Shamir Backup erklärt: So sicherst du deine Krypto-Wallet mit SLIP39

Was ist Shamir Backup? Grundlagen und mathematisches Prinzip

Shamir Backup ist eine Methode, mit der du den Master-Seed deiner Krypto-Wallet in mehrere unabhängige Teile – sogenannte Recovery Shares – aufteilst. Zur Wiederherstellung brauchst du nur eine vorher festgelegte Mindestanzahl dieser Shares, nicht alle. Das klingt einfach, ist aber mathematisch außerordentlich elegant.

Der zugrundeliegende Algorithmus heißt Shamir’s Secret Sharing (SSS) und wurde 1979 vom israelischen Kryptografen Adi Shamir entwickelt. Shamir ist auch einer der drei Köpfe hinter RSA – sein Name steht also für solide Kryptografie. Das Verfahren selbst ist seit über 45 Jahren bekannt und mathematisch vielfach geprüft.

Die mathematische Basis ist Polynominterpolation über endliche Körper. Stell dir vor, du versteckst ein Geheimnis als einen Punkt auf einer Kurve. Jeder Share ist ein weiterer Punkt auf derselben Kurve. Um die Kurve vollständig zu rekonstruieren – und damit das Geheimnis zu enthüllen – brauchst du eine Mindestanzahl von Punkten. Hast du weniger Punkte als nötig, kannst du die Kurve nicht eindeutig bestimmen. Du gewinnst buchstäblich null Information über das Geheimnis.

Das ist keine Frage der Rechenleistung. Es ist informations-theoretische Sicherheit – auch als perfekte Sicherheit bezeichnet. Selbst ein Quantencomputer mit unbegrenzter Rechenkapazität kann aus einer unzureichenden Anzahl von Shares nichts ableiten. Das unterscheidet Shamir Backup fundamental von anderen Aufteilungsmethoden, bei denen jeder Teil bereits Teilinformationen enthält.

Für die praktische Implementierung in Hardware-Wallets wurde 2017 der Standard SLIP39 entwickelt – das steht für SatoshiLabs Improvement Proposal 39. SatoshiLabs ist der Hersteller der Trezor-Hardware-Wallets und hat SLIP39 als offenen Standard veröffentlicht. Wichtig zu wissen: SLIP39 ist nicht kompatibel mit BIP39, dem klassischen Seed-Phrase-Standard. Die Wortlisten sind verschieden, das Schema ist verschieden, und eine BIP39-Phrase kann nicht als SLIP39-Share verwendet werden – und umgekehrt.

Das Sicherheitsniveau von Shamir Backup entspricht dabei exakt dem eines klassischen BIP39-Backups: 256 Bit Entropie. Die Aufteilung in mehrere Shares reduziert die Sicherheit also nicht – sie verteilt lediglich das Risiko. Du gewinnst Redundanz, ohne Sicherheit zu opfern. Das ist der entscheidende Vorteil gegenüber naiven Aufteilungsmethoden.

Das Grundprinzip lässt sich im sogenannten m-aus-n-Schema zusammenfassen: Du erstellst insgesamt n Shares. Zur Wiederherstellung deiner Wallet benötigst du mindestens m davon. Die Reihenfolge, in der du die Shares einliest, spielt keine Rolle. Ein Beispiel: Bei einer 2-aus-3-Konfiguration erstellst du 3 Shares und kannst mit beliebigen 2 davon deine Wallet wiederherstellen. Der dritte Share kann verloren gehen oder gestohlen werden – ohne dass deine Wallet gefährdet ist.

Wie funktionieren Recovery Shares und der Threshold-Mechanismus?

Ein einzelner Recovery Share ist eine Sequenz englischer Wörter – entweder 20 oder 33 Wörter, je nach Gerät und Konfiguration. Diese Wörter stammen aus der SLIP39-eigenen Wortliste mit genau 1.024 Einträgen. Das ist nicht dieselbe Liste wie bei BIP39, die 2.048 Wörter umfasst. Die Listen überschneiden sich zwar teilweise, sind aber nicht deckungsgleich und nicht austauschbar.

Die SLIP39-Wortliste wurde bewusst so gestaltet, dass sich jedes Wort von jedem anderen um mindestens 2 Buchstaben im Levenshtein-Abstand unterscheidet. Das bedeutet: Wenn du beim Abschreiben eines Shares einen einzelnen Buchstaben vertauschst oder vergisst, ergibt das entweder kein gültiges Wort – oder das Gerät erkennt den Fehler anhand der eingebauten Prüfsumme. Bei BIP39 ist diese Eigenschaft nicht durchgängig gegeben, was Abschreibfehler schwerer erkennbar macht. SLIP39 hat hier eine stärkere Fehlertoleranz eingebaut.

Der Threshold – auf Deutsch: Schwellenwert – ist die Mindestanzahl an Shares, die du zur Wiederherstellung zusammenführen musst. Ein paar wichtige Regeln dazu:

• Der minimale Threshold ist 2. Ein Threshold von 1 ist technisch nicht zulässig – und das aus gutem Grund: Bei einem Threshold von 1 würde jeder einzelne Share allein zur Wiederherstellung reichen, was den Sicherheitsvorteil der Aufteilung vollständig zunichte macht.
• Die maximale Anzahl an Shares beträgt bei Trezor-Geräten 16. Damit sind Konfigurationen bis zu 8-aus-16 möglich.
• Die Reihenfolge, in der du Shares eingibst, ist irrelevant. Du kannst Share 3 vor Share 1 eingeben – das Ergebnis ist dasselbe.

Ein kritischer Punkt, den viele unterschätzen: Shares sind nur einmalig sichtbar. Sie werden ausschließlich während der initialen Wallet-Erstellung auf dem Gerät angezeigt. Danach sind sie nicht mehr abrufbar – weder über das Gerät noch über die Software. Wer einen Share nicht sorgfältig aufschreibt und sicher verwahrt, hat ihn dauerhaft verloren.

Und das ist keine Kleinigkeit: Ein verlorener Share kann nicht nachträglich regeneriert werden. Solange die verbleibenden Shares noch den Threshold erfüllen, bleibt die Wallet zugänglich. Fällt die Anzahl verfügbarer Shares jedoch unter den Threshold, ist die Wallet unwiederbringlich verloren. Keine Software, kein Support, kein Anbieter kann dir dann helfen.

Wenn du eine neue Share-Konfiguration erstellen möchtest – etwa weil du einen Share verloren hast und die Konfiguration neu aufsetzen willst – geht das nur, wenn du entweder noch die vollständige Mindestanzahl an Shares besitzt oder den originalen Seed in anderer Form verfügbar hast. Das Erstellen neuer Shares ist keine Funktion des Geräts selbst, sondern muss softwareseitig erfolgen. Praktisch empfiehlt sich in solchen Fällen: ein neues Wallet erstellen und die Funds transferieren.

Shamir Backup vs. klassische BIP39-Seed-Phrase: Der direkte Vergleich

Der klassische BIP39-Standard ist das Rückgrat nahezu aller Krypto-Wallets. Du kennst ihn: 12 oder 24 englische Wörter, die du aufschreibst und sicher verwahrst. Einfach, weit verbreitet – aber mit einem fundamentalen Problem: Es ist ein Single Point of Failure.

Wer deine 24-Wörter-Phrase findet, hat sofortigen und vollständigen Zugriff auf alle deine Funds. Wer sie verliert oder zerstört, verliert alles unwiederbringlich. Es gibt keinen Mittelweg. Entweder du hast die Phrase, oder du hast sie nicht.

Shamir Backup mit SLIP39 löst genau dieses Problem. Ab einer 2-aus-3-Konfiguration gibt es keinen Single Point of Failure mehr. Ein gestohlener Share gibt dem Angreifer mathematisch keinerlei Information über deinen Master-Seed. Ein verlorener Share ist tolerierbar, solange noch genug andere Shares vorhanden sind. Das ist ein qualitativer Sprung in der Sicherheitsarchitektur.

Beim Vergleich der Wortanzahl fällt auf: BIP39 nutzt 12 oder 24 Wörter für das gesamte Backup. SLIP39 nutzt 20 oder 33 Wörter pro Share. Das klingt nach mehr Aufwand – und das ist es auch. Dafür bekommst du eine stärkere Prüfsumme, die Abschreibfehler zuverlässiger erkennt, sowie die bereits erwähnte Levenshtein-Distanz von mindestens 2 zwischen allen Wörtern der SLIP39-Liste.

Die Entropie – also das eigentliche Sicherheitsniveau – ist bei beiden Standards identisch: 256 Bit. Wer behauptet, Shamir Backup sei unsicherer als BIP39, liegt falsch. Die Aufteilung in Shares reduziert die Entropie nicht.

Der größte Nachteil von SLIP39 ist die eingeschränkte Kompatibilität. BIP39 wird von nahezu jeder Hardware-Wallet, Software-Wallet und Exchange unterstützt. SLIP39 ist hauptsächlich bei Trezor und Keystone implementiert. Wer auf Ledger oder Coldcard setzt, kann Shamir Backup nicht nutzen.

Ein besonders wichtiger Warnhinweis: Manche Nutzer versuchen, die Sicherheit einer BIP39-Phrase durch manuelles Aufteilen zu erhöhen – etwa indem sie die ersten 16 von 24 Wörtern auf ein Backup schreiben und die letzten 16 auf ein anderes. Das klingt nach Shamir Backup, ist es aber nicht. Jeder Teil enthält echte Teilinformationen über den Seed. Das Sicherheitsniveau sinkt dabei auf rund 80 Bit – weit unter dem, was als sicher gilt. Shamir Backup hingegen gibt unterhalb des Thresholds buchstäblich null Information preis.

Die richtigen Share-Konfigurationen wählen: 2-aus-3, 3-aus-5 und mehr

Die Wahl der richtigen Konfiguration ist die wichtigste Entscheidung beim Einrichten von Shamir Backup. Zu wenige Shares erhöhen das Verlustrisiko, zu viele machen die Verwaltung unnötig komplex. Hier ist, was du wissen musst.

2-aus-3: Der empfohlene Einstieg für Privatpersonen. Du erstellst 3 Shares und benötigst beliebige 2 zur Wiederherstellung. Ein Share kann verloren gehen oder gestohlen werden – ohne Konsequenzen. Die klassische Aufbewahrungsstrategie: Share 1 zuhause, Share 2 im Bankschließfach, Share 3 bei einer Vertrauensperson. Kein einzelner Standort enthält genug Information, um die Wallet zu öffnen. Gleichzeitig kannst du bei Verlust eines Shares noch auf die Wallet zugreifen und eine neue Konfiguration aufsetzen.

3-aus-5: Für erhöhte Redundanz. Du erstellst 5 Shares, brauchst 3 davon. Zwei Shares können verloren gehen. Das ist sinnvoll, wenn du mehrere Vertrauenspersonen oder Standorte hast und eine höhere Fehlertoleranz willst. Die Verwaltung wird komplexer, aber die Sicherheit steigt auf der Redundanzseite deutlich.

8-aus-16: Maximale Redundanz. Das ist die Obergrenze bei Trezor-Geräten. 16 Shares erstellt, 8 davon reichen zur Wiederherstellung. Bis zu 8 Shares können verloren gehen. Das ist für institutionelle Anwendungsfälle oder sehr hohe Vermögenswerte relevant – etwa wenn mehrere Treuhänder oder Familienmitglieder in die Verwahrung eingebunden werden sollen.

Warum 1-aus-2 problematisch ist: Bei einem Threshold von 1 reicht jeder einzelne Share allein zur Wiederherstellung. Das bedeutet: Wer einen Share findet oder stiehlt, hat sofortigen Zugriff auf die Wallet. Gleichzeitig ist die Wallet verloren, sobald ein Share verloren geht – denn der andere reicht zwar zur Wiederherstellung, aber du weißt nicht mehr, welcher noch vorhanden ist. Diese Konfiguration bietet keinen echten Sicherheitsvorteil gegenüber einem einfachen BIP39-Backup.

Eine nützliche Faustregel: Der Threshold sollte mindestens halb so groß sein wie die Gesamtzahl der Shares. Bei 3 Shares also mindestens Threshold 2, bei 5 Shares mindestens Threshold 3. Das stellt sicher, dass ein einzelner Share nie ausreicht und gleichzeitig genug Redundanz vorhanden ist.

Zur physischen Aufbewahrung: Shares niemals am selben Ort lagern. Geografische Verteilung ist entscheidend. Wenn Zuhause, Schließfach und Vertrauensperson alle im selben Gebäude sind, hast du das Prinzip verfehlt. Denke auch an Naturkatastrophen, Einbrüche und Hausdurchsuchungen – alle drei Standorte sollten unabhängig voneinander sein.

Vergiss außerdem nicht, die Konfiguration selbst zu dokumentieren: Wie viele Shares hast du erstellt? Welcher Threshold gilt? Ohne diese Information kann jemand, der deine Shares erbt oder findet, nicht wissen, wie viele er zusammenführen muss. Diese Metainformation ist nicht geheim – sie ist nur praktisch notwendig.

Shamir Backup vs. Multisig und SeedXOR: Abgrenzung verwandter Konzepte

Shamir Backup wird häufig mit Multisig und SeedXOR in einem Atemzug genannt. Alle drei Konzepte eliminieren den Single Point of Failure – aber auf völlig unterschiedlichen Ebenen und mit unterschiedlichen Konsequenzen. Die Unterschiede zu kennen ist wichtig, um die richtige Strategie für deine Situation zu wählen.

Shamir Backup vs. Multisig: Shamir Backup teilt einen einzigen Seed in mehrere Shares auf. Es gibt immer noch nur einen Master-Seed – er ist nur verteilt gespeichert. Multisig funktioniert anders: Hier gibt es mehrere vollständig unabhängige private Schlüssel, und für eine Transaktion müssen eine Mindestanzahl dieser Schlüssel signieren. Das erfordert mehrere separate Geräte oder Wallets.

Der entscheidende Unterschied: Shamir Backup schützt auf der Backup-Ebene. Wer dein Gerät in der Hand hält und entsperren kann, hat vollen Zugriff – unabhängig davon, wie deine Shares verteilt sind. Multisig schützt auf der Transaktionsebene: Selbst wenn jemand ein Gerät kompromittiert, kann er ohne die anderen Schlüssel keine Transaktion durchführen.

Beide Ansätze schließen sich nicht aus. Du kannst Shamir Backup für die Seed-Sicherung nutzen und gleichzeitig Multisig für die Transaktionssicherheit einsetzen. Das ist die paranoideste – und für sehr hohe Beträge durchaus sinnvolle – Kombination.

Shamir Backup vs. Coldcard SeedXOR: SeedXOR ist ein ähnliches Konzept, das vom Hardware-Wallet-Hersteller Coldcard implementiert wurde. Auch hier wird der Seed in mehrere Teile aufgeteilt. Der fundamentale Unterschied: Bei SeedXOR müssen alle Teile vorhanden sein, um den Seed zu rekonstruieren. Es gibt keinen Threshold-Mechanismus. Verlierst du einen Teil, ist der Seed unwiederbringlich verloren – genau wie bei einem einfachen BIP39-Backup, nur mit mehr Aufwand.

Shamir Backup ist hier flexibler: Du kannst konfigurieren, dass 2 von 3 oder 3 von 5 Teilen ausreichen. Das gibt dir Redundanz, die SeedXOR nicht bieten kann. Für die meisten Privatnutzer ist Shamir Backup deshalb die überlegene Wahl gegenüber SeedXOR.

Zusammengefasst: Wenn du dir Sorgen um den Verlust oder Diebstahl deines Backups machst, ist Shamir Backup die richtige Antwort. Wenn du dir Sorgen um die Sicherheit deiner Transaktionen machst – etwa weil du befürchtest, dass ein Gerät kompromittiert werden könnte –, ist Multisig die richtige Ergänzung. Beide Probleme zu lösen erfordert beide Ansätze.

Welche Hardware-Wallets unterstützen Shamir Backup?

SLIP39 ist ein offener Standard, aber die Hardware-Unterstützung ist noch überschaubar. Wer Shamir Backup nutzen möchte, muss derzeit auf eine handvoll Geräte zurückgreifen – während der Marktführer Ledger das Verfahren komplett ignoriert.

Trezor Model T war der Pionier. Es war das erste Hardware-Wallet, das SLIP39 implementierte, und kostet rund 129 USD. Das Touchscreen-Display macht die Eingabe der Shares komfortabler als bei Geräten mit Tasten. Wer bereits ein Model T besitzt, kann Shamir Backup direkt nutzen.

Trezor Safe 3 ist seit 2024 das Einstiegsmodell der Safe-Familie und kostet rund 79 USD. Ab 2024 ist Shamir Backup hier der Standard-Backup-Typ – nicht mehr eine optionale Funktion, sondern die empfohlene Vorgehensweise. Das macht den Safe 3 zum günstigsten Einstieg in Shamir Backup.

Trezor Safe 5 ist das aktuelle Flaggschiff der Safe-Familie und unterstützt Shamir Backup ebenfalls als Standard-Backup-Typ seit seiner Einführung im Juni 2024. Es richtet sich an Nutzer, die maximale Sicherheit mit modernem Design kombinieren wollen.

Keystone ist ein weiteres Hardware-Wallet, das SLIP39 unterstützt. Es ist eine sinnvolle Alternative für Nutzer, die nicht auf das Trezor-Ökosystem setzen wollen.

Auf der anderen Seite: Ledger unterstützt in keinem seiner Modelle Shamir Backup. Alle Ledger-Geräte – vom Nano S Plus bis zum Flex – arbeiten ausschließlich mit BIP39. Wer auf Ledger setzt, hat keinen Zugang zu SLIP39. Das ist eine bewusste Produktentscheidung, keine technische Unmöglichkeit.

Coldcard bietet wie erwähnt SeedXOR an, aber kein echtes Shamir Backup mit Threshold-Mechanismus. Für Nutzer, die den Threshold-Mechanismus als entscheidend betrachten, ist Coldcard keine Alternative.

Ein wichtiger Hinweis zur Zukunftssicherheit: Da SLIP39 ein offener Standard ist, kann die Wiederherstellung prinzipiell auf jedem Computer mit geeigneter Open-Source-Software erfolgen – nicht nur auf Trezor-Geräten. Das bedeutet: Selbst wenn Trezor als Unternehmen in 20 Jahren nicht mehr existiert, kannst du deine Wallet mit deinen Shares wiederherstellen, solange du die Software findest oder selbst kompilierst. Das ist ein wichtiger Vorteil gegenüber proprietären Lösungen.

Häufige Fehler bei Shamir Backup – und wie du sie vermeidest

Shamir Backup ist ein mächtiges Werkzeug. Aber wie jedes Sicherheitssystem kann es durch Anwendungsfehler ausgehebelt werden. Hier sind die häufigsten Fehler – und was du stattdessen tun solltest.

Fehler 1: Alle Shares am selben Ort aufbewahren. Das ist der häufigste und folgenschwerste Fehler. Wenn du alle drei Shares in derselben Schublade liegen hast, hast du keinen Vorteil gegenüber einem einzelnen BIP39-Backup. Ein Einbruch, ein Brand oder eine Hausdurchsuchung kompromittiert alle Shares gleichzeitig. Geografische Verteilung ist nicht optional – sie ist der Kern des Konzepts.

Fehler 2: Den Threshold vergessen. Stell dir vor, du hast eine 3-aus-5-Konfiguration erstellt und nach zwei Jahren weißt du nicht mehr, wie viele Shares du brauchst. Du sammelst 2 Shares – und wunderst dich, warum die Wiederherstellung nicht klappt. Notiere Threshold und Gesamtzahl der Shares an einem sicheren, aber zugänglichen Ort. Diese Information ist kein Geheimnis.

Fehler 3: Shares fotografieren oder digital speichern. Ein Foto deiner Shares auf dem Smartphone oder in der Cloud ist ein massives Sicherheitsrisiko. Digitale Kopien können gestohlen, gehackt oder versehentlich synchronisiert werden. Shares gehören auf Papier – oder besser noch auf Metallplatten, die Feuer und Wasser widerstehen.

Fehler 4: Einen Share verlieren und nichts unternehmen. Wenn du einen von drei Shares verlierst, hast du noch 2 – genug für den Threshold. Aber du hast keine Redundanz mehr. Wenn jetzt ein zweiter Share verloren geht, ist die Wallet weg. Handle sofort: Erstelle mit den verbleibenden Shares ein neues Wallet, transferiere die Funds und setze eine neue Shamir-Konfiguration auf.

Fehler 5: Shamir Backup mit einem manuellen Mnemonic Split verwechseln. Wie bereits erklärt: Wer eine BIP39-Phrase manuell aufteilt, reduziert die Sicherheit auf rund 80 Bit. Das ist kein Shamir Backup. Es sieht ähnlich aus, funktioniert aber fundamental anders. Nutze nur echte SLIP39-Implementierungen auf unterstützter Hardware.

Fehler 6: Shares an Vertrauenspersonen geben, ohne sie zu informieren. Wenn du Share 3 bei deiner Mutter deponierst, sollte sie wissen, was das ist, warum es wichtig ist und was sie damit tun soll – oder eben nicht tun soll. Ein Share, der unbemerkt weggeworfen oder verloren wird, weil die Person nicht weiß, was sie hält, ist ein reales Risiko.

Fehler 7: Annehmen, dass Shamir Backup das Gerät schützt. Shamir Backup schützt dein Backup – nicht dein Gerät. Wer physischen Zugriff auf dein entsperrtes Trezor-Gerät hat, braucht keine Shares. Gerätesicherheit (PIN, Passphrase) und Backup-Sicherheit (Shamir) sind zwei verschiedene Schichten. Beide sind notwendig.