BIP39 erklaert: Wie 2.048 Woerter Ihre Kryptowaehrung schuetzen
Inhaltsverzeichnis
Wenn Sie jemals eine Kryptowaehrungs-Wallet eingerichtet haben, wurden Sie aufgefordert, 12 oder 24 Woerter aufzuschreiben. Diese Woerter sind keine zufaelligen Vokabeln aus einem Woerterbuch. Sie stammen aus einem praezisen Standard namens BIP39 --- Bitcoin Improvement Proposal 39 --- und jedes Detail dieses Standards, von der Anzahl der Woerter bis zur Art und Weise, wie jedes Wort ausgewaehlt wird, dient dazu, Ihre Kryptowaehrung so sicher und portabel wie moeglich zu machen.
Dieser Leitfaden erklaert BIP39 von Grund auf: wie Entropie zu einer Seed Phrase wird, warum die Wortliste genau 2.048 Eintraege enthaelt und was hinter den Kulissen passiert, wenn Sie diese Woerter in eine Wallet eingeben.
Was ist BIP39?¶
BIP39 ist eine 2013 veroeffentlichte Spezifikation, die definiert, wie eine zufaellige Binaerzahl in eine fuer Menschen lesbare Wortliste --- ein Mnemonic --- umgewandelt wird und wie dieses Mnemonic dann in einen binaeren Seed zur Ableitung kryptographischer Schluessel konvertiert wird.
Vor BIP39 bestanden Wallet-Backups aus rohen Hexadezimalzeichenketten: 64 Zeichen lange Sequenzen wie 5e884898da28047151d0e56f8dc.... Das Abschreiben dieser Zeichenketten war muehsam und fehleranfaellig. Ein einziges falsches Zeichen machte das Backup unbrauchbar.
BIP39 loeste dieses Problem, indem dieselben zufaelligen Bytes auf gaengige englische Woerter abgebildet wurden. Anstatt Hex zu kopieren, schreiben Sie "abandon ability able about above absent absorb abstract..." auf --- Woerter, die leichter zu lesen, zu ueberpruefen und auf Papier oder Metall zu speichern sind.
Die drei Ziele von BIP39 sind:
- Menschliche Lesbarkeit --- Woerter sind einfacher als Hex abzuschreiben, zu pruefen und zu merken.
- Fehlererkennung --- Eine integrierte Pruefsumme erkennt Abschreibfehler.
- Deterministische Ableitung --- Dieselben Woerter erzeugen immer denselben Master-Seed, unabhaengig davon, welche Wallet-Software Sie verwenden.
128 Bit Entropie werden zu 12 Woertern¶
Die Sicherheit einer BIP39 Seed Phrase beginnt mit Entropie --- reiner Zufaelligkeit, die von einem kryptographisch sicheren Zufallszahlengenerator (CSPRNG) erzeugt wird. Die Menge der Entropie bestimmt, wie viele Woerter Sie erhalten:
| Entropie (Bits) | Pruefsumme (Bits) | Gesamt (Bits) | Woerter |
|---|---|---|---|
| 128 | 4 | 132 | 12 |
| 160 | 5 | 165 | 15 |
| 192 | 6 | 198 | 18 |
| 224 | 7 | 231 | 21 |
| 256 | 8 | 264 | 24 |
Die gaengigsten Konfigurationen sind 12-Wort-Phrasen (128 Bits) und 24-Wort-Phrasen (256 Bits).
So funktioniert der Prozess fuer eine 12-Wort-Phrase Schritt fuer Schritt:
- 128 zufaellige Bits erzeugen. Das ist die Roh-Entropie. Auf einem modernen System stammt diese Zufaelligkeit vom CSPRNG des Betriebssystems --- zum Beispiel der Web Crypto API in Browsern oder
/dev/urandomunter Linux. - Pruefsumme berechnen. Der SHA-256-Hash dieser 128 Bits wird gebildet. Die ersten 4 Bits des Hashes werden zur Pruefsumme.
- Verketten. Diese 4 Pruefsummen-Bits werden an die urspruenglichen 128 Bits angehaengt, was 132 Bits ergibt.
- In 11-Bit-Gruppen aufteilen. Die 132 Bits werden in zwoelf Gruppen zu je 11 Bits unterteilt.
- Auf Woerter abbilden. Jede 11-Bit-Gruppe ist eine Zahl zwischen 0 und 2.047. Diese Zahl dient als Index in der BIP39-Wortliste.
Das Ergebnis sind 12 englische Woerter.
Wie sicher sind 128 Bits? Es gibt 2^128 moegliche Kombinationen --- ungefaehr 3,4 x 10^38. Zur Veranschaulichung: Wenn jeder Computer auf der Erde eine Billion Kombinationen pro Sekunde probieren wuerde, wuerde es etwa 10^14 Jahre dauern, den gesamten Raum zu durchsuchen. Einen tieferen Einblick, warum das Knacken von Seed Phrases per Brute Force unpraktikabel ist, finden Sie unter Seed Phrase Brute Force 2026.
Die 2.048-Wort-Liste und die Pruefsumme¶
Warum genau 2.048 Woerter? Weil 2.048 = 2^11. Jedes Wort codiert exakt 11 Bits an Daten, wodurch die Umwandlung zwischen Binaerdaten und Woertern sauber und umkehrbar ist.
Die offizielle englische BIP39-Wortliste wurde sorgfaeltig kuratiert und weist mehrere Eigenschaften auf:
- Kein Wort ist kuerzer als 4 Zeichen. Das vermeidet Mehrdeutigkeiten.
- Die ersten 4 Zeichen identifizieren jedes Wort eindeutig. Man kann ohne Kollision abkuerzen --- "abso" ist eindeutig "absorb." Einige Hardware-Wallets nutzen dies, um die Eingabe zu beschleunigen.
- Aehnliche Woerter werden ausgeschlossen. Die Liste vermeidet Paare wie "woman" und "women", die sich nur durch einen Buchstaben unterscheiden.
- Die Woerter sind alphabetisch sortiert. Das macht die Suche effizient.
BIP39-Wortlisten existieren in mehreren Sprachen --- Englisch, Japanisch, Koreanisch, Spanisch, Chinesisch (vereinfacht und traditionell), Franzoesisch, Italienisch, Tschechisch und Portugiesisch. Die englische Liste ist bei weitem die am haeufigsten verwendete, aber der Standard ist sprachunabhaengig. Alle verfuegbaren Listen finden Sie unter BIP39-Wortliste in allen Sprachen.
Die Pruefsumme erkennt Fehler¶
Die in das letzte Wort eingebettete Pruefsumme ist eines der praktischsten Merkmale von BIP39. Wenn Sie versehentlich das falsche Wort aufschreiben oder zwei Woerter vertauschen, wird die Pruefsumme fast sicher fehlschlagen, wenn Sie versuchen, die Wallet wiederherzustellen.
Bei einer 12-Wort-Phrase betraegt die Pruefsumme 4 Bits. Das bedeutet, dass nur 1 von 16 zufaellig veraenderten Phrasen den Pruefsummen-Test besteht. Bei einer 24-Wort-Phrase betraegt die Pruefsumme 8 Bits, sodass nur 1 von 256 fehlerhaften Phrasen als gueltig erscheint. Das ist keine Garantie --- es ist ein Sicherheitsnetz, kein Schloss --- aber es faengt die ueberwiegende Mehrheit der Abschreibfehler ab.
Sie koennen die Pruefsumme Ihrer Seed Phrase ueberpruefen, ohne sie dem Internet auszusetzen, indem Sie ein Offline-Tool wie den Bitcoin Seed Phrase Generator auf SafeSeed verwenden, der vollstaendig in Ihrem Browser laeuft.
Vom Mnemonic zum Master-Seed¶
12 Woerter zu haben ist nicht das Ende des Prozesses. Wallets verwenden das Mnemonic nicht direkt als kryptographischen Schluessel. Stattdessen wird das Mnemonic durch eine Schluesselstreckungsfunktion namens PBKDF2 in einen 512-Bit-Binaer-Seed umgewandelt.
Die Umwandlung funktioniert so:
- Die Mnemonic-Woerter werden zu einer einzigen Zeichenkette verbunden (mit Leerzeichen).
- Ein Salt wird erstellt, indem der Zeichenkette "mnemonic" eine optionale Passphrase vorangestellt wird. Wenn keine Passphrase gesetzt ist, ist das Salt einfach die Zeichenkette "mnemonic".
- PBKDF2-HMAC-SHA512 wird mit 2.048 Iterationen angewendet und erzeugt einen 512-Bit-Seed.
Dieser 512-Bit-Seed wird dann verwendet, um den Master-Private Key und den Chain-Code fuer einen HD-Wallet-Baum abzuleiten, wie in BIP32 beschrieben. Von diesem einzigen Master-Schluessel kann eine unbegrenzte Anzahl von Kind-Schluesseln --- und damit Adressen --- ueber mehrere Blockchains hinweg generiert werden.
Die optionale Passphrase (manchmal als "25. Wort" bezeichnet) fuegt eine leistungsstarke Schutzschicht hinzu. Dieselben 12 Woerter mit einer anderen Passphrase erzeugen eine voellig andere Wallet. Das bedeutet: Selbst wenn jemand Ihre Wortliste entdeckt, kann er ohne die Passphrase nicht auf Ihre Gelder zugreifen. Allerdings gibt es keine Pruefsumme fuer die Passphrase: Eine falsche Passphrase erzeugt stillschweigend eine andere (leere) Wallet, anstatt einen Fehler auszugeben.
Einen detaillierten Blick darauf, wie der Master-Seed Kind-Schluessel und Adressen erzeugt, finden Sie unter HD Wallets und Ableitungspfade erklaert.
BIP39 ueber Blockchains hinweg¶
BIP39 wurde im Bitcoin-Oekosystem entwickelt, aber seine Verbreitung reicht weit darueber hinaus. Dieselben 12 oder 24 Woerter koennen Guthaben auf Ethereum, Solana, Polygon und Dutzenden anderer Netzwerke sichern.
Was sich zwischen den Chains aendert, ist nicht die Seed Phrase selbst, sondern der Ableitungspfad, der nach der Erzeugung des Master-Seeds verwendet wird. Bitcoin nutzt m/84'/0'/0' fuer native SegWit-Adressen. Ethereum und EVM-Chains verwenden m/44'/60'/0'/0. Solana nutzt m/44'/501'/0'/0'. Der Mnemonic-zu-Seed-Schritt ist ueberall identisch --- es ist immer PBKDF2 mit denselben Parametern.
Diese kettenuebergreifende Kompatibilitaet ist eine der groessten Staerken von BIP39. Ein einziges Backup schuetzt Vermoegenswerte ueber jedes unterstuetzte Netzwerk hinweg. SafeSeed bietet Seed-Phrase-Generatoren fuer mehrere Chains --- Bitcoin, Ethereum und Solana --- alle basierend auf demselben BIP39-Standard.
Es gibt Ausnahmen. Einige Wallets, insbesondere Electrum, verwenden ein eigenes Mnemonic-Schema, das nicht BIP39-kompatibel ist. Das Electrum-Schema bettet Versionsinformationen in das Mnemonic selbst ein, was andere Kompromisse mit sich bringt. Wenn Sie einen Electrum-Seed in eine BIP39-Wallet importieren (oder umgekehrt), erhalten Sie andere Schluessel. Ueberpruefen Sie immer, welchen Mnemonic-Standard Ihre Wallet verwendet.
Haeufige Fehler, die Sie vermeiden sollten¶
Das Verstaendnis von BIP39 ist gerade deshalb wertvoll, weil es Ihnen hilft, kostspielige Fehler zu vermeiden. Hier sind die haeufigsten:
Seed Phrases digital speichern¶
Einen Screenshot zu machen, eine Textdatei zu speichern oder sich die 12 Woerter per E-Mail zu schicken, verfehlt den Zweck. Wenn Ihr Geraet kompromittiert wird, bekommt der Angreifer alles. Schreiben Sie die Phrase auf Papier oder stanzen Sie sie in Metall und bewahren Sie sie physisch auf. Siehe Cold Storage Guide 2026 fuer detaillierte Strategien.
Seed Phrase mit Private Key verwechseln¶
Eine Seed Phrase erzeugt viele Private Keys; ein einzelner Private Key kontrolliert genau ein Konto. Sie sind nicht austauschbar. Das Exportieren eines Private Keys aus MetaMask gibt Ihnen keine Seed Phrase und umgekehrt. Lesen Sie Seed Phrase vs Private Key fuer einen gruendlichen Vergleich.
Seed Phrases auf unverifizierten Websites eingeben¶
Kein serioser Dienst wird Sie jemals auffordern, Ihre Seed Phrase auf einer Website einzugeben, waehrend Sie mit dem Internet verbunden sind. Phishing-Seiten, die Wallet-Oberflaechen imitieren, sind einer der haeufigsten Angriffsvektoren. Wenn Sie eine Seed Phrase erzeugen oder verifizieren muessen, verwenden Sie ein Tool, das vollstaendig offline und clientseitig laeuft --- die Tools von SafeSeed arbeiten, ohne Daten an einen Server zu senden.
Die Pruefsumme ignorieren¶
Wenn Ihre Wallet Ihnen mitteilt, dass eine Seed Phrase ungueltig ist, erzwingen Sie es nicht. Die Pruefsumme sagt Ihnen, dass etwas falsch ist. Ueberpruefen Sie jedes Wort anhand der BIP39-Wortliste. Ein haeufiger Fehler ist die Verwechslung von Woertern, die mit denselben vier Buchstaben beginnen, sich danach aber unterscheiden.
Die Passphrase vergessen¶
Wenn Sie eine optionale Passphrase festlegen und sie vergessen, sind Ihre Gelder unwiederbringlich verloren. Die Passphrase wird nirgendwo gespeichert --- sie ist Teil der kryptographischen Eingabe. Behandeln Sie sie mit der gleichen Sorgfalt wie die Seed Phrase selbst.
BIP39 bleibt einer der elegantesten Standards in der Kryptowaehrung. Er verwandelt unlesbare Binaerdaten in etwas, das ein Mensch auf ein Blatt Papier schreiben und in einem Bankschliessfach verwahren kann --- ohne auch nur ein Bit an Sicherheit zu opfern. Zu verstehen, wie es funktioniert, ist der erste Schritt zum verantwortungsvollen Schutz Ihrer digitalen Vermoegenswerte.