Derselbe Bericht führt 43,8 % dieser Verluste auf kompromittierte private Schlüssel zurück, was im Klartext meist bedeutet, dass eine Seed-Phrase gestohlen wurde.
Alle modernen Wallets implementieren BIP39. Ledger, Trezor, MetaMask, Phantom, Trust Wallet, Coinbase Wallet, Exodus, Electrum, Atomic – sie alle. Interoperabilität ist der Kern des Standards, denn ein in einer Wallet generierter Seed muss in einer anderen wiederherstellbar sein. Es ist wichtiger zu verstehen, was BIP39 mathematisch und operativ genau ist, als den Wiederherstellungsprozess einer bestimmten Marke auswendig zu lernen.
Was eine BIP39-Mnemotechnik-Grundphrase und eine Wortliste wirklich sind
Eine BIP39-Mnemonik hat viele Namen: Wiederherstellungsphrase, Mnemonikphrase, Mnemonikcode, Mnemoniksatz oder Wallet-Seed. Sie alle beschreiben dasselbe: eine Wortfolge, die dieselben Informationen wie ein kryptografischer Schlüssel kodiert, nur viel schwieriger falsch zu schreiben. Zwölf oder vierundzwanzig Wörter aus einer festen Liste von 2.048 sorgfältig ausgewählten englischen Wörtern. „Abandon“ steht an Position 1. „Zoo“ schließt die Liste an Position 2.048 ab. „Satoshi“ versteckt sich an Position 1.532 in der Mitte – eine kleine Anspielung auf den pseudonymen Schöpfer von Bitcoin.
Marek Palatinus und Pavol Rusnak (Slush Pool, später SatoshiLabs und Trezor) verfassten die Spezifikation am 10. September 2013 zusammen mit Aaron Voisine und Sean Bowe. Bitcoin Improvement Proposal 39 (BIP 39) wurde im BIP-Repository nie offiziell als „Final“ eingestuft. Dennoch etablierte er sich innerhalb von etwa zwei Jahren als De-facto-Standard in der Branche. Heute existieren zehn offizielle Wortlisten mit jeweils exakt 2.048 Wörtern: Englisch, Japanisch, Koreanisch, Chinesisch (vereinfacht), Chinesisch (traditionell), Spanisch, Französisch, Italienisch, Tschechisch und Portugiesisch.
Die Wortliste ist bewusst fehlertolerant gestaltet. Jeder Eintrag ist durch seine ersten vier Buchstaben eindeutig identifizierbar, sodass sich Wörter wie „abandon“ und „ability“ selbst auf den ersten Blick nicht überschneiden und Tippfehler am Ende den Satz nicht unterbrechen. Die Autoren haben Wortpaare mit derselben vierbuchstabigen Vorsilbe, zu seltene oder veraltete Wörter sowie offensichtliche Homophone aussortiert.
| Wortlistenposition | Wort | Anmerkungen |
|---|---|---|
| #1 | aufgeben | Erstes Wort in der englischen Liste |
| #1.532 | Satoshi | Ein Gruß an den pseudonymen Schöpfer von Bitcoin |
| #2.048 | Zoo | Letztes Wort in der englischen Liste |
Im Vergleich zum zugehörigen Hexadezimalschlüssel ist die Mnemonik kurz, lesbar und auf ein Blatt Papier schreibbar. Ein 256-Bit-Privatschlüssel sieht beispielsweise so aus: `4a533d1654b17deecf2a6...`. Derselbe Schlüssel, kodiert als BIP39-Seed mit 24 Wörtern, liest sich wie 24 gewöhnliche englische Wörter. Beide haben dieselbe Entropie. Nur einen davon kann man einem Gesprächspartner am Telefon vorlesen, ohne dabei verrückt zu klingen.
Generierung des Mnemoniks: Wie BIP39 den Code erstellt
Die Generierung ist kurz und lässt sich gut nachvollziehen. Schritt eins: Entnehmen Sie 128 Bit Entropie aus einem kryptografisch sicheren Zufallszahlengenerator (256 Bit für die 24-Wort-Version). Schritt zwei: Wenden Sie SHA-256 auf diese Entropiebits an. Nehmen Sie die ersten 4 Bit des Hashwerts – oder 8 Bit im 256-Bit-Fall – und addieren Sie diese zur Entropie. Das ist Ihre Prüfsumme. Sie verfügen nun über 132 Bit bzw. 264 Bit.
Schritt drei ist mechanisch. Die Bits werden in 11-Bit-Blöcke unterteilt. Jeder Block ist eine Zahl von 0 bis 2047, die direkt der Wortliste zugeordnet wird. 132 geteilt durch 11 ergibt 12 Wörter. 264 geteilt durch 11 ergibt 24. Die Prüfsumme erledigt später im Hintergrund die Hauptarbeit: Beim Wiederherstellen berechnet die Wallet SHA-256 neu und weist alle Einträge zurück, die die Prüfung nicht bestehen. So fällt ein Tippfehler im letzten Wort in der Regel sofort auf, anstatt stillschweigend eine leere Wallet wiederherzustellen.
Der Suchraum für Brute-Force-Angriffe ist der Teil, über den niemand so richtig spricht. Eine 12-Wort-Phrase hat nach der Prüfsummenbedingung 2.048^12 ≈ 5,4 × 10^39 gültige Kombinationen. Eine 24-Wort-Phrase hat 2.048^24 ≈ 3 × 10^79. Stellen Sie sich einen fiktiven Angreifer vor, der 10^18 Schlüssel pro Sekunde errät. Selbst im Fall von 128 Bit würde das etwa 10 Billiarden Jahre dauern. Zum Vergleich: Im beobachtbaren Universum existieren etwa 10^80 Atome. Bis 2025 ist es keinem öffentlichen Angriff gelungen, eine BIP39-Mnemonik per Brute-Force-Angriff zu knacken. Jeder dokumentierte Verlust resultierte aus einer gestohlenen, niemals aus einer erratenen Phrase.
Ein weiterer Schritt, bevor die Wörter tatsächlich etwas freischalten. Die Wiederherstellungsphrase wird mit 2048 Iterationen an PBKDF2-HMAC-SHA512 übergeben, angereichert mit der Zeichenkette „Wiederherstellungsphrase“ und einer optionalen Passphrase. Das 512-Bit-Ergebnis ist der eigentliche Seed. Dieser Seed wird von BIP32 (der nächsthöheren Schicht) verwendet, um jeden einzelnen privaten Schlüssel in der Wallet abzuleiten.
Mnemonik, Seed, Schlüssel – drei verschiedene Dinge, drei Ebenen. Diese Aufteilung ist der Grund, warum aus ein und denselben zwölf Wörtern eine völlig andere Wallet erstellt werden kann. Ändert man die Passphrase, ändern sich auch der Salt, der Seed und jeder einzelne Schlüssel.
BIP39 vs. BIP32 vs. BIP44: Wie die Schichten aufgebaut sind
Hier kommt der Schreckensmoment für Anfänger: Sie übertragen Ihre zwölf korrekten Wörter in eine andere Wallet. Die neue Wallet zeigt ein Guthaben von null an. Die Wörter selbst waren korrekt. Der Ableitungspfad war es nicht. BIP39, BIP32 und BIP44 sind drei verschiedene Bitcoin Improvement Proposals (BIPs), die gemeinsam Ihre Seed-Phrase in tatsächliche Adressen umwandeln. Wenn zwei Softwareprogramme unterschiedliche Pfade verwenden, suchen sie stillschweigend im falschen Zweig des Ableitungsbaums.
| Standard | Jahr | Arbeit |
|---|---|---|
| BIP32 | 2012 | Hierarchische deterministische Wallets – aus einem Seed wird ein Schlüsselbaum |
| BIP39 | 2013 | Mnemonische Kodierung des Samens |
| BIP44 | 2014 | Standardableitungspfad: m/44'/coin'/account'/change/index |
Wenn Ihre Wallet einen nicht standardmäßigen Pfad verwendet (was bei manchen älteren oder hardwarespezifischen Tools der Fall ist), werden bei einer Wiederherstellung in einer anderen Wallet keine Daten angezeigt, bis Sie den Pfad manuell festgelegt haben. Die Wörter gehen nicht verloren. Die Adressliste wird lediglich von einem anderen Zweig desselben Baums gelesen. Gut zu wissen, bevor man in Panik gerät.
12 vs. 24 Wörter und die Passphrase
Die Debatte um 12-Wort- versus 24-Wort-Verschlüsselung ist weitgehend akademischer Natur. Zwölf Wörter liefern 128 Bit Entropie, vierundzwanzig 256. Beide Werte liegen absurd weit jenseits jeglicher praktikablen Brute-Force-Methode, und die 128-Bit-Version ist der AES-Standard für streng geheime Daten der US-Regierung. Vierundzwanzig Wörter schützen vor zukünftigen Quantenangriffen auf den Suchraum; zwölf Wörter reichen nach aktuellen Modellen immer noch nicht aus.
Das wirklich interessante Kontrollinstrument ist die Passphrase, auch „das 25. Wort“ genannt. Jede beliebige Zeichenkette, egal wie lang, wird dem PBKDF2-Salt beigemischt, bevor der Seed generiert wird. Unterschiedliche Passphrasen, unterschiedliche Wallets, aber immer die gleichen Wörter. Dies ermöglicht eine für BIP39 einzigartige Funktion: plausible Abstreitbarkeit. Es gibt keine Möglichkeit, die Existenz einer Passphrase zu beweisen, da jede mögliche Passphrase eine gültige (wenn auch leere) Wallet erzeugt. Ein unter Druck stehender Benutzer kann die zwölf Wörter an eine „Lockvogel“-Wallet mit kleinen Guthaben weitergeben, während die eigentlichen Guthaben durch eine Passphrase geschützt sind, an die sich nur er erinnert. Der Haken ist derselbe: Geht die Passphrase verloren, ist die zugehörige Wallet unwiederbringlich verloren – keine Wiederherstellung, kein Support.
Echter BIP39-Seed-Phrase-Diebstahl: Was uns die Jahre 2023–2025 gelehrt haben
Wenn die Mathematik unfehlbar ist, so sind es die Menschen im Umgang damit nicht. Die letzten drei Jahre haben ein Lehrbuchbeispiel für verschiedene Fehlerquellen geliefert.
Im Juni 2023 wurden über 100 Millionen US-Dollar von mindestens 5.500 Nutzerkonten der Atomic Wallet gestohlen. Elliptic machte die nordkoreanische Lazarus-Gruppe für den Angriff verantwortlich. Atomic gab an, dass weniger als 0,1 % der 5 Millionen Nutzer betroffen waren. Die genaue Ursache konnte bisher nicht offiziell bestätigt werden, doch die auf den Geräten gespeicherten Seed-Daten wurden eindeutig kompromittiert.
Am 14. Dezember 2023 wurde das npm-Paket „Connect Kit“ von Ledger für etwa fünf Stunden durch den Phishing-Betrug mit dem npm-Token eines ehemaligen Mitarbeiters manipuliert. Schadcode der Gruppe Angel Drainer wurde in den Versionen 1.1.5 bis 1.1.7 eingeschleust und unbemerkt in zahlreiche EVM-dApps injiziert. Rund 600.000 US-Dollar wurden erbeutet, bevor Ledger das Paket zurückzog. Es handelte sich nicht um einen Hardwarefehler von Ledger, sondern um eine Kompromittierung der Lieferkette durch eine JavaScript-Abhängigkeit, die auf einer anderen Ebene die Wallets der Nutzer angriff.
Der großangelegte Diebstahl von digitalen Geldbörsen hielt bis 2024 an. Laut einem Bericht von Scam Sniffer vom Januar 2025 wurden durch diese Skripte 494 Millionen US-Dollar erbeutet, wobei 332.000 Adressen betroffen waren. Inferno Drainer hatte vor seinem Rückzug einen Marktanteil von 40–45 % und Pink Drainer von 28 %. Viele Opfer gaben ihre Seed-Phrasen freiwillig in gefälschten „Wallet-Validierungs“-Pop-ups preis, die MetaMask oder Phantom täuschend ähnlich sahen.
Die persönlichste Bedrohung geht von Zwischenablage-Malware aus. Kaspersky enthüllte im Februar 2025 die „GitVenom“-Kampagne: Rund 5 BTC (ca. 485.000 US-Dollar) wurden durch einen über gefälschte GitHub-Repositories verbreiteten Code, der die Zwischenablage ersetzte, erbeutet. Die Opfer konzentrierten sich auf Brasilien, die Türkei und Russland. Ein weiterer Trojaner namens ClipBanker, der 2025 in einem gefälschten Proxifier-Installer versteckt war, infizierte über 2.000 Kaspersky-Nutzer mit Bitcoin, Ethereum, XMR, Doge, Sol, TRX, XRP und XTZ. Beim Einfügen wurden kopierte Adressen unbemerkt durch vom Angreifer kontrollierte Adressen ersetzt.
Chainalysis bezifferte die Verluste durch den Diebstahl von privaten Wallets zum Jahresende auf 713 Millionen US-Dollar, verteilt auf 158.000 Vorfälle. In 43,8 % der Fälle handelte es sich dabei um kompromittierte private Schlüssel. Der Diebstahl betrifft überwiegend Seed-Phrasen.
Sicheres BIP39 Bitcoin Wallet-Backup: Paper, Metal, Shamir
Praktischer Schutz ist hauptsächlich physikalischer Natur. Papier übersteht Tinte und einen sorgfältig aufbewahrten Aktenschrank jahrelang, entzündet sich aber bei etwa 233 °C, während ein typischer Hausbrand Temperaturen von 600–1100 °C erreicht. Die Cryptosteel-Kapsel aus Edelstahl der Güteklasse 303/304 wurde unabhängig hitzegeprüft; die Daten sind bis 1350 °C lesbar. Billfodl verwendet laut Herstellerangaben seewasserbeständigen Edelstahl, der bis etwa 1400 °C hitzebeständig ist.
| Verfahren | Hitze | Wasser | Anmerkungen |
|---|---|---|---|
| Papier | Brennt bei ca. 233 °C | Tintenflecken | Billigste, austauschbare |
| Cryptosteel-Kapsel | Übersteht Temperaturen bis 1350 °C. | Ja | Unabhängiger Hitzetest |
| Billfodl | Nenntemperatur 1400 °C | Ja | Anbieterbewertung |
| SLIP-39 (Shamir) | Abhängig vom Substrat | Kommt darauf an | Teilt den Samen in M-von-N Anteile auf |
Neben dem physischen Medium sind zwei strukturelle Entscheidungen entscheidend. Es empfiehlt sich, zwei geografisch getrennte Kopien aufzubewahren, falls ein Standort durch Feuer oder Überschwemmung vollständig zerstört wird. Zudem sollte man Shamirs Secret Sharing mittels SLIP-39 in Betracht ziehen, das Trezor im August 2019 auf dem Model T einführte. SLIP-39 teilt einen Seed in mehrere 20-Wort-Anteile auf, von denen jede M-aus-N-Kombination zur Wiederherstellung ausreicht. Das Casa-Team hingegen lehnte Shamir explizit ab und bevorzugte stattdessen geografisches Multisignaturverfahren als Wiederherstellungsmodell. Beide Verfahren sind darauf ausgelegt, das Single-Point-of-Failure-Problem zu eliminieren, das BIP39 definitionsgemäß aufweist.
Krypto-Wallets, die BIP39 im Jahr 2026 unterstützen
Fast alles unterstützt BIP39, aber die Interoperabilität hat ihre Grenzen. Es ist ratsam zu wissen, welche Wallets welche Ableitungspfade verwenden, bevor man davon ausgeht, dass eine Wiederherstellung fehlerfrei verläuft.
| Geldbörse | Ketten | Standardpfad |
|---|---|---|
| Ledger Nano | BTC, ETH, über 5.500 Vermögenswerte | BIP44 m/44'/coin'/0' |
| Trezor Modell T | BTC, ETH, viele | Option BIP44 / SLIP-39 |
| MetaMask | EVM | m/44'/60'/0'/0/index |
| Phantom | Solana, EVM | m/44'/501'/n'/0' für SOL |
| Coinbase Wallet | BTC, EVM, SOL | Standard BIP44 |
Jenseits von BIP39: Passkeys, MPC und ERC-4337
2025 war das erste Jahr, in dem eine glaubwürdige Alternative zu BIP39 für den Massenmarkt verfügbar war. Die Coinbase Smart Wallet, basierend auf ERC-4337- und WebAuthn-Passkeys, überschritt im August die Marke von einer Million Konten. Allein am 16. August, während der Einführung der Base App, kamen 270.000 neue Konten hinzu. Nutzer melden sich mit Face ID oder Fingerabdruck an, die sie bereits für alle anderen Anwendungen verwenden, und sehen niemals eine Seed-Phrase.
ERC-4337-Smart-Accounts sind mittlerweile über 40 Millionen Mal in Ethereum- und Layer-2-Netzwerken im Einsatz. Die kumulierten Nutzeroperationen haben die 100-Millionen-Marke überschritten – ein Wachstum um etwa das Zehnfache gegenüber 2023. EIP-7702, aktiviert mit dem Pectra-Upgrade im Mai 2025, verzeichnete in der ersten Woche 11.000 Autorisierungen von EOA zu Smart-Accounts. Dank des EIP-7702-Designs können herkömmliche Wallets bei Bedarf als Smart-Accounts fungieren, ohne dass ihre bestehenden Schlüssel verloren gehen. Die Anbieter eingebetteter Wallets, Privy (75 Millionen Wallets), Dynamic (über 50 Millionen) und Web3Auth – jetzt MetaMask Embedded – (20 Millionen monatlich aktive Nutzer), setzen auf Multi-Party-Computation oder Schwellenwertsignaturen. Der Endnutzer besitzt niemals einen BIP39-Seed.
Das alles bedeutet nicht, dass BIP39 ausstirbt; der Standard ist viel zu etabliert. Ledger lieferte 2025 sein achtmillionstes Gerät aus und steigerte den Absatz um 31 %. Tatsächlich vollzieht sich eine klare Zweiteilung. Die Stufe der fortgeschrittenen Nutzer – BIP39 plus Hardware-Wallet plus Passphrase – bleibt der Goldstandard. Die Stufe der Mainstream-Nutzer hingegen wird stillschweigend von Passkeys und Kontoabstraktion vereinnahmt, die für Anwender entwickelt wurden, die sich nie mit Wörtern auseinandersetzen wollten.
Kurzregeln für alle, die einen BIP39-Samen besitzen
Fünf Regeln schützen vor den meisten Gefahren. Geben Sie die Wörter niemals in ein mit dem Internet verbundenes Textfeld ein, da Phishing-Pop-ups darauf spezialisiert sind, das Einfügen von Passwörtern zu erzwingen. Fotografieren Sie die Phrase auch niemals, da Fotos mit Cloud-Speichern synchronisiert werden, über die Sie keine vollständige Kontrolle haben. Bewahren Sie alles, was Sie langfristig aufbewahren möchten, lieber auf Metall als auf Papier auf. Testen Sie die Wiederherstellung mit einer zweiten Wallet, bevor Sie ihr vertrauen. Und wenn Sie eine Passphrase verwenden, bewahren Sie diese physisch getrennt auf – gleiches Bedrohungsmodell, unterschiedlicher Ort, niemals in derselben Schublade.
