Bei der ersten Einrichtung einer Bitcoin-Wallet wird man je nach Hersteller und Modell manchmal einer scheinbar einfachen Frage konfrontiert: Möchtest du 12 oder 24 Wörter für deine Seed Phrase (Wiederherstellungsphrase) verwenden?
Viele entscheiden sich reflexartig für 24 Wörter. Schließlich klingen mehr Wörter auch nach mehr Sicherheit. Andere wiederum argumentieren, dass 12 Wörter völlig ausreichen und alles darüber hinaus nur unnötige Komplexität sei.
Beide Lager berufen sich auf Kryptografie. Sie sprechen von Entropie, von Brute-Force-Angriffen und von mathematischen Größenordnungen, die kaum greifbar sind. Doch was davon ist tatsächlich relevant und was ist eher theoretischer Sicherheitsabstand?
Um das sinnvoll zu beantworten, lohnt es sich, einen Schritt zurückzugehen und zunächst zu verstehen, was diese Begriffe überhaupt bedeuten.
Seed Phrases basieren auf dem BIP39-Standard. Dieser wurde 2013 von der Bitcoin-Community eingeführt, um private Schlüssel in eine für Menschen lesbare Form zu überführen. Seither haben sich die 2.048 standardisierten englischen Wörter als De-facto-Standard für Self-Custody etabliert.
Ein 12-Wörter-Seed entspricht 128 Bit Entropie, ein 24-Wörter-Seed hingegen 256 Bit. Zum Vergleich: 128 Bit gelten in der modernen Kryptografie als militärischer Sicherheitsstandard. AES-128, das weltweit in Bankensystemen und verschlüsselter Kommunikation eingesetzt wird, basiert auf derselben Sicherheitsstufe.
128 Bit, also 2¹²⁸ entspricht etwa 3,4 × 10³⁸ möglichen Kombinationen. Um das greifbar zu machen: Selbst wenn man eine Maschine bauen würde, die eine Billion (10¹²) Kombinationen pro Sekunde testen kann – deutlich mehr, als heutige Systeme leisten –, würde sie länger brauchen als das Alter des Universums, um alle Möglichkeiten zu prüfen.
256 Bit gehen weit darüber hinaus. Diese Sicherheitsstufe wird in Hochsicherheitsanwendungen verwendet, bei denen man bewusst einen extremen mathematischen Sicherheitsabstand einbauen möchte.
Zur Veranschaulichung: 2²⁵⁶ ist eine Zahl mit 78 Stellen – größer als die geschätzte Anzahl aller Atome im sichtbaren Universum.
Das häufigste Argument für 24 Wörter lautet: Sie seien schwerer zu bruteforcen. Unter einem Brute-Force-Angriff versteht man das systematische Durchprobieren aller möglichen Kombinationen, bis zufällig die richtige gefunden wird. Mathematisch stimmt es, dass 24 Wörter hier einen größeren Suchraum erzeugen. Praktisch jedoch ist selbst 128 Bit Entropie nicht realistisch durch Brute-Force angreifbar.
Selbst staatliche Akteure mit massivem Budget greifen in der Praxis nicht auf Brute-Force-Methoden zurück, wenn sie Zugriff auf kryptografische Schlüssel erlangen wollen. In der bisherigen Geschichte von Bitcoin gibt es keinen bekannten Fall, in dem jemand eine korrekt erzeugte Seed Phrase durch reines Durchprobieren geknackt hat. Wenn Bitcoin gestohlen wurden, lag das an Fehlern in Wallet-Software, an schlechter Zufälligkeit bei der Schlüsselgenerierung oder an menschlichen Schwächen – nicht daran, dass jemand die Mathematik dahinter gebrochen hätte.
Studien und Analysen von Blockchain-Daten legen nahe, dass zwischen 3 und 4 Millionen Bitcoin als dauerhaft verloren gelten. Der Grund dafür ist nicht Kryptografie, sondern menschliches Versagen: verlorene Backups, entsorgte Festplatten, vergessene Passwörter.
Das wohl bekannteste Beispiel ist James Howells, der 2013 eine Festplatte mit knapp 8.000 Bitcoin entsorgte. Wie bei ihm und tausenden anderen Fällen ging der Zugriff nicht verloren, weil jemand die Seed mathematisch überwunden hätte – sondern weil die aufgeschriebenen Wörter nicht sicher verwahrt oder schlicht verloren wurden. Ob es dabei 12 oder 24 Wörter waren, spielte keine Rolle.
Das reale Risiko liegt nicht im mathematischen Bereich von 2¹²⁸ bzw. 2²⁵⁶, sondern in der praktischen Umsetzung bei der Backup-Verwahrung.
Ein sachliches Argument für 24 Wörter ist die verbesserte Fehlererkennung durch die sogenannte Checksumme. Die Checksumme ist ein mathematischer Prüfwert, der in der Seed Phrase enthalten ist und dafür sorgt, dass Eingabefehler erkannt werden.
Bei 12 Wörtern beträgt die Checksumme 2 Bit, d. h., im Durchschnitt ist jede 16. zufällige Wortkombination formal gültig, auch wenn sie inhaltlich falsch ist. Bei 24 Wörtern sind es 8 Bit, also nur noch jede 256. Kombination. Dadurch wird die Wahrscheinlichkeit, einen stillen Fehler beim Backup zu übersehen, erheblich reduziert.
Ein weiterer Punkt betrifft die langfristige Kryptografie-Resilienz. Während 128 Bit heute als sicher gelten, argumentieren einige Kryptografen, dass 256 Bit einen zusätzlichen Sicherheitsabstand für sehr langfristige Aufbewahrung bieten – insbesondere im Hinblick auf zukünftige technologische Entwicklungen.
Gleichzeitig darf man nicht vergessen: Komplexität ist ein Risikofaktor.
Je länger eine Seed Phrase ist, desto höher ist statistisch die Wahrscheinlichkeit eines Dokumentationsfehlers. Jede zusätzliche Komponente in einem Sicherheitssystem erhöht die Fehleranfälligkeit – ein Prinzip, das auch in der IT-Sicherheitsarchitektur gilt.
Aus genau diesem Grund setzen viele Wallet-Hersteller standardmäßig auf 12 Wörter. Sie bieten ein Sicherheitsniveau, das weit über praktischen Angriffsmöglichkeiten liegt, bei gleichzeitig höherer Bedienfreundlichkeit.
Unabhängig davon, ob 12 oder 24 Wörter verwendet werden, ist die Qualität der Zufallsquelle entscheidend. Eine Seed ist nur dann sicher, wenn sie wirklich zufällig erzeugt wurde, beispielsweise durch einen zuverlässigen Zufallsgenerator. In der Vergangenheit gab es Fälle, in denen fehlerhafte Software vorhersehbare Zufallswerte nutzte, wodurch Angreifer die möglichen Schlüssel stark eingrenzen konnten. Dabei spielte es keine Rolle, ob die Seed 12 oder 24 Wörter hatte – entscheidend war die mangelnde Zufälligkeit.
Deshalb gilt: Eine sauber erzeugte 12-Wörter-Seed ist sicherer als eine schlecht erzeugte 24-Wörter-Seed.
Unabhängig von der Wortanzahl besteht zudem die Möglichkeit, eine zusätzliche Passphrase zu verwenden, die oft auch als „25. Wort“ bezeichnet wird. Dabei handelt es sich um ein frei wählbares Zusatzpasswort, das optional von BIP39 unterstützt wird.
Die Idee dahinter ist einfach: Die Passphrase wird nicht automatisch gespeichert und existiert nur dort, wo man sie bewusst hinterlegt. Selbst wenn jemand die komplette Seed Phrase findet, kann er ohne die Passphrase nicht auf die Bitcoin zugreifen.
Für viele erfahrene User ist diese Kombination aus 12 Wörtern plus Passphrase eine pragmatische und sehr robuste Lösung. Allerdings ist hier auch besondere Vorsicht geboten: Geht die Passphrase verloren, hilft auch die vollständige Seed Phrase nicht mehr weiter.
Für private User mit sauberem Backup-Prozess sind 12 Wörter mehr als ausreichend. Sie bieten ein Sicherheitsniveau, das in der Praxis nicht angreifbar ist.
24 Wörter bieten zwar theoretisch einen zusätzlichen mathematischen Sicherheitsabstand, eine robustere Fehlererkennung und werden häufig aus konservativer Sicherheitsphilosophie gewählt, bieten aber auch mehr Raum für Fehler.
Beide Optionen sind technisch absolut valide.
Die Frage, ob 12 oder 24 Wörter besser sind, beschäftigt viele neue Bitcoiner mehr, als sie sollte. Wer die Zahlen jedoch nüchtern betrachtet, erkennt schnell, dass sich beide Optionen in einem Bereich kryptografischer Sicherheit bewegen, der in der Praxis nicht wirklich angreifbar ist. Der Unterschied zwischen 2¹²⁸ und 2²⁵⁶ ist zwar mathematisch gewaltig, im Alltag jedoch irrelevant.
Entscheidend für die Sicherheit ist nicht die Länge der Seed Phrase, sondern wie sorgfältig sie erzeugt, dokumentiert und verwahrt wird. Eine 12-Wörter-Seed, deren Kopien an zwei getrennten Orten sicher aufbewahrt werden, ist sicherer als eine 24-Wörter-Seed auf einem einzigen Zettel im Schreibtisch.
Eine mögliche Erweiterung ist die Kombination aus zwölf Wörtern und einer zusätzlichen Passphrase. Dadurch entsteht ein weiterer unabhängiger Faktor, der den Zugriff erschwert, sollte die Seed Phrase allein kompromittiert werden. Gleichzeitig erhöht sich jedoch auch die Komplexität, da auch der Verlust der Passphrase zum vollständigen Verlust des Zugangs führt.
Am Ende gilt wie so oft: Die schwächste Stelle im System ist nicht die Mathematik, sondern der Mensch. Wer das versteht und sein Backup entsprechend ernst nimmt, hat das Wesentliche bereits richtig gemacht – unabhängig davon, ob auf seinem Papier 12 oder 24 Wörter stehen.
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Block quote
Ordered list
Unordered list
Bold text
Emphasis
Superscript
Subscript
