Im Gespräch mit Philipp Vonmoos, Swiss Crypto Vault
Interview mit Philipp Vonmoos, ehemaliger CEO von Swiss Crypto Vault
Im Rahmen der PwC 2020 Global Risk Studie haben wir Philipp Vonmoos, CEO von Swiss Crypto Vault interviewt. Im Gespräch mit Maria Sommerhalder, Blockchain Competence Centre bei PwC, erzählte er, welche Risiken Kryptowährungen in sich bergen und was das für die Arbeit von Rikiskoexperten bedeutet.
Verwendet Swiss Crypto Vault alle verfügbaren Daten, um Risiken zu erkennen und zu steuern?
Wir verwenden alle relevanten internen Daten, die unser System selbst generiert. Da alle Blockchain-Daten transparent und für jedermann öffentlich zugänglich sind, wären zwar auch alle Blockchain-Daten verfügbar, aber es bräuchte erhebliche Ressourcen, um diese so aufzubereiten, damit wir diese alle vollumfänglich nutzen könnten. Zudem sind alle Blockchains verschieden und wir müssten für jede Blockchain ein eigenes, spezifiziertes Tool erstellen. Wir nutzen aber die relevanten Blockchain-Daten zum Beispiel in der sogenannten «Chain-Analysis», um die Herkunft der Kryptowährungen im Rahmen der AML-Überprüfung zu evaluieren. Dabei hilft das Blacklisting: Wenn ein Hack stattfindet und man erkennt, auf welche Adresse die Zahlungen übergegangen sind, dann wird diese Adresse auf die Schwarze Liste gesetzt.
Benutzen Sie Daten von ausserhalb der Blockchains wie beispielsweise ein regulatorisches Monitoring?
Wir sind momentan nur in der Schweiz aktiv und das ist deshalb die in erster Linie relevante Gerichtsbarkeit für uns. Es ist sehr hilfreich, dass die Schweiz bei der Blockchain-Regulierung führend ist und die Leitlinien damit klar vorgegeben sind. Das regulatorische Monitoring in der Schweiz beinhaltet alle Wegweisungen der Finma, aber auch internationale Entwicklungen beobachten wir laufend.
Könnte Swiss Crypto Vault gewisse Risiken mit Einsatz von KI oder Machine Learning besser steuern?
Unter Machine Learning verstehen wir, wenn ein System selbst Hypothesen aufstellt und sich verbessert. Davon sind wir im Kryptobereich noch weit entfernt. Aber Analytics respektive künstliche Intelligenz kann uns vor allem im regulatorischen und im Compliance-Bereich helfen. Zum Beispiel in Bezug auf Geldwäscherei, also Anti-Money-Laundering (AML), und Betrugsrisiken. Da ist Analytics sehr nützlich, grosse Datenmengen zu untersuchen und könnte auch nützlich sein, um Muster, Algorithmen und Verhaltensweisen darzustellen. Wir haben zurzeit etwa 40 Kunden mit einem Volumen von ca. 1 Milliarde Schweizer Franken. Das ist leider noch ein zu kleines Datenset, um Analytics anzuwenden.
Wie werden diese neuen Technologien heute bei Swiss Crypto Vault von Risikoexperten eingesetzt?
Ein gutes Beispiel hierfür ist die Verwendung von Transaction Analytics auf der Blockchain. Wenn Personen beispielsweise ihre Bitcoins in unserem System einlagern möchten, wird zuerst überprüft, wie sie diese erworben haben. Transaction Analytics hilft, den Nachweis über die Herkunft der Coins darzustellen.
Was ist das grösste Hindernis bei Swiss Crypto Vault, das der Nutzung neuer Technologien im Weg steht?
Am schwierigsten ist die Priorisierung bei knappen Ressourcen, insbesondere der Zeit der Software-Entwickler. Wir haben mehr Ideen als Entwicklerkapazität und jede Entwicklung ist eine Abwägung der Kosten und Risiken gegenüber dem Nutzen.
Das zweite Hindernis sind die Daten. Gerade bei internen Daten oder sehr spezifischen Fällen verfügen wir meist nicht über ein genügend grosses Datenset für Machine Learning und es gibt keine relevanten Benchmarkdaten der Industrie.
Gibt es einen Bereich, in dem Ihr Unternehmen derzeit substanzielle Veränderungen vornimmt?
Wir sind jetzt seit gut zwei Jahren mit unserer ursprünglichen Idee live am Markt. Aber gerade im Kryptobereich entwickelt sich das Umfeld schnell weiter. Was bei uns jetzt bereits Thema ist, aber noch viel grösser werden wird, ist das so genannte Staking. Das funktioniert, indem Krypto-Besitzer das Betreiben einer Blockchain unterstützen, dazu aber ihre Krypto-Assets quasi als Pfand digital hinterlegen müssen. Dies funktioniert jedoch nur, wenn wir das Kapital kennzeichnen und mittels Private Key bearbeiten können, damit die Blockchain, falls nötig, auf dieses Kapital zurückgreifen kann.
Auch beim Thema Security Tokens sehen wir grössere Entwicklungen. Beispielsweise Aktien, Anleihen oder Wertpapiere, aber auch physische Assets wie Häuser, deren Besitz via Blockchain geregelt wird. Mit solchen Tokens wird man künftig auch an einer GV abstimmen können. Die Möglichkeiten zur Ausgestaltung dieser Security Tokens sind verheissungsvoll, aber technologisch müssen wir die sichere Aufbewahrung eines solchen Tokens ebenfalls sicherstellen können. Diese technologischen Weiterentwicklungen ermächtigen die Krypto-Inhaber, bewirken aber auch eine intensivere Partizipation von diesen.
«Als Grundlage können sie sich auf die Daten der Blockchain verlassen. Ich sehe hier aber eine Gefahr, gerade im Hinblick auf die Analytic Tools und die künstliche Intelligenz. Diese Tools sind nur so gut, wie sie eingestellt wurden. Als Risikomanager muss man die Resultate hinterfragen und darf den Hilfsmitteln nicht blind vertrauen.»
Was sind die grössten Risiken, die mit dieser Initiative verbunden sind?
Bezüglich Staking-Initiative ist das grösste Risiko die Unsicherheit, welche Implementierungen sich etablieren werden. Verschiedene Blockchains verfolgen verschiedene Ansätze und es gibt noch keine Standards. Eine weitere Herausforderung ist die Adaption von Krypto-Verwahrlösungen im Allgemeinen. Wir zum Beispiel haben unser System aus Sicherheitsüberlegungen so gebaut, dass es Prozesse absichtlich verlangsamt. Es gibt aber gewisse Blockchains, die nun für das Staking verlangen, dass man innert Sekundenbruchteilen reagieren kann. Das ist ein grosses Spannungsfeld, das es zu managen gibt.
Welche Risikofunktionen sehen Sie als unverzichtbare Rollen, die Swiss Crypto Vault benötigt?
Wir müssen von physischer, prozessualer und digitaler Sicherheit bis zu regulatorischen und rechtlichen Risiken ein breites Spektrum abdecken. Unverzichtbar sind dabei vor allem die Solution Architects und Infrastrukturspezialisten, die auf dem Thema Cyber-Security die Experten sind, sowie die Legal-Experten und das Riskmanagement für die gesamte regulatorischen Seite.
Wie arbeiten die verschiedenen Risikoexperten zusammen? Sollte das häufiger vorkommen?
Gerade beim Thema Staking funktioniert es gut, weil wir klein sind und ad hoc die Leute zusammenbringen können. Dafür braucht es alle – Tech, Risk und Legal. Ausserdem verändert sich das Krypto-Umfeld laufend. Daher treffen wir uns sehr häufig.
Wie verändert sich das Risikoprofil Ihrer Kunden, wenn sie erstmals Krypto-Assets halten, und die Verwahrung der Assets respektive der Private Keys an Ihr Unternehmen auslagern?
Das Risikoprofil der Kunden verringert sich, da sie die Verwahrung an einen professionellen Anbieter, der von Drittparteien auditiert wird, auslagern.
Unter Kunden, die neu im Krypto-Bereich sind, besteht ein grosser Respekt vor der Thematik, oft auch aufgrund von mangelndem Wissen. Bei Diskussionen ist eine der Hauptfragen jeweils «Wie stellt Ihr sicher, dass die Coins sauber sind?» Je mehr evaluiert und diskutiert wird, desto deutlicher erkennen unsere Kunden, wie komplex die gesamte Thematik ist und dass es Spezialisten braucht. Ein Jurist muss beispielsweise sehr technikaffin sein und gleichzeitig verstehen, was die Intention des Gesetzgebers war, als er 50 Jahre zuvor ein Gesetz erlassen hat, und wie dieses auf die Thematik Krypto-Assets anzuwenden ist. Diese Themen diskutieren wir intensiv mit unseren Kunden.
Wie verändert die Blockchain-Technologie die Arbeit der Risikoexperten in den nächsten drei bis fünf Jahren?
Grundsätzlich macht es die Irreversibilität nicht einfacher für die Risikoexperten. Der «Room of Error» ist bei Public Blockchains gleich Null. Andererseits ist das Managen von Risiken immer ein Managen von Unsicherheiten. Die Blockchain ist sehr transparent und man wird mehr Daten zur Verfügung haben, was den Risikomanagern helfen kann. Als Grundlage können sie sich auf die Daten der Blockchain verlassen, weil diese nicht veränderbar sind. Ich sehe hier aber eine Gefahr, zum Beispiel im Hinblick auf die Analytic Tools und die künstliche Intelligenz. Diese Tools sind nur so gut, wie sie eingestellt wurden. Als Risikomanager muss man die Resultate hinterfragen und darf den Hilfsmitteln nicht blind vertrauen.
