Ein Krypto-Portfolio-Tracker ruft Salden- und Transaktionsdaten aus deinen Wallets und Börsen ab, damit du alles an einem Ort sehen kannst. Dafür muss er allerdings deine Adressen, deine Bestände, deine Handelshistorie und in der Regel deine IP-Adresse sowie deine E-Mail einsehen. Lesezugriff bedeutet, dass keine bewegt werden können, bedeutet aber nicht, dass die Daten auf deinem Gerät bleiben, und es bedeutet auch nicht, dass sie nicht gestohlen werden können.
Auf einen Blick
- „Lesezugriff“ bezieht sich auf das Signieren von Transaktionen, nicht auf die Datensichtbarkeit. Ein Tracker kann also trotzdem jede Adresse sehen, die dir gehört, jeden Saldo und jeden Handel, den du auf einer verbundenen Börse getätigt hast.
- Zu den Daten, die dein Gerät verlassen, gehören typischerweise Wallet-Adressen, vollständige Transaktionshistorien, CEX-Handelsprotokolle, IP-Adresse, Geräte-Fingerprint und E-Mail. Der Großteil davon wird auf den Servern des Trackers gespeichert, nicht lokal.
- Steuer-Export-Funktionen bündeln genau jene Datensätze an einem Ort, die Identitätsdiebe und Phisher haben wollen. Das macht einen Tracker zu einem lohnenden Ziel.
- Frühere Sicherheitsvorfälle bei CoinStats, Zerion und anderen zeigen, dass die Risiken real sind: gestohlene API-Schlüssel, übernommene Push-Dienste und geleakte E-Mail-Listen, die für gezieltes Phishing missbraucht werden.
Was ein Portfolio-Tracker verspricht und was er tatsächlich tut
Jeder verbreitete Krypto-Portfolio-Tracker, von Zerion und CoinStats bis hin zu Delta, Blockfolio und dem Portfolio-Tab in den Apps von Börsen wie Coinbase oder Binance, verkauft dieselbe Idee: Verbinde deine Konten und erhalte ein sauberes Gesamtbild deines Vermögens über Wallets, Börsen und Chains hinweg.
</nDie Marketingsprache ist dabei fast immer dieselbe. „Lesezugriff“. „Deine Gelder bleiben in deiner Wallet“. „Sicherheit auf Bankniveau“. „Wir haben keinen Zugriff auf deine privaten Schlüssel“. Für einen Einsteiger, der fünf Apps vergleicht, klingt das beruhigend und weitgehend identisch, und genau deshalb lohnt es sich, genauer hinzusehen.
</nDer Begriff „Lesezugriff“ hat in der Kryptowelt eine konkrete technische Bedeutung: Die Zugangsdaten, die du übergibst, können für sich genommen keine Transaktion signieren, die deine Gelder bewegt. Ein „View Key“ einer Wallet oder eine „Watch-only“-Adresse kann kein ETH senden. Ein CEX-API-Schlüssel mit Lesezugriff, der ohne die „Trade“-Berechtigung erstellt wurde, kann auf Binance keine Order platzieren. In diesem engen Sinne stimmt das Marketing.
</nWas das Marketing fast nie erklärt, ist die andere Hälfte. Lesezugriff betrifft das Signieren, nicht das Einsehen. Mit denselben Zugangsdaten lässt sich zwar kein Coin bewegen, sie können aber trotzdem alles darüber lesen: jede Adresse in deiner Wallet, jeden Token-Saldo, jede historische Transaktion, jeden Handelspartner, mit dem du zu tun hattest, und im CEX-Fall jeden Trade, jede Einzahlung und jede Auszahlung, die du jemals auf diesem Konto getätigt hast.
</nWelche Daten dein Gerät tatsächlich verlassen
Um dir ein Portfolio anzuzeigen, muss ein Tracker ein bestimmtes Datenpaket von dir erhalten. Die genaue Liste variiert je nach App, die Kategorien sind in der gesamten Branche aber stabil.
</nBei der Verbindung mit einer selbstverwalteten Wallet (WalletConnect, MetaMask-„Lese“-Modus oder manueller Adressimport): die öffentliche Adresse bzw. der xPub/erweiterte öffentliche Schlüssel jeder verbundenen Wallet. Dadurch wird der gesamte Baum abgeleiteter Adressen offengelegt, unabhängig davon, ob du sie bereits genutzt hast, samt der kompletten On-Chain-Transaktionshistorie zu diesen Adressen sowie Token-Salden und NFT-Beständen zum jeweiligen Synchronisierungszeitpunkt. Ein xPub ist insbesondere ein dauerhaftes Fenster zu jeder vergangenen und künftigen Adresse dieser Wallet. Sobald er dein Gerät verlässt, kannst du ihn kaum noch zurückholen.
</nBei einem API-Schlüssel einer zentralisierten Börse: der Schlüssel selbst sowie alle Berechtigungen, die du erteilt hast, typischerweise „read“-Zugriff auf Kontosalden, „read“-Zugriff auf die Handelshistorie und manchmal „read“-Zugriff auf Einzahlungsadressen. Wenn du beim Erstellen des Schlüssels versehentlich die Option „Handel aktivieren“ oder „Auszahlungen aktivieren“ angekreuzt hast, kann der Tracker zusätzlich Orders platzieren oder Auszahlungen in deinem Namen anstoßen. Die meisten gängigen Tracker raten dir, Handels- und Auszahlungsberechtigungen deaktiviert zu lassen, der entsprechende Haken sitzt aber auf der Seite der Börse und wird von vielen Nutzern einfach übersehen.
</nAuf Geräte- und Netzwerkebene, unabhängig von der Verbindungsart: deine IP-Adresse, die grobe Geolocation und den ISP preisgibt, dein User-Agent-String und dein Geräte-Fingerprint, deine E-Mail-Adresse (du musst ein Konto erstellen) sowie dein Push-Benachrichtigungs-Token, wenn du Alerts aktivierst. Nutzt die App Analyse-Dienste von Drittanbietern, werden alle genannten Daten zusätzlich an diese Anbieter übermittelt.
</nFast keine dieser Daten werden ausschließlich auf deinem Smartphone gespeichert. Die eigentliche Aufgabe des Trackers besteht darin, sie auf einem Server zusammenzuführen, damit er dir ein Dashboard anzeigen, geräteübergreifend synchronisieren und (in vielen Fällen) Steuerberichte, Alerts und Preisfeeds bereitstellen kann. Die Zusammenführung auf einem Server ist das Produkt. Und genau dort liegt auch das Datenschutzrisiko.
</nWarum „read-only" nicht dasselbe ist wie „privat"
Auf einer öffentlichen Blockchain wie Ethereum oder Bitcoin ist jede Wallet-Adresse bereits öffentlich. Wer deine Adresse kennt, kann in einem Blockexplorer deine Salden und deine Historie einsehen. In einem engeren Sinne schaut ein Tracker also nur öffentliche Daten in deinem Namen nach.
Es gibt jedoch einen großen Unterschied zwischen „ich kann eine einzelne Adresse in Etherscan einfügen" und „ein einziges Unternehmen besitzt eine durchsuchbare Datenbank, die meine E-Mail, meine IP, mein Gerät und jede Adresse verknüpft, die ich jemals verwendet habe." Genau diese Aggregation ist das Datenschutz-relevante Ereignis, und sie ist das, was tatsächlich auf den Servern des Trackers liegt.
Drei Punkte machen diese Aggregation von leicht unangenehm bis wirklich riskant:
1. Adress-Clustering hebt deine Anonymität auf. Sobald ein Tracker mehrere deiner Adressen hat, kann er (und jeder Angreifer, der seine Datenbank stiehlt) sie als zur selben Person gehörend gruppieren. Wenn du dieses Cluster mit öffentlichen ENS-Namen, Twitter-Doxxing, KYC-Leaks von Börsen oder Spendenadressen, die du öffentlich geteilt hast, kreuzreferenzierst, bekommt das Cluster plötzlich einen Namen.
2. Die Daten sind ein Ziel. Eine Datenbank, die E-Mails auf das Nettovermögen über mehrere Chains, die Handelshistorie und Börsenkonten abbildet, ist genau der Datensatz, den organisierte Phishing-Gruppen, physische „Wrench-Attacker" und Identitätsdiebe wollen. Es ist auch der Datensatz, den Steuerbehörden, Prozessgegner und Ex-Partner in Scheidungsverfahren per gerichtlicher Anordnung anfordern können.
3. Datenlecks sind nicht hypothetisch. Diese Kategorie wurde bereits mehrfach getroffen, und die folgenden Fälle sind keine Folklore.
Reale Datenlecks und Beinahe-Vorfälle, die in der Werbung verschwiegen werden
Wichtiger als jeder einzelne Vorfall ist das Muster. Portfolio-Tracker sitzen am Schnittpunkt dreier Dinge, die Angreifer wollen: eine Liste von Krypto-Nutzern, Hinweise darauf, wie viel Krypto sie halten, und Zugangsdaten oder APIs, über die manchmal direkt auf diese Mittel zugegriffen werden kann.
CoinStats, Juni 2024. Angreifer kompromittierten die internen Systeme von CoinStats und nutzten die eigene Push-Benachrichtigungsfunktion der Plattform, um Phishing-Links an 1.590 Nutzer-Wallets zu senden. Die gefälschten Aufforderungen waren mit den Daten personalisiert, die die App bereits über diese Nutzer hatte, was sie besonders überzeugend machte. CoinStats legte den Vorfall offen, fuhr Teile des Produkts herunter und warnte betroffene Nutzer, sämtliche in diesem Zeitraum empfangenen Signatur-Anfragen als bösartig zu behandeln.
Zerion, Dezember 2022. Ein Angreifer erlangte kurzzeitig Zugriff auf Zerions Read-only-API-Endpunkt und nutzte ihn, um Wallets von Nutzern zu leeren, die anderswo dazu gebracht wurden, bösartige Transaktionen zu signieren. Zerions eigene Read-only-Infrastruktur wurde nicht zum Bewegen von Geldern verwendet, aber der Vorfall zeigte, wie ein kompromittierter Tracker zur Sprungplanke für weitere Angriffe auf seine Nutzerbasis werden kann.
Blockfolio (jetzt FTX-App), Oktober 2020. Blockfolios „Signal"-Push-Benachrichtigungssystem wurde übernommen und genutzt, um Spam, einschließlich pornografischer Inhalte, an rund die Hälfte der Nutzerbasis der App zu senden. Es gingen keine Gelder verloren, aber der Vorfall zeigte, wie dünn die operative Sicherheit bei einem Unternehmen war, das gerade übernommen worden war.
Drittanbieter-SaaS in der Lieferkette. Bei mehreren Trackern und Börsen wurden Nutzerdaten nicht über den eigenen Code, sondern über einen Anbieter offengelegt, mit dem sie diese Daten geteilt hatten, darunter Analytics-Tools, Kundensupport-Plattformen und E-Mail-Dienstleister. Das ist dieselbe Klasse von Datenlecks, die bereits Unternehmen wie Twilio und Mailchimp getroffen hat, und Krypto-Nutzer sind in diesen Datensätzen überrepräsentiert, weil die Branche flächendeckend KYC- und Onboarding-Tools einsetzt, die kryptofreundlich aufgestellt sind.
Der gemeinsame Nenner: In keinem Fall musste der Angreifer „eine Blockchain hacken". Er hat ein Unternehmen gehackt, das die Daten bereits für ihn aggregiert hatte.
Die Steuerexport-Funktion als Daten-Honigtopf
Die meisten Einsteiger nutzen einen Portfolio-Tracker vor allem aus einem Grund: die Steuersaison. Der U.S. IRS behandelt Krypto als Vermögenswert, viele andere Rechtsräume haben ähnliche Regeln, und der einzig realistische Weg, eine Steuererklärung für Hunderte oder Tausende von Trades abzugeben, ist der Export einer sauberen CSV- oder PDF-Datei aus einem Tool, das die Cost-Basis-Berechnung bereits durchgeführt hat.
Steuerexporte sind praktisch und gleichzeitig das mit Abstand sensibelste Feature der App. Um sie zu erstellen, muss der Tracker an einem Ort deine gesamte mehrjährige Trade-Historie über alle Plattformen hinweg speichern, jede Wallet-zu-Wallet-Übertragung, jeden realisierten Gewinn, deine vollständige Fiat-On-Ramp-Historie und (wenn der Export den „Complete"-Modus enthält) manchmal deine Ein- und Auszahlungsadressen. Das ist ein umfassenderes Bild deines Finanzlebens, als die meisten Banken in einer einzigen Datei über dich haben.
Daraus ergeben sich zwei praktische Risiken:
Speicherdauer. Steuerunterlagen sollten in vielen Rechtsräumen rund sieben Jahre aufbewahrt werden. Wenn dein Tracker sie ebenfalls sieben Jahre speichert, liegen diese Daten den gesamten Zeitraum über in seiner Datenbank, einschließlich jedes künftigen Datenlecks, Führungswechsels oder jeder Übernahme. Manche Tracker löschen Steuerdaten bei Kontoschließung explizit, andere behalten sie für den gesetzlich vorgeschriebenen Zeitraum. Die Aufbewahrungsrichtlinie ist meist in der Datenschutzerklärung vergraben.
Exportdateien unterwegs. Die CSV-Datei, die du auf deinen Laptop herunterlädst, ist eine Angriffsfläche; dieselbe CSV-Datei in deinem E-Mail-Postfach als Anhang ist eine weitere. Wenn du sie zusätzlich in einem Cloud-Sync (iCloud, Google Drive, Dropbox) speicherst und dieses Konto kompromittiert wird, wird der Steuerexport zur Landkarte deiner Krypto-Bestände für jeden, der deine Cloud-Zugangsdaten gestohlen hat.
Die ehrliche Einordnung: Steuerfunktionen sind nützlich, und sie bündeln genau die Daten, die ein Angreifer, ein Prozessanwalt oder ein feindlich gesinnter staatlicher Akteur am liebsten finden würde.
Datenschutzfreundliche Alternativen (und ihre Kompromisse)
Du musst dich nicht zwischen „einem Tracker alles geben" und „nichts tracken" entscheiden. Es gibt eine mittlere Stufe, aber sie kostet dich Bequemlichkeit.
Lokale Tracker. Tools wie Rotki, der Desktop-Modus von Koinly oder eine selbst gehostete Instanz eines Open-Source-Trackers halten deine Daten auf deinem Gerät. Rotki ist besonders um den Grundsatz herum aufgebaut, dass deine Adressen, API-Schlüssel und deine Trade-Historie dein Gerät nie verlassen, sofern du nicht explizit eine Synchronisierung wählst. Der Kompromiss ist kein geräteübergreifendes Dashboard, keine mobile App-Synchronisierung, und du bist für deine eigenen Backups verantwortlich.
Read-only, ohne API-Schlüssel, manuelle Adressliste. Du kannst eine Liste von Adressen in den „Watch-only"-Modus eines Trackers einfügen, ohne jemals einen API-Schlüssel zu vergeben. Du sendest die Adressen trotzdem an den Server des Trackers, der weiterhin deine IP und deine E-Mail kennt, aber du eliminierst das Risiko, dass ein API-Schlüssel missbräuchlich genutzt wird oder die falschen Scopes hat. Dies ist im Entscheidungsbaum die Stufe „nutze das, wenn du Aggregation willst".
Blockexplorer plus Tabellenkalkulation. Für Nutzer mit einer kleinen Anzahl an Wallets und Börsen reicht ein Blockexplorer wie Etherscan in Kombination mit manuellen CSV-Exporten aus jeder Börse aus, um ein Portfolio zu rekonstruieren. Das ist mühsam und bildet DeFi-Positionen nur schlecht ab, aber die Daten liegen nie in einer Drittanbieter-Datenbank.
Mehrere Identitäten. Einige datenschutzbewusste Nutzer verteilen ihre Bestände bewusst auf mehrere Wallets und Tracker-Konten, damit keine einzelne Kompromittierung das Gesamtbild offenbart. Das ist operative Sicherheit, keine Paranoia: Es funktioniert genauso, wie es in der traditionellen Finanzwelt funktioniert, Investments auf mehrere Brokerages aufzuteilen.
Hardware-Wallet plus native Portfolio-Ansicht. Wallets wie Ledger Live und Trezor Suite enthalten eine Portfolio-Ansicht, die direkt mit Nodes kommuniziert statt mit einem zentralen Aggregator. Du leakst deine Adressen weiterhin an die Nodes, die du abfragst, was eine eigene Überlegung ist, aber kein einzelnes Unternehmen hält am Ende das Gesamtpaket.
Wie du dich entscheidest: ein Entscheidungsbaum
Wenn du die einfachste Antwort willst: Für die meisten Einsteiger ist ein gängiger Tracker völlig in Ordnung, solange du verstehst, was du für den Komfort hergibst. Der Tausch ist Daten gegen Komfort, und die Frage ist, ob du diesen Tausch bewusst eingehst.
Wenn du eine präzisere Faustregel möchtest:
Nutze einen gängigen Tracker (Zerion, CoinStats, Delta usw.), wenn du ein übersichtliches Dashboard möchtest, akzeptierst, dass deine Adressen und dein Trade-Verlauf auf einem fremden Server liegen, CEX-API-Schlüssel nur mit Lese-Rechten erstellst und sie auf Börsenseite IP-beschränkst, bei der Einrichtung jede optionale Berechtigung ablehnst und eine eigene E-Mail-Adresse, ein starkes, einzigartiges Passwort sowie Zwei-Faktor-Authentifizierung verwendest. Prüfe vor der Anmeldung die Incident-Historie des Trackers.
Nutze einen lokalen Tracker (Rotki, selbst gehostet oder Tabellenkalkulation), wenn deine Bestände so groß sind, dass du realistisch ins Visier gezielt werden könntest, du in einer Rechtsordnung Steuern erklärst, die eine mehrjährige Historie verlangt, du keine geräteübergreifende Synchronisierung brauchst und bereit bist, deine Backups selbst zu verwalten. Plane ein Wochenende für die Einrichtung ein.
Nutze den Watch-only-Adresslisten-Modus eines beliebigen Trackers, wenn du dein Portfolio zusammenfassen möchtest, ohne API-Schlüssel herauszugeben, bereit bist, Saldi manuell zu aktualisieren, und verstehst, dass der Tracker trotzdem deine Adressliste, deine E-Mail und deine IP kennt. Für die meisten Nutzer ist dies die sicherste „zentralisierte" Option.
Lass Tracker komplett weg, wenn deine Krypto-Aktivitäten wirklich überschaubar sind, du nur auf ein oder zwei Börsen hältst und keine Kostenbasis-Berechnungen brauchst. Die Portfolio-Ansicht in der Börsen-App selbst, zusammen mit einem jährlichen Export für die Steuererklärung, reicht aus.
In jedem Fall sind die operativen Gewohnheiten wichtiger als die Wahl der App: Widerrufe CEX-API-Schlüssel, wenn du sie nicht mehr nutzt, verwende denselben API-Schlüssel nicht bei mehreren Diensten, lege Steuer-Exports nicht unverschlüsselt in cloud-synchronisierten Ordnern ab, und gehe davon aus, dass jede Adresse, die du jemals in einen Tracker eingefügt hast, irgendwann in einem Datenleck auftaucht.
Wie du Neuigkeiten zu Krypto-Tools sinnvoll verfolgst
Portfolio-Tracker wechseln den Besitzer, werden übernommen, haben Datenlecks und erweitern stillschweigend ihre Datenerfassung. In dieser Kategorie entstehen auch die meisten „Krypto-App"-Betrugsfälle, da ein gefälschter Tracker ein überzeugenderer Phishing-Vektor ist als eine gefälschte Börse. Wer die Nachrichten zu diesen Tools manuell verfolgt, wühlt sich durch Dutzende wenig aussagekräftige Produkt-Updates, um die wenigen Incident-Meldungen und Richtlinienänderungen zu finden, die tatsächlich deine Daten betreffen. Zippfeed zeigt Krypto-Tool-Schlagzeilen mit Stimmungsbewertung, damit du sofort siehst, ob eine Meldung über einen Tracker, den du nutzt, vom Markt als bullish, neutral oder bearish eingestuft wird, sowie mit einer Wichtigkeitsbewertung, damit du eine routinemäßige App-Aktualisierung von einer echten Sicherheitsmeldung unterscheiden kannst, bevor sie in deinem Posteingang landet.